2024年・2025年のサイバー攻撃

インシデント分析

企業のセキュリティ担当者や経営陣の皆様は、日々のセキュリティ対策の重要性をある程度は感じていただいているものと思います。

従来、アンチウイルス(EPP)を導入し、ファイアウォールを設置、運用するといった対策なら、以前からできて当たり前の対策として定着しております。しかし、2024年前後から、日本国内・国外ともに主要なサイバー攻撃事例を確認していくと、それだけでは防ぎきれないだろうという攻撃の実態が明らかになってます。本記事では、KADOKAWA、IIJ、旭グループなどの大手企業に対する攻撃トレンドを分析して、またその攻撃に対する打ち手を検討します。

2024年から2025年 国内で話題になったサイバー攻撃まとめ

カドカワランサムウェア攻撃

  • 発生時期 : 2024/6/8
  • 被害内容 : Wikipediaによると、ランサム組織BlackSuite集団が1.5TBのユーザーデータ、パートナーのデータを盗んだと主張。また動画サービス、番組など多くのサービスが中止された
  • 株価も6/3時点で3,283円から、8/5時点では2,246円まで下落、約31.6%減価する
  • 報道によると、ランサムウェアによる暗号化と恐喝があったとのこと。また復旧にもかなりの時間を要し、エンジニアがサーバーの電源ケーブル断を行わなければならなかった

EDR・XDRでの振る舞い検知、横展開の防御、強力なMFAを徹底することだろうと思われます。また、バックアップが正しい構成で取得されていたかがかなり怪しいだろうと思われました。これらはどれも基本的なセキュリティ対策であり、これらが導入されていれば、これ以上の詳細は外部には公開されていないとはいえ、もう少し被害は小さかったのではないかと想像できます。

IIJ「Secure MX」メールセキュリティ基盤への不正アクセス

IIJ公式情報によると、概要は以下の通りです。

  • 発生時期:不正アクセスは2024年8月3日以降継続、2025年4月10日に確認・公表は4月15日
  • 被害内容 : IIJセキュアMXサービス(迷惑メール対策、メール監査、メール監査証跡など)が不正アクセスを受け、不正なプログラムが動作し、結果メール情報・認証情報が漏洩した可能性あり
  • 原因 : Active! mailの脆弱性でスタックベースのバッファオーバーフローが原因でした。このバッファオーバーフロー攻撃と言うのは、プログラムが確保しているメモリ領域を超えて、プログラムがデータを書き込み、システムを乗っ取る技術をさします。また、本攻撃はCVE-2025-42599で識別されており、攻撃が明らかになるまで未発見のゼロディ脆弱性であったとされております。また、CVSSスコアで9.8となっており、相当に深刻な問題でした。

今回のセキュリティ事故で重要な点は、サードパーティ製ソフト・アプリの脆弱性管理の重要性です。IIJから見ると、Active! mailは外部のメール差ビスです。セキュリティサービスを提供する企業であれば、自社で設計したサービスだけでなく、統合する他社のコンポーネントの脆弱性が見逃される可能性があるということです。

対策としては、管理者権限まで盗まれたということであればMFA強化、他社製品であればパッチ適用の徹底などだろうと考えられます。また、今回ゼロディ攻撃であったこと、相当に長い潜伏期間であったとことから、ある程度工夫したログ分析などが必要であったと考えられます。

JAXA(宇宙航空研究開発機構)への不正アクセス

  • 発生時期:2023年夏〜秋の侵入が2024年に判明・報告、2024年7月5日に状況公表
  • 被害内容:内部サーバへの不正アクセスで外部組織関連・個人情報の一部漏えいを確認、活動への重大影響は確認されなかった。​
  • 原因 : IIJ公式の情報(英語)によると、攻撃者はVPN脆弱性を悪用し、JAXA内部のサーバーなどでユーザーアカウント情報を窃取し、これを悪用して正規ユーザーを装い、M365の情報に不正アクセスしたとのことです。

VPNの脆弱性があったとのことであれば、FirewallなどのVPN機器のパッチ適用の徹底が重要になります。また、昨今VPNは現代のセキュリティ事情にはそぐわない部分が大きく、アプリケーション単位、ユーザー単位でアクセス制御が可能なZTNA化を進めていくことだろうと考えられます。

アサヒグループHD ランサムウェア(業務停止・データ流出主張)

  • 発生時期:NHKの報道(英語)では、2025年9月29日〜10月初旬にランサムウェアによるシステム障害が発生、10月8日にQilinが犯行声明(27GB流出, 9,300ファイルと主張)
  • 被害内容 : 工場での生産停止、また身代金の要求
  • 根本原因 : サイバーセキュリティラボによると、フィッシング、外部公開されたアプリケーションや管理インターフェースの悪用、Chromeのパスワード情報の窃取(InfoStealer)、VPNを利用して内部へ侵入とされております。また、innovaTopiによると、仮想基盤に直接的に暗号化を仕掛けられているとされております。

WindowsあるいはLinuxサーバーが動作している仮想化基盤に対して暗号化を仕掛けるということは、振る舞い検知などでは捕捉・制限できないような攻撃でした。今回の場合はEDR製品などを導入したからと言っても、それに過信せず、VPN機器のパッチ適用、ZTNA化の推進、またパスワード情報の窃取とのことであればMFAの強化・強制の必要があったと考えられます。

そこまでやっても、攻撃者は最新トレンドでの防御を上回る攻撃を考えてきますので、インミュータブルなバックアップ(バックアップファイル変更不可)、オンプレミスとクラウドへのバックアップ、バックアップシステムへのアクセス権限の厳重な管理(ファイルサーバー内でアカウント情報は保存しない、など)が重要になると考えられます。

導入するべき製品は?

これらの事例に共通する教訓としては、よくゼロトラストセキュリティで語られている通り、侵入を100%防ぐことは不可能であり、侵入された後に、いかに迅速に検知して、対応するか、ということにつきます。

また、ここまでくると、従来のEPP型、アンチウイルス型の防御の限界が見えてきます。EPPはおもに既知のマルウェアを入口で防御することは得意でしたが、上で見た事例の通り、悪意のある振る舞いを検知することは苦手です。

さらに、EDR製品で十分ではない事例も見受けられました。最悪の事態に備え、バックアップの保存先をクラウドとオンプレミスの複数とすること、機密情報の漏洩対策としてはDLP製品を導入する、VPNの脆弱性を悪用される攻撃が目立ってきていることから、リモートワークなどの導入に合わせてVPNを段階的に廃止し、ZTNA化を進めていくことなどがあげられます。

コメント

タイトルとURLをコピーしました