2023年はサイバーセキュリティの世界にとってどのような年だったのでしょうか? 1年間の最後に2023年のサイバー動向を振り返ってみたいと思います。
米英が共同でTrickbotグループを制裁
今年もっとも注目したのはRyukやContiランサムウェアと繋がりのあるTrickbotグループの制裁にアメリカとイギリスが共同で乗り出したことです。Trickbotグループとはロシアを拠点としたサイバー犯罪グループでWizard SpiderやUNC1878などとも呼ばれているグループです。米当局はこれまでにTrickbotグループの9人を起訴し、うち開発者2人を逮捕し1人に対して今年6月に懲役2年8カ月の判決を言い渡しました。TrickbotはRyukなどのランサムウェアを投下する際のローダーとして使用されたマルウェアで、Emotetによって配布された経緯があります。
Trickbotグループによるサイバー攻撃による被害は、米ブロックチェーン調査会社のチェイナリシスによると1000億円を超え、北朝鮮のラザルスグループに次ぐ犯罪収益だということです。その被害の多くはアメリカやイギリスなどヨーロッパだということですが、日本においてもEmotetやTrickbotが配布されている実態がありますから決して無関係ということではないと思います。サイバー脅威の核心に少なくともアメリカとイギリスは迫ろうとしていることが明らかになった年だったと思います。
一方で、Trickbotグループと関係しているContiランサムウェアは2022年、ロシアによるウクライナへの軍事侵攻を契機に閉鎖に追い込まれたものの以降、複数に分裂して異なるランサムウェアを運営しており、それらランサムウェアもブランドを変更するなどして常に変容し、攻撃者はその実態を隠そうとしていることは明らかです。
2022年に起きたロシアによる軍事侵攻に続き、2023年は中東でテロを契機に軍事紛争が起き、反イスラエルを標ぼうするハクティビストグループによるサイバー攻撃が活発化しました。イスラエル製品を狙った攻撃がアメリカにも「飛び火」し、アメリカとイスラエルはイランがハクティビストグループを使って行ったものだと非難しました。ロシアのKillnetなども含めて2022年以降、ハクティビストと呼ばれるグループの活動が目立っており、2023年も中東における紛争によりハクティビストグループの活動はさらに活発化している状況です。
NICS情報漏洩で国家のセキュリティに疑問符?!
一方、国内においては名古屋港の港湾システムがランサムウェアに攻撃されて一時稼働が停止するなど2023年もランサムウェアによる大型の攻撃が複数見られました。また、内閣サイバーセキュリティセンター(NICS)が不正なアクセスを受けて情報が漏洩するなどサイバー脅威への国の脆弱性が指摘された年でもありました。日本においては、大規模なサイバー攻撃被害については明らかになるケースが増えてきましたが、攻撃の詳細や攻撃後の経緯についてはほとんど報道されておらず、また中小企業等への攻撃も含めて社会全体でどの程度のサイバー攻撃被害があるのか、その実態は依然として不透明です。
そうした中、2023年は大阪府警、インドネシア警察、インターポールの連携によりフィッシングメールのインフラを構築していた「16Shop」による詐欺グループを摘発したことが発表されました。日本には毎日、大量のフィッシングメールが送られてきており、これらフィッシングメールはさまざまなサイバー犯罪の初期アクセスのツールとなっています。そうしたフィッシングメールの実態に国際的な連携で捜査が行われた意義は大きいと思います。日本警察のサイバー犯罪捜査は遠隔操作事件での誤認逮捕以降、目を覆うものがありましたが、ようやく各国の捜査機関と連携してサイバー犯罪に挑む態勢になりつつあるのかもしれません。2023年のサイバー動向を総括するならサイバー脅威の「見える化」がほんの少し進んだ年だったように思います。