2022年サイバーセキュリティレポートを公開　不正アクセスによるセキュリティインシデントや病院を狙うサイバー攻撃などを解説

2022年サイバーセキュリティレポート

キヤノンMJグループはセキュリティソリューションベンダーとして、サイバーセキュリティに関する研究を担うサイバーセキュリティラボを中核に、最新の脅威や動向の情報収集および分析を行い、セキュリティ対策に必要な情報を定期的に発信しています。
このたび、2022年に発生したサイバー攻撃の事例や、総合セキュリティソフトESETにより日本国内および全世界で検出されたマルウェアなどについて解説した、“2022年サイバーセキュリティレポート（以下本レポート）“を公開しました。
同年も、セキュリティパッチが未適用のWebアプリケーションやネットワーク機器などの脆弱性を悪用した、不正アクセスやランサムウェア感染の事例が多く報告されました。またコロナ禍が長期化する中、病院を狙うサイバー攻撃も増加しており、業務が停止または大幅に制限されるなど社会問題となりました。
本レポートでは、不正アクセスの主な原因である「脆弱性を悪用した攻撃」と「認証に対する攻撃」への対策について紹介しています。また、病院や診療所におけるサイバー攻撃被害事例や被害を受けた場合に発生し得る事態、実施すべきセキュリティ対策について解説しています。
その他、2022年に発生したサイバーセキュリティの主な脅威動向について、サイバーセキュリティラボ独自の視点で分析、考察し、対策を紹介しており、セキュリティ対策に役立つ情報をまとめています。

■    2022年サイバーセキュリティレポート
　https://eset-info.canon-its.jp/malware_info/special/detail/230323.html
■    サイバーセキュリティ情報局
　canon.jp/cybersecurity

〈2022年サイバーセキュリティレポートの主な内容〉

• 第1章：2022年マルウェア検出統計

​ESET製品で検出されたマルウェアに加え、通信プロトコル経由の攻撃やソフトウェアの脆弱性を狙った攻撃などの検出状況を分析しています。
国内および全世界に共通して、Emotetのばらまき型攻撃メールが多数送信されたことにより、3月に最も多くのマルウェアが検出されました。一方で10月から11月の検出数は大幅に減少しました。これはWebブラウジング中に遭遇する脅威の検出数減が重なったことが反映されていると考えられます。
マルウェア以外の脅威動向については、2021年10月以降に公表された脆弱性に関連する脅威が2022年も継続して観測されていること、また、SMBプロトコル※1を悪用した攻撃が多く確認され2021年から順位を上げていることが傾向として挙げられます。
本章では、マルウェアおよびマルウェア以外の脅威の検出数推移やその増減が生じた背景の分析、攻撃の手口などについて解説します。

※1　Server Message Blockプロトコルの略。Windowsネットワークにおけるファイル共有などに使われる通信プロトコル。

• 第2章：マルウェアファミリーに着目したESET統計情報と上位マルウェアの紹介

2022年の国内における、マルウェアファミリー※2に着目したESET検出統計のうち、最も検出数の多かった情報窃取型マルウェアMSIL/Spy.AgentTeslaについて解説します。AgentTeslaは、メールの本文に記載されたURLへのアクセスから端末に侵入し、一次検体が展開された後、二次検体を経て本体である三次検体に感染します。このように近年は複数の段階でさまざまなバイナリ※3を展開して、最終的に目的のマルウェアに感染させる挙動が多くなりました。
本章では、AgentTeslaの解析を通じて、複数の段階を経てマルウェアに感染させる検体は段階ごとに検知名が異なること、セキュリティ製品のログ分析において検知名の違いの把握が必要であることなどを説明します。

※2　挙動や作成者ごとなどにマルウェアを分類し、グループ化したもの。
※3　コンピューターが扱う二進数の数字で構成されたデータ。

• 第3章：2022年に確認された不正アクセスによるセキュリティインシデント

​2022年も多くのセキュリティインシデントが公表されましたが、その要因の1つとして不正アクセスが挙げられます。不正アクセスによるセキュリティインシデントについてサイバーセキュリティラボが公開情報※4を独自集計した結果、2022年1月1日から12月31日の間、日本国内で214件の不正アクセスによるセキュリティインシデントを確認しました。さらに多くのインシデントにおいて情報漏えいやランサムウェア感染の被害が発生したこと、その原因が「脆弱性を悪用した攻撃」であることが判明しました。
本章では、分類別の集計結果を考察するとともに、不正アクセスの原因の中で多く確認された「脆弱性を悪用した攻撃」と「認証に対する攻撃」への対策について紹介します。

※4　レポート執筆時点（2023年1月26日）の情報。

• 第4章：病院を狙うサイバー攻撃の増加とその背景

​アメリカの医療機関に対するランサムウェアによる攻撃数は、2016年から2021年にかけて2倍以上に増加したとされています※5。また、日本国内においても医療機関へのサイバー攻撃の被害報告は相次いでいます※6。このような攻撃が拡大した背景として、IT活用による医療情報の急速なデータ化や医療機関ネットワークと外部ネットワーク接続の増加する一方で、セキュリティ予算の不足により十分な対策ができていないことなどが挙げられます。
本章では、病院や診療所におけるサイバー攻撃被害事例や被害を受けた場合に発生し得る事態、実施すべきセキュリティ対策について解説します。

※5　出典元：Trends in Ransomware Attacks on US Hospitals, Clinics, and Other Health Care Delivery Organizations, 2016-2021 ｜ JAMA Health Forum＜https://jamanetwork.com/journals/jama-health-forum/fullarticle/2799961＞
※6　国内の病院・診療所から、2021年には5件、2022年には11件のサイバー攻撃被害が報告されている。サイバーセキュリティラボ調べ。

• 第5章：なぜ、脆弱性対応が放置されるのか

​昨今、情報や対策が公開されている脆弱性が、サイバー攻撃、特にランサムウェア感染に悪用されるケースが増えています。警察庁発表のデータでも、ランサムウェア感染経路に関する質問をしたところ、VPN機器やリモートデスクトップからの侵入が上位を占めており、未対応の脆弱性が悪用されていることが分かります。脆弱性が未対応のまま放置される原因はさまざまに考えられますが、その1つとして、SSL-VPN製品※6など多くの海外製アプライアンス製品は、リセラー業者やSIer経由で販売、導入されるといった日本の商習慣が深く関係していることが挙げられます。
本章では、2021年4月以降発生した主なランサムウェアのインシデントの原因や感染経路に着目し、既知の脆弱性が対応されず放置されてしまう原因、そしてさまざまな形態のクラウド・サービス、IoT機器などの増加が予想される今後について考察します。

※6　VPN（Virtual Private Network、仮想プライベートネットワーク）接続をする2点間をSSL（Secure Sockets Layer）暗号化通信でつなぐ装置。

• ​​第6章：Web証明書／PKIの最新動向と展望

フィッシング対策協議会のレポートによると、日本国内のフィッシングサイトURL件数は増加傾向にあり、2021年下半期は過去最高の4万件を上回りました。インターネット上のドメインやアドレスの信頼性を判断するためのアプローチとして、デジタル証明書によるドメインと所有者の検証が長年採用されてきましたが、それを支える技術がPKI※7です。
本章では、PKIの仕組みと、信頼性を揺るがした事件および信頼回復のための取り組みについて解説した後、変化し続けるPKIを取り巻く環境について、2022年の主なトピックや今後の展望を交えて紹介します。

※7　 Public Key Infrastructure、公開鍵基盤の略。公開鍵暗号という技術とデジタル証明書を利用し、通信の安全性を高めるセキュリティ基盤。


〈レポート解説動画〉
本レポートについて、サイバーセキュリティラボのマルウェアアナリストが解説した動画を公開しています。
https://www.youtube.com/watch?v=cgOwYS8OM7M

* ESETは、ESET, spol. s r.o.の商標です。Windowsは、米国Microsoft Corporationの米国、日本およびその他の国における登録商標または商標です。