●日本を狙う不気味なDDoS攻撃
昨年末(2024 年 12 月)以降、DDoS攻撃(ネットワークに大量のアクセスを意図的におこなわせてサービスを妨害する攻撃、分散型サービス拒否攻撃)の攻撃事例が多くの報道でも取り上げられています。さまざまな銀行や決済サービス、また日本気象協会などの主要な組織に対して攻撃が行われ、攻撃ボリュームは過去最大級に達していることが確認されています。
また攻撃は、単純なリフレクション攻撃とは異なり、セキュリティ担当者が対応をおこなうと違うレイヤを用いて攻撃がされます。レイヤ 3/4(Syn/Ack/UDP/GRE Flood)やさらにレイヤのあがったレイヤ7(HTTP/HTTPS)の異なる複数の層への攻撃を柔軟に切り替えた洗練された手法が用いられたため、セキュリティ担当者はマニュアルで対応策の切り替えをおこなうことを余儀なくされました。また攻撃元もさまざまな国から分散して攻撃が行われています。さらに、攻撃者は経路に CDN (DDoS攻撃対策製品)がない経路を使い、攻撃対象となるオリジンサーバーの IPアドレスを事前に調べてそこを直接狙ってきており、入念な下準備をした上で攻撃を仕掛けていることが分かります。
また通常、ハクティビスト(政治的・社会的な主張を目的とするハッカー集団)は DDoS攻撃後に犯行声明を発表し、自らの主張を広めようとしますが、今回の攻撃ではそうした動きが一切見られません。今回の DDoS攻撃はこれまでのところ犯行声明が見当たらず、その意図や背後関係が不明であることが、より不気味な要素となっています。
●爆増する世界のメール脅威
この不気味な DDoS攻撃の影で、メールの脅威が増大しています。プルーフポイントは世界のメールトラフィックのうち 4 分の 1 を守る、世界で最大のメールセキュリティベンダです。そのプルーフポイントの脅威インテリジェンスからみた統計データからは、2022 年 2 月のウクライナ侵攻以降、メール脅威が爆発的に増加したことが分かります。
ウクライナ侵攻の前年 2021 年の新種メール攻撃ボリュームの月間平均は 3800 万通だったのに対し、侵攻後はその約 2 倍から 4 倍のボリュームが続いており、減少することなく高水準を維持していることが確認されています。つまり地政学上の緊張がまさにサイバー攻撃に如実に表れている例となっています。では、不気味な DDoS攻撃が続く昨年末以降、メールの攻撃はどうなっているのでしょうか。
これを見ると、2024 年 12 月の新種メール脅威の量は、2023 年の月間平均値 9600 万通と比較し、その 2.7 倍の 2 億 6200 万通となり、2025 年 1 月は 5.4 倍の 5 億 2000 万通、2 月は 6 倍の 5 億 7500 万通となり、この攻撃ボリュームは本ブログの執筆時点(2025 年 3 月 20 日現在)でも継続されていることが確認されています。
また分析から、多くの攻撃は認証情報を狙うクレデンシャル・フィッシングで占められていることが分かります。コロナ禍を経て、クラウドサービスが一気に加速化しました。現在、企業や個人のデータは端末ではなくクラウド上に保存されることが一般的になっています。攻撃者はデータを狙います。クラウドにあるデータにアクセスするために、攻撃者はクラウドサービスにログインするためのクレデンシャル・フィッシング攻撃を仕掛けていることが分かります。クラウドサービスの普及により、企業が保持するデータの多くがクラウド上に移行した結果、攻撃者はメールアカウントの乗っ取りを通じて、Microsoft 365 や Google Workspace などの各種クラウドサービスに不正アクセスし、情報を窃取しようとする傾向が強まっています。
●今、日本が一番狙われている
ではこの爆増した攻撃がどこに向かっているのかを見てみましょう。プルーフポイントでは、攻撃の塊を攻撃キャンペーンとして定義しています。その分析結果から、なんと全世界のメール脅威のうち、1 月は 69.5 %、2 月は 80.2 %が日本をターゲットにしていることが分かりました。
2025 年 2 月は、合計 709 の新種メール攻撃キャンペーンを観測していますが、そのうち 49 の攻撃キャンペーンが日本をターゲットにしています。攻撃ボリューム数が多いトップ10 のキャンペーンのうち 9 つが日本をターゲットにしており、日本を攻撃しているキャンペーンのボリュームが特に多いことが分かります。これら日本を狙っている攻撃のほとんどは、プルーフポイントのリサーチャーによって特定された CoGUI と呼ばれるフィッシング・キットを使っています。高度な検知回避機能を持つフィッシング・フレームワークで、主に日本のユーザーが狙われていました。日本以外にも、オーストラリアやニュージーランド、カナダ、米国など海外も標的にしていることが確認されています。このキットは、ジオフェンシングやヘッダーフェンシング、フィンガープリンティングといった高度な検知回避テクニックを備えているために、特定の地域のユーザーを狙うことが可能になっています。
●なぜ、日本が狙われるのか
なぜ日本が今、狙われているのか?それには大きく分けて3つの要因があると考えます。
1. AI の発展により、言語の壁が消失した今、日本への攻撃がより容易になっています。以前は不自然な日本語やフォントで詐欺メールの受け取り手が簡単に気づくことができており、これが海外からの詐欺から日本人を守る強力なバリアとなっていました。しかし、生成AI が流暢な日本語を大量に生成できるようになり、詐欺メールを受け取った人が文法やフォントなどから詐欺と気づくことが難しくなっています。AI による流暢な日本語生成の影響で、メール詐欺の成功率が上昇していると考えられます。
2. このようにして日本の防御の壁が薄くなった今、投資対効果高いターゲットとして日本が浮上したと考えられます。日本企業の知的財産は世界的に見ても価値が高く、攻撃者にとって魅力的な標的です。また日本人の個人情報(住所、氏名、年齢、電話番号、メールアドレス、クレジットカード情報、医療データ)はアンダーグラウンド市場で高値で売買されることから、個人に関する情報も狙われていると考えられます。
3. さらに、不気味な DDoS攻撃のタイミングと合わせて日本へのメール攻撃が増えていることを加味すると、外国政府主導による軍事的・戦略的な攻撃である可能性も考えられます。たとえば、中国による台湾有事を見据えた準備攻撃や、ロシアへの経済制裁に対する報復としての攻撃が考えられます。
ロシアによるウクライナ侵攻時のサイバー攻撃を例にとってみても、DDoS攻撃がきたあとに破壊の攻撃が繰り広げられました。また企業に対するランサムウェアの前段で DDoS攻撃がおこなわれることがよくあります。DDoS攻撃は単なるサービス妨害ではなく、組織の内部侵入やランサムウェア攻撃の前段階として利用されるケースが増えています。つまり DDoS は単なる陽動作戦であり、その上で本丸の攻撃が展開されている可能性があります。DDoS への対応にセキュリティ担当者の注意を引き付け、その間に組織の中に入り込むためにメール攻撃がおこなわれているかもしれません。メールを起点としたランサムウェア攻撃はあとを絶ちません。またランサムウェアよりさらに厄介なのはメールを起点に侵入され、気づかない間にずっと情報を吸い取られ続けることです。
●国家安全保障への影響と今後の対策
現時点で、サイバー攻撃は単なる犯罪行為として捉えられがちですが、重要インフラを標的にした攻撃は、個々の犯罪ではなく、国家安全保障上の脅威として捉えるべき重大な脅威です。そのような中、現在国会では能動的サイバー防御の審議が進んでいます。今後はさらなる官民連携と国際的な情報連携、また経済制裁と同等の力を持つサイバー抑止力が必要となり、安全保障の面からもサイバー戦略を包括的に検討する必要があります。
