攻撃集団の撲滅からMicrosoft批判まで――2024年のセキュリティ界5大激震：2024年の10大セキュリティニュース【前編】

さまざまなセキュリティニュースが飛び交った2024年。国際的な捜査機関がランサムウェア集団を壊滅させた鮮やかな手法や、米政府機関がMicrosoftのセキュリティ文化を厳しく批判した事例を紹介する。

≫ 2025年03月28日 05時00分公開

2024年のサイバーセキュリティニューストップ10

併せて読みたいお薦め記事

セキュリティニュースを振り返る

1．LockBitの解体

　犯罪集団LockBitは、2023年11月に発覚した航空機メーカーBoeingへのランサムウェア（身代金要求型マルウェア）攻撃をはじめ、活発に活動を続けてきたRaaS（Ransomware as a Service）集団だ。2024年2月、複数の法執行機関が作戦を実行してLockBitを摘発したことを発表した。

　この共同作戦「Operation Cronos」は、LockBitの活動停止を目的とする数カ月に及ぶ取り組みだ。英国、米国、オーストラリア、カナダ、フランス、ドイツ、日本、オランダ、スウェーデン、スイスといった国の法執行機関が協力した。Operation Cronosの一環として、法執行機関は28台のサーバを押収し、公開されていたLockBitのWebサイトを閉鎖した。協力者とみられる複数の人物を検挙し、ランサムウェアのソースコードと1000以上の復号鍵も押収した。

　近年、各国の政府機関がサイバー犯罪の撲滅活動を強化する中、LockBitの解体は革新的だった。法執行機関は、LockBitのWebサイトを乗っ取り、プレスリリース、復号鍵、LockBitのリーダーの身元情報、LockBitの内部情報などを公開したからだ。この作戦がLockBitの評判に対する打撃になったことは明らかであり、研究者の見解によれば、作戦がLockBitの再起の試みを失敗に追い込む要因になった。

2．Change Healthcareに対するランサムウェア攻撃

　大手医療ITベンダーChange Healthcareが2024年2月に被害に遭ったランサムウェア攻撃の実行犯は、ランサムウェア集団Blackcat（別名ALPHV）だった。Change Healthcareのソフトウェアは広く普及しているため、この攻撃が原因で、大手薬局チェーンのCVS HealthやWalgreensをはじめとする医療関係機関が何日にもわたって混乱に見舞われた。この攻撃は医師の請求書作成、病院の薬剤処方や治療、個人の医療関係申請個人にも影響を及ぼした。Change Healthcareが被害に遭った原因は、多要素認証（MFA）を有効にせずに、Citrix Systems製のリモートアクセスツールを使っていたことにあった。

　2024年5月、Change Healthcareの親会社UnitedHealth GroupのCEOアンドリュー・ウィッティー氏は、この攻撃の余波は米国人の約3分の1に影響すると推定した。 2023年12月に米連邦捜査局（FBI）などの法執行機関はBlackcatを活動停止に追い込んだが、その後2024年に活動を再開し、医療機関を標的にして積極的に活動している。

3．Ivanti Software製品の脆弱性を突いたCISAへの攻撃

　2024年1月、セキュリティベンダーIvanti Softwareは同社製品に存在する2つの脆弱（ぜいじゃく）性を公表した。1つ目はネットワークアクセス制御（NAC）製品「Ivanti Policy Secure」に存在する脆弱性「CVE-2023-46805」で、攻撃者が認証を回避できるようにする。2つ目はVPN（仮想プライベートネットワーク）製品「Ivanti Connect Secure」に存在する脆弱性「CVE-2024-21887」で、攻撃者が不正なコマンドを実行できるようにする。

　これらの脆弱性を中国が支援する攻撃者が悪用しており、米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）もその攻撃を受けていたことが判明した。この事実は、サイバーセキュリティ関連のニュースを取り扱うWebメディア「The Record」が2024年3月に報じたことで明らかになったものだ。

　CISAは攻撃を受けたことを認め、同庁で使用しているIvanti Software製品の脆弱性が悪用されていることを示す活動を検出したと米Informa TechTargetに伝えた。影響を受けたのは2つのシステムに限られる上、それらのシステムを即座にオフラインにしたという。「今回の事件は、どのような組織でも脆弱性の影響を受ける可能性があり、インシデント対応計画の策定がレジリエンス（障害発生時の回復力）確保に欠かせないことを伝える注意喚起になる」と、CISAは説明した。

4．Cisco Systemsによる280億ドルでのSplunk買収の完了

　2023年秋、大手ネットワーク機器ベンダーCisco Systemsは約280億ドルを投じて、オブザーバビリティおよびセキュリティベンダーSplunkを買収することを発表した。この買収契約が完了したのが2024年3月だ。買収完了後の同年6月、Cisco Systemsは同社のセキュリティ研究機関Cisco Talosの脅威インテリジェンスを、Splunkのセキュリティ製品「Splunk Attack Analyzer」に組み込む意向を表明した。その後さらにCisco Systemsは、同社のXDR（Extended Detection and Response）製品「Cisco XDR」を、SplunkのSIEM（Security Information and Event Management）「Splunk Enterprise Security」に組み込んだ。

　2024年には他にも大きなサイバーセキュリティベンダー関連の買収が発表された。2025年第1四半期（1～3月）に買収の完了が見込まれるのは、クレジットカードブランド会社Mastercardによる26億5000万ドルでの脅威インテリジェンスベンダーRecorded Futureの買収だ。セキュリティベンダーSophosによる、同じくセキュリティベンダーSecureworksの約8億5900万ドルでの買収は、2024年10月に発表した後、2025年2月に完了した。

5．CSRBによるMicrosoft批判

　2024年4月、米国土安全保障省（DHS）のサイバー安全審査委員会（CSRB）は、Microsoftを非難する報告書を公開した。この報告書は、同社が「立て続けに」ミスを犯したことによって、中国が支援する攻撃者「Storm-0558」が政府機関を含む約25件の組織のメールアカウントを侵害可能になったと説明する。Storm-0558はシングルサインオンツール「Microsoftアカウント」の署名キーを盗み出し、それを悪用して認証トークンを偽造した。その偽造トークンによって、同社のメールサービス「Exchange Online」のWebクライアント「Outlook Web Access」と、個人向けメールサービス「Outlook.com」のアカウントへのアクセス権を取得した。

　CSRBは、「この侵入は決して起きるべきではなかった」ことであり、Microsoftの複数のセキュリティミスが原因だと結論付けた。加えて、「Microsoftのセキュリティ文化は不適切であり、全面的な改善が必要だ」とも指摘。Storm-0558の活動を同社に通報したのは顧客である米国務省だったという事実も明らかにした。

　この報告書が公表される前の2024年1月にも、Microsoftは侵害を受けたことを公表した。ロシアが支援する攻撃者「Midnight Blizzard」がパスワードスプレー攻撃（よく使われるIDとパスワードの組み合わせを何組も使ってログインを試行する攻撃）を仕掛けて、テスト用のMicrosoftアカウントを侵害したものだ。侵害されたテスト用テナントアカウントは、MFAを有効にしていなかった。

　CSRBの報告書を受けて、Microsoftは同社のセキュリティ文化を抜本的に見直した。2024年5月には同社のセキュリティ強化の取り組み「セキュアフューチャーイニシアティブ」（SFI）を拡充することを発表し、セキュリティを最優先に据えることを約束した。具体的な施策としては、ID保護への尽力、本番環境の隔離、脅威の監視・検出の強化、対処・修正プロセスの迅速化などがある。同年9月に公開されたSFIの進展状況を説明するレポートは、サイバーセキュリティコミュニティーから慎重ながらも肯定的な評価を得た。

　次回は、6～10個目のニュースを紹介する。

TechTarget発　先取りITトレンド

米国Informa TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

TechTargetジャパントップセキュリティ