国家の照準: オーストラリア、インド、日本編

2022年3月23日(米国)、TrellixとCSIS(The Center for Strategic and International Studies、戦略国際問題研究所)は、グローバルレポート「In the Crosshairs: Organizations and Nation-State Cyber Threats」を発表しました。このレポートでは、国家を背景に活動するアクターに対するセキュリティスペシャリストの考え、その標的と目される範囲、またサイバー犯罪者の違い、この脅威に立ち向かうため政府が果たすべき役割について調査しました。Vanson Bourneが実施した調査に基づいてCSISが発行したこの報告書は、オーストラリア、フランス、ドイツ、インド、日本、英国、米国のIT分野の意思決定者800人を対象に調査したものです。

この記事では、アジア太平洋地域のオーストラリア、インド、日本における調査の結果をご紹介します。


意識調査:脅威グループとその背後にいる国家

Vanson Bourneは調査の対象者に、「国家または国家のために活動する脅威アクターグループによって、サイバー攻撃の標的にされたことがあると思うか」という質問を投げかけ、結果をまとめました。サイバー攻撃の背後にある属性を明らかにすることは、非常に難しい課題です。Trellixは以前から、背後関係を確実に立証するために、従来のインテリジェンスでサイバー攻撃の技術的証拠を補完することを勧めてきました。攻撃の背後にいる敵は、国家、ランサムウェア集団、ハクティビストグループ、またはそのいずれかのなりすましです。キャンペーンが明るみに出て調査対象となった場合には、否認権を行使するか、またはプロファイルの信ぴょう性をさらに高めていくため、利用する可能性があります。

世界全体では、86%が「国家のために活動する組織によるサイバー攻撃の標的にされた」と回答しています。以前は「国家のために活動する脅威者に狙われたことがあるとかもしれない」と認識していましたが、現在さらにその認識が確かなものへと変化し、オーストラリアでは97%、インドでは83%、日本では82%が「国家のために活動する脅威者に狙われたことがある」と考えていました。また、オーストラリアでは回答者の60%が「自分が標的になっている可能性が高い」と考えており、調査対象7ヵ国の中で最も高い割合を示しています。

さらに、「過去18ヵ月間に自分たちの企業や組織が国家の標的になった」と確信している割合は、オーストラリアが91%と高い一方で、インドでは76%、日本では71%でした。

このような攻撃の検知を定量的に把握するための質問では、過去18ヵ月間において、オーストラリアでは21%が3件のサイバー攻撃の標的になったと回答し、調査対象であるアジア太平洋地域の3か国の中で、「3回の攻撃」を受けたと回答した人の割合が最も多くなりました。2回(42%)、1回(31%)と続き、4回以上攻撃されたと回答したのは1%でした。

インドでは、過去18ヵ月間に調査対象の59%が2回の攻撃の標的になったと報告しています。29%が1回、9%が3回、1%が4回以上の攻撃を受けたと回答しています。

日本では、過去18ヵ月間に回答者の44%が2回の攻撃を受けたと回答しています。また、37%が1回、18%が3回、1%が4回以上の攻撃を受けたと回答しています。


汝の敵を知れ

国家がサイバー犯罪者グループを通じてサイバーキャンペーンのためのツールやテクニックを手に入れている、さらには実行させているのではないかと考える回答者の割合は、インドで90%、オーストラリアで86%、日本で77%に上ります。

また、「企業や組織内で標的となった情報資産、業界の役割、出身国に基づき、過去に自分たちを標的としたのはどの国のアクターである可能性が高いと考えているか」を調査しました。

インドの回答者のうち、約半数は中国が疑わしいと考え、北朝鮮(29%)、ロシア(26%)、欧米の不特定の政府(25%)、はイラン(22%)と続きました。

この質問に対し、日本の回答者の44%がロシアが疑わしいと考え、続いて中国(41%)、北朝鮮(37%)という結果でした。

同じく、オーストラリアの回答者では、ロシア(47%)、中国(46%)、北朝鮮(36%)、イラン(35%)という結果になりました。

日本の回答者の70%が、将来的に日本を標的にする可能性が最も高いアクターはロシアであると予想し、中国(65%)、北朝鮮(55%)と続きました。

同様に、インドでは60%が中国が将来の主要な脅威であると予想し、一方で不特定の西側諸国政府(27%)、ロシア(20%)と回答しています。

オーストラリアでは回答者の43%が中国を可能性の高い敵と見なし、ロシア、北朝鮮、欧米諸国、イランは14%と予想しました。

「国家が背後にいるアクターと、そうではないアクターの違いを識別する能力があるか」という質問では、インドは他国に比べ、自信があると回答した人とそうでないと人の割合が比較的バランスが取れていたものの、「完全に自信がある」が43%、「かなり自信がある」は37%という結果でした。オーストラリアでは48%、日本では50%が「あまり自信がない」と回答しました。


狙われやすい標的とは

Vanson Bourneは調査の対象者に対し、「敵対者が自分たちを標的にする動機は何だと思うか」という質問をしました。

インドでは、企業や政府の機密情報へのアクセスであると考える人が59%、IP(intellectual property、知的財産)の盗難が47%でした。また、それ以外では、消費者や市民に関するデータへのアクセス(45%)、サービスの妨害(41%)、ビジネスで不利な意思決定を強いる(41%)などが挙げられました。

日本では回答者の54%が、政府や企業の機密情報への不正アクセスが動機であると考えています。続いて、企業や組織の評判の失墜(41%)、IP(intellectual property、知的財産)(38%)、サービスの妨害や停止(30%)という結果になりました。

オーストラリアでは47%が、消費者や市民に関するデータへのアクセスを挙げました。続いて、政府や企業の機密情報へのアクセス(42%)、ビジネスで不利な意思決定を強いる(41%)、金銭的な利益(37%)、IP(知的財産)の盗難(37%ト)、サービスの妨害や停止(33%)が狙いだと考えていることがわかりました。

「自分の所属する企業や組織が標的となったサイバー攻撃は、単独の攻撃だと考えているか、もしくは複数の組織を標的にした大規模なキャンペーンの一部だと考えているか」という質問に対して、回答者のうち、インドでは57%、オーストラリアでは56%、日本では55%が、単独の攻撃の標的にされたと考えていることが明らかになりました。

興味深いことに、「国家主体の攻撃に対して、脆弱な状況になっている主な要因は何か」という質問に対し、回答者はサイバーセキュリティの予算の不足や、問題意識の低さを挙げていません。

日本の回答者は、組織全体のサイバーハイジーン(Cyber Hygiene)の欠如(47%)、サイバー・スキルの不足(43%)、レガシー・サイバー・ツールの利用(35%)を要因として挙げています。

インドでは、レガシー・サイバー・ツール(48%)、次にサイバー・スキルの不足(44%)、部門間の連携不足(42%)、政府との連携の欠如(39%)、サイバーハイジーンの欠如(36%)を挙げています。

オーストラリアでは、サイバー・スキル不足と部門間の連携不足(ともに40%)、次にレガシー・サイバー・ツールとサイバーハイジーン(ともに35%)が原因であると指摘しました。


攻撃による被害状況の把握

国家による攻撃が疑われたケースについて、被害状況を調査しました。インドの回答者の60%がデータ漏洩を経験し、日本の回答者の55%がデータ損失を経験し、オーストラリアの回答者の52%がデータ損失とデータ漏洩の両方を経験しています。

日本の回答者の半数は、業務データと消費者や市民に関するデータ(48%)、IP(intellectual property、知的財産)(33%)、事業戦略に関する情報(31%)への攻撃を受けたと認識しています。

インドでは53%が、消費者や市民に関するデータへおよびIP(知的財産)(47%)、オペレーション・データ(40%)、事業戦略に関する情報(38%)、財務データ(36%)への攻撃を報告しています。

オーストラリアでは42%が、ビジネス・プロセス・データへの攻撃のほか、事業戦略に関する情報(35%)、消費者や市民に関するデータ(33%)、IP(知的財産)(31%)への攻撃を挙げました。

国家によるサイバー攻撃が成功した結果、経済的な被害額の合計は、7ヵ国の回答者全体で160万ドルという結果となりました。米国では180万ドルと回答しています。インドの回答者は230万ドルと最も高いコストを見積もったのに対し、オーストラリアは160万ドル、日本は120万ドルでした。

経済的影響に関するこの調査結果の重要な点は、一般的な攻撃やサイバー犯罪のそれに対して、国民国家の攻撃が疑われる場合に特化した数字であるということです。


知らせるべきか、隠すべきか

「公表しなかった内容」についても調査を実施しました。日本の場合40%が、被害を受けたデータとインシデントを誘発した組織の弱点について公表していません。続いて、生じた金銭的コスト(35%)、インシデントを誘発した人為的ミス(26%)に関する情報を開示しなかったと回答しています。

インドの場合は59%もの割合で、インシデントを誘発した企業インフラの弱点に関する詳細を伏せたことを、認めました。また、44%がどの国家が関与しているかという疑念について情報共有せず、41%がインシデントの金銭的コストを開示しませんでした。そして、37%がスタッフが犯したミスによって影響を受けたデータに関する情報を共有していません。

オーストラリアにおいては、組織の金銭的コストを開示することに最も抵抗があり(45%)、次いで影響を受けたデータ(42%)、ネットワークの弱点(39%)、組織が脅威にさらされた期間(33%)と回答しました。

しかし、将来の攻撃に備えるという観点から見ると、攻撃の詳細を報告をしないという企業の透明性の欠如は、企業や組織が国家の攻撃に関して集合的な経験から学ぶうえでの妨げになります。

各国政府は、インシデント報告責任保護政策や、サイバー攻撃データの共有を匿名化する官民パートナーシップによって、この分野で建設的な役割を果たすことができます。このようにして、各国政府は、こうした巧妙な攻撃やその背後にいるアクターについての理解を深め、サイバーディフェンスやリスク管理だけでなく、重要なインシデント対応という重要な分野でのベストプラクティスを発展させることができるのです。


各国の政府との連携

この報告書では、民間組織が、高度な資源を持ち高度に洗練された国家のアクターやその実行者に対して無防備であると感じていることが明らかにされています。民間企業は、この脅威をどのように撃退すればよいのかわからず、政府に指導と支援を求めています。

「国家によるサイバー攻撃から組織を守るために、各国政府はもっと支援すべきだと思うか」という質問に対しては、日本の96%、インドの94%、オーストラリアの90%が「そう思う」と回答しています。

「国家の攻撃の標的にされた結果、自国政府の法執行機関と提携したことがあるか、または提携する予定があるか」という質問に対しては、回答者のうちインドの69%、オーストラリアの68%、日本の65%が、政府からの要請により当局と連絡を取ったことがある、または取る予定であると回答しています。このことから、国家の防衛のためには、官民による連携が義務化される必要があるという可能性を表しているといえるでしょう。

Figure 1. In the Nation-State Crosshairs: Australia, India & Japan

図1. 国家を背景にしたサイバー攻撃時の、組織と自国政府との連携(オーストラリア、インド、日本)

インドの62%、オーストラリアの48%は、自国の政府に対してマシンベースのリアルタイムの脅威情報の提供を望んでいると回答しています。また、インドの59%、日本の51%は、サイバーセキュリティ人材の獲得・増員に苦心していて、政府によるサポートを望んでいます。

国家による攻撃が増加し深刻化するにつれ、企業や組織が自国の政府の法執行機関とより密に連携する可能性はかなり高いと思われます。しかし、協力体制が強化されないままであれば、国家的なサイバー災害が発生した場合にはどの程度足並みを揃えて立ち向かえるのかという疑問が残ります。


国家による脅威への対応

CSISの報告書では、国家ぐるみのアクターから身を守ろうとする民間企業に対して、重要な6つの提案をしています:

サイバーハイジーン

SolarWindsのような事件は、基本的な対策を怠るとリスクが大きく高まることを示しています。これらの対策には、日常的なパッチとアップデート(少し「パッチ疲れ」していますが)、ログの管理、機密データの暗号化、すべてのユーザーに対する多要素認証の義務付けなどが含まれます。このように簡単に実行できる対策によって、攻撃者の成功率を大きく下げることができます。

防衛力の強化

国家によるサイバー攻撃の成功は、サイバーセキュリティスキルの未熟さ、レガシーITインフラやサイバーセキュリティツールの使用と関係していることが多いといえます。脅威者のツールや技術がより洗練されてきているため、組織も同様の速度で(あるいは、より速く)防御を最新化し、改善することが非常に必要になっています。

保護対象の特定

国家が手に入れようとする資産のうち、最も価値のある資産が、データです。国家が支援する攻撃の目的が、顧客や従業員の情報を取得することであるなら、組織はこのデータのセキュリティを確保してデータの使用におけるレジリエンスを構築するために特別な措置を講じる必要があります。脅威が拡大を続ける状況において、優先度の高いデータターゲットと低いデータターゲットを特定することが、社内のサイバーセキュリティ計画とプロセスの指針となるでしょう。

正確な能力評価

今回の調査データから得られた興味深い知見として、回答者の能力に対する評価と、実際の実行能力との間に乖離があるということです。例えば、多くの回答者が支援なしで攻撃者の隠された属性を識別する能力について高い自信を示していますが、一方で、ほとんどの組織が加害者を特定するために外部の支援に頼っているという結果も出ています。実際の技術的能力を見誤り過大評価すると、脆弱性の増大、非効率的なプロセスやソリューションにつながる可能性があります。

第三者機関によるレビュー

SolarWindsやMicrosoft Hafniumなどの事件は、国家ぐるみのアクターにとってITサービス・プロバイダーを標的とすることがトレンドであることを示しています。このようなアクターは、1つのプロバイダを標的にするだけで複数の被害者にアクセスすることができます。残念ながら、サードパーティサービスプロバイダーを悪用するケースはよく見られます。

脅威対策としてのコミュニケーション強化

国家を後ろ盾とする脅威に立ち向かうには、官民のコミュニケーションが重要です。政府は特定の脅威や脆弱性だけでなく、より広範な傾向を特定するためのアドバイスや情報を提供し、企業に動向を通知することができます。これは、政府が脅威環境について迅速に把握するための、民間部門からの十分な情報共有があって初めて向上するものです。


アジア太平洋地域のサイバー活動の歴史的背景

最後に、CSISは、国家を後ろ盾とするアクターが、直接的または間接的に活動したと考えられているサイバーインシデントの年表を作成しています。オーストラリア、インド、日本、その他のアジア太平洋地域の標的に対する攻撃も含まれています。

2000年初頭までさかのぼる67ページのリストは、国家ぐるみの活動が決して新しい脅威ではいこと、そして矮小化したり軽視したりするべきではないことを明確に示しています。

※本ページの内容は2022年3月23日(US時間)更新の以下のTrellix Storiesの内容です。
原文: In the Nation-State Crosshairs: Australia, India & Japan
著者: Trellix