インシデント増加の中、日本政府のサイバーセキュリティは不十分

出典：Anton Balazh／Shutterstock

日本は国家主体やサイバー犯罪者によるサイバー攻撃の増加に直面していますが、重要な政府システムのサイバーセキュリティ管理において遅れをとっていると報告されています。

今月初め、日本の会計検査院は、12の政府機関において58の重要システムが適切なセキュリティ管理や統制を欠いていると指摘しました。同グループの最新報告書によるものです。この調査結果は、日本政府がサイバー攻撃の増加に直面する中で明らかになりました。2024年には少なくとも447件のサイバーセキュリティインシデントが報告されており、前年の2倍以上となっています。Nikkei Asiaのオンラインニュースサイトが引用したデータによるものです。

日本の民間産業はランサムウェアや情報窃取型マルウェアの標的となっていますが、政府は依然としてサイバースパイ活動や重要インフラへのサイバー物理攻撃の標的となっています。たとえば、MirrorFaceキャンペーンの長期化により、重要なデータが流出した可能性が高いと、サイバーセキュリティ企業トレンドマイクロの上級脅威リサーチャー、ジョン・クレイ氏は述べています。

「日本は米国と友好関係にあり、そのため中国をはじめとする国家主体によるサイバースパイ活動や情報収集攻撃の標的となっています」と彼は言います。「中国のAPTグループや、北朝鮮（DPRK）拠点のラザルスグループが日本を標的にしているのを確認しています。」

大規模なスパムキャンペーンから、中国系グループによるIvanti Connect Secure製品の重大な脆弱性の悪用、北朝鮮による日本企業へのIT労働者の潜入まで、日本が直面する脅威の状況は大幅に拡大しており、同国が地域インターネットの安全確保により大きな役割を担おうとしているタイミングでもあります。たとえば1年前、米国、日本、フィリピンはサイバー脅威情報の共有協定に署名しました。これは中国によるVolt Typhoon攻撃（重要インフラへの攻撃）およびその後のSalt Typhoonによる通信インフラ攻撃を受けてのことです。また今年初めには、日本の国会でアクティブサイバーディフェンス法案が可決され、外国からの攻撃に対し、サーバーの遮断などの積極的な措置を警察が取れるようになりました。

攻撃力強化、防御力低下？

日本がサイバーセキュリティ基準を策定した後、会計検査院は政府サービス提供に関わる重要システムを定期的に調査しています。会計検査院は、356の重要システムのうち58システムがサイバーセキュリティ基準に則って管理されていないことを発見しました。さらに、担当省庁が259システム（全体の73％）について事業継続計画（BCP）を策定していないことも判明しました。

会計検査院だけが日本のシステムのセキュリティホールを発見しているわけではありません。今年初めには、サイバー攻撃者が日本のMicrosoft WindowsシステムにおけるPHP Common Gateway Interface（CGI）の脆弱性を悪用し、侵害したシステムにCobalt Strikeリバースプロキシをインストールしたと、CiscoのTalos脅威インテリジェンスグループが3月の分析で述べています。

「我々のC2（コマンド＆コントロール）サーバーのアーティファクト分析によれば、攻撃者は主に日本のテクノロジー、通信、エンターテインメント、教育、eコマースなど多様な業種の組織を標的にしていることが分かりました」と分析は述べています。

同時に、日本は攻撃的な能力を強化しており、5月にはアクティブサイバーディフェンス法が可決され、「同国のサイバーセキュリティ戦略における重要な転換点」となったと、サイバーセキュリティ政策・法律センターの分析は述べています。この法律は、重要インフラ事業者にサイバーセキュリティインシデントの政府への報告を義務付け、政府に外国からのインターネット通信を傍受する権限を与えます。

同法はまた、「厳格な監督の下で、政府機関が有害な影響が出る前に疑わしいサイバー活動を監視・対応する権限を付与する」と分析は述べています。計画中のサイバー評議会は、政府機関と民間パートナーのハブとして機能します。

緊張の高まりとサイバー攻撃の増加

日本は、より大きな脅威に直面する中で強固なサイバー防衛の確立を急いでいます。トレンドマイクロによれば、ラザルスグループなど中国や北朝鮮の脅威アクターが、米国や西側諸国との同盟関係を理由に日本を標的にしている一方、同国の堅調な経済はサイバー犯罪者を引き寄せる傾向があります。

3月には、日本の通信大手NTTコミュニケーションズが情報漏洩の被害を受け、1万8000社および不明数の個人のデータが侵害されました。一方、政府はMirrorFaceとして知られる5年間にわたるキャンペーンに直面しており、政策専門家、政治家、学者から情報を盗み、脆弱性を悪用し、認証情報をフィッシングしようとしています。

日本のセキュリティ組織も他国同様、製品やサービスに特化した縦割りの視点を捨て、攻撃チェーン全体の可視性を高め、高度な自動化やAI機能で能力を補強する必要があると、トレンドマイクロのクレイ氏は述べています。

「政府や企業はサイバーセキュリティの導入方法を見直す必要があります」と彼は言います。「より積極的なアプローチを採用することで、組織は自らの攻撃対象領域全体をより詳細に把握できるようになるでしょう。」