IT業界の最重要レポートに学ぶ、サイバーセキュリティ6つの注目トレンド
2020.06.02更新
サイバーセキュリティの最新トレンド
Verizon社が2019年にリリースしたData Breach Investigations Report ( 以下DBIR ) には、非常に役立つ情報が豊富に掲載されています。しかし、膨大なレポートであるため、特に重要な6つのトレンドに注目し、さらに「既に結論が出ているトレンド」と「まだ結論が出ていないトレンド」に分類しました。本記事が、攻撃の脅威に満ちた現代において、組織のサイバーセキュリティ体制の強化に取り組む皆様の参考になれば幸いです。
2008年から発行されているDBIRの最新版は、ベンター側のテレメトリーデータに関連する事例を含む幅広い情報ソースに基づき、2018年に発生したセキュリティ侵害およびその他のインシデントに関する情報を提供しています。Verizon社のレポートは、主な情報ソースとしてVERIS ( Vocabulary for Event Recording and Incident Sharing ) コミュニティデータベースを主な情報にしているため、信頼性が高いと言えるでしょう。VERISは多様な情報ソースからセキュリティ侵害に関するレポートを集約し、用語も統一されています。
前述のように、DBIRのレポートは広範囲に渡りますが、自社の置かれた状況に関する情報を高い確率で探し出せる、貴重なリソースです。本記事では、大組織や多額のIT関連投資を行っている組織が直面する代表的な6つのトレンドを紹介します。
既に結論が出ている3つのトレンド
経営幹部を狙うケースが増加
レポートでは、経営幹部のネットワークに不正侵入されたケースが12倍に増加したと伝えています。サイバー犯罪者たちは、以前よりも成功率が下がった一般的なフィッシング詐欺をやめ、代わりに知人になりすまして機密情報を不正入手する「スピアフィッシング」型の攻撃に移行しています。また、どの業界やビジネススタイルの経営幹部がターゲットにされやすいか、さらに犯罪に遭う確率も紹介されています。
レポートでは、より高いレベルの承認権やシステムアクセス権を持つ経営幹部ほど、なりすましによる攻撃がしやすい対象とされている、と報じています。この事実は、2019年にサイバーセキュリティ企業Crowdstrike社が発行したGlobal Threat Reportでも証明されており、韓国、中国、ロシアなどでは国家レベルでの攻撃が企てられた例を挙げています。
データに基づくソリューションでサイバーセキュリティをサポートしているSecurityfirst社のCMO、DAN Tuchler氏は「経営幹部クラスがターゲットにされる確率が高まっていることが新たな現実です。つまり、彼らは機密データが安全に保護されているかどうか、常に確認しなければならない、ということです」と指摘しています。
「SNSを介した侵害の試みについても同様です」と、サイバーセキュリティに関するコンプライアンスとリスクマネジメントの専門家、Cybersaint Security社のファウンダー兼CEO のGeorge Wrenn氏は指摘します。「SNSにおける経営幹部への攻撃が劇的に増加しており、彼らのサイバーセキュリティに対する意識を押し上げています」。
- 予防策:
- 定期的なセキュリティ意識向上のトレーニング
- 財務関係や支払い処理に関わる脆弱なユーザーアカウントについて、2段階認証やMFA (多要素認証) による保護を徹底する
- 特に経営幹部に対する保護を強化するための調査に投資する
国家レベルの実行犯がますます増加
こうした犯罪者たちは、発電所や送電網といった特定のターゲットから、ビジネス全体へと対象を拡大しています。彼らは政府の支援のもと、業務を混乱に陥れ、業界の機密情報を手に入れて、反倫理的な上層部からの評価を得ようとしています。DBIRによれば、サイバー上のスパイ活動は全てのセキュリティ侵害の4分の1を占めていますが、これはインシデント数の増加というよりも、侵害の背後にいる者を特定する成功率が高いことを意味しています。
- 予防策:
- 機密性の高い売上高や顧客の購買情報などは「機密データ」として分別する
- 定期的なセキュリティトレーニングを実施して、典型的なフィッシング詐欺などに対する意識を向上する
クラウドに関するセキュリティポリシーは、厳密に守られている場合にのみ有効
クラウドのアカウントやデータベースのパスワードを安易に設定したためにデータ漏洩が起こるケースが、驚くほど増加しています。例えば、以前のパスワードの使い回しを含め、過去の侵入で盗んだ認証情報を利用した攻撃者からのアクセスなど。サイバーセキュリティソフト企業Stealsbits Technologies社の製品管理担当上級副社長、Adam Laub氏は「確かに、認証情報の漏洩は、多くの侵害において広く、しかも常に行われているようです」と認めています。
クラウドセキュリティ企業Ciphercloud社のソリューションエンジニアリングディレクター、Tyler Owen氏も「簡単に推測できるパスワードを使い回していることが分かっているなら、わざわざ組織のネットワークをハッキングする必要はないでしょう」と同意しています。
DBIRによれば、こうしたインシデントの60%をサーバーのフロントエンドが占めている事実からも分かるように、クラウドベースの電子メールも非常に侵害を受けやすくなっています。これは、多くの内部情報資産へのアクセスにつながるため、攻撃者にはとても魅力的な入り口なのです。Ciphercloud社CEOのPravin Kothari氏は「今や犯罪者にとって、クラウドを標的にして盗んだパスワードや、APIの脆弱性、設定ミスを利用してアカウントを乗っ取り、まるで認証されたユーザーのように全ての情報にアクセスすることも、はるかに簡単です」と述べています。
- 予防策:
- 全てのクラウドアカウントにMFA (多要素認証) の認証情報を義務付け、クラウドサービスを保護する
- CASV ( Cloud Access Security Broker ) ツールを調べる
- Have I Been Pwnedなどのサービスにアクセスして、自社の認証情報が既に侵害されていないかどうかをチェックする
まだ結論が出ていない3つのトレンド
セキュリティは内部と外部、どちらの脅威を重視するべきか?
この議論については、双方の意見を裏付けるデータがあります。DBIRによれば、不正アクセスの3分の2は、ターゲットとなった組織の外部から発生しました。また、The Breach Level Indexが公開したこのグラフは、大規模な侵害の大部分が外部から発生したことを示しています。
しかし、この議論はそんなに単純明快なものではありません。Bitglass Insider Reportの一環として実施された調査では、400人の回答者のうち、6割が過去12ヶ月以内に内部攻撃のターゲットにされていました。また、IT業界の専門家150人を対象にしたVeriato社の2019 Insider Threat Maturity Report調査では、「大多数の組織には内部脅威に対するポリシーとプロセスを確立するための正式なチームが存在せず、その必要性を基本的には支持しているにも関わらず、調査対象のほとんどが予算を組んでいない」と記されています。
- 予防策:
- いかなる状況であっても、全ての退職者のアクセス権を終了する
- 外部の脅威に警戒しながら、内部による侵害行為の可能性についても客観的かつ現実的になる
ランサムウェアによる攻撃はもはや普通なのか?
この議論も、どちらの意見も成立するデータが存在します。Malwarebytes社が公開したブログ記事は、ランサムウェアによる攻撃の数と被害規模の両方が増大しているとしています。ボルチモア市は、2018年3月に市の911オペレーションセンターがターゲットにされました。そして、2019年5月には多くの地方自治体のコンピュータが操作不能になりました。
DBIRは、一方の意見を採用する代わりに、攻撃者は単にデータを盗むだけでなく、ランサムウェアを使用すること自体に価値を見出していると指摘しています。2018年に起きた侵害のほぼ25%がランサムウェアに関連しています。レポートによれば、ヘルスケアの分野では、企業はデータが実際に漏洩したかどうかに関わらず、ランサムウェアによる被害を報告する義務があります。しかし、ほとんどの分野の企業にはその義務がありません。文書化されていないケースがあるため、こうした攻撃の頻度を正確に把握することは困難です。DBIRはマルウェア感染の7割が支払い要求に関与していると推定しており、この傾向は顕著だと言えます。
サイバーセキュリティのコンサルティング会社Comparitech社のセキュリティ専門家、Brian Higgins氏はランサムウェアについてこう述べています。「盗んだクレジットカードの情報を使って取引するよりも簡単で、TOR ( The Onion Router:匿名通信を可能にするオープンソースソフト) に依存しません。残念ながら、GDBR ( General Data Protection Regulation of the EU:EU一般データ保護規則) を知っていても、被害を報告する手間を考えると、支払い要求に応えてしまう方が簡単です。ですから、犯罪者にとって、はるかに確実な金儲けのやり方なのです」と述べています。
- 予防策:
- バックアップ機能がコンピューター環境に適合していることを確認する
- ワークフローを再確認し、見つかった穴を塞ぐ
- 障害復旧計画を作成または強化し、定期的にテストを実施して実現性を確認する
ハッカーたちはネットワークにどのくらいの期間滞留しているのか?
いわゆる「滞留時間」に関するレポートの多くは、その定義と正確さの点でやや信頼性が低いとされていますが、一般的な観点で見れば減少傾向にあります。例えば、脅威検出の専門家であるTrustwave社は、侵入から封じ込めまでの期間の平均値が、2017年の83日から翌年には55日に減少したとしています。しかし、開始時と終了時が不明確です。なぜなら、こうした出来事はエンドポイントが侵害された時、または誰かがその発生を発見した時に始まると言えるからです。また、ハッカーを退治してシステムから追い出した時点も明確ではありません。DBIRのスタンスは、攻撃の性質によりそれを認識するまでの時間が変わリ、このことが問題をさらに複雑化している、というものです。
しかし、自信を持って言えることは、ハッカーたちは侵入後、何ヶ月もシステムに留まっている可能性があるということです。仮想化テクノロジーのスタートアップ企業Bromium社の最高技術責任者、Fraser Kyne氏は「ハッカーがシステムに不正アクセスしている時間が長くなればなるほど、攻撃の危険性が高まります」と警告しています。「私たちはエンドポイントを従来の弱点から情報収集するポイントに変えていく必要があるのです」。
サイバー攻撃の実行者たちは日々進化し、マルウェアはますます巧妙化しており、それらの検出と退治には、常に新しい課題が存在します。ただし、ハッカーがエラーすると彼らの儲けが少なくなるという点に希望があります。全てのプロセスを正しく実行しなければ、狙うデータや金融資産を手に入れられない可能性が高まります。つまり、マルウェアが複雑化すると、逆に検出される機会が増えるため、ある時点で侵入者を阻止することができれば、彼らが損失の少ないうちに手を引き、別のターゲットに移る可能性があります。
マルウェアの攻撃メカニズムを理解することは、防御戦略を立てる上で重要です。DBIRは、マルウェアによる攻撃を初期、中期、後期に分類しており、非常に有用です。攻撃は個人を操作して機密データや個人データを入手しようとする試みなど、ハッキング特有の何かから始まります。多くの場合、ネットワークを密かに周回して状況を把握するマルウェアが展開し、さらに次のマルウェアとハッキング活動が続きます。つまり、ネットワーク内でマルウェアが検出された時には、攻撃の試みは既に進行中なのです。そして、ソーシャルエンジニアリングやフィッシングの試みが検出されれば、差し迫った侵害の兆候である可能性があります。
エンタープライズ向けのセキュリティスペシャリストVirsec社のファウンダー兼CTOであるSatya Gupta氏は、侵入を迅速に発見・対応できないことを嘆いています。「新たな攻撃が起こるスピードの方が、その対策を行うのよりもはるかに速いので、終わりがありません。DBIRは、攻撃の連鎖は分単位で起こるのに対し、発見までの時間は月単位になる可能性が高いと指摘しています」。「私たちはこのギャップを埋めなければならず、侵害をなくそうと思うのならば、セキュリティツールをリアルタイムでの攻撃検出に集約する必要があります」。
- 予防策:
- セキュリティ対策ツールから送られる情報を理解できるように学習する
- 攻撃の性質と出所を特定するために、攻撃経路全体の包括的な検査を必ず実行する
DBIRは世界が待ち望んだレポートであり、様々な記事で引用やコメントがなされていますが、リスクは企業によって異なるもの。ぜひダウンロードしてご覧ください。あなたが会社の上司を「もっと優れたセキュリティ対策に投資するべき」だと説得するのに最適なことでしょう。