国民生活から国家までを揺さぶるサイバー空間の闇｜【特集】日常から国家まで　今日はあなたが狙われる［Part1］

いまやすべての人間と国家が、サイバー攻撃の対象となっている。国境のないネット空間で、日々ハッカーたちが蠢き、さまざまな手で忍び寄る。その背後には誰がいるのか。彼らの狙いは何か。その影響はどこまで拡がるのか──。われわれが日々使うデバイスから、企業の情報・技術管理、そして国家の安全保障へ。すべてが繋がる便利な時代に、国を揺るがす脅威もまた、すべてに繋がっている。

巧みな技法を用いたサイバー攻撃が増加し、世界で被害が深刻化している。偽サイトから企業・国家への妨害まで、われわれの隙が狙われている。

文・山田敏弘（Toshihiro Yamada）
国際ジャーナリスト
講談社、ロイター通信社、ニューズウィーク日本版などを経て、米マサチューセッツ工科大学（MIT）の客員研究員として国際情勢やサイバー安全保障の研究・取材活動に従事。著書に『世界のスパイから喰いモノにされる日本』（講談社＋α新書）、『死体格差 異状死17万人の衝撃』（新潮社）など。

　筆者は国内外のサイバー攻撃の動向を長く見てきたが、現在ほど多くの人がサイバーセキュリティーの重要性を切に感じるようになったことはなかったのではないだろうか。ここ1年ほどを振り返っても、甚大なサイバー攻撃被害が世界各地でいくつも明らかになっている（下表）。

　例えば、2020年12月、米ソフトウェアの「ソーラーウィンズ」が、〝史上最大級〟とも言われるハッキング被害を受けた。企業などのITシステムを遠隔で一括管理できる同社のサービス「Orion」が狙われ、契約していた1万社以上の企業だけでなく、米財務省、国防総省、国土安全保障省などの米政府機関もターゲットとなり、一部情報が盗まれた。

　21年5月には、米最大の石油パイプライン「コロニアル・パイプライン（CP社）」が、ロシアのサイバー攻撃集団「ダークサイド」が仕掛けたランサムウェアの攻撃にさらされ、操業を停止する事態に陥った。

　ランサムウェアとは、身代金要求ウイルスのことを指し、ハッカーがサイバー攻撃で得たデータを企業に引き渡すため、身代金を要求するものだ。CP社は身代金を支払ったが（約4億8000万円、その後大半を回収）、その間、米国東海岸を中心に約1週間の影響が生じた。

日常をだます手口
偽ワクチンHPに入金画面

　日本でもこの1年で、富士通や鹿島建設をはじめとする組織へのサイバー攻撃の被害などが報告されている。富士通のケースでは官公庁で広く使われていた情報共有ソフトが不正にアクセスされたため、外務省や国土交通省などの内部情報や、さらに東京五輪・パラリンピック組織委員会の個人情報も漏洩している。

　しかも攻撃のペースは加速している。米保険会社エンブローカーによると、世界的なサイバー攻撃の数はコロナ禍以前から600％ほど増加しており、ランサムウェアやフィッシング詐欺など全ての攻撃手段で増加が確認されているという。サイバー攻撃の被害額も年々増加しており、米セキュリティー企業マカフィーによれば、サイバー犯罪が世界経済に1兆ドル（約113兆円）以上の経済損失を与えていると試算されている。

　もっとも、攻撃を受けたとの報告がされていないものや、そもそも被害に気がついていないケースも少なくないというのが、サイバーセキュリティー専門家らの共通認識である。今やサイバー攻撃は、国家や企業、個人にまで絡んで甚大な影響を及ぼすようになっている。

　その脅威は、知らぬ間にわれわれの日常生活にも浸透しているのだ。

　最近では、新型コロナウイルス関係だ。今年8月、厚生労働省のコロナワクチン情報サイト「コロナワクチンナビ」のページ構造がほぼ同じのサイトが見つかった（図1）。

本物そっくりの厚生労働省ワクチン偽サイト。利用者が接種情報を閲覧しようとすると、クレジットカード番号の入力を促してくる （TREND MICRO）

　本物のサイトと比較してもほぼ内容が同一となっている。URLも本物に似せて短めで、左端には「SSLサーバー証明書」という鍵マークもついている。このマークは、信頼できる第三者機関が発行する証明書である。

　本物と唯一違うのは、利用者がこの偽サイト上で接種の情報を閲覧しようとすると、ワクチン接種は無料なのに、予約と称してクレジットカード番号を入力させようとする点だ。しかも実際に入力してしまうと、その後は本物の厚労省サイトに遷移するという悪質ぶりだ。

　情報セキュリティー会社の「トレンドマイクロ」によると、同社製品のネットワークが1日で3000件のアクセスを検知、ブロックしたという。だが、あくまで同社のセキュリティーソフトが検知・防御した件数であり、実際にはもっと多くのアクセスがあった可能性がある。

中国が撒くフェイクニュース
存在しない生物学者

　こうした偽サイトは従来、①サイト上で不自然な日本語が見られる、②サイトのURLが極端に長い、③URL欄に鍵マークがないことなどで見抜けた。だが最近は技術が高度化し、視覚的に判断するのが困難になっている。同様の事例は、ワクチン接種のようにその時点での社会現象などに合わせて増加する。

　図2の通り、ワクチン接種の準備が進むにつれ、ワクチンに関するネット上の不正活動は減少している。ハッカーは次の狙いを定めているのだろう。今後ワクチンパスポートの導入などが議論されるが、こうしたものがハッカーたちの〝餌食〟になる可能性がある。

　東京五輪・パラリンピックでも大会期間中に約4億5000万回のサイバー攻撃が確認された。組織委員会は、大会運営には影響が出なかったと発表した。だが、サイバーセキュリティーの研究を行う早稲田大学基幹理工学部の森達哉教授は「五輪の公式サイトに類似したドメイン名が約2000件登録されており、そのうちの無視できない件数が悪性サイトの運用に利用されていた」と指摘する。

　それらの中にはウェブ検索の上位に表示されるサイトもあり、競技のライブ配信を視聴するために別のアプリのダウンロードを迫られたり、クレジットカード番号の入力が必要なウェブサイトに誘導されたりするサイトも存在したという（図3）。森教授は「一般のユーザーが類似ドメインの真贋を見分けることは難しい。抜本的な対策技術を開発することも必要だ」と話す。

東京五輪のテレビ放送予定を偽装したウェブサイトから、不審なスポーツ中継サイトへ誘導される例 （TREND MICRO）

　情報戦などによって、じわりじわりと私たちの「頭の中」にまで影響を及ぼそうとするサイバー工作も続けられている。その主戦場は、SNSだ。

　サイバー空間に国境はない。20年1月から世界で猛威を振るってきた新型コロナに関して、発生国の汚名を逃れようとする中国は、熱心に世界に向けてフェイクニュースをばら撒いてきたのである。

　今年8月には実在しないスイス人生物学者をでっち上げ、「中国が新型コロナの発生源であるという話は非科学的で政治問題だ」とこの学者が発言したことにして、SNSや中国政府系新聞などで引用していた。スイス大使館は公式ツイッターで「そんな人物はいない」と否定し、フェイクニュースであると中国を非難している。

　それだけではない。中国は、国外で中国共産党の協力者を見つけるために、偽のプロフィールと、AIで作った顔写真を載せたSNSアカウントを駆使して工作を行っている。フォロワーすらもAIで作られた偽アカウントが並ぶケースもあり、そうしたアカウントが中国政府の意向に沿った反米フェイクニュース──例えば、「香港のデモは米国の陰謀だ」など──をばら撒いているのだ。

企業情報が暗号化
「二重恐喝」の恐怖

　こうした工作に加え、企業の日々の経済活動を標的にしたサイバー攻撃も、脅威の深刻度が高まっている。もちろん、日本企業も例外ではない。

　21年夏、製粉大手のニップンが第1四半期の決算報告を延期するという事態に見舞われた。原因はサイバー攻撃だ。7月、同社グループのネットワークのサーバーや端末が狙われ、同時多発的にデータを暗号化された。ランサムウェアかどうかは不明だという。被害を封じるためにネットワーク遮断を行ったが、それにより基幹システムやデータ保管がされている共有ファイルサーバーへもアクセスできなくなった。

　同社ではPCへの不正検知システムなども導入し、災害対応のためにデータセンターを分散配置するなどしていたが、今回は一度に大半のサーバーが攻撃を受けたために想定を超える事態となった。結果、決算報告は10月末にずれ込んだ。代替システムを導入し、データ取り込みや伝票入力作業を実施、決算作業に関しては経理部門以外の部署からも応援人員を確保して対応したという。

　10月には、食品加工会社コックフーズがランサムウェア攻撃を受けて、システムが暗号化されて使用できなくなったと報じられた。

　この攻撃について取材を進めると、同社でも暗号化に合わせてデータが盗まれており、すでに一般の検索などでは辿りつけない、特殊なサイト群であるダーク（闇）ウェブに商品関連データや取引先情報、人事情報などの内部書類がサンプル画像とともに売りに出されているという。重要機密情報とは認識されにくいものでも、すでに出回っているのである。

　このようにシステム内のデータがサイバー攻撃で暗号化されてしまった場合、ランサムウェアを疑うのが一般的だ。現在、ランサムウェアの増加は世界的な懸念となっており、21年前半は前年同期に比べて151％に増えている（出典：米セキュリティー会社ソニックウォール）。

　これまでのランサムウェア攻撃とは、感染したシステムを暗号化して使用不可にし、元通りにするのに「身代金」を要求するものだった。ところが最近では、暗号化に加えて、内部のデータを盗み、身代金が支払われない場合に「データをばら撒く」と脅迫してカネを奪おうとする二重脅迫型の攻撃が当たり前になってきている（図4）。

　冒頭の米CP社の事例もそうであった。身代金を払ってもシステムが元通りに戻る保証はないため支払いを拒否すれば、盗まれたデータはダークウェブなどで売りに出されたり、最終的には公開されてしまうこともある。警察庁の調べでは、21年上半期に同庁に報告のあったランサムウェアの被害のうち、約77％が二重恐喝型であり、約40％が復旧に1週間以上要したという（図5）。

　サイバー犯罪組織の調査会社であるテリロジーワークス（東京都千代田区）の宮村信男代表取締役によると、ランサムウェアの急増の原因の一つとして、ハッカー側の「分業体制」の変化が考えられるという。

「従来は、ランサムウェアを提供するオペレーター、攻撃を実行するアフィリエイト、企業の脆弱性を見つけるアクセスブローカーが分業して組織的にランサムウェア攻撃を仕掛けるという秩序が存在した。しかし、最近ではダークウェブ上でオペレーターのマニュアルやノウハウが意図せず公開されている。オペレーターとの力関係に不満を持つアフィリエイト自身が、自らの利益を最大化するために見境なく攻撃を仕掛けているようだ」と同氏は指摘する。

リモートワークの増加で
セキュリティーの穴が激増

　ランサムウェアに加え、より悪質な攻撃手段として「サプライチェーン攻撃」による被害も甚大化している。例えば犯罪組織がソフトウェアの製造工程を侵害し、ソフトウェアそのものやアップデートプログラムに不正コードを仕込んでおくという攻撃手法だ。われわれが使用するパソコンは、自動でソフトウェアがアップデートされることが多いが、その瞬間にウイルスに感染するというものだ。

　冒頭のソーラーウィンズも同様の手法で甚大な被害を受けた。情報通信研究機構の井上大介サイバーセキュリティネクサス長は「正しく配られたアップデートデータにバックドアが仕掛けられているとは思いもしないだろう。とりわけ、アップデートデータを受け取るユーザー側での対策は難しく、配る側のセキュリティー対策を充実させるしかない」と話す。

　コロナ禍では、自宅など遠隔で仕事を行えるリモートワークが広く実施されるようになった。サイバー攻撃集団はそれもチャンスと捉えている。彼らが攻撃手段の一つとしていたのが、社外からシステムに接続するのに使うセキュリティー対策VPN（バーチャル・プライベート・ネットワーク）である。仮想の専門回線で安全に通信を行えるという理由から、導入する企業も多いVPNだが、決して盤石ではない。

　ここ最近話題になったのは、多くの日本企業も利用する米フォーティネット社製VPNデバイスの脆弱性が狙われたケースだ。同社は、8万7000台分の認証情報が流出したと公表しており、一部報道によるとそこには日本企業1700社ほどが含まれていた。VPNから会社本体のシステムに侵入を許せば、攻撃者の意のままにマルウェア（悪意ある不正プログラム）に感染させられてしまう可能性がある。筆者の取材では、日本にも利用者の多いVPNサービスでも認証情報が流出していると確認している。実のところ、こうした攻撃は、人為的ミスがきっかけになる場合が多い。

　マルウェアに感染した添付ファイルを職員が開封したり、怪しいリンクをクリックしてしまうといったケースだ。またデータ保全という意味では、オフィスのPCの入れ替えやデータ廃棄なども注意を払ったほうがいいだろう。怪しいメールを開封しない、適切にデータを削除するなど、各社が以前から対策を取っているだろうが、それでも今もなお人間の隙が狙われているということだ。

　盗まれた知的財産や個人情報、機微情報がライバルの手に渡れば、企業や組織、ひいては国家をも疲弊させることにつながりかねない。インフラ事業者などが被害を受ければ、国民生活も揺さぶられるだろう。

イラストレーション＝管 弘志

国家犯罪とサイバー攻撃
曖昧になる境界線

　こうした身近なところの被害から、国家をも脅かしかねないのが、サイバー攻撃の恐ろしさである。攻撃者は虎視眈々と、入りやすいターゲットを狙っている。脆弱なセキュリティー環境下でのテレワークや、セキュリティー意識の低い中小企業の取引先や関連企業などを入り口に、大手企業、ひいては国の仕事を担う企業にまで潜入を許すことになる。

　そしてサイバー空間では、国境を越え、企業や個人を超えたところにまで影響が及んでいく。国家的な思惑で活動するサイバー攻撃者も少なくない。例えば、日本や西側諸国と敵対するロシアから活動するサイバー攻撃集団は近年、世界でも際立つ存在になっており、ロシア政府や情報機関からの指示で動いている集団もいる。

　筆者の取材に応じた米中央情報局（CIA）の元幹部は、「そもそもロシアのような国ではサイバー犯罪集団の活動は全てロシア政府の情報機関が掌握している」と断言する。つまり、ロシアからの企業などを狙ったサイバー犯罪の中にも、情報機関が背後にいる可能性を認識しておいたほうがいい。

　それは中国も同じだ。政府組織がサイバー攻撃を実施し、金銭目的のサイバー犯罪者を装って基幹産業から知的財産や機密情報を狙う。安全保障的に必要な情報は政府が吸い上げ、知財情報は政府が目を掛ける有望な中国企業に横流ししてきたと指摘されている。

　もはや、サイバー空間に国境がないのと同じく、犯罪と安全保障の垣根もサイバー空間では曖昧になっているということだ。こうした実態を見れば、企業を含むどんな組織でもサイバーセキュリティー対策を重視しなければならないことがわかるだろう。

　政府は9月、今後3年間の「サイバーセキュリティ戦略」を決定し、「誰も取り残さないサイバーセキュリティ」という方針のもと、デジタル改革やDXの推進などに力を入れると表明した。その中で、国家の関与が疑われる攻撃の脅威が高まるとして、初めて中国、ロシア、北朝鮮を名指しした。

　さらに、警察が国内の動きに目を光らせ、効果的な捜査がなされるかも重要だ。警察庁は22年度から、全国のサイバー犯罪を直接捜査する組織を新設し、これまで各都道府県がそれぞれで担当していた形から一歩踏み出す。ようやく「県境」を越えた連携が始まる。

　個人から企業、そして国家までもがターゲットになるサイバー攻撃の脅威。デジタル化とネットワーク化がこれからますます加速する日本で、本気でサイバー対策をしなくては安心して暮らせない時代に私たちはいることを改めて認識する必要がある。

　以降のPARTでは、今やサイバー攻撃が安全保障の重要な手段となっている現実や、セキュリティー感度が高いとされるイスラエルの取り組み、中国のサイバー攻撃の実情を見ていく。さらに企業幹部に求められるセキュリティーに対する考え方や、感度を高める取り組みなどを取り上げ、網羅的にサイバーリスクを概観し、対策を提言する。

本稿の一部はWedge編集部〈濱崎陽平・鈴木賢太郎〉が取材・執筆

出典：Wedge 2021年12月号

2021年12月号　日常から国家まで　今日はあなたが狙われる　Wedge(ウェッジ)