中小企業に向かうサイバー攻撃 何を狙っているのか

企業を狙うサイバー攻撃は実に巧妙だ。攻撃相手をよく研究している。中小企業を狙う攻撃にはどのような特徴があるのだろうか。

[Matt Kapko，Cybersecurity Dive]

　過去1年間、高度持続的脅威（APT）を用いた標的型フィッシング攻撃が中小企業に大きな影響を与えている。

攻撃グループは何を狙っているのか

　Proofpointの研究者が2023年5月24日に発表したレポートによると（注1）、APTを用いる攻撃グループの行動にはある特徴が見つかった。

　APTグループが攻撃する中小企業の種類は多岐にわたるものの、地域のマネージドサービスプロバイダーに対する攻撃が増えていた。サービスを利用する数百の下流の企業に影響を与えるサプライチェーン攻撃の可能性があるという。

予算不足で踏み台にされる中小企業

　Proofpointのマイケル・ラッジ氏（脅威リサーチエンジニアスタッフ）は次のように述べた。「中小企業はこれまで事業環境を維持する十分なサイバーセキュリティ予算を確保できていない。中小企業は国家と連携したAPT攻撃（フィッシング攻撃）の主要な標的になった」

　ロシアやイラン、北朝鮮と関連するAPTグループが、中小企業を対象に国家主導の金融窃盗やスパイ活動、知的財産の盗難、破壊的攻撃、偽情報キャンペーンを継続しているという。

　Proofpointは2022年の第1四半期から2023年の第1四半期までに実施した20万社以上の中小企業に対する遠隔測定の結果を分析し、報告書にまとめた。報告書はサイバー当局が「標的が豊富でリソースが乏しい」と表現する中小企業のような組織が直面している根強い脅威を浮き彫りにした（注2）。ただし、Proofpointは攻撃活動の年間比較の数値を提供していない。

　APTの攻撃者の狙いは中小企業そのものでない場合がある。まず中小企業のインフラを侵害して、マルウェアを設置したり、配信したりする。その後、米国や欧州の政府機関や金融機関を標的としたフィッシングキャンペーンを実行する。

マネージドサービスをてこに攻撃を広げる

　もう一つの攻撃パターンは、APTの攻撃者が脆弱（ぜいじゃく）なマネージドサービスプロバイダーを標的にしてサプライチェーン攻撃を開始するというものだ。

　「連携アクセスやエンドターゲットとなる組織の上流プロバイダーへの注目が高まることは、SolarWinds事件のようなサプライチェーン攻撃に続く論理的な帰結だ。つまり、今回見つかった攻撃は、完全に新しいものというわけではない。攻撃者は脆弱な中小企業の環境向けにフィッシングキャンペーンで使った既存の戦術を拡大しているようだ」（ラッジ氏）

出典：SMBs, regional MSPs under fire from targeted phishing attacks（Cybersecurity Dive）

注1：Account Compromise, Financial Theft, and Supply Chain Attacks: Analyzing the Small and Medium Business APT Phishing Landscape in 2023（proofpoint）

注2：CISA aims for target rich, resource poor sectors in rollout of security basics（Cybersecurity Dive）