The latest cyberattacks in Japan

Name: The latest cyberattacks in Japan
Uploaded: 2023-05-26T02:00:00.000Z
Duration: 29 min 29 s
Description: This show features Cloudflare Evangelist, Harunobu Kameda breaking down the latest news and information on DDoS and cyberattacks in Japan.

Presented by Harunobu Kameda

Originally aired on June 5, 2023 @ 11:30 PM - 12:00 AM EDT

This show features Cloudflare Evangelist, Harunobu Kameda breaking down the latest news and information on DDoS and cyberattacks in Japan.

Japanese

Transcript (Beta)

みなさんこんにちは音画面大丈夫でしょうかクラウドフレアジャパンエヴァンジェリストのカメラと申します最初のご挨拶だけちょっと顔を出させていただきますかねみなさんこんにちはクラウドフレアジャパンエヴァンジェリストのカメラと申しますこれから30分ですねこのクラウドフレアTVというチャンネルで普段は英語を中心としたセッションになっているんですけども日本語で日本のサイバーセキュリティの最新情報についてメッセージをお届けしたいと思っておりますよろしくお願いいたしますサイバーセキュリティと言いましても非常に幅広い領域があるわけですけども今日は特にその中でもランサムウェアの日本における最新の状況それから新しく観測されつつあるDDoSランサムウェアというDDoS攻撃についてお話をしていきたいと思いますまず本題に入る前にお約束ですけども手前でもビジョンですねTo help build a better Internetインターネットが我々のビジネスや生活に使われるようになって約30年が経過していますけども当初思い描いたよりインターネットはいいものになっていないという現実もありますもともとEメールもそうですがインターネットは接続しようと思えば誰でも接続できるとこれを実現させるためには生前説に基づいてネットワークやプロトコルを設定せざるを得なかったからこそさまざまな悪意を持った通信が紛れ込みやすくなっているという状況ですクラウドフレアはそのインターネットの現状を踏まえより安全に認証暗号化などさまざまなセキュリティの機能を企業のネットワークではなくインターネットそのものに実装していこうとこういったことに挑戦している企業です現在設立13年目ですがインターネットトラフィックの約20%を管理している状態になっています我々グローバルでエッジのデータセンターを多数展開しているんですが285都市以上 100カ国以上に複数のデータセンターを保有しています日本だと東京大阪それから福岡沖縄この4拠点に10カ所のデータセンターを展開していますそして世界中のエッジがローカルのISP やクラウドサービスプロバイダーと直接連携することによって皆さんの通信をより効率よくクラウドサービスやデータセンターに送り届けるということをやっていますクラウドフレア全体が保有しているネットワーク相対域192テラBPSとなかなかの高帯域になっていますこの数字自体は普段あまり会話に出てきませんので少し比較指標が必要なんですが日本の平常時のインターネット通信帯域が192テラBPSではなく 30テラBPS弱というふうに言われていますそういったことを考えるとこのクラウドフレアのネットワークがグローバルでいかに巨大な帯域を保有しているかというのがご想像いただきやすいかと思いますがまず皆さんの通信をクラウドフレアは一度ここで受け止めますユーザーが皆さんのデータセンターや皆さんのウェブサーバーにアクセスしようとする際正しい通信攻撃の可能性のある通信両方ともクラウドフレア側のほうで一度受け止めますそこで攻撃のある通信悪意のある通信を検知しドロップし正しい通信だけを皆さまのもとに送り届けるそれがクラウドフレアのサービスの基本的な構想になっています保護すべき対象がL7 ウェブサーバーなのであればもちろんCDNによるキャッシュを中心とした高速化プロトコルの最適化に加えてその中で同じデータセンターで DロスやBot対策 WAF ロールバランサーなどが動くというのが特徴です一方保護すべき対象がL3 L4 つまり TCP UDP IPなどの通信であればまずクラウドフレアのエッジのネットワークと皆さんのデータセンターを IPセックなどの形でセキュアな状態で接続いただきますそうすることによって直接インターネット経由から悪意のある通信が皆さまのデータセンターに直接入らないようにまずしますそしてクラウドフレアがすべての通信を受け止め必要なセキュリティの処理を施すとセキュリティの処理を施した後皆さまのデータセンターへ通信をルーティングするわけですけどもインターネットにはどうしても複装遅延というものが定期的に発生しますクラウドフレアはアルゴリズムアルゴスマートルーティングというサービスによってインターネット上の複装遅延を動的に検知しそこを回避して通信を皆さんの指定した場所まで送り届けるというサービスをご提供していますそれから3点目今ほぼすべての企業がSaaSを何がしかの形で使っているかと思いますがその場合クライアントからSaaS へのサービスの通信というのはクラウドフレアのネットワークを通らず直接接続されるケースがありますそういった場合その通信を保護するために Windows Mac Linuxなどクライアントの端末に常駐のアプリをインストールいただきそれがアクセスしていいサイトアクセスしちゃ駄目なサイトのようなリストをもとにユーザーの通信を制御したり DLPの機能つまりユーザーが何か変なファイルをアップロードしているもしくはダウンロードしているそういったようなものを監視することができるようになっています従来の企業にくっつくタイプのセキュリティ対策の一例ですが例えば DDoS であればスクラビングセンター方式というものがありますこれは DDoS の通信をドロップする専用のデータセンターというものを作っておきそこに一度正しいもの攻撃のトラフィック全てのトラフィックを受け止めますそこで必要な検知をして悪意のあるパケットをドロップし正しいトラフィックだけを指定された次のポイントにルーティングさせるわけですが当然ながら通信は複数のデータセンターを行き交うことになりますのでユーザーからすると通信が遅延するという状態になりますクラルフレアはその問題を防ぐために285都市以上に複数存在しているエッジのデータセンターで等しくDDoS攻撃 UF マルウェア対策などのセキュリティチェックを行ったあと同じ場所でCDNに通信パケットを乗っけて皆さんのオリジンまで送り届けるとこれがクラルフレアの基本的な構造になっていますそれからクラルフレアは非常に特殊な価格帯になっているのもある意味有名なんですが例えば Zone Apex いわゆるルートドメインですね www とかがつかない例えば camera.com とかそういったものをクラルフレア側のほうに預けていただけるのであれば CDNも含めて無料でご利用いただけます下りの通信料金も発生しないとこのため我々大量の無償ユーザーがいるわけですがその無償ユーザーはいわゆるフリーミアムモデルですねお金を払っている巨大な一部のエンタープライズ企業が間接的に多くの無料ユーザーを支えているそういった形になっているように見えますが実はクラルフレアの場合少し異なっていたりします無償のユーザーが増えれば増えるほど世界中で生まれる新しい攻撃の予兆を他のセキュリティベンダーに比べてクラルフレアはいち早く察知することができるようになってきますそれがいわゆるコミュニティーからのフィードバックというものなんですがこれを基に皆さまのご契約いただいているDOS WAF Bot対策などのサービスにパターンファイルシグネチャーとして素早くアップレートを行っていくこれがクラルフレアのメカニズムになっています例えば昨年WAFに携わるほぼ全員の方がログ4Jの対応にてんやわんやになったかと思いますが実はクラウド型のWAFベンダーの中で一番最初にログ4Jのパターンファイルをリリースしたのはクラウドフレアだというふうに言われていますその脆弱性がパブリックになってから1時間以内に一つのアップレートその後さまざまな攻撃が派生して生まれてきたわけですがその攻撃を検知して 6時間以内に追加で4つのアップレートをリリースしたということが後の統計として分かっていますクラウドフレアは直接ご契約いただかなくても実は弊社のホームページのほうでクラウドフレアレーダーというサービスでインターネットの状況を可視化できるようになっています現在インターネットの約20パーセントの通信を我々は管理しているわけですがその中の特に主要な線に通る通信などを中心にインターネットの状態を可視化していると例えば今どのような攻撃がリアルタイムで行われているのかそしてその攻撃の通信はどの国から出てどの国に対して発せられているのかその結果としてどの国でインターネットの複層遅延や大規模障害が起きているのかなどこういったものを無償で提供する皆さまにちょっとでもインターネットを安全に使っていただきたいとこれがクラウドフレアのビジョンになっていますさあここから本題にそろそろ入っていきたいと思いますが本日はランサムウェアおよびDロスの最新手口についてお話をしていきたいと思うんですがまず日本におけるランサムウェアの状況ですねこれは情報セキュリティ従来脅威2022と日本で出されている統計ですけども引き続き 1位および2位はやはり電子メールですランサムウェアによる被害標的型攻撃による機密情報の搾取ランサムウェアというのは念のため補足をさせていただきますと企業のネットワークに攻撃者が侵入し重要なデータを改ざんし暗号化をかけて読めないようにしてしまいますその後企業に通知をし元に戻してほしければお金を払いこれがいわゆるランサムウェア攻撃ですねこれがやはり引き続き攻撃手法の1位 2位になっていると企業の情報漏洩事案の91%は電子メール経由であるという統計も出ていますのでやはり電子メールといかに安全に付き合っていくかが重要なポイントになっていますそれから昨今騒がれ始めているここ数年ぐらいで出ているのがサプライチェーンの弱点を悪用した攻撃サプライチェーンアタックといわれるものなんですがこれはどういったものかといえば例えば大企業が維持しているグローバルのサプライチェーンマネージメントのシステムというのは複数のデータセンターや複数の国で存在している複数のサービスが動的に連携するこういった形になります時には自社だけではなく複数の企業が維持するシステムが連携すると複数の企業が維持するシステムが連携するということはどういうことかといえば異なるセキュリティポリシーのシステムが連携しているということですこのシステムが連携する数が増えれば増えるほど攻撃者からすれば攻撃するポイントサーフェイスアタックアタッキングサーフェイスみたいなものが増えていくわけですねつまりシステムがどこかで侵入されやすくなるということです実はこのサプライチェーン攻撃というのは大企業だけのものではなく実際の今の企業のネットワークでも起きつつあることです例えば今ほぼ全ての企業が何らかの形でクラウドサースイヤースパースなどを使い始めている状況ですけれども引き続きオンプレミスのシステム従来のデータセンターというのはやっぱり残っているケースがありますそうするとクラウド向けのセキュリティーサービス通信経路オンプレミス向けのセキュリティーサービス通信経路どんどん増えていくのでネットワークが複雑化していきますこれ自体は企業の皆さまの努力の結晶ですので決して否定されるべきものではないんですが攻撃者からするとこの点線の1 本1本が攻撃対象ですメンテナンス性は落ちていく一方で攻撃するポイントが増えていくということをこれはサプライチェーンアタックと似たような状況が企業単一のネットワークにも発生しているということなんですがクラウドフレアの場合もセキュリティーソリューションを企業のネットワークにくっつけるのではなくサース型 Azure Service型でインターネット側にくっつけましょうとインターネット上に巨大なセキュリティルーターを作っておきますのでそこに皆さまの通信を通してくださいとこれが基本コンセプトになっていますこうすることによって攻撃者からすると攻撃対象を皆さんのネットワークからクラウドフレアに一度移してしまうんですねそしてクラウドフレアは日々そういった攻撃と戦っていくとこれが将来的なネットワークの在り方であろうとわれわれは考えています Emailのセキュリティーですけどもゼロトラストネットワークアクセスゼロトラストというものを皆さま聞いたことがあるかと思いますがその考え方をEmailに適用しましょうというのがクラウドフレアが提供しているEmailセキュリティーサービスの基本コンセプトになっていますなぜゼロトラストを拡張するかというところなんですがメールというのは企業にとって最も重要な通信手段の一つになりますつまりメール自体も巨大なネットワークの一部しかも外部コミュニケーションの主なツールとして使われているそういう考え方ですであれば本来ネットワークを保護するべきコンセプトとして生み出されたゼロトラストネットワークアクセスゼロトラストネットワークアーキテクチャ言い方いろいろありますがその考え方はEmailにも適用できるはずだとこれが何がうれしいかこの後のスライドで少し話をしていきたいと思うんですがこの考え方が適用できるのであれば一つの管理者画面一つのシステムでネットワーク保護とE mailの保護が両方同時にできるはずだということですゼロトラストの基本的な考え方メールは信頼できないこれは通信もそうですねすべてのものをまず一旦信頼しないという前提に立つそれからメールに記載されるURLへの愛用例えばブラウザーがメールで記載されているURLにアクセスしようとした際の保護を通常のネットワークの保護と同じ手段を用いてやってしまいましょうこういった考え方です冒頭 DDoS クラビングセンター方式の中でも少しお話をさせていただきましたがクラウドフレアはルーティングなしで単一のデータセンターですべてのセキュリティ処理が行われるというのを一つの特徴としていますその中にはゼロトラストネットワークアクセスを実現するサービスブラウザーがどこへアクセスしているかをチェックするサービス Emailのセキュリティのサービス怪しいサイトにアクセスする際にはブラウザーをクラウドフレア側の中で動かす皆さんのPCの中ではなくクラウドフレアの中で動かして一度そのサイトにアクセスしてみるその結果として DLP どういったデータをブラウザーがサイトとやりとりをしているのかクレデンシャルや個人情報は入っていないのかそういったものをチェックするような機能が動きますこのトータルのセキュリティスイートのことを我々はクラウドフレア1と呼んでいるんですがその中でさらに Emailに特化したものがクラウドフレアエリア1というものですもちろんエリア 1だけ Emailセキュリティだけをまずは導入するということも可能ですが昨今の攻撃というのは非常に複雑化しており複合攻撃が増えていますので企業の問題があるのは事実ですができればまとめてさまざまな機能を導入いただくことで企業のセキュリティをトータルで保護するという考え方ですネットワークの通信と同じようにメールを保護しますので下の部分ですねまず全てを一度信用しないという前提に立ちますそして通信を出しているオリジナルのリクエスト元を検証しその後必要に応じてフィルタリングを行います悪意のある通信と判断できたものはそこでドロップしてしまうとその後検査を行いますそして怪しいものでも判断がしきれないものについては分離という機能を我々は提供していますブラウザーを皆さんのPCではなくクラウドフレアの端末で実行させてまずどういったデータのやりとりをしているかを動的にチェックし危ないかどうかを判断するとその結果として皆さまが安全にメールを受信できるもしくは受信したメールのURLをクリックできるこういったことが実現できるようになっていくわけですこのEメールのセキュリティというのはなかなかに実装が厄介なのも事実ですというのはセキュリティというのは強固に設定すればするほど処理が積み重なっていきますので皆さんがメールを受信するタイミングが遅延していく遅いメールのシステムになっていくということです例えばクラウドフレアはその問題を解決するために二つのデプロイメント方式を持っているんですが一つが従来型インラインデプロイメント方式ですこれはクラウドフレアの中にMTAがマネージド型として提供されますので一度そこでメールを受信するとそこから必要に応じて GmailやOffice 365やあとはJavaScriptを実行させるといったようなモードも備わっていますが必要なセキュリティを施した後メールが転送されると当然複数ホップされることになりますのでメールの受信は遅延しますこれを防ぐのが右のAPIデプロイメントモードというものになりますメールが受信した後そのメールの受信は今皆さんが使っているインボックスに直接まず受信します受信しましたよというものをAPI経由で取得もしくはBCC経由で情報を取得しチェックを行い危なそうなメールであれば受信した後そのメールをインボックスから削除するとこのようなデプロイメント方式も実現可能になっていますそして DDoSの話に戻っていきますが最近新しいランサムウェアのトレンドとして DDoSランサムウェアという攻撃が増えてきていますこれは従来のDDoSより非常に単純かつ厄介です従来のDDoSランサムウェアというのはやはりそれなりの技術レベルが要求されるわけですよね企業のネットワークに侵入して情報を暗号化してと一方 DDoSランサムウェアというのはお金を払わなければそちらのウェブサイトを DDoS攻撃で止めますよとDDoS攻撃を行うツールというのは今非常に簡単に手に入りますので技術レベルが低いスクリプトキッズという言い方をセキュリティ業界ではするんですけども大して技術力を持っていない人間がスクリプトを手に入れて DDoS攻撃を行うことができるとこれによりこのDDoSランサムウェアというものが今増えつつありますでは日本のDDoS攻撃の状況ですねちょっと見ていきたいと思うんですが実は現時点では日本というのは世界的に見てインターネットは非常に安全であることが知られています日本から発信されているDDoS攻撃が実は国単位でいうと 177位かなり下の方です日本に対するDDoS攻撃も 80位と相当安全な部類です攻撃対象ですがこれは世界中どこの国でもほぼ同じ分布を示しますがニュースペーパーまあマスメディア系ですねここがやはり一番ですそれから 2番目不動産不動産は少し個人的にも意外だなと思ったんですが3番目 4番目が公共系政府系の機関ということですね一方日本だけ発生する事象というものも観測されています8月特定施設への通信の 93%が攻撃通信であるということが過去の観測から分かっています特定施設というのは戦争に関連するものを展示している施設であったり公共系のウェブサイト自治体政府機関のウェブサイトなどですこれは日本特有の現象です世界的に見た DDoS 攻撃の動向ですけどもこれ昨年の第4四半期ですので今年の2月頃に出たレポートですがDDoSというのは 1年間減少していたんですがまたここに来て急に増えてきたということが分かっていますそしてレイヤーが下に下がっていると従来はアプリケーション型への DDoS 攻撃だったものがネットワーク層への DDoS 攻撃に移ってきているとこれはなぜかといえばアプリケーションへの DDoS 攻撃はそのアプリケーションを理解する必要がありますつまりそれなりの技術力が要求されるわけですがネットワークへの DDoS 攻撃というのは IP アドレスが分かればそれで成立しますつまりより技術力の低い人間がツールを簡単に手に入れ DDoS 攻撃ができるようになってきたということを意味していますそれと連携してクラウドパブリッククラウドの処理能力が向上するとともにパブリッククラウドのアカウントを取られると簡単に大規模な DDoS ボットネットが作れるということも増えてきています従来ではなかったかなりしつこい 3時間以上持続する攻撃が87%増加しネットワーク帯域も 100ギガBPS を超える攻撃が67%増加と途方もない成長をしていますそのうち 16%がミノシロキン型つまり DDoS ランサムウェアであったという報告が出ていますちなみにこの 16%というのはランサムウェアの被害を受けた企業がランサムウェアの被害に遭いましたと告知して初めて分かる数字なので実際はもっと多い数字だろうというふうに言われていますそして昨年の秋これはクラウドフレアそのものがお客様に代わって攻撃を受け止め処理した実績になるんですけども過去最大秒間7100万リクエストの DDoS 攻撃というものも検知されています日本の状況ですクラウドフレアの観測範囲によると日本のトラフィックにおける約14%が D DoS 攻撃であるということが分かっていますそれでも日本は DDoS 攻撃を受ける国としては世界で上から80番目なのでかなり安全な部類にもかかわらず 14%が D DoS 攻撃だということになっていますつまりランサムウェア対策を行っていく場合Eメールのセキュリティだけでは今不十分になりつつあるというのが今の実情ですこのため単一のエッジロケーションデータセンターで通信をルーティングさせることなく Eメールセキュリティ DDoS 対策あと WAF ボット対策などをまとめて行えるソリューションがやはり必要になってくるということですそれから最近もう一つ DDoS のトレンドとして暗号化通信つまり TLS 通信による DDoS 攻撃というものも増えてきますこれは体力勝負なんですね通常の暗号化されていない通信に比べると暗号化通信というのは攻撃する側攻撃される側両方ともにCPU のパワーを要求します攻撃側はクラウドの発達に伴い攻撃しやすくなってきている大量のコンピュートリソースを一時的に取得しやすくなっているということでこの TLS 攻撃というのが増えてきていますこうすると企業専用の DDoS システムではなかなか対応が難しくなってきます一時的に発生する大型の DDoS 攻撃はやはりグローバルのネットワークで分散してそれを受け止めるといったような仕組みが必要になってくるわけですが暗号化通信のままでは実はクラウドフレア側もそれが攻撃なのかどうか判別しづらいという事実はありますどこにアクセスしようとしているか暗号化通信のままでは判別がしづらいわけですどこの IP アドレスにアクセスしようとしているかはもちろん暗号化されていても分かりますけどもどのURLにアクセスしようとしているかは一部暗号化されてしまうということですねこのためクラウドフレアのエッジでは一度 TLS を終端させる生の通信に戻しチェックを行いそのまま生の状態でお客さまに送り届けることもできますしほとんどの場合はインターネット経由でもう一度通信を出すことになると思うのでコスト的にですね専用線で出すこともできますしIPセクトで出すこともできますがコスト的にはインターネット経由で通信を出すとそうした場合再度暗号化通信を施して皆さまのオリジンまで安全にパケットを送り届けるとこのようなアーキテクチャを取ることができるようになっています私のセッションは以上になりますもし何かご不明な点とかご興味があるところがございましたらいつでもご縁のなくお声掛けいただければと思います今日はどうもありがとうございました失礼いたします