脅威アクターとは

脅威アクターの種類

脅威アクターにはさまざまな形態があり、それぞれが独自の動機、戦術、目的を持っています。これらの違いを理解することで、脅威アクターに対する効果的な防御を確保できます。

国家アクター

国家アクターとは通常、政府が支援するグループや個人のことであり、サイバー スパイ活動、データ窃取、高度な標的型攻撃(APT)など、政治的、軍事的、経済的な目標を達成するための悪意のあるサイバー作戦に従事する人物です。十分なリソースを持つ国家アクターは非常に巧妙な手段を用い、多くの場合、重要なインフラや政府機関、主要産業を標的にします。

例：2021年、ロシアとつながりのあるハッカー集団のNOBELIUM (別名Midnight Blizzard)が、広範なサイバー スパイ活動の一環として、侵害した再販業者のアカウントを通じて顧客データを標的にするという攻撃をMicrosoftに仕掛けました。

サイバー犯罪者

サイバー犯罪者とは、主に金銭的利益のためにサイバー攻撃を用いる個人やグループです。ランサムウェア、フィッシング、アイデンティティー盗取などの戦術を用いて、被害者に金銭を要求したり、貴重なデータを窃取したりします。

例：ランサムウェア グループのDark Angelsは被害者のデータを暗号化し、復号のために身代金を要求します。企業ネットワークを標的とし、要求が受け入れられない場合は二重脅迫型の戦術によって盗んだデータを公開すると脅迫します。

内部脅威

内部脅威は組織内から発生し、悪意のある場合もあれば、意図的ではない場合もあります。こうした脅威は、機密情報にアクセスできる従業員や請負業者が個人的な利益や復讐のために情報を悪用する、またはフィッシング攻撃の被害に遭うなどが原因で発生します。

例：2023年、MicrosoftのAI研究者は、オープン ソースのAI開発に利用されるAzureの共有ストレージURLを誤って設定し、秘密鍵やパスワードを含む38TBの機密情報を意図せずに公開しました。

ハクティビスト

ハクティビストとは、ハッキング技術を用いて自分たちの社会的または政治的な主張を推進する人々のことです。サービスの中断やWebサイトの改ざん、情報漏洩といった攻撃を仕掛けることが多く、その信念に注意を向けさせることを目的としています。

例：分散型ハクティビスト グループであるAnonymousは、ウクライナ侵攻を受けて、2022年にロシア政府のWebサイトに対する攻撃を開始しました。別の例として、2011年に企業と政府機関を標的にしたLulzSecグループが挙げられます。

スクリプト キディ

スクリプト キディとは、事前に作成されたスクリプトや他人が開発したツールを悪用して攻撃を仕掛ける経験の浅いハッカーです。一般的に高度なスキルはありませんが、特に既知の脆弱性やセキュリティが不十分なシステムを悪用することで、大きな損害を与える可能性があります。これらの経験の浅い脅威アクターは、Ransomware as a Service (RaaS)などのサイバー犯罪サービスや生成AIを駆使してより大きな成功を収めています。

例：2016年、スクリプト キディのグループがMiraiボットネットを悪用して大規模な分散型サービス拒否(DDoS)攻撃を開始し、インターネットの大部分をダウンさせました。また、2019年に発生したTwitterのハッキングでは、10代の若者がソーシャル エンジニアリングの手法を悪用して、著名人のアカウントにアクセスしました。
 

脅威アクターの動機

脅威アクターの動機はさまざまで、その動機によって攻撃の性質や深刻度、規模が異なります。たとえば、金銭的利益を動機とするサイバー犯罪者は、クレジット カード番号や知的財産などの機密情報を盗もうとすることが多く、それを闇市場で販売したり、ランサムウェア攻撃の脅迫に悪用したりします。

政治的イデオロギーを動機とする脅威アクターもいます。組織や政府を標的にして、自分たちの信念の流布、業務の妨害、不正義とみなす情報の暴露を行います。このような脅威アクターは、自分たちのサイバー攻撃を抗議の一形態と考えており、世論を揺さぶったり、権力者に政策を変えるよう圧力をかけたりすることを目的としています。

そして、復讐または単なる挑戦のスリルを動機とする脅威アクターがいます。不満を抱いた従業員や元パートナーが個人的な恨みを晴らそうと、悪意を持って組織に攻撃を開始する場合があります。その他に、堅牢なシステムに侵入することでスリルを味わうと同時に、大胆なサイバー犯罪を成功させて名声を得ることを目的とする若いハッカーや経験の浅いハッカーもいます。こうしたハッカーの場合、ハッキングから得られる成果よりも、ハッキング行為自体に価値を置いていることが多くみられます。

脅威アクターの技術と戦術

以下は、脅威アクターが個人や組織の情報を入手するために使う最も一般的な手法の一部です。

• フィッシング：「ソーシャル エンジニアリング」の手法を用いてユーザーをあざむき、不当な形で機密情報を提供させたり、多額の金銭を送金させたりするものです。その種類として、メールやテキスト メッセージ、認証情報を盗むために使用される偽のWebサイト、ビッシング攻撃、被害者に攻撃者を信頼させるその他の攻撃があります。フィッシングは依然として主要なサイバー攻撃手法であり、2023年には58.2%増加しています。
• マルウェア：コンピューター システムに侵入して敵対的な行動(機密情報の窃取や暗号化、システム機能の乗っ取り、他のデバイスへの拡散など)を実行するように設計された悪意のあるソフトウェアです。このほとんどが金銭的利益を目的としています。マルウェアには、ランサムウェア、スパイウェア、アドウェア、トロイの木馬などさまざまな種類があります。最新のマルウェア開発の詳細については、こちらをご確認ください。
• 高度な標的型攻撃(APT):国家支援型の脅威アクターと高度なサイバー犯罪者を特徴とし、組織のネットワークにひそかにアクセスして足場を確立し、長期間検出されずに留まります。特定の組織を標的とする場合が多く、一般的なセキュリティ対策をバイパスまたは回避できる高度なマルウェアが使用される傾向があります。
• 内部脅威：組織のシステムやデータへのアクセス権を付与された人物が、その権限を悪用して組織に悪影響を及ぼします。内部脅威は「意図的なもの」と「意図的ではないもの」の2つに分けることができ、従業員や請負業者、サードパーティー ベンダー、パートナーから発生する可能性があります。

サイバー攻撃の実例

サイバー攻撃の手法は数多くあり、近年注目すべき攻撃が多くみられます。以下は特に注目を集めた攻撃の一部で、その潜在的な影響が浮き彫りになっています。

SolarWinds攻撃

2020年12月に発生したのがSolarWinds攻撃で、世界中の何千もの組織で使用されていたOrionソフトウェア プラットフォームが標的とされました。脅威アクターはソフトウェア アップデートに悪意のあるコードを挿入し、政府機関や大企業を含む18,000を超える顧客にこれを配布しました。この侵害により、機密情報やネットワークへの不正アクセスが発生しましたが、攻撃者は数か月間検出されませんでした。この攻撃は、歴史上最も深刻なサイバー スパイ活動の1つと考えられています。

WannaCryランサムウェア

2017年5月、WannaCryランサムウェア攻撃は世界中に急速に広がり、150か国以上の数十万台のコンピューターに影響を与えました。このランサムウェアは、Windows OSの脆弱性を悪用してファイルを暗号化し、ビットコインでの身代金の支払いを要求しました。その結果、英国の国民保健サービス(NHS)のような医療システムを含む重要なサービスが深刻な混乱に陥り、影響は広範に及びました。しかし、キル スイッチが発見されたため、攻撃は数日で大幅に軽減されました。

Scattered Spider

2022年頃に出現したScattered Spiderは金銭的利益を目的とした脅威グループで、通信/テクノロジー企業を標的にすることで知られています。このグループは、フィッシングやSIMスワッピングなどのソーシャル エンジニアリング戦術を用いて、企業ネットワークにアクセスし、詐欺やランサムウェアの展開を行います。標的となった企業は重大な業務の中断と財務損失に直面しました。このグループは高度な戦術を持つため、重大な脅威となっています。

Colonial Pipeline

2021年5月のColonial Pipeline攻撃は、DarkSideグループによって実行されたランサムウェア攻撃であり、米国最大の燃料パイプラインを標的にしました。旧式のサイバーセキュリティ対策が悪用され、東海岸全体の燃料供給を中断するシャットダウンを招きました。この攻撃により、重要インフラの脆弱性が浮き彫りになり、重要なサービスにおいてサイバーセキュリティを強化する必要性が露呈しました。

Dark Angels

Dark Angelsは、2022年に出現したランサムウェア グループです。巧妙な戦術で知られており、一度に価値の高い1社を標的にし、高額な身代金を要求します。通常は、被害者のデータを暗号化するだけでなく、身代金が支払われない場合は機密情報の公開を盾に脅迫する二重脅迫型の戦術を使用します。しかし、この戦術は、2024年にThreatLabzが確認した7,500万ドルもの身代金が支払われた攻撃を画策する際には採用されませんでした。

脅威アクターから保護する方法

脅威アクターは、システムに侵入するための手段を常に模索しています。以下の対策を取ることで、組織の脆弱性を解消できます。

• OSとブラウザーを常に最新の状態に維持する：ソフトウェア プロバイダーは、自社製品の新しく発見された脆弱性に対して定期的に対処し、システムを保護するためにアップデートをリリースします。
• 自動バックアップでデータを保護する：ランサムウェア攻撃や情報漏洩が発生した場合に回復できるように、定期的なシステム データのバックアップ プロセスを実装します。
• 高度な多要素認証(MFA)を使用する：MFAなどのアクセス制御により、攻撃者と内部システムの間に追加の防御レイヤーを作成します。
• ユーザーを教育する：サイバー犯罪者は新しい攻撃戦略を絶えず考案しており、人的要素は依然として組織にとって最大の脆弱性となっています。すべてのユーザーが、フィッシングを特定して報告する方法や悪意のあるドメインを回避する方法などを理解していれば、組織はより安全になります。
• 総合的で一体化されたゼロトラスト セキュリティを検討する：サイバー脅威は大きく進化しています。従業員を最大限に保護し、組織のリスクを軽減するには、予防的かつインテリジェントな総合型の防御プラットフォームが必要です。

脅威アクターの今後の動向

ここでは、今後もセキュリティ部門を悩ませる脅威アクターとそのグループの手法をいくつか紹介します。

ダーク チャットボットとAIを悪用した攻撃

AIでさらに高度化する脅威が増えていきます。AIを悪用した攻撃は増加するとみられていますが、これはダークWebがWormGPTやFraudGPTのような悪意のあるチャットボットの温床となり、サイバー犯罪活動を助長させるためです。これらの悪質なツールは、強力なソーシャル エンジニアリングやフィッシング詐欺などのさまざまな脅威を実行する手段となります。

IoT攻撃

主な攻撃経路として脆弱なIoTデバイスが悪用されるケースが増加し、侵害や新たなセキュリティ リスクにさらされる可能性が高くなります。IoTデバイスの開発者やメーカーによる標準のセキュリティ対策がないため、簡単に悪用できる脆弱性が生まれます。

これらのデバイスの広範な普及と相まって、IoTは攻撃者にとって簡単でありながら大きな金銭的利益を得るための手軽な標的となっています。

VPNの悪用

VPNの脆弱性の件数、重大度、規模を考えると、この傾向は今後も続くと考えられます。脅威アクターとセキュリティの研究者は、VPN製品における重大な脆弱性のリスクが高まっていることを認識しており、積極的に新たな脆弱性を探しています。そのため、今後数か月から数年の間に、CVEがさらに追加される可能性があります。

脅威アクターから保護するZscaler

Zero Trust Exchange™プラットフォームの一部であるZscaler Cyberthreat Protectionは、あらゆる角度から脅威アクターを撃退します。Zscalerは、現代の企業が求めるサイバー セキュリティのニーズに対応するために構築された世界最大のインライン セキュリティ クラウドであり、世界中のお客様に最も採用されています。

最小特権の原則をベースに構築されたZscalerのプロキシ アーキテクチャーは、完全なTLS/SSLインスペクションを大規模に実施し、アイデンティティー、コンテキスト、ビジネス ポリシーに基づいてユーザーとアプリケーション間の接続を仲介します。これにより、以下を実現できます。

• 攻撃対象領域の最小化：アプリや場所、デバイスをインターネットから見えなくすることで、脅威アクターがこうした資産に到達して侵害するのを防ぎます。
• 不正侵入の防止：大規模で完全なインラインTLS/SSLインスペクションとAIを活用した脅威対策により、フィッシング攻撃やマルウェアのダウンロードを阻止します。
• ラテラル ムーブメントの排除：ゼロトラスト セグメンテーションにより、攻撃影響範囲の最小化、内部脅威からの保護、運用負荷の削減が可能になります。
• 情報漏洩の阻止：機密情報の自動分類でシャドーITとリスクの高いアプリを検出します。ユーザー、ワークロード、IoT/OTのトラフィックを保護し、保存データと転送中データのセキュリティを確保します。

Zscaler Cyberthreat Protectionの詳細をご希望の場合は、Zscalerの専門の担当者によるデモをご依頼ください。どれほど高度な手法であっても、脅威アクターを寄せ付けないようにするZscalerのソリューションをご確認いただけます。