「サイバー攻撃の世紀」、21世紀25年の戦術・技術・手順のトレンド

最初に本稿の執筆にはAIを利用したことを明記しておく。発端は、編集部から提案された、年代ごとのセキュリティ動向を技術的な攻撃、社会的な攻撃で分類してみるというアイデアからだ。添付されたChatGPTによる出力サンプルが興味深かったので、これをもとに少し掘り下げてみることにする。

2000年代からの年代別サイバー攻撃について、さらにMITRE ATT&CKのTTP（戦術・技術・手順）ごとの分析も行った。年代ごとの特徴や変化を考察してみたい。

編集部のアイデアは、横軸として2000年代から2020年代の現在までのセキュリティ動向やトピックを挙げてもらい、それをテクノロジー寄り、組織・社会寄りのどちらか（縦軸）を一覧にするというもの。結果はテキストベースだが、図にすると以下のようになるものだった。

APT（Advanced Persistent Threat）はもともと米空軍が使いだした用語といわれており、2000年代前半から議論が始まった。このころは、米中ロが、サイバー軍の創設やサイバー攻撃を軍事行動とみなす議論を始めたころと重なる。そして、2010年にはイスラエル・米国が関与したといわれているイランの核施設へのサイバー攻撃（Stuxnet）が起きている。以降、制御システムや重要インフラのセキュリティ対策が、サイバーセキュリティの重要項目のひとつになっている。

社会的にはフィッシングサイトによるパスワード窃取攻撃が広がりを見せていた時代だ。フィッシング詐欺は現在でも主要なサイバー攻撃をなすもので、つい最近、日本で問題になった証券口座の乗っ取り事件は、被害者の多くがフィッシングサイトに、またはパスワードの使いまわしによるリスト型攻撃によるアカウント奪取が原因とされている※。

※NHK NEWS WEB　WEB特集「相次ぐ証券口座乗っ取り 被害者のパソコン解析で分かったこと」　https://www3.nhk.or.jp/news/html/20250520/k10014808601000.html

2010年代に入ると、企業へのサイバー攻撃の深刻度が増した。フィッシングやランサムウェアなどによって情報漏洩、サーバダウン、業務停止などが日常となってしまった。ゼロトラストセキュリティが2010年代となっているのは、Forrester Researchのジョン・キンダーバーグ氏の論文でこの概念が発表されたのが2010年だからだ。境界防衛の限界は、このあたりから認識され始めたと考えられる。

境界防衛からエンドポイントセキュリティ（EDR）、さらには監視・モニタリングによるセキュリティ体制および技術が動き出した。

サイバー攻撃の拡大により、セキュリティ対策は特定の大企業やITプラットフォーマーの課題ではなく、あらゆる企業に必須の経営課題のひとつになった。CISO（最高情報セキュリティ責任者）やGDPR (EU一般データ保護規則)は、企業がサイバーセキュリティに本腰を入れて取り組まなければならなくなったことを示すものだろう。サイバー攻撃によって経営責任が問われる事態が増えるにつれ、経営層、ボードメンバーの積極的関与が避けて通れないものとなった。

CISOはお題目だけのセキュリティ対策との決別を示すものだったと言える。とくに個人情報やプライバシー情報の扱いは、人権にもかかわる問題に発展しがちで、たとえサイバー攻撃の被害企業であっても、扱い方によっては経営者の責任が糾弾される。GDPRなど個人情報保護対策が強化・法制化されたことで、企業側の意識も変わってきたわけだ。

ゼロトラストセキュリティは2010年に提唱されたが、一般に認知されシステムとして実装が進んだのは2020年のCOVID-19のパンデミックからだ。ロックアウトによるリモートワークが、企業や業務スタイルとして定着すると、いよいよ、インターネット・イントラネットという考え方が無意味なものとなってきた。MDM（モバイルデバイス管理）やBYODといった用語は、個人端末をどう制限するかから、どう活用し業務に組み入れるかがポイントとなった。

2020年代のもうひとつの大きな動きとしてAIを無視するわけにはいかない。機械学習と画像処理プロセッサ（行列演算プロセッサ）の組み合わせがブレイクスルーとなり、AIの機能を飛躍的に上昇させた。深層学習や敵対的強化学習といった機械学習モデルが大規模言語モデルに発展していった。進化するAIは、攻撃者にも防御側にもさまざまな恩恵と影響を与えた。XDR（Extended Detection and Response）のような複合的かつ包括的な監視エージェント、複雑化するソフトウェア資産の管理（脆弱性情報含む）はAIによる自動化支援なしに有効に機能しないと言える。

SBOM（ソフトウェア部品表）やポスチャーマネジメントの考え方は、複雑化するシステムの行き過ぎたブラックボックスを可視化する取り組み。NISTがセキュリティフレームワークとして2010年代に確立させたCSF（重要成功要因）を2024年にVer2.0に改訂したのも、サイバーセキュリティをこのような多様性、複雑化に適応させる必要があったからに他ならない。

次に年代別の主要トピックについて解説する。これは実際に観測されたサイバー攻撃の戦術・技術・手順（TTP）をまとめたフレームワークであるMITRE ATT&CKに基づき、ChatGPTに抽出させたトピックスから整理したものである。

2000年代に多く見られた攻撃パターン（TTP）は、フィッシングやサーバの脆弱性を使い初期アクセス（Initial Access）を行い、VBScriptやブラウザなどのアプリケーションの脆弱性を利用した攻撃（実行：Execution）を行う。永続化（Persistence）はレジストリを利用し、防御回避（Defense Evasion）には名前偽装、難読化が用いられた。

総じてサイバー攻撃は技術的なハッキングやマルウェア技術が先行するタイプが多かったと言えるだろう。

2010年代に入ると、Stuxnetが口火を切る形で国家支援型のAPT攻撃が現実のものとなり各国でAPTグループの事例報告が増えた。

初期アクセスは標的型メールやアカウント情報窃取による乗っ取りが一般化する。ワナクライやNotPetyaなどのランサムウェアやAPT攻撃には、C2サーバが不可欠となり、HTTP/Sトンネリングやプロキシ技術も多用された。APT系のサイバーキルチェーンで重要な権限昇格（Privilege Escalation）にはプロセス注入やさまざまな脆弱性、機能の不正利用が行われた。

横展開（Lateral Movement）にはSMBやRDP（リモートデスクトッププロトコル）など内部的な管理プロトコルが利用されている。

2010年代の主要なインシデント（Impact）は制御システムへの攻撃とランサムウェアと言っていいだろう。

2020年代は、ランサムウェア攻撃が一気に企業に広がった。個人PCへの脅迫から、金融機関、病院、インフラ事業者などへの脅迫に移り、攻撃の悪質化と被害総額が跳ね上がった。アンダーグラウンドには、ランサムウェアサービスのエコシステム、RaaS（Ransomeware as a Service）と呼ばれるプラットフォームが構築されている。攻撃が増えたからRaaSができたのか、RaaSができたら攻撃が増えたのかの因果関係は不明だが、RaaSはサイバー攻撃のインフラとして機能している。

初期アクセスでは、手法としてはフィッシングなどに大きな変化はないが、標的を直接狙うのではなくサプライチェーンを狙うようになった。COVID-19以降のリモートワークやゼロトラストを逆手にとり、VPNやRDPもメジャーな攻撃ポイントとなった。

システムのクラウド化の拡大により、クラウドサービスや企業システムの認証情報（Credential Access）の奪取も現在のサイバー攻撃の特徴と言える。サーバにハッキングをしかけるより、アカウント情報やセッションキーを狙い、システムに侵入する。SSO（シングルサインオン）やIdP（アイデンティティプロバイダー）、IAM（IDとアクセス管理）などは攻撃者にとって貴重な攻撃リソースとなっている。

各地の紛争や戦争は、APT攻撃や、フェイクニュースおよびプロパガンダを拡大させている。本来、金銭目的の攻撃ではなかったDDoS攻撃が組織的に行われるようになったのも2020年代の特徴だ。また、ランサムウェアはデータ破壊型（暗号化）から窃取データの公開、販売による脅迫に変化している。これは、ランサムウェアが、BEC（ビジネスメール詐欺）のような詐欺犯罪として、犯人との交渉・接触をともなう（※）劇場型にシフトする可能性を示唆している。

※Kadokawa Group「ランサムウェア攻撃による情報漏洩に関するお知らせ」https://www.kadokawa.co.jp/topics/12088/

以上のように攻撃者視点のTTPによる分析でも、2020年代の複雑化、多様化は確認できる。サプライチェーン攻撃の深刻化、ランサムウェア攻撃が暗号脅迫から暴露脅迫へのシフト、経済摩擦や国際紛争・戦争を背景とした攻撃など、社会生活、経済活動とサイバー攻撃が複雑に絡み合う世界観が一般化しつつあるようだ。

主な特徴: ウイルス・ワーム・スパム・初期APTの登場。Windows XP時代の脆弱性が多く悪用。

主要な技術分類（MITRE ATT&CK）：
* Initial Access（初期アクセス）
T1566: Phishing（フィッシング）
T1190: Exploit Public-Facing Application（公開サーバの脆弱性悪用）
* Execution（実行）
T1059: Command and Scripting Interpreter（バッチ・VBScriptなど）
T1203: Exploitation for Client Execution（ブラウザ/Office等）
* Persistence（永続化）
T1547.001: Registry Run Keys（レジストリ永続化）
* Defense Evasion（防御回避）
T1027: Obfuscated Files or Information（難読化）
T1036: Masquerading（名前偽装）

社会的事件例：
* 2001年 Code Redワーム／Nimdaワーム（IIS脆弱性）
* 2003年 Blaster、Sasser（Windows RPC脆弱性）
* 2007年 Stormボットネット（フィッシング+P2P C2）

主な特徴: APT攻撃の本格化、標的型メール、クラウド利用増、ランサムウェア拡大

主要な技術分類：
* Initial Access
T1566.001: Spearphishing Attachment（標的型メール）
T1078: Valid Accounts（正規アカウントの乗っ取り）
* Command and Control（C2通信）
T1071.001: Web Protocols（HTTP/Sトンネリング）
T1090: Proxy（中継を使ったC2）
* Privilege Escalation
T1055: Process Injection（プロセス注入）
T1068: Exploitation for Privilege Escalation（ローカル権限昇格）
* Lateral Movement（横展開）
T1021.002: SMB/Windows Admin Shares
T1021.001: Remote Desktop Protocol (RDP)
* Impact（影響）
T1486: Data Encrypted for Impact（ランサムウェア）

社会的事件例：
* 2010年 Stuxnet（インダストリアル制御系）
* 2013年 Target社情報漏洩（サプライチェーン＋POS）
* 2017年 WannaCry（EternalBlue悪用）
* 2017年 NotPetya（ウクライナを標的）

主な特徴: サプライチェーン攻撃、ゼロトラスト対抗、クラウド特化攻撃、深層偽造（Deepfake）も台頭

主要な技術分類：
* Initial Access
T1195: Supply Chain Compromise（サプライチェーン）
T1133: External Remote Services（VPN/RDP）
* Credential Access（認証情報奪取）
T1555.003: Credentials from Web Browsers
T1556: Modify Authentication Process（SSO/IdP改ざん）
* Cloud-specific
T1526: Cloud Service Discovery
T1078.004: Cloud Accounts（クラウド認証情報）
* Impact
T1499: Endpoint Denial of Service（DDoS）
T1565.001: Data Manipulation（データ破壊・改ざん）

社会的事件例：
* 2020年 SolarWindsサプライチェーン攻撃（APT29／UNC2452）
* 2021年 Colonial Pipeline事件（DarkSideによるランサム）
* 2022年 Oktaへの攻撃（LAPSUS\$）
* 2023年 MOVEit Transfer脆弱性悪用（CL0Pランサムグループ）