NICTが提唱「13秒に1回」発生するサイバー攻撃に備える
受け身から予測型へ転換するセキュリティ戦略

サイバー攻撃は、今や企業や組織にとって日常的に直面するリスクとなりました。もはや一部の業界や大企業だけの問題ではなく、あらゆる組織が「いつ狙われてもおかしくない」状況に置かれています。
「大規模サイバー攻撃観測から読み解く、セキュリティの最新潮流」をテーマに、国立研究開発法人情報通信研究機構 (NICT) サイバーセキュリティ研究所 サイバーセキュリティ研究室 笠間貴弘室長に講演いただきました。
本記事では、その一部を紹介いたします。

国立研究開発法人情報通信研究機構 (以下、NICT) は情報通信分野を専門とする日本で唯一の公的研究機関です。大規模な観測網を通じ、サイバーセキュリティ事案を観測・分析してきました。その中でも近年、毎年のように新たな大規模攻撃が報告され、攻撃の手口は年々巧妙化・多様化しており、攻撃は常に進化し続けています。

しかし重要なのは、新しい脅威ばかりに目を奪われないことです。過去の攻撃手法も依然として脅威であり続けています。実際、2000年代から存在するネットワーク感染型のワームは今なお活動を続けており、近年はその矛先がIoT機器、いわゆるインターネットに接続して使用するモノに向けられています。このように古典的な手法から最新の攻撃まで脅威が根絶されることなく併存している現実を、長年の観測データは示しています。

そのため、組織としては新旧問わずあらゆる攻撃手法を把握し、進化し続ける攻撃者に追随する姿勢が求められます。

NICTの観測により明らかになった近年の大きな潮流の一つに、IoT機器が主要な攻撃対象になっていることがあります。もはやサイバー攻撃の矛先は、従来のデスクトップPCやサーバーだけでなく、監視カメラやルーターなど、あらゆる「モノのインターネット (IoT)」機器に広がっています。

なぜこれほどまでにIoT機器が狙われるのか。主な理由は以下のとおりです。

1. 脆弱なセキュリティ設定
   多くの機器が脆弱なIDやパスワードを使い続けており、攻撃者はボット (注1) を用いてこれらの機器を容易に見つけ出します。
   
   
2. ファームウェア (注2) 更新の未実施
   ネットワークカメラや家庭用ルーターなどのIoT機器にはファームウェアの自動更新機能がないものがあり、脆弱性が長期間放置されるリスクがあります。
   
   
3. 膨大な数の常時接続
   IoT機器は家庭や企業、社会インフラまで幅広く普及し、常にネットワークに接続されているため、一度マルウェアに感染するとボットネット (注3) として悪用され、大規模な攻撃 (DDoS攻撃や不正通信) に利用されてしまいます。現に、2023年には国土交通省が設置した河川監視カメラ約338台がマルウェアに乗っ取られ、運用停止に追い込まれる事件も発生しました。

また、家庭用Wi-Fiルーターに搭載されたクラウドストレージ機能の脆弱性が悪用され、世界で少なくとも3,000台以上 (日本でも数百台) がマルウェア感染する事案も報告されています。すでに修正版ファームウェアが提供されていますが、利用者側が迅速に適用しなければ依然としてリスクは残ります。

こうした状況が顕在化した象徴的な事件が、2016年に出現したマルウェア「Mirai」です。Miraiは世界中で数百万台ものIoT機器に感染し、大量のトラフィックを発生させる大規模DDoS攻撃に悪用されました。

この事件を契機に、その後も多種多様なIoTマルウェアが次々と登場し、現在に至るまで活発な感染活動を続けています。NICTのダークネット観測網「NICTER」が捉えたデータによれば、日本国内だけでも1日に少なくとも3,000～1万台の機器が何らかのマルウェアに感染し、攻撃に加担していると推定されています。つまり日本国内でも数千規模のIoT機器が常時ボットネットの一部となり得る現状なのです。

このように、IoT機器はセキュリティホールが狙われやすく、攻撃者にとって「踏み台」にしやすい魅力的な標的となっています。そのため、企業のみならず一般家庭においても、自社や自宅にどのようなIoT機器が存在し得るかを洗い出し、適切な設定・最新アップデートの適用を怠らないことが重要です。

では、こうしたIoTマルウェアを含む無差別型のサイバー攻撃を早期に察知するにはどうすればよいでしょうか。その答えの一つが、NICTが採用している「ダークネット観測」という手法です。

ダークネットとは、インターネット上で現在使用されていないIPアドレス空間の集合を指します。例えるなら「誰も住んでいない空き家」のようなもので、本来であれば通信が発生しない静かな空間です。ところが現実には、このダークネット上に世界中から大量のパケット (通信) が飛び込んできます。それらの正体は、インターネット上を無作為に探索するスキャン行為です。

特に、自己増殖型のワーム型マルウェアは、感染後に次の攻撃先を探すためランダムなインターネット上のIPアドレスに向け通信を投げつけ、応答のあった機器に対して感染を仕掛けようとするのです。この「次の獲物を探す」段階のスキャンは、当然ながら攻撃者自身には気づかれたくない挙動ですが、ダークネット上のセンサーにはその兆候がはっきりと現れます。存在しないはずのIPアドレスに飛んでくる通信は不自然極まりないため、そこで検知された通信は高い確度でマルウェア由来の攻撃前兆と判断できるのです。

このようにダークネット観測は、ワーム感染拡大の初期兆候を捉える有力な手段です。実際、NICTが運用する観測網「NICTER」では、約30万個もの未使用IPアドレスを監視することで、インターネット上を飛び交うマルウェアのスキャン活動をリアルタイムに捕捉できています。観測画面上では、日本に向け世界各地から無数の「ロケット」(攻撃パケット) が飛来する様子が可視化されており、その高さで (例えば、低空ならポート番号22=SSH、高空ならポート番号80=Webなど) 狙う機器やサービスが一目で把握できます。また、マルウェアに感染してしまった機器がどの国にどの程度あるのか、日本へはどの国からどのくらい攻撃があるのかというワーム型のマルウェアの活動もリアルタイムで捉えています。

このシステムによって現在進行形のワーム活動を捉え、「どの機器が狙われ、なぜ感染してしまったのか」という原因究明や対策研究に役立つ貴重なデータが得られるのです。要するに、広大なダークネットを張り巡らせた観測網こそ、氾濫するサイバー攻撃の「地震計」といえます。攻撃の兆候 (微細な振動) を検知することで、実際に本震 (大きな被害) が発生する前にその存在を察知できるからです。これは防御側にとって大きなアドバンテージであり、予兆を捉え先手を打つためのカギとなります。

なぜサイバー攻撃の観測がそれほど重要なのでしょうか。それは、効果的なセキュリティ対策を打つためには攻撃の実態を正確に把握することが不可欠だからです。ニュース報道で「サイバー攻撃で、個人情報◯万件が流出」などと被害規模は伝えられても、実際に「攻撃者がどのような手口で侵入し、何を狙い、どんな兆候を残したのか」までは詳細に共有されません。対策を講じる側にとって本当に必要なのはまさにその部分であり、具体的な攻撃の流れや特徴が分からなければ、有効な防御策を導き出すのは難しいのです。

したがって、サイバー攻撃に対峙する研究開発では「現実世界で起きている攻撃を観測すること」が重要であり、NICTサイバーセキュリティ研究室でもこれを自らの強みとして重視しています。

NICTERは観測した攻撃データや収集したマルウェアを相関分析することで、サイバー攻撃の量的・質的な傾向を見ることができます。

右の図にある通り、NICTERが2024年の1年間で観測した攻撃関連通信は約6,862億パケットにも上り、単純計算で1つのIPアドレス当たり年間約242万パケット (=1日あたり約6,600パケット) が飛び込んできたことになります。

これは裏を返せば、インターネットに1つ機器をつなげば、平均して「13秒に1回」の割合で何らかの攻撃パケットが送りつけられている計算です。もちろん、強固な設定をしていればすぐに侵害されるわけではありません。ですが、無防備な機器であれば、瞬く間に攻撃の餌食となるでしょう。こうした客観的データは、サイバー空間における脅威の現実を如実に示しています。

現在の、NICTの観測結果や国内外の報告から浮かび上がるサイバー攻撃の最新トレンドを整理します。

前述のとおりIoT機器への攻撃は引き続き活発ですが、中でも家庭用Wi-Fiルーターが2025年の顕著な標的となっています。NICTの観測によれば、ここ数年、年ごとに新しい種類のデバイスが狙われる傾向があり、2025年にはとりわけ一般家庭のルーターに対する攻撃増加が確認されました。また前述の例 (家庭用Wi-Fiルーターの脆弱性悪用) にも見られるように、便利機能の裏にセキュリティ上の穴が存在しうる点にも注意が必要です。

今後もルーターを含む家庭向けIoT製品の脆弱性情報には注視し、ファームウェア更新などの対策を怠らないことが求められるでしょう。

NICTERの統計を分析するともう一つ興味深い動向が見えてきます。それは、海外の調査機関やセキュリティ企業によるスキャン (調査目的のアクセス) の増加です。具体的なものとして、ShodanやCensysといったサービスをご存知でしょうか。これらはインターネット上の機器を自動スキャンしてカタログ化し、検索エンジンのように提供するサービスです。企業が自社のインターネット上の露出資産を調べるアタックサーフェス (注5) 管理や、セキュリティ企業や研究組織による調査目的のデータ収集に利用される、いわば「善良なスキャン」ですが、その通信量が年々増えているのです。

この傾向は今後も継続するとみられ、防御側も自社のインフラがインターネット上でどう見えるかを積極的に点検・把握する流れが一層強まるでしょう。攻撃者も同様の情報を入手する可能性があるため、インターネット上に置き忘れられた脆弱なサーバーがないか、率先して発見し対処する姿勢が重要です。

AIなどを悪用した最先端の攻撃が注目される一方で、従来から知られる攻撃の再燃・継続にも警戒が必要です。前述のワーム型マルウェアはその典型例で、何年も前から脅威と認識され、対策が叫ばれていたにも関わらず、いまだに多くの機器が感染し、被害を及ぼしています。こうした「過去の脅威の現在進行形」を踏まえると、基本的なセキュリティ対策の継続徹底こそが重要であることが再認識できます。

新しい技術トレンドに目を配るのと同時に、脆弱なパスワードの改善やソフトウェアの更新など、足元の守りを固めることが引き続き重要です。

サイバー攻撃の手法や対象は年々多様化・高度化しており、最新の脅威ばかりに目が向きがちですが、過去から継続する脅威も依然として根絶されていません。特にIoT機器など新たな対象への攻撃が増加する中であっても、従来の攻撃への警戒も怠らず、攻撃者の進化に追従する姿勢が重要です。

また、守るべき自社の資産を正確に把握・管理し、アタックサーフェスマネジメントといった見直しを含めたセキュリティ運用の強化が求められます。

セキュリティ人材を組織のコアとして獲得し、組織内で育成することへの価値が高まってきているといえるでしょう。

インシデント発生時の初動対応が組織の評価や信頼、そしてレピュテーション（評判）に直結します。特に、適切な初動対応ができれば組織のレピュテーションが向上し、逆に対応を誤ると大きな信用失墜や経営への影響が生じる可能性があります。観測による正確な状況把握と予測型セキュリティへの転換により、被害を最小限に抑え事業の継続、信頼を守ることは十分に可能です。
こうした背景から、サイバーセキュリティ対策は企業・組織にとって最優先の経営課題であり、トップマネジメント層がその重要性を認識し、「先手のセキュリティ」に取り組むことこそ、これからの時代に欠かせません。

攻撃が起きてから慌てるのではなく「起きる前提で備える」、その意識改革が経営層や組織全体で共有されれば、サイバー攻撃に対する耐性は飛躍的に高まるでしょう。