JALと三菱UFJ銀行のサイバー攻撃被害について(雑感)

投稿日: 2024年12月28日 作成者: climb
このエントリーをはてなブックマークに追加
LINEで送る

年の瀬も押し迫った26日、日本航空と三菱UFJ銀行が立て続けにサイバー攻撃を受けるというニュースがありました。両社ともデータが盗まれた形跡はないと発表していますが、ダウンタイムの被害は少なくなかったものと思われます。攻撃者は、データ流出や身代金要求ではなく、システムをダウンさせるだけの嫌がらせが目的のようで、DDoS(Distributed Denial of Service)攻撃で日本の基幹企業を狙ったのではないかと思われます。

「日本の基幹企業」という言い方をすると、まるで他国が国家戦略としてサイバー攻撃を仕掛けたとほのめかしているように聞こえるかもしれませんが、その可能性は否めないものの、現段階では憶測にすぎません。

翌日のラジオでニュース解説を聴いていたら、識者が「DDoS攻撃なんて懐かしい」とコメントしていました。DDoS攻撃について「昔はよく聞きましたけど、最近あまり聞かなくなりました」と。

たしかに近年はランサムウェアの被害が多すぎて、DDoS攻撃の被害がITニュースの見出しになることは減りました。しかし、実際にはDDoS攻撃は減るどころか、年々増え続けています

GCore Radarのレポートによれば、2024年上半期のDDoS攻撃の被害件数は前年同期比で46%増加しています。しかも、ピーク時攻撃力(ネットワークにどれだけ負荷をかけて被害を大きくしたかという指標)も、2023年最大の攻撃が1.6TB/秒であったのに対し、2024年上半期の最大は1.7TB/秒となっています。ちなみに1TB/秒はHD動画を212,000件同時に再生するのと同等の負荷だそうで、通常300GB/秒でもサーバーはしばらく使いものにならなくなるそうです。

つまり、DDoS攻撃は決して時代遅れのサイバー攻撃ではなく、データを盗み出したり、暗号化して身代金要求したりしない分だけ被害が最小に抑えられる子供だましの攻撃というわけでもありません。実際、攻撃者側の観点から言うと、DDoS攻撃ほど費用対効果の高い攻撃はありません。今回、日本航空も、コンピュータウイルスに感染したり、個人情報が流出したりせずに無事に完全復旧できたと発表していますが、半日のシステムダウンは相当な被害のはずで、攻撃者はデータ窃取や身代金受け取りの手間もなく、ただ相手を困らせるという本来の目的を十分に果たしています。

冒頭、国ぐるみの犯罪の可能性を示唆しましたが、見返りを得ずに、とにかく相手を困らせるのが目的なのも、国家的犯罪を匂わせる一因です。EUのサイバーセキュリティ機関(ENISA)も最新のThreat Landscape Report(ETL)で、近年のサイバー攻撃の動向として地政学上の理由で社会的混乱を狙ったサイバー攻撃の急増に警鐘を鳴らしています。これは、今後もさらにDDoS攻撃が増える可能性を示唆しています。

DDoS攻撃が増え続けている、もう一つの理由は、ボットネット(botnet)の進化です。ボットネットとは、警視庁のホームページに「ボットに感染したコンピュータと、攻撃者の命令を送信する指令サーバーによって構成されたネットワークのことで、攻撃者はボットネットに接続したコンピュータに対して一斉に同じ指令を与えることができる」と書いてあります。つまり、いろいろなコンピュータをマルウェアで感染させて遠隔操作できるようし、所有者の知らぬうちに犯罪に加担させる(DDoS攻撃に参加させる)技術です。前述のとおり、ピーク時攻撃力が増加していることからもわかるとおり、攻撃の駒数というか、使われている端末数が増えているはずです。ボットネットで、さまざまな地域の端末を動員しやすくなっているのなら、DDoS攻撃の件数と攻撃力が増え続けていても不思議はありません。ちなみに、ボットネットの動員は、個人のパソコンはもちろん、スマートホームシステムやIoTの電気製品など、インターネットにつながれたありとあらゆるデバイスが対象となります。

日本航空も三菱UFJ銀行も、ウイルス感染の被害がなかったと発表していますが、ウイルス感染はもっとずっと前に一般庶民の間で起きていたのかもしれません。企業は、社内ネットワークが感染しないように社員教育を徹底して、メールのリンクをむやみにクリックしないように徹底しているかもしれませんが、社外の一般人がフィッシングでマルウェアに感染して、一般大衆のパソコンやスマートフォンが知らず知らずのうちに企業システムを攻撃してしまっている可能性もあります。

たとえ、メールのリンクを「むやみに」クリックしていなくても、最近ではAIを駆使したソーシャルエンジニアリングも高度化していて、まったく安全に見えるリンクでさえ危ない時代になっています。そういったサイバーセキュリティ教育は、各企業が個々に努力するだけでなく、行政主導で社会的にも力を入れなければいけない時が来ているのかもしれません。

関連トピックス

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

 

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください