2024年に発生したサイバー攻撃の事例や、総合セキュリティソフトESETによる日本国内および全世界で検出されたマルウェアなどを解説した、2024年サイバーセキュリティレポートです。
本レポートでは、ランサムウェア攻撃の最新動向や2024年にフィジカル空間で話題となった匿名・流動型犯罪グループによる窃盗事件の犯罪スキームを取り入れた新たなランサムウェアの攻撃スキームの可能性、「攻撃者の悪用」と「ビジネス利用」の視点による生成AIのリスクと対策など、2024年のサイバーセキュリティの脅威を、サイバーセキュリティラボ独自の視点から深堀り分析し、効果的なセキュリティ対策の強化につながる情報をまとめました。

トピック

• 第1章：2024年のサイバーセキュリティ脅威について

2024年にESET製品で検出された脅威に関する、検出数の月別推移や検出数TOP10、ファイル形式別・カテゴリー別の検出統計に加えて、国内におけるセキュリティトピック、今後推奨されるセキュリティ対策を解説します。

2024年の日本国内におけるマルウェア検出数は2月以降高い水準を維持しています。検出数TOP10の検出名を「アドウェア」「詐欺を目的としたマルウェア」「ダウンローダー」「その他」の4種に分類すると、「詐欺を目的としたマルウェア」が最も多く検出されています。その理由として、不特定多数のユーザーを狙った配布方法とフィッシングの多さが挙げられます。
例えば、3位の「HTML/Phishing.Agent」は電子メールの添付ファイルやWebサイトとして配布されます。フィッシング対策協議会の月次報告書においても、フィッシングサイトの報告件数は高い水準を保っています。

マルウェア以外の脅威では、昨年から順位を上げ検出数3位の「HTTP/Exploit.CVE-2021-41773」は、2021年に確認されたApache HTTP Serverのパストラバーサルの脆弱性を悪用した攻撃の検出名です。「Androxgh0stマルウェア」がこの脆弱性を悪用していることを、FBIと米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）が2024年に報告しています。
Androxgh0stマルウェアは、ボットネットを形成し、Amazon Web ServiceやOffice 365などのサービスの資格情報を窃取します。また、2024年上半期サイバーセキュリティレポートで急増による注意喚起を行った「PHP_CVE-2024-4577」は、9位から4位に順位を上げました。脆弱性が公開された6月から9月に集中して検出しており、短期間に攻撃が行われていたことが分かります。

• 第2章：移り変わるランサムウェア攻撃　～フィジカル空間の犯罪スキームを取り入れて進化する攻撃体制の考察～

ランサムウェア攻撃の被害件数とESET製品による検出数、最新の攻撃スキームと手口、フィジカル空間の犯罪スキームを取り入れた新たな攻撃スキームの可能性、そしてそれらへの対策について解説します。

現在のランサムウェア攻撃は分業化が進み、RaaS（Ransomware as a Service）やイニシャルアクセスブローカー、Botnet Master、ミキシングサービス、盗難データの販売仲介による1つのエコシステムが形成されており、攻撃のサイクルが加速しています。また、ランサムウェア攻撃の被害が高水準で推移している中、2023年以降ノーウェアランサムと呼ばれる新しい手法による被害も確認されています。ノーウェアランサムはファイルの暗号化を行わず、窃取したデータの公表を脅迫材料に使う手法です。その背景には、従来のランサムウェア対策が進んだことや、攻撃のステップを減らすことで攻撃のサイクルを早めて効率良く収益を上げる狙いがあります。
さらに、将来的に起こりうるランサムウェア攻撃の手法として、2024年に話題となったトクリュウ（匿名・流動型犯罪グループ）による闇バイトを利用した窃盗事件の犯罪スキームが応用される可能性が考えられます。トクリュウは、SNSや求人サイトを通じて緩やかに結びついたメンバーが役割を細分化しながら活動しています。収益を得る中核的人物は匿名化され、末端の実行犯を入れ替えながら活動を行うため、組織の把握やメンバーの特定が難しい特徴があります。ランサムウェア攻撃にトクリュウを応用された場合、フィジカル空間における強盗や窃盗と比較すると、サイバー空間の犯罪では、実行犯のメンバーは犯罪行為をしている意識がより一層低くなる可能性が挙げられます。

• 第3章：スレットハンティングで検出した2024年のサポート詐欺サイトについて

近年のサポート詐欺の攻撃手法の概要、画面ロックツールを用いた新たな攻撃手法、組織における被害事例、対策について解説します。

偽の警告画面を表示して不安を煽り、サポートセンターと称する電話番号に連絡させ、高額の金銭を要求したり、遠隔操作ツールをインストールさせたりする手口をサポート詐欺といいます。サポート詐欺は継続して被害が報告されており、その数は年々増加しています。
2024年には、正規の商用遠隔操作ツールを悪用して画面をロックさせる新たな手口が報告されています。ロックされた画面には偽のサポートセンターへ電話を促す表示がされます。またこの手法は、悪性サイトから意図せずダウンロードした不審なファイルを実行することで攻撃者による遠隔操作が行われるため、従来のWebブラウザーを閉じる対処ができない点に注意が必要です。

さらにサポート詐欺は個人だけでなく、一般企業などの組織に対する被害も多数発生しています。2024年には、商工会にてマイクロソフト社の社員をかたる犯人が業務用パソコンに遠隔操作ソフトをインストールし、3回にわたり合計1,000万円を送金させた事例や、ドラッグストアではオンラインストアで過去に買い物をした顧客情報および従業員情報が漏えいした可能性が報告された事例が確認されています。

• 第4章：生成AIの関わる脅威・リスク　～業務活用を行っていくために～

「攻撃者の悪用」と「ビジネス利用」の視点による生成AIのリスクとそれぞれの対策、業務活用の具体的な事例について解説します。

2024年もさまざまな生成AIが発表され、その普及に伴い、利用開始・導入を検討している組織も増加しており、ビジネスに革新と効率化をもたらすことが期待されています。その一方、生成AIにはさまざまなリスクが存在します。攻撃者の悪用におけるリスクとして、フェイクコンテンツとサイバー攻撃が挙げられます。フェイクコンテンツの事例では、2024年のアメリカ大統領選挙の際に偽の音声や画像が情報工作に利用されました。また、サイバー攻撃の事例では、国内において生成AIを利用してマルウェアを作成し摘発された事例も確認されています。
ビジネス利用におけるリスクの例としては、APIなどで導入したサービスを利用して、顧客が生成AIへ入力を行う場合、意図的に悪意のあるプロンプト（入力）を与えることでAIが意図しない動作や結果を引き起こす攻撃手法である「プロンプト・インジェクション」によって、不正な指示を与えて誤動作させ、公開すべきでない情報が引き出されるリスクが挙げられます。

• 第5章：サイバー攻撃被害情報の共有と公表のあり方について

「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の概要説明に加えて、実際に発生したサイバー攻撃インシデントをケーススタディとして、組織や団体のインシデントに関する情報の共有と公表について考察します。

2023年3月に総務省、内閣官房内閣サイバーセキュリティセンター、警察庁から「サイバー攻撃被害に係る情報の共有・公表ガイダンス」が公表されました。このガイダンスは、2020年から2022年にかけて複数発生したサイバー攻撃事案において、被害公表や取引先への通知の遅れが問題視され、メディアからの批判が相次いだことを受け、被害組織の保護や攻撃被害の拡大防止を目的として策定されました。このガイダンスでは、サイバー攻撃被害に関する情報を「情報共有」と「被害公表」に分類し、攻撃に関する情報（攻撃技術情報）と被害に関する情報（被害内容・対応情報）を整理しています。有事の際、判明している情報をこのガイダンスに沿って整理することで、意思決定のための社内での関係部門との情報共有やステークホルダーへの被害公表を効果的に行えるなど、非常に有効なガイダンスとなっているため、規模を問わずあらゆる組織において活用を推奨します。

詳細レポートは、下記よりダウンロードしていただきご覧ください。