ビッグネームに惑わされる報道に注意

　サイバーセキュリティ関連の報道は、攻撃グループ、マルウェア、ターゲットの固有名詞の大きさに惑わされ、全体を見誤ることがある。被害額が大きかったり、被害者が大企業や政府・公的機関だと、どうしても報道がセンセーショナルになりがちだ。

　2023年6月末に起きた「TSMCの関連企業がサイバー攻撃を受けて情報が漏えいした」というインシデントに対する各紙の報道も、CNNの記事を始め例外ではないようだ。

　被害企業のアナウンスや報道から情報を整理する前に、まずは基本的な情報を確認しておく。

　TSMCは世界最大規模の半導体ファウンドリである。局地的な仮想通貨マイニングブーム、コロナパンデミックによる半導体部品（特にプロセッサ）のひっ迫により、世界の注目を集めた企業だ。現在半導体製造は、クアルコムやNVIDIAのようなチップセットのデザインを専門に手がけるファブレスメーカー、インテルやAMDのように設計・製造を幅広く行うIDM、そしてそれらからウェーハ製造を請け負うファウンドリに分けることができる。TSMC、サムスンがファウンドリ業界の2強であり、TSMCは世界の半導体製造のおよそ半分を担っている。

OSINTによる情報の整理

　TSMC本体ではないとはいえ、その関連企業がサイバー攻撃を受けたとなれば穏やかではないが、7月頭の時点での状況を改めて整理してみよう。


　以上が、筆者が複数のメディアやOSINT（Open Source Intelligence：一般的に公開されている情報を分析して、独自の情報を読み取る手法）による情報収集から得られた情報だ。情報ソースは当事者のリリースや公式発表をベースとするのが基本だ。これに加え、国内外のニュースやSNSを含むコミュニティ情報も調べる。

どんな攻撃だったのか？ 背景分析は5W1Hの情報収集から

　調べる内容は、月並みだが5W1Hで考えると整理しやすい。


　攻撃に利用されたLockBitランサムウェアだが、大企業の攻撃や国家支援型と見られる攻撃に利用されることが多い。しかし、RaaS（Ransomeware as a Service）プラットフォームが存在し、原則として直接の攻撃者はアフィリエイターたちである。


　大企業や政府などが被害にあっているため、LockBitの背後（開発者・RaaSプラットフォーム運営者）に国家機関や政府が絡んでいるという分析もあるが、詳細は不明である。

　攻撃の第1段階はスピアフィッシングなど標的を絞った形で行われる（バラマキ型のランサムウェアではない）。侵入後の攻撃は自動化されている。攻撃者が介在するのは被害者が感染（暗号化）告知ファイルを認識して、連絡先にコンタクトをしてからの身代金交渉以降となる。また、脅迫は暗号データの復号キーの身代金であることが多い。

　以上のような背景知識があると、今回の攻撃で注目すべきポイントが見えてくる。 【次ページ】被害状況と被害者の対応は？