システム停止に結びつくサイバー攻撃 ~その手法と対策は?~
2024年6月9日、株式会社KADOKAWAが、グループの複数のWebサイトが利用できない事象が発生し、外部からの不正なアクセスが行われたことによる可能性が高いと分析していることを公表しました。本稿では、サービス停止につながりかねないサイバー攻撃の種類を解説し、その対策を考察します。
公開日:2024年6月12日
更新日:2024年6月26日
サイバー攻撃によるサービス停止の増加
2024年6月9日、株式会社KADOKAWAが、グループの複数のWebサイトが利用できない事象が発生し、外部からの不正なアクセスが行われたことによる可能性が高いと分析していることを公表しました。現時点では、「ニコニコサービス」全般、「KADOKAWAオフィシャルサイト」、「エビテン(ebten)」などで影響が発生していることを確認し、原因や情報漏洩の有無などについて調査中としており、今後の調査結果報告が待たれます。
(2024年6月17日更新)
2024年6月14日、株式会社KADOKAWAは、この度の障害は、「ニコニコ」を中⼼としたサービス群を標的とした、グループデータセンター内のサーバに対する、ランサムウェアを含む⼤規模なサイバー攻撃によるものと確認したと公表しました。
また、株式会社KADOKAWAの子会社で、「ニコニコ」サービスを運営する株式会社ドワンゴでは、今回のサイバー攻撃について、同社によるサーバのシャットダウン後にも、攻撃者が遠隔からサーバを起動させて感染拡大を図るなどの執拗な攻撃を観測したため、サーバの電源ケーブルや通信ケーブルを物理的に抜線したことを公表しています。さらにこのリリースでは、同社社員のオフィス出社禁止の措置を講じていること、データセンター内のサーバがすべて使用不可になっていること、個人情報等の漏洩の有無につき引き続き調査を進めていることなどに加え、「ニコニコ」については、安全な環境下でシステムを再構築する必要があり、正確な復旧時期は今後の調査結果次第ながら、1か⽉以上かかる⾒込みと述べています。
昨今、サイバー攻撃により、事業やサービスを停止せざるを得ない事象が相次いでいます。DX(デジタルトランスフォーメーション)、リモートワーク、クラウドシフトなどが急速に進行する中、サイバー攻撃の起点や経路となるアタックサーフェス(攻撃対象領域)も増加しています。本稿では、システム停止に結びつくサイバー攻撃にはどのようなものがあるかを解説します。
(2024年6月26日更新)
6月14日の公式発表の内容をもとに、トレンドマイクロのセキュリティエバンジェリスト 岡本 勝之が、攻撃手法の特徴や推察される攻撃者の目的などとともに、更なる考察を加えていますので、あわせてご覧ください。
参考:データセンターへのランサムウェア攻撃事例を、公式発表から考察する
DDoS攻撃
DDoS (ディードス) 攻撃とは、Distributed Denial of Service (分散型サービス拒否) 攻撃の略称です。Webサーバなどに対して、大量の通信を発生させることで正常なサービス提供を妨げることをDoS (Denial of Service) 攻撃と呼び、複数の場所から大量の通信を発生させる攻撃をDDoS攻撃と呼びます。
DDoS攻撃は従来から存在するサイバー攻撃でありながら、日々進化を続け、近年も複数の被害が発生しています。
業種/業界 | 被害種別 | アタックサーフェス(侵入口) |
---|---|---|
情報サービス・通信プロバイダ |
障害発生(ネットワーク障害) | Webサーバ |
市区町村役所 |
障害発生(Webサイト一時停止) | クラウドサーバ |
医療 |
障害発生(Web閲覧障害) | Webサーバ |
情報サービス・通信プロバイダ | 障害発生(Web閲覧障害) | Webサーバ |
市区町村役所 | 障害発生(Web閲覧障害) | Webサーバ |
運輸・交通・インフラ | 障害発生(システム停止) | Webサーバ |
表:2023~2024年のDos/DDoS攻撃と推測される攻撃による障害発生事例
(公表・報道内容をもとにトレンドマイクロが整理)
ランサムウェア・ワイパー型マルウェア
ランサムウェアは、感染したコンピュータをロックしたり、ファイルを暗号化したりすることによって使用不能にしたのち、元に戻すことと引き換えに「身代金」を要求するマルウェアです。
ワイパー型マルウェアは、標的のPCにあるファイルやデータ、あるいはシステム自体を破壊することを目的としています。ランサムウェアは、名目上は身代金を支払えばデータは使えるようになりますが、ワイパー型マルウェアではデータは破壊され、再び使えなくなります。
2018年2月の平昌オリンピックでは、「Olympic Destroyer」と呼ばれるワイパー型マルウェアにより、Wi-Fiサービスの利用停止やチケットの発券システム停止など、大会運営に支障が生じたことが報じられました。また、ウクライナでは電力システムを狙ったサイバー攻撃による大規模停電が2015年と2016年に発生しましたが、ワイパー型マルウェアの使用が疑われています。ランサムウェアやワイパー型マルウェアを送り込む場合、攻撃者は標的組織についての情報を収集し、脆弱な個所から侵入します。こうした、システム停止や設備の破壊など、直接的な実害を与えるサイバー攻撃を「サイバーサボタージュ」とも呼びます。
参考:
・ランサムウェア(Ransomware)の概要
・名古屋港の活動停止につながったランサムウェア攻撃~今一度考えるその影響と対策
・2023年サイバー脅威総括:日本の安全保障に影響を及ぼすサイバー脅威とは?
どのような対策が有効か
上述のサイバー攻撃には、その特性に応じた対策をとることができます。たとえばDDoS攻撃に対しては、攻撃を仕掛けるIPアドレスからのアクセス遮断などが挙げられます。
一方で、多くのサイバー攻撃は標的の脆弱性を悪用して行われることに留意することが大切です。アタックサーフェスが増加を続ける昨今、ITインフラの全体像を把握することは困難になっており、セキュリティ上の脆弱性が発生しやすい状況にあります。以下に挙げるような対策を講じるとともに、リスクの可視化、管理の一元化、自動化のためにサイバーセキュリティプラットフォームの導入も推奨します。
・コンピュータやネットワークに迅速に更新プログラムを適用する(組織、個人の双方の対応が必須)
・データのバックアップを行う(仮にサイバー攻撃を受けても、早期の復旧と業務再開のために必須)
・インシデント対応体制を構築する(初期対応、調査・分析など、攻撃に対処して被害を軽減させるための対策指針)
・従業員に対するセキュリティ教育、注意喚起を行う(不審なメールを受信した際の対応方法など、日頃の意識づけが重要)
<関連記事>
・データセンターへのランサムウェア攻撃事例を、公式発表から考察する
・サイバーセキュリティプラットフォームとは?~セキュリティ投資を抜本的に変える転換点に~
・サイバーセキュリティの原点回帰:EPP・EDR・XDRの違いを理解する
・なぜEDRでは不十分?脅威の半数以上を占める不正メールを可視化するXDRの有効性
・特集企画:XDR
・サイバー攻撃の最前線!インシデント対応における基本的対策指針
Security GO新着記事
CNAPPがなぜ今必要とされているのか?
(2024年12月13日)
RAGとは?ChatGPTなどの生成AIの性能を向上する仕組み
(2024年12月12日)
EDRを入れればセキュリティ対策は安心?セキュリティ神話がもたらす危険性
(2024年12月11日)