2022年7月29日

NECサイバーセキュリティ戦略統括部セキュリティ技術センターの郡です。サイバー攻撃の被害は時に大手メディアでも取り上げられ、社会的な関心になることも少なくありません。今回のブログでは、ある期間に収集した、国内で公開されたインシデント報告をもとに、傾向などを見ていきたいと思います。

取り扱うインシデント報告の範囲

2022年3月1日～6月30日の期間に公開されたインシデント報告を対象とします。今回は上記期間内に公開された報告を条件としたので、実際のインシデント発生時期がこの期間より前のものも含まれます。また、国内向けの報告であれば海外拠点でのインシデント報告も対象とします。

上記条件に加え、今回は取り扱うインシデントの範囲をサイバー攻撃に限定することとしました。例えばUSB紛失などは集計対象外としています。

期間中セキュリティニュースやSNSなどを監視し、インシデント報告を確認した場合、報告元の1次ソースを訪問、報告日とインシデント発覚日、業種やインシデント内容、URLなどをメモして後ほど参照可能なリストを作成しました。
なお、リストには、対象となるインシデント報告ではあるものの、集計できなかった漏れが存在すると想定されますので、完全な傾向をこの記事で示すことは難しいです。この点ご了承ください。

全体の傾向

条件に従って今回収集したインシデント報告は、計144件でした（表1）。この内3件は既報インシデントの続報だったため、これらを除くと141件となります。また、海外拠点に関する報告は13件ありました。海外拠点の報告を除いても128件となり、集計漏れも考慮すると1日あたり1件以上のインシデント報告が行われている計算となります。ただし、この件数は後述するEmotetの影響が大きいと考えています。

表1. インシデント報告情報の収集結果

報告元を業種別で見てみると、製造やEC、サービスといった業種が多い結果となりました（図1）。ただし、ECはそもそもインターネット上での活動が中心ですし、業種における企業の母数の違いなどを鑑みると特段多すぎるといった印象はありません。

図1. 業種別インシデント件数

興味深い点は準公的機関として分類した業種が10件とやや目立つ点です。準公的機関は一般社団法人など、公的な業務を行っているものの、法人格を持つ公益法人を含んでいます。公益法人の組織数が製造業の1/10以下であることを考えると [1] [2]、この数字はやや多い印象を受けます。
公的な分野に関わるためにインシデントを積極的に公表している可能性も考えられますが、組織の性質上十分な予算がなく、セキュリティ投資を効率的に行えていない可能性もあります。

医療や教育もやや多めの結果となりました。両業種とも報告の大半がマルウェア感染であり、教育は7件中6件がメール起点のインシデントでした。

被害内容を見ると、情報漏えいやその疑いが94件とおよそ2/3を占めました。システム異常や停止が26件、ステータス不明や調査中が18件となっています。こちらも業種の偏りは確認できませんでした。

目立つEmotet感染報告

今回の集計で非常に目立ったのがEmotetの感染報告でした。Emotetによる被害であると明記しているものだけで49件あり、集計したインシデント報告の1/3近くを占めました。日本国内では、2022年2月以降多数のEmotetが観測されており [3]、集計した大半のEmotet感染報告が、3月に感染を確認したとしています（図2）。約8割が3月に感染発覚と報告していました。NECが受信したEmotet疑いのメールも圧倒的に3月が多く、5月の10倍近い数を観測しています。ばらまき量を考慮すると、未公開の感染事例も多数存在していると推測します。

図2. 月別Emotet感染報告件数

なお、業種別で見るとEmotetの感染報告はまばらであり、特段ある業種に集中しているといった傾向はありませんでした。

ランサムウェア感染報告

集計したインシデント報告の内、ランサムウェア感染は23件ありました。この内14件は報告や報道の中で、攻撃されたランサムウェアの名前が明かされています（表2）。
なお、Emotetと同じくランサムウェア被害についても業種による大きな偏りはありませんでしたが、やや製造業が目立つように感じられました。

表2. 報告や報道の中で明示されたランサムウェアの名前の集計

最も報告数の多いランサムウェアはLockBitが6件、次いでContiが3件でした。なお、Contiランサムウェアを使用していた犯罪者集団は5月に活動を停止したとされており、今回の集計でも4月の感染報告が最後になっています。
LockBitとContiは最も活動が活発なランサムウェアとして各セキュリティベンダから報告されており [4] [5]、この傾向は集計と一致しています。

その他ランサムウェア被害報告の特徴としては、海外現地法人が被害を受けた事例が目立つ点です。23件中11件が海外現地法人での被害を報告したもので、セキュリティ対策のガバナンスを効かせにくい海外拠点が攻撃を受けている現状を反映していると想像します。

今回の収集においてランサムウェア被害23件のうち国内で起きた事案に関する報告は12件でした。一方で、警察庁が公開した「令和３年における脅威の動向」によると [6] 、令和3年に都道府県警察から警察庁に報告のあったランサムウェア被害件数は146件となっています。集計期間が異なるため、単純な比較はできませんが、ランサムウェア被害を受け警察に届け出を行ったものの、外部に被害を発表するという段階(または判断)に至らなかった事例が複数存在したと推測します。

インシデント報告の削除について

今回、事例を収集していて感じたのは、一度公開されたインシデント報告が、後日報告元から削除されてしまう事例が残念ながらまだ存在するという点です。削除されてしまうと事後検証ができなくなってしまいますし、インシデントを隠したがっているのではといういらぬ疑念を抱かれてしまう可能性があります。インシデントをウォッチされている方は、過去に閲覧した報告が消えてしまっている事例にたびたび遭遇しているかと思われます。全体的な傾向としてはそのまま残っていることが多いように思いますが、今回も削除されている事例がいくつかありました。

今回削除された報告の中には、地方自治体が公開していた事例もありました。更新履歴などからも削除されており、現時点では再確認できなくなっています。削除された報告は新型コロナのワクチン接種に関する内容が記載されていたため、市民の関心が高い情報であったと推測しますが、削除理由が掲載されていません。このため、インシデント報告の内容に間違いがあって削除したのか、それともインシデントが発生したことを隠したかったために削除したのかなどの判断はできませんでした。なお、インシデント報告が掲載されていたWebサイトとは別の当該自治体の防災メール配信システムWebサイトのバックナンバーに同じ報告内容が残っている他、本件に触れている首長メッセージも残っているため、中途半端な削除となっています。

報告や更新履歴、キャッシュまで削除した場合でも、SNS等で誰かがその内容をURL付きで投稿していることが多いため、完全に痕跡を消すことは困難です。かえって疑惑を呼ぶだけですので、このような事態を避けるためにも、事前にインシデント公開のドキュメント整理や対応訓練を実施し、公開基準を整理しておくほうがよいと考えます。

おわりに

今回は公開されているインシデント報告を収集して様々な傾向を見てみました。想像していたよりも多数のインシデント報告がありましたが、今回の収集期間（3～6月）におけるEmotetの感染被害状況などを考えると、これでもまだほんの一部と思われます。
インシデント報告は、その報告元である組織が後日削除してしまう場合があるので、これからインシデントのウォッチを行いたいと考えている方は、URLやページのPDF保存などをオススメします。

参考文献

執筆者の他の記事を読む