日本が今、最も狙われている—急増するDDoS攻撃とメール攻撃の実態

日本を狙う不気味なDDoS攻撃

昨年末(2024年12月)以降、DDoS攻撃（ネットワークに大量のアクセスを意図的におこなわせてサービスを妨害する攻撃、分散型サービス拒否攻撃）の攻撃事例が多くの報道でも取り上げられています。さまざまな銀行や決済サービス、また日本気象協会などの主要な組織に対して攻撃が行われ、攻撃ボリュームは過去最大級に達していることが確認されています。

また攻撃は、単純なリフレクション攻撃とは異なり、セキュリティ担当者が対応をおこなうと違うレイヤを用いて攻撃がされます。レイヤ3/4（Syn/Ack/UDP/GRE Flood）やさらにレイヤのあがったレイヤ7（HTTP/HTTPS）の異なる複数の層への攻撃を柔軟に切り替えた洗練された手法が用いられたため、セキュリティ担当者はマニュアルで対応策の切り替えをおこなうことを余儀なくされました。また攻撃元もさまざまな国から分散して攻撃が行われています。さらに、攻撃者は経路にCDN(DDoS攻撃対策製品)がない経路を使い、攻撃対象となるオリジンサーバーのIPアドレスを事前に調べてそこを直接狙ってきており、入念な下準備をした上で攻撃を仕掛けていることが分かります。

また通常、ハクティビスト（政治的・社会的な主張を目的とするハッカー集団）はDDoS攻撃後に犯行声明を発表し、自らの主張を広めようとしますが、今回の攻撃ではそうした動きが一切見られません。今回のDDoS攻撃はこれまでのところ犯行声明が見当たらず、その意図や背後関係が不明であることが、より不気味な要素となっています。

 

爆増する世界のメール脅威

この不気味なDDoS攻撃の影で、メールの脅威が増大しています。プルーフポイントは世界のメールトラフィックのうち4分の１を守る、世界で最大のメールセキュリティベンダです。そのプルーフポイントの脅威インテリジェンスからみた統計データからは、2022年2月のウクライナ侵攻以降、メール脅威が爆発的に増加したことが分かります。

ウクライナ侵攻の前年2021年の新種メール攻撃ボリュームの月間平均は3800万通だったのに対し、侵攻後はその約2倍から4倍のボリュームが続いており、減少することなく高水準を維持していることが確認されています。つまり地政学上の緊張がまさにサイバー攻撃に如実に表れている例となっています。 では、不気味なDDoS攻撃が続く昨年末以降、メールの攻撃はどうなっているのでしょうか。

図：全世界の新種メール脅威動向(2021年～2025年2月)
（2024年12月からメール攻撃は爆増）

これを見ると、2024年12月の新種メール脅威の量は、2023年の月間平均値9600万通と比較し、その2.7倍の2億6200万通となり、2025年1月は5.4倍の5億2000万通、2月は6倍の5億7500万通となり、この攻撃ボリュームは本ブログの執筆時点(2025年3月20日現在）でも継続されていることが確認されています。

また分析から、多くの攻撃は認証情報を狙うクレデンシャル・フィッシングで占められていることが分かります。コロナ禍を経て、クラウドサービスが一気に加速化しました。現在、企業や個人のデータは端末ではなくクラウド上に保存されることが一般的になっています。攻撃者はデータを狙います。クラウドにあるデータにアクセスするために、攻撃者はクラウドサービスにログインするためのクレデンシャル・フィッシング攻撃を仕掛けていることが分かります。 クラウドサービスの普及により、企業が保持するデータの多くがクラウド上に移行した結果、攻撃者はメールアカウントの乗っ取りを通じて、Microsoft 365やGoogle Workspaceなどの各種クラウドサービスに不正アクセスし、情報を窃取しようとする傾向が強まっています。

 

今、日本が一番狙われている

ではこの爆増した攻撃がどこに向かっているのかを見てみましょう。プルーフポイントでは、攻撃の塊を攻撃キャンペーンとして定義しています。その分析結果から、なんと全世界のメール脅威のうち、1月は69.5%、2月は80.2％が日本をターゲットにしていることが分かりました。

2025年2月は、合計709の新種メール攻撃キャンペーンを観測していますが、そのうち49の攻撃キャンペーンが日本をターゲットにしています。攻撃ボリューム数が多いトップ10のキャンペーンのうち9つが日本をターゲットにしており、日本を攻撃しているキャンペーンのボリュームが特に多いことが分かります。 これら日本を狙っている攻撃のほとんどは、プルーフポイントのリサーチャーによって特定されたCoGUIと呼ばれるフィッシング・キットを使っています。高度な検知回避機能を持つフィッシング・フレームワークで、主に日本のユーザーが狙われていました。日本以外にも、オーストラリアやニュージーランド、カナダ、米国など海外も標的にしていることが確認されています。このキットは、ジオフェンシングやヘッダーフェンシング、フィンガープリンティングといった高度な検知回避テクニックを備えているために、特定の地域のユーザーを狙うことが可能になっています。

 

なぜ、日本が狙われるのか

なぜ日本が今、狙われているのか？それには大きく分けて３つの要因があると考えます。

1. AIの発展により、言語の壁が消失した今、日本への攻撃がより容易になっています。以前は不自然な日本語やフォントで詐欺メールの受け取り手が簡単に気づくことができており、これが海外からの詐欺から日本人を守る強力なバリアとなっていました。しかし、生成AIが流暢な日本語を大量に生成できるようになり、詐欺メールを受け取った人が文法やフォントなどから詐欺と気づくことが難しくなっています。AIによる流暢な日本語生成の影響で、メール詐欺の成功率が上昇していると考えられます。
2. このようにして日本の防御の壁が薄くなった今、投資対効果高いターゲットとして日本が浮上したと考えられます。日本企業の知的財産は世界的に見ても価値が高く、攻撃者にとって魅力的な標的です。また日本人の個人情報（住所、氏名、年齢、電話番号、メールアドレス、クレジットカード情報、医療データ）はアンダーグラウンド市場で高値で売買されることから、個人に関する情報も狙われていると考えられます。
3. さらに、不気味なDDoS攻撃のタイミングと合わせて日本へのメール攻撃が増えていることを加味すると、外国政府主導による軍事的・戦略的な攻撃である可能性も考えられます。たとえば、中国による台湾有事を見据えた準備攻撃や、ロシアへの経済制裁に対する報復としての攻撃が考えられます。

ロシアによるウクライナ侵攻時のサイバー攻撃を例にとってみても、DDoS攻撃がきたあとに破壊の攻撃が繰り広げられました。また企業に対するランサムウェアの前段でDDoS攻撃がおこなわれることがよくあります。DDoS攻撃は単なるサービス妨害ではなく、組織の内部侵入やランサムウェア攻撃の前段階として利用されるケースが増えています。つまりDDoSは単なる陽動作戦であり、その上で本丸の攻撃が展開されている可能性があります。DDoSへの対応にセキュリティ担当者の注意を引き付け、その間に組織の中に入り込むためにメール攻撃がおこなわれているかもしれません。メールを起点としたランサムウェア攻撃はあとを絶ちません。またランサムウェアよりさらに厄介なのはメールを起点に侵入され、気づかない間にずっと情報を吸い取られ続けることです。

 

国家安全保障への影響と今後の対策

現時点で、サイバー攻撃は単なる犯罪行為として捉えられがちですが、重要インフラを標的にした攻撃は、個々の犯罪ではなく、国家安全保障上の脅威として捉えるべき重大な脅威です。 そのような中、現在国会では能動的サイバー防御の審議が進んでいます。今後はさらなる官民連携と国際的な情報連携、また経済制裁と同等の力を持つサイバー抑止力が必要となり、安全保障の面からもサイバー戦略を包括的に検討する必要があります。