2 サイバー攻撃の情勢
重要インフラの基幹システムを機能不全に陥れ、社会の機能を麻痺させるサイバーテロ(注1)や情報通信技術を用いて政府機関や先端技術を有する企業から機密情報を窃取するサイバーインテリジェンス(サイバーエスピオナージ)といったサイバー攻撃は世界的規模で発生しており、令和2年中は、ソフトウェアやシステムのぜい弱性を悪用した攻撃や、標的型メール攻撃を通じて不正プログラムに感染させるなどの事案が多数発生した。国外では、米国の大手ITインフラ管理ソフトウェア会社が提供する製品のぜい弱性を悪用し、同国の政府機関等を標的としたサイバー攻撃の被害等が確認された。国内においても、複数の防衛関連企業、大手電気通信事業者が、外部からの不正アクセスを受け情報が流出した可能性があると公表したほか、大手製造業者からも、従業員が在宅勤務時に社用端末からSNSを利用した際に不正プログラムに感染させられる手口により個人情報等が流出したとの発表が行われた。こうした事案の中には国家の関与が疑われるものもみられるなど、国内外で政府機関、重要インフラ事業者等を標的としたサイバー攻撃が激しさを増している。
また、警察庁が国内で検知した、サイバー空間における探索行為等とみられるアクセスの件数についても増加の一途を辿っており、サイバー攻撃の準備行為とみられる活動が広がりをみせている状況がうかがわれる(注2)。
注1:重要インフラ(「重要インフラの情報セキュリティ対策に係る第4次行動計画」(平成29年4月サイバーセキュリティ戦略本部決定、令和2年1月改定)において、情報通信、金融、航空、空港、鉄道、電力、ガス、政府・行政サービス(地方公共団体を含む。)、医療、水道、物流、化学、クレジット及び石油の14分野が指定されている。)の基幹システム(国民生活又は社会経済活動に不可欠な役務の安定的な供給、公共の安全の確保等に重要な役割を果たすシステム)に対する電子的攻撃又は重要インフラの基幹システムにおける重大な障害で電子的攻撃による可能性が高いもの
注2:29頁参照
(1)新型コロナウイルス感染症に関連したサイバー攻撃の情勢
新型コロナウイルス感染症に関連した特徴的なサイバー攻撃としては、国内外で医療機関や研究機関等に対する攻撃が確認されている。これらの攻撃は、ワクチンの開発、医療機関・研究機関の研究状況等の把握や、研究成果の窃取等を目的としている可能性が考えられる。新型コロナウイルス感染症の感染拡大やこれに乗じた関連事案による社会への影響は極めて大きく、攻撃者が攻撃対象として新型コロナウイルス感染症に関連した機関等を狙う傾向は今後も継続する可能性がある。
また、我が国でも多数発生し、しばしば情報窃取やサーバ乗っ取り等の更なるサイバー攻撃等の端緒となっている標的型メール攻撃についても、新型コロナウイルス感染症に関連しただまし文句を用いる事例が報告されている。
さらに、新型コロナウイルス感染症の感染拡大防止のため、各事業者等でテレワークの積極的な実施が進められているなど、業務環境が変化していることに伴い、テレワークに用いるオンライン会議システム等のぜい弱性を悪用したとみられる事例も確認されている。一部の事業者においては、テレワークを実施するために十分なセキュリティ上の措置が講じられていないシステムや端末が用いられていたり、テレワーク等によりシステム監視の体制がぜい弱となり社内システムに対するサイバー攻撃被害への対応が遅れたりするなどの状況が生じているものとみられる。
(2)サイバーテロの情勢
情報通信技術が浸透した現代社会において、重要インフラの基幹システムに対する電子的攻撃はインフラ機能の維持やサービスの供給を困難とし、国民の生活や社会経済活動に重大な被害をもたらすおそれがある。我が国では、社会的混乱が生じるようなサイバーテロは発生していないものの、海外では、不正プログラムによって金融機関のシステムや原子力関連施設の制御システムの機能不全を引き起こす事案が発生している。
(3)サイバーインテリジェンスの情勢
近年、情報を電子データの形で保有することが一般的となっている中、軍事技術への転用も可能な先端技術や、外交交渉における国家戦略、新型コロナウイルス感染症に関連する研究等の機密情報の窃取を目的としたサイバーインテリジェンスの脅威が世界各国で問題となっている。また、我が国に対するテロの脅威が継続していることを踏まえると、現実空間でのテロの準備行為として、重要インフラ事業者等の警備体制等の機密情報を窃取するためにサイバーインテリジェンスが行われるおそれもある。我が国においても、不正プログラムや不正アクセスにより機密情報が窃取された可能性のあるサイバーインテリジェンスが発生している。
MEMO 警察のアトリビューションにより国家レベルの関与を明らかにしたサイバー攻撃事案
1 レンタルサーバ不正契約事件被疑者の検挙
中国共産党員の男(30代)は、平成28年9月から平成29年4月までの間、合計5回にわたり、住所、氏名等の情報を偽って日本のレンタルサーバの契約に必要な会員登録を行った。警視庁公安部は、令和3年4月、同男を私電磁的記録不正作出罪・同供用罪で検挙した。
2 一連のサイバー攻撃に関与した背景組織の特定
本事件の捜査を通じ、警察では、同男が不正に契約したレンタルサーバが宇宙航空研究開発機構(JAXA)等に対するサイバー攻撃に悪用されたことを把握するとともに、同攻撃の実態解明の過程で、同一の攻撃者が関与している可能性が高いサイバー攻撃が約200の国内企業等に対して実行されたことを把握した。
本事件被疑者・関係者の供述をはじめ数多くの証拠を積み上げた結果、これらのサイバー攻撃がTickと呼ばれるサイバー攻撃集団によって実行されたものであり、このTickの背景組織として山東(さんとう)省青島(チンタオ)市を拠点とする中国人民解放軍第61419部隊が関与している可能性が高いと結論付けるに至った。
3 被害企業等に対する注意喚起
警察では、これらのサイバー攻撃を認知後、被害企業等に対し、速やかに不正プログラムへの感染可能性や有効な対応策について個別に情報提供を実施した(注1)。
また、一連のサイバー攻撃は、日本製ソフトウェアのぜい弱性が悪用されたゼロデイ攻撃(注2)であったことから、このソフトウェアの開発企業と協力し、ぜい弱性の存在と有効な対応策について広く周知した。
注1:令和3年4月時点、これら被害企業等において情報流出等の被害は確認されていない。
注2:OSやアプリケーションのぜい弱性に対応するパッチがソフトウェアの開発企業等から提供される前に、そのぜい弱性を悪用して行われる攻撃の総称