《日經新聞》2 月 8 日刊登的一篇報導,提到美國資安公司 Secureworks 日本分公司的專家表示,目前「駭客正以前所未有的速度發動攻擊」。另一家資安公司 Madiant 則提到日本在過去三年,受勒索軟體攻擊增長了 3 倍。而網路攻擊的手段還不斷在更新中,例如利用資訊竊取惡意程式偷個人身分認證憑證、佯裝成企業發起企業電子郵件詐騙、利用軟體漏洞竊取情報等等,網路空間的威脅就像全球局勢一樣正在升溫中。
現實世界動盪 網路世界也不平安
自從武漢肺炎(COVID-19)肆虐全球已經過 4 年了。2023 年 5 月疫情趨緩後台灣調整了 COVID-19 的傳染病分類,防疫措施隨著降階,確診者不再需要隔離。相比 4 年前被未知病毒帶來的不安與恐懼所籠罩,現在的日常生活已經恢復平靜。然而,「原以為在 COVID-19 平息下來之後,等著我們都是更加光明的世界」,但現實狀況卻讓我們很難消除內心的失望。
自 2022 年 2 月俄羅斯入侵烏克蘭以來,兩年過去了,但戰爭還看不到終點。2022 年 8 月當時的美國眾議院議長裴洛西訪台後,對此不滿的中國隨即在台灣周圍展開環台軍演,同年 10 月舉行的中共二十大,對於台灣習近平重申「決不承諾放棄使用武力」。
2023 年 10 月在中東地區發生的以哈衝突仍在持續,加薩走廊正面臨嚴重的人道危機。北韓的金氏政權則頻頻試射飛彈,發起挑釁,還稱大韓民國是交戰中的「主要敵國」。
相關報導:金正恩定調兩韓為敵國關係 不再是可以和平統一的同一民族
而今年元旦,日本石川縣能登半島地區發生了規模 7.6 的極淺層地震,截至 1 月 30 日在石川縣確認到的死亡人數已達 238 人。
相關報導:能登地震假消息妨礙救援工作 日本研討社群平台監管政策
勒索軟體的損失達到歷史新高
《日經新聞》的報導中首先引述美國資安公司 Secureworks 日本分公司的安全研究部高級安全研究員中津留勇的說法,他說目前「駭客正以前所未有的速度發動攻擊」。
據 Secureworks 稱,情報被公開在勒索軟體(要求支付贖金的病毒)網站上的受害組織數量曾一度下降,但到了 2023 年又達到了歷史新高。此外,據美國資安巨頭麥迪安(Mandiant)表示,過去 3 年在日本觀察到的勒索軟體攻擊增長了 3 倍。
在網路黑市(地下市場,Underground market)等地方,兜售身份認證憑證的狀況相當活躍,據 Secureworks 的說法,2023 年發現有超過 700 萬筆資料在黑市交易,是前一年的 2.4 倍以上。因此,「資訊竊取惡意程式」的開發也變得活躍起來,從 2023 年 5 月到 6 月的短短 30 天內,就有 12 款新的資訊竊取惡意程式開始販售、出租。
企業電子郵件詐騙金額超過勒索軟體
企業版的匯款詐騙「企業電子郵件詐騙」(business email compromise, BEC)也很猖獗。據 Secureworks 根據美國聯邦調查局(FBI)網路犯罪投訴中心(IC3)的報告統計,2022 年因企業電子郵件詐騙造成的損失金額超過 27 億美元(約新台幣 850 億元),超過了勒索軟體造成的損失。
像是利用程式漏洞發動攻擊,這些網路攻擊的手段也在不斷演進。
例如,日本學術振興會於 2023 年 8 月 9 日表示,該會使用了 North Grid(位於北海道札幌的軟體公司)線上儲存軟體「Proself」,而其提供的檔案傳送服務遭到非法存取。
據該會稱,造成這一事件的原因可能是同(2023)年 7 月 20 日公佈的 Proself 的漏洞。此外,該會在同年 11 月 17 日表示,自同年 8 月 29 日至 9 月 20 日期間,Proself 再次受到利用未知漏洞的非法存取,使得保存在 Proself 的日本國內外相關人士的個資遭到外洩。
與中國相關的攻擊者 以竊取情報為目的的網路間諜
而且在現今混亂的全球局勢中,受國家支持的網路攻擊也在增加,使得要偵測和識別這些攻擊變得越來越困難。
其中一個例子是利用美國公司 Barracuda Networks 的電子郵件安全閘道器(Email Security Gateway,ESG)的漏洞進行的攻擊。Barracuda 在 2023 年 5 月 23 日宣布,該產品的漏洞最早在 2022 年 10 月時就被利用了。
受 Barracuda 委託調查的 Mandiant,找出了與中國有關的「UNC4841」是這次的攻擊者。
這對日本企業來說並非事不關己。日本內閣官房網路安全中心(NISC)在 2023 年 8 月 4 日發佈消息表示,電子郵件相關系統遭到非法存取,可能造成包含個資在內的部分郵件數據外洩。NISC 雖然沒有透露細節,但被指出可能是遭到利用 Barracuda 產品的漏洞所進行的非法存取。
Mandiant 的首席分析師 John Hultquist 表示:「利用 Barracuda 產品漏洞的 UNC4841 的活動時間持續了 8 個月,受害者在全球超過 100 家,其中包括數十家日本公司。」
台海危機美中衝突 加劇日本遭受網路攻擊風險
台海危機以及美中衝突也加劇了日本遭到網路攻擊的風險。Hultquist 提到「發生衝突的可能性上升時,間諜活動也會增加。尤其是日本有美軍基地,因此容易成為蒐集情報的目標。」
例如,被指控受中國支持的網路攻擊組織「Volt Typhoon」擅長網路間諜(Cyber Espionage, CE)活動,會對運輸和物流的基礎設施等對象利用零時差漏洞(Zero-Day Vulnerability)發動攻擊。所謂零時差漏洞是指只有少數人知道(甚至軟體廠商也不知道),或是就算廣為人知但還未釋出更新修補的漏洞,利用這種漏洞發動的攻擊便稱為零時差攻擊(Zero-Day Attack)。
就像 Secureworks 發現的中國網路間諜「BRONZE STARLIGHT」一樣,有些攻擊者發動的攻擊會佯裝成以竊取金錢為目的,但實際上是進行間諜活動。
Secureworks 的安全研究部高級安全研究員玉田清貴表示「如果是以金錢為目的,他們不會對竊取到手的情報感興趣,但如果是為了進行間諜活動,情報本身就是目標。要採取適當應對重要的是識別出其攻擊的目的,但這變得越來越困難了。」
面對網路威脅 資安措施需要先「遺忘」
對於網路空間不斷上升的威脅,Secureworks 的業務統籌本部長松田敏幸建議採取的資安對策是「遺忘(反學習,Unlearning)」。也就是說,有必要暫時放棄已經學習到的資安措施。
松田也說到「有許多企業已經引進了 EDR(端點偵測與回應)來偵測和處理端點上的安全威脅。然而,在 IT 環境發生巨大變化,如轉移到雲端等的情況下,不僅需要 EDR,還需要建構組織整體全面、整合的監控環境。」
《日經新聞》在報導最後提到,日本企業的數位轉型受到了疫情的影響,有些是迫於無奈而推動的。而隨著疫情趨於穩定,許多企業正在重新思考工作方式,像是從遠距工作重返辦公室等等。在資安措施也是如此,現在是重新檢視安全措施的時候了。
參考新聞連結:
2024/02/08 日経 サイバー攻撃「過去最悪の勢い」 中国との関連も
2023/11/10 Mandiant Barracuda ESGのゼロデイ修復(CVE-2023-2868)後のUNC4841の活動についてのさらなる考察