日本の官民における脆弱なサイバー・セキュリティ:数多くの APT に狙われている – Rapid7

Japan in the Crosshairs of Many State-Sponsored Threat Actors New Report Finds

2023/06/29 InfoSecurity — Rapid7 の最新レポートによると、日本は数多くのサイバー脅威にさらされ、スパイ活動や金銭的な動機によるキャンペーンなどの標的になっているという。Rapid7 は、2023年6月28日に発表したレポート ”Japan and Its Global Business Footprint: The Cyberthreat Landscape Report” で、典型的な国家的脅威の発生源である3カ国 (中国/北朝鮮/ロシア) から、この東アジアの国が標的にされていることを明らかにした。また、2022年上半期におけるランサムウェア攻撃の 32.5%が、製造業に対するものであることも判明した。これに対して、同期間中にヘルスケア業界から報告されたものは、わずか 7.9%だった。



Rapid7 の Head of the Threat Intelligence Advisory である Paul Prudhomme は、「日本の製造業は、主に2つの理由からサイバー攻撃を受けやすい。1つは、世界中のサプライチェーンと深いつながりがある、有用な標的であること。もう1つは、ジャスト・イン・タイム生産を実践しているため在庫がほとんどなく、業務プロセスが著しく脆弱であることだ」と述べている。

さらに同社のレポートは、日本の企業群は、特に製造業/自動車/テクノロジーの分野で、認知度の高いブランドを展開し、グローバルな存在感を示しているため、海外の子会社や関連会社を経由して、日本の親会社への侵害が発生することが多いとも指摘している。

Prudhomme は、「脅威アクターたちは、日本にある親会社のシステムへと、横方向に移動している」と述べている。

中国、北朝鮮、ロシア、そして ベトナム

この種の横移動の例としては、Panasonic への攻撃が挙げられる。2020年10月にインド支店で、データ開示恐喝事件が発生しており、2022年2月にはカナダ支店も、標的となった。また、日産/Infiniti/三菱のディーラーから、車両を購入してリース資金を調達している Nissan Canada Finance (NCF) が、2017年12月に身代金要求を受けた事例もある。

中国系のグループも同様の手口を使っているが、より幅広い業界が対象となっている。たとえば、2021年後半には、中国の APT10 のサブセット Earth Tengshe (別名 Bronze Riverside) が、日本の製造業/エンジニアリング/エレクトロニクス/自動車/エネルギー/テクノロジー企業の海外子会社やサプライヤーを標的にして、日本の親会社へのアクセスを獲得したとされる。

さらに、最近では、ベトナムから日本の組織を標的にした、別の国家的脅威アクターが確認されている。

Rapid7 のレポートには、「OceanLotus として知られるベトナムの APT32 は、ベトナムの新進自動車産業と競合する海外企業を標的にすることに、特別な関心を示している。日本の最大手自動車メーカーの匿名の関係者は、2019年に APT32 が、同社の海外事業を標的にしていたことを確認したと報告している。セキュリティ研究者たちは、APT32 が攻撃ベクターとして、その自動車メーカーの正規のインフラになりすます、悪意のドメインを作成していたことを確認した」と記されている。

他の先進国に遅れをとっている日本

Rapid7 の VP of Global Government Affairs and Public Policy である Sabeen Malik は、「日本はサイバー・セキュリティの面で、他の先進国に遅れをとっている。2021年6月のレポートで IISS (International Institute for Strategic Studies) は、3段階ランキングの最下位に、日本を位置づけている。この、ロンドンを拠点とするシンクタンクは、日本の官民におけるサイバー・セキュリティの脆弱さを指摘している。具体的に言うと、悪意の侵入の試みを追跡する能力の低さと、反撃を開始するための法的枠組みが欠如していると述べている。日本は、サイバー攻撃に対して、特に国のインフラに対するサイバー攻撃に対して適応できていない」と、Infosecurity の取材に対してコメントしている。

日本は、米国と中国に次ぐ、世界第3位の経済大国であるにもかかわらず、サイバー脅威インテリジェンスに関する英語圏の文献では見過ごされがちである。

Prudhomme は、「この新しいレポートにより、日本の脅威の状況について広範で包括的な視点を英語で提供するワンストップ・ショップを、Rapid7 は提供したいと考えている」と述べている。

日本政府は、2022年12月に National Security Strategy of Japan を発表している。

たしかに、サイバー・セキュリティの統計などにおいて、なぜ日本は入っていないのかと、残念に思うことが多々あります。他の国々との比較ができないということは、現実を認識するための、大きな指標を欠くことにもつながります。その意味で、今回の Rapid7 のレポートには拍手を送りたいと思います。よろしければ、Japan で検索も、ご利用ください。