2024年サイバーセキュリティレポートを公開

キヤノンマーケティングジャパン株式会社（代表取締役社長：足立正親、以下キヤノンMJ）は、”2024年サイバーセキュリティレポート”を公開しました。本レポートでは、ランサムウェア攻撃の最新動向やフィジカル空間の犯罪スキームを取り入れた新たな攻撃スキームの可能性、生成AIを業務で活用する際のリスクマネジメントなど、2024年に発生したサイバーセキュリティの脅威動向について解説します。

キヤノンMJグループはセキュリティソリューションベンダーとして、サイバーセキュリティに関する研究を担うサイバーセキュリティラボを中核に、最新の脅威や動向の情報収集および分析を行い、セキュリティ対策に必要な情報を定期的に発信しています。

このたび、2024年に発生したサイバー攻撃の事例や、総合セキュリティソフトESETにより日本国内および全世界で検出されたマルウェアなどについて解説した、“2024年サイバーセキュリティレポート（以下本レポート）“を公開しました。

本レポートでは、ランサムウェア攻撃の最新動向や、2024年にフィジカル空間で話題となった匿名・流動型犯罪グループによる窃盗事件の犯罪スキームを取り入れた、新たなランサムウェアの攻撃スキームの可能性について考察します。また2024年も注目を集め普及が進む生成AIに関するリスクを「攻撃者の悪用」と「ビジネス利用」の2つの視点から解説し、それぞれの対策や業務活用例について紹介します。

その他本レポートでは、2024年に発生したサイバーセキュリティの主な脅威動向について、サイバーセキュリティラボ独自の視点で分析・考察しており、セキュリティ対策に役立つ情報をまとめています。

＜レポートの主な内容＞

■ランサムウェア攻撃の最新動向と新たな攻撃スキームの可能性

2022年上半期以降、ランサムウェア攻撃の被害件数は高い水準で推移しています。その要因の1つとして、ランサムウェア攻撃の分業化が進み、攻撃のサイクルが早まっていることが挙げられます。またさらなる攻撃の分業化として、2024年にフィジカル空間で話題となった、トクリュウ（匿名・流動型犯罪グループ）による闇バイトを利用した窃盗事件の犯罪スキームが応用される可能性や、SNSや求人サイトを通じて実行犯となる一般人を募集する手法がランサムウェア攻撃にも取り入れられる可能性があります。本レポートでは、ランサムウェア攻撃の最新動向、およびフィジカル空間の犯罪スキームを取り入れた新たな攻撃スキームの可能性について考察します。

■生成AIの業務活用の際に生じるリスクと対策

2024年も注目を集め普及が進む生成AIは、ビジネスに革新と効率化をもたらす一方で、さまざまなリスクも存在します。攻撃者の悪用におけるリスクとして、フェイクコンテンツとサイバー攻撃が挙げられます。フェイクコンテンツの事例では、2024年のアメリカ大統領選挙の際に偽の音声や画像が情報工作に利用されました。また、サイバー攻撃の事例では、国内において生成AIを利用してマルウェアを作成し摘発された事例も確認されています。ビジネス利用におけるリスクの例としては、API（Application Programming Interface）などで導入したサービスを利用して、顧客が生成AIへ入力を行う場合、意図的に悪意のあるプロンプト（入力）を与えることでAIが意図しない動作や結果を引き起こす攻撃手法「プロンプト・インジェクション」によって、不正な指示を与えて誤動作させ、公開すべきでない情報が引き出されるリスクが挙げられます。本レポートでは、「攻撃者の悪用」と「ビジネス利用」の視点による生成AIのリスクと対策、業務活用事例について解説します。

＜2024年サイバーセキュリティレポート　章ごとの主な内容＞

本章では、2024年にESET製品で検出された脅威に関する、検出数の月別推移や検出数TOP10、ファイル形式別・カテゴリー別の検出統計に加えて、国内におけるセキュリティトピック、今後推奨されるセキュリティ対策を解説します。

2024年の日本国内におけるマルウェア検出数は2月以降高い水準を維持しています。検出数TOP10の検出名を「アドウェア」「詐欺を目的としたマルウェア」「ダウンローダー」「その他」の4種に分類すると、「詐欺を目的としたマルウェア」が最も多く検出されています。その理由として、不特定多数のユーザーを狙った配布方法とフィッシングの多さが挙げられます。例えば、3位に入った「HTML/Phishing.Agent」は電子メールの添付ファイルやWebサイトとして配布されます。フィッシング対策協議会の月次報告書においても、フィッシングサイトの報告件数は高い水準を保っています。

国内におけるマルウェア以外の脅威では、昨年から順位を上げ検出数3位に入った「HTTP/Exploit.CVE-2021-41773」は、2021年に確認されたApache HTTP Serverのパストラバーサル※1の脆弱性を悪用した攻撃の検出名です。Androxgh0stマルウェアがこの脆弱性を悪用していることを、FBIと米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）が2024年に報告しています。

「Androxgh0stマルウェア」はボットネット※2を形成し、Amazon Web ServiceやOffice 365などのサービスの資格情報を窃取します。また、2024年上半期サイバーセキュリティレポートで急増による注意喚起を行った「PHP_CVE-2024-4577」は、9位から4位に順位を上げました。脆弱性が公開された6月から9月に集中して検出しており、短期間に攻撃が行われていたことが分かります。

※1．コンピュータシステムへの攻撃手法の一つで、ファイル名を扱うプログラムに対して特殊な文字列を送信することで、通常はアクセスできないファイルやディレクトリの内容を取得しようとする。

※2．マルウェアに感染した多数のコンピュータ（ボット）がネットワークを形成し、攻撃者の指令に従って協調的に動作する仕組みのこと。

本章では、ランサムウェア攻撃の被害件数とESET製品による検出数、最新の攻撃スキームと手口、フィジカル空間の犯罪スキームを取り入れた新たな攻撃スキームの可能性、そしてそれらへの対策について解説します。

現在のランサムウェア攻撃は分業化が進み、RaaS（Ransomware as a Service）※3やイニシャルアクセスブローカー※4、Botnet Master※5、ミキシングサービス※6、盗難データの販売仲介による1つのエコシステムが形成されており、攻撃のサイクルが加速しています。また、ランサムウェア攻撃の被害が高水準で推移している中、2023年以降ノーウェアランサムと呼ばれる新しい手法による被害も確認されています。ノーウェアランサムはファイルの暗号化を行わず、窃取したデータの公表を脅迫材料に使う手法です。その背景には、従来のランサムウェア対策が進んだことや、攻撃のステップを減らすことで攻撃のサイクルを早めて効率良く収益を上げる狙いがあります。

さらに、将来的に起こりうるランサムウェア攻撃の手法として、2024年に話題となったトクリュウ（匿名・流動型犯罪グループ）による闇バイトを利用した窃盗事件の犯罪スキームが応用される可能性が考えられます。トクリュウは、SNSや求人サイトを通じて緩やかに結びついたメンバーが役割を細分化しながら活動しています。収益を得る中核的人物は匿名化され、末端の実行犯を入れ替えながら活動を行うため、組織の把握やメンバーの特定が難しい特徴があります。トクリュウによるランサムウェア攻撃の特徴の1つとして、フィジカル空間における強盗や窃盗と比較すると、サイバー空間の犯罪の場合、実行犯のメンバーは犯罪行為をしている意識がより一層低くなることが挙げられます。

※3．ランサムウェアの検体、検体を秘匿するパッカー、被害者と身代金のやり取りを行うためのインフラなど、ランサムウェア攻撃に関するさまざまなサービスを提供する。

※4．サイバー攻撃の標的組織へ侵入するための手段を提供して利益を上げる組織のこと。

※5．Botnetはボットに分類されるマルウェアに感染した端末群からなるネットワークであり、Botnet Masterの指令によってDDoS攻撃やスパムメールの送信などを行う。ランサムウェア攻撃においては、ランサムウェアに感染した端末の管理をBotnetMasterが担う場合もある。

※6．仮想通貨ミキサーとも呼ばれ、仮想通貨の資金経路を分かりにくくして仮想通貨の保有者を秘匿するサービスのこと。

本章では、近年のサポート詐欺の攻撃手法の概要、画面ロックツールを用いた新たな攻撃手法、組織における被害事例、対策について解説します。

偽の警告画面を表示して不安を煽り、サポートセンターと称する電話番号に連絡させ、高額の金銭を要求したり、遠隔操作ツールをインストールさせたりする手口をサポート詐欺といいます。サポート詐欺は継続して被害が報告されており、その数は年々増加しています。

2024年には、正規の商用遠隔操作ツールを悪用して画面をロックさせる新たな手口が報告されています。この手法では、コンピューターを放置した際に自動で操作をロックすることなどに利用される正規ツールを悪用し、デスクトップの操作をロックします。ロックされた画面には偽のサポートセンターへの電話を促す表示がされます。またこの手法は、悪性サイトから意図せずダウンロードした不審なファイルを実行することで攻撃者による遠隔操作が行われるため、従来のWebブラウザーを閉じる対処ができない点に注意が必要です。

さらにサポート詐欺は個人だけでなく、一般企業などの組織に対する被害も多数発生しています。2024年には、商工会においてマイクロソフト社の社員をかたる犯人が業務用パソコンに遠隔操作ソフトをインストールし、3回にわたり合計1,000万円を送金させた事例や、ドラッグストアにおいてオンラインストアで過去に買い物をした顧客情報および従業員情報が漏えいした可能性が報告された事例が確認されています。

※7．ネットワークやシステム内に潜む脅威を積極的に検出し、対処するためのセキュリティ対策の手法。能動的に脅威を探し出すことを目的としている。

本章では、「攻撃者の悪用」と「ビジネス利用」の視点による生成AIのリスクとそれぞれの対策、業務活用の具体的な事例について解説します。

2024年もさまざまな生成AIが発表され、その普及に伴い、利用開始・導入を検討している組織も増加しており、ビジネスに革新と効率化をもたらすことが期待されています。その一方、生成AIにはさまざまなリスクが存在します。攻撃者の悪用におけるリスクの例として、メールを用いたフィッシング攻撃・BEC（Buisiness Email Compromise：ビジネスメール詐欺）が挙げられます。生成AIの普及前と比べて、現在は方言やニュアンスを含め、より自然で洗練された文章を作成でき、標的に合わせてパーソナライズした文章も作成可能になります。そのため生成AIの悪用により、成功率の高いフィッシング攻撃・BECを効率的に行うことができます。

ビジネス利用におけるリスクの例としては、生成AIをAPIなどで自社システムに導入し利用する際に、入力した社内の機微情報が生成AIによって学習データとして取り込まれ、まったく関係のないユーザーの出力に含まれてしまうリスクが挙げられます。

本章では、「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の概要説明に加えて、実際に発生したサイバー攻撃インシデントをケーススタディとして、組織や団体のインシデントに関する情報の共有と公表について考察します。

2023年3月に総務省、内閣官房内閣サイバーセキュリティセンター、警察庁から「サイバー攻撃被害に係る情報の共有・公表ガイダンス」が公表されました。このガイダンスは、2020年から2022年にかけて複数発生したサイバー攻撃事案において、被害公表や取引先への通知の遅れが問題視され、メディアからの批判が相次いだことを受け、被害組織の保護や攻撃被害の拡大防止を目的として策定されました。このガイダンスでは、サイバー攻撃被害に関する情報を「情報共有」と「被害公表」に分類し、攻撃に関する情報（攻撃技術情報）と被害に関する情報（被害内容・対応情報）を整理しています。有事の際、判明している情報をこのガイダンスに沿って整理することで、意思決定のための社内での関係部門との情報共有やステークホルダーへの被害公表を効果的に行えるなど、非常に有効なガイダンスとなっているため、規模を問わずあらゆる組織において活用を推奨します。

* ESETは、ESET, spol. s r.o.の商標です。Office 365は、米国Microsoft Corporationの米国、日本およびその他の国における登録商標または商標です。その他、文中の商品名、会社名、団体名は、各社の商標または登録商標です。