サイバー攻撃の現状と未来予測

1. サイバー攻撃の現状

現在広く使われている攻撃手法を理解することは、今後の動向を検討する上でも重要となってきます。具体的なサイバー攻撃の事例はどのようなものがあるのでしょうか。

①近年流行りのセキュリティ脅威を知るには？

セキュリティ分野における脅威のトレンドを知りたい場合、まずはIPAが公表する「情報セキュリティ10大脅威」を参照することをお勧めします。これは、前年に社会的影響が大きかったトピックを、「組織向け脅威」「個人向け脅威」に分類し、専門家による選考会によって順位づけされたものとなっています。

組織向け脅威の上位に例年ランクインするものに「ランサムウェア」があります。データを暗号化し、復号の代わりに身代金を要求するといった攻撃ですが、最近ではデータを暗号化せず、機密情報の公開停止と引き換えに身代金を求める「ノーウェアランサム」という攻撃も増えています。この手法は、暗号化プロセスを必要としないため、従来のランサムウェア攻撃と比較して実行に必要な技術的スキルやリソースの準備が大幅に簡素化されるという特徴を持っています。さらに、情報漏えいによる信頼や評価の低下といった、企業にとって極めて重大な問題を利用した攻撃でもあるため、被害者が攻撃者の要求を受け入れる確率が高い悪質な脅威となっています。

個人向け脅威としては、「個人情報窃取」「不正ログイン」「フィッシング攻撃」など、日常的に耳にする機会の多いものが例年数多くランクインしています。そんな中でも、近年特に増加傾向にある脅威の一つがスマホ決済の不正利用です。スマホ決済自体、今やその便利さや手軽さから急速に普及が進み、老若男女問わず多くの人々に日常的に利用されているものである一方、具体的にどんな処理が行われているのか、どのようなセキュリティ対策がとられているのかといった部分については詳しく知らない利用者も多いのが現状です。被害事例の多くを占める「不正アクセスによるスマホ決済アカウントの乗っ取り」など、被害に遭うと最終的に大きな金銭的損失を被るケースが多いため、利用者は自身のセキュリティに対する理解を深め、適切な対策を取ることが求められます。また、サービスを提供する側も、利用者が安心してサービスを利用できるよう、セキュリティ対策の強化とその周知に努めることが求められています。

②国内外の被害事例

近年発生したセキュリティ事件の中で話題になったものをいくつか見てみましょう。

名古屋港コンテナターミナルのシステム障害（2023年7月）
名古屋港のコンテナターミナルでシステム障害が発生。2日以上にわたって全ターミナルの作業がストップし、民間企業でも一部工場が稼働停止となりました。リモート接続を行う機器に脆弱性（※セキュリティ上の弱点のこと）があり、そこからランサムウェアが侵入したことが原因と見られています。

大手インターネット企業の情報漏洩（2023年11月）
大手インターネット企業A社でサイバー攻撃が発生。約44万件の個人情報が流出しました。原因として、A社の関係会社にあたる海外企業B社において、B社が業務を委託するC社の従業員のPCがマルウェアに感染したことが引き金となったようです。
このような組織間の業務上のつながりを悪用する攻撃を「サプライチェーン攻撃」と呼び、先述の2024年版10大脅威の組織向け脅威の第2位にランクインしていることもあり、近年増加傾向にある攻撃の一つと言えます。

ロシアによるドイツの政党へのフィッシング攻撃（2024年3月）
ロシアのハッカー集団がドイツの政党にフィッシングメールを送信し、政治情報収集を目的としてマルウェアに感染させました。
このような事例により、政治組織がサイバー攻撃の対象になり得ること、そしてその結果、国家間の緊張が高まることで外交にも影響を与える可能性があるということがわかります。

2. なぜ攻撃は盛んに行われるのか？

前章から、様々な攻撃手法が存在し、個人から企業、政府機関まで幅広い範囲が攻撃対象となっていることが理解できたかと思います。
では、サイバー攻撃がなぜこれほどまでに盛り上がっているのか、その理由をいくつか考えてみましょう。

①サイバー犯罪はお金になる？

サイバー攻撃にはさまざまな手法が存在すると同時に、その目的も多岐にわたります。
前述のランサムウェア攻撃は一般的には金銭の獲得を目的とする場合が多い一方、DDoS（Distributed Denial of Service）攻撃は主に営業妨害を目的とした手法です。短時間の大量アクセスによりサーバーを過負荷にすることで、サービスやビジネスの継続を妨害する攻撃ですが、DDoS攻撃への対応を行っている隙に他の方法でシステムに侵入し情報を取得するといった陽動作戦のような使われ方をする場合もあります。

一見すると金銭を得たい人や企業に損害を与えたい人がサイバー攻撃を行っているように見えますが、最近では第三者が攻撃代行サービスを提供するケースが増えています。
依頼者は攻撃の詳細を代行業者に伝えて攻撃を実行してもらい、業者はその対価として金銭を得ます。DDoS攻撃は事前に大量のアクセス元を準備する必要がありますが、代行サービスを利用することで準備の手間が省け、より効率的な攻撃が可能となります。
これらは「サイバー攻撃のビジネス化」とも言える動きで、近年急速に広まっていることが調査により明らかになっています。他にも、RaaS（Ransomware as a Service）と呼ばれるランサムウェア攻撃の代行サービスや、未発見の脆弱性情報が闇市場で高値で取引されているケースもあります。その中には、1つの情報が数億円規模で取引されるという事例も存在すると言われており、サイバー攻撃が既に我々の目には見えない場所でビジネスとして成立し、大規模化していることがわかります。

②日本の企業が狙われやすいワケ

ご存知の方も多いかと思いますが、サイバー攻撃は全世界で発生しています。その攻撃対象は経済発展、大企業の存在、または政治的・宗教的な対立に影響を受け、アメリカ、中国、インド、イランなどが代表的な例として挙げられます。しかし、近年では、経済力を含む諸要素から日本も攻撃者から注目される国になってきています。その理由をいくつか見ていきましょう。

技術的先進性
日本は多くの産業で先進的な技術を持つ企業があり、自動車、ロボティクス、AIなどで世界をリードしています。そのため、国際市場では競争が激しく、多数の競合他社が存在します。このような競争環境の中、時折、日本企業を弱体化させることを目指すサイバー攻撃が行われることもあります。これら攻撃による情報窃取やシステム損傷を通じて、企業業績に深刻な影響を及ぼす可能性があります。

危機管理意識の低さ、情報セキュリティ分野の知識不足
日本企業は、被害に遭った時にその事実を公開しない傾向があり、これは企業評価や株価への影響を避けるためと考えられます。さらに、「安全な国」であるとされる日本では、サイバーセキュリティの認識が低く、情報セキュリティ対策が後回しになる傾向があります。これは、社会の安全性がサイバーリスク認識の低さに寄与しています。
また、情報セキュリティの知識不足も大きな問題です。サイバー攻撃の方法は日々進化しており、新たな脅威に対応するためには専門的な知識が求められますが、多くの企業では十分な対策が取られていないのが現状です。
このように、被害情報を公開しない文化、安全な国というイメージ、情報セキュリティへの意識の欠如が組み合わさることが、日本企業がサイバー攻撃の対象になりやすい要因の一つとなっています。

3. 今後のサイバー攻撃の動向

これまでに、サイバー攻撃の現状、事例、攻撃が行われる理由を概説し、その多様性と個人から国家レベルへの影響を明らかにしました。

では、今後増えると予想されるサイバー攻撃にはどのようなものがあるのでしょうか？そして、それらの攻撃はどのように我々の生活に影響を及ぼす可能性があるのでしょうか？
本章では、近年特に注目度が高まっている2つの話題について見ていきます。

①生成AIによるサイバー攻撃の進化

近年、生成AI（Generative AI）の技術が急速に進化し、多くの分野で革新的な活用が進んでいます。しかし、その一方で、生成AIが引き起こす新たなサイバー脅威も増えてきているのが現状です。どのようなリスクが存在するのか、具体的な例を見ていきましょう。

攻撃の高度化・多様化
サイバー攻撃というと、ハッカーが高速でタイピングして…というイメージを持つ方もいるかもしれません。しかし、実際の攻撃においては人間が直接手を動かすというのはあまり多くありません。マルウェアによる攻撃、DDoS攻撃、パスワード解析、システムに特殊な文字列を入力して脆弱性を突く攻撃などは、ほとんど全てがボットを使用して行われます。つまり、もともとサイバー攻撃というものは自動化されている場合が多く、そこに生成AIが登場したことで攻撃はより高度で複雑になり、その攻撃パターンも多様化しています。
いくつかの例を見てみましょう。企業のインターネットへの侵入を試みる際、「エクスプロイトコード」と呼ばれるソフトウェアの脆弱性を突く攻撃コードを使用することがあります。従来、攻撃者は効果的な攻撃コードを選択するために深い経験と知識が必要でした。しかし、AIによってシステムの解析と攻撃コードの自動選択が可能になり、作業負荷と時間の大幅な削減だけでなく、攻撃の精度も向上させることができるようになりました。また、生成AIを使用してリアルな偽の電子メールやウェブサイトを作成し、ユーザーを欺くフィッシング攻撃、画像や動画の合成技術を悪用したフェイクメディアの拡散など、新たな脅威が次々と出現してきています。

自社の生成AIサービスから情報漏えいする可能性
企業がAIを使用してサービスを提供する際、「プロンプトインジェクション」という手法により、機密情報が漏えいするリスクがあります。例えば、お客様の問い合わせに対応するAIチャットに対して、本来想定されているような質問でなく誤った出力をさせるためのプロンプト（AIに指示を出す命令文）を入力し、意図的にAIを騙して機密情報を聞き出すといった事態が起こり得ます。さらに、「データポイズニング」という攻撃では、AIの学習データに故意に誤情報を混入させることで、攻撃者の意図した情報をAIに出力させるよう仕向けます。

実際、このようなAIの悪用による被害は年々増加しており、生成AI提供企業の責任と対策、そしてユーザーの倫理的な使用が、今後より一層必要となってきます。AIの適用と悪用防止は現代社会の重要な課題とも言えるでしょう。

②初心者歓迎？素人でも使えるランサムウェアの増加

「ランサムウェア」や「マルウェア」などと聞くと、攻撃者は全員高度な技術を持つ凄腕ハッカーだと思われがちですが、最近のサイバー犯罪では初心者も参加可能な攻撃が増えてきています。

イギリスのセキュリティ企業「Sophos」の調査により、初心者でも使える低価格のランサムウェアが増えていることが判明しました。これらは技術的スキルが低い犯罪者グループにより、攻撃に使用されるケースが多く、Sophosはこれらを「ジャンクガンランサムウェア」と名付けています。
ジャンクガンランサムウェアは、洗練されたロゴやインターフェースを備えていないため、いかにも素人感のある外観となっているのが特徴です。著名なランサムウェアは、RustやGoなどのより先進的なプログラミング言語での開発に移行している一方、ジャンクガンランサムウェアは、C#や.NETなど、比較的学習コストの低い言語で開発されていることもあり、技術的なスキルが低い者でもランサムウェアを使用した攻撃を行うことが可能となっています。

このような状況から、今後は中小企業を対象としたサイバー攻撃が増えるという見解も存在します。
今までは、攻撃者が各攻撃対象に対してプログラムを個別に用意する必要があり、攻撃に対してより多くの成果を得られる大規模組織が主に狙われていました。しかし、生成AIの導入により、攻撃対象に合わせたプログラムの自動生成が可能となりました。これにより、以前は開発コストが見合わなかった小規模組織に対しても効率的に攻撃を行うことができ、より幅広い対象に対して成果のある攻撃ができるようになってきました。

これら事実から、企業規模に関わらずサイバーセキュリティ対策の強化が必要となっていることがおわかりいただけたかと思います。各企業、そして各個人がサイバーセキュリティの脅威を理解し、適切な対策を取ることがこれからの社会においてますます重要となってくるでしょう。

4. まとめ

本コラムではサイバー攻撃の現状と今後の動向について考察してきました。攻撃の実態を理解し、未来のサイバー攻撃の予測に基づいた適切な対策を立てることが必要となってきます。
しかし、自社で開発したシステムやサービスに対して関係者のみでセキュリティに関するテストを行い、その脆弱性をすべて洗い出すというのは難しいことが多いかと思います。ペネトレーションテストといったセキュリティに関するテストは専門的な知識を必要とし、時には視点や視野を変えて脆弱性を探すことが求められます。私たちは独自のテスト観点からシステムのセキュリティリスクを洗い出す脆弱性診断を実施し、お客様の品質向上をサポートしています。

「第三者の視点からシステムの品質を客観的に評価して欲しい」とお考えの方は、お気軽にご相談ください。お客様のご要望に応じて最適な解決策を提案させていただきます。