業界トレンド
FortiGuard Labsの脅威レポート:2020年の主要な脅威のトレンドは、ディスラプション(混乱)
2020年後半の脅威の状況を分析していると、「Disruption(混乱)」という言葉が頭に浮かびます。これは、単なるビジネスの混乱ではありません。2020年前半は、組織がビジネスを運営する方法や顧客との接点を、これまでにないほど急速に変化させました。また、サイバー犯罪者がパンデミックに対する不安や懸念を利用して、個人情報を収集したり、財務データを盗んだり、悪意のあるペイロードを読み込んだりすることも目の当たりにしました。
その多くは2020年の下半期にも波及し続けましたが、FortiGuard Labsの新しいグローバル脅威レポートに記されているのは、その最初の混乱の延長線上にあるものです。しかし今回は、単なるビジネスの混乱ではありませんでした。また、あらゆる業種で、あらゆる地域で混乱が生じています。
在宅勤務(WFH:Work From Home)への突然の移行に対応しなければならない中、サイバーセキュリティのスキルギャップの拡大に加えて、セキュリティチームは、3つの面で同時に組織を標的とする脅威に対処するために、セキュリティ戦略を再設計しなければなりませんでした。在宅勤務を標的とした攻撃の急増、デジタルサプライチェーンへのリスク、コアネットワークへのランサムウェア攻撃の増加など、多くの組織がその影響に苦しんでいます。
1. 在宅勤務が引き続き標的に
会社のオフィスから仕事にログインすることと、自宅からネットワークに接続することの間に存在していた障壁は、2020年になくなりました。ネットワークは裏返しになり、大多数のワーカーが自宅のオフィスから重要なネットワークリソースやアプリケーションにアクセスするようになったのです。この変化は突然起こったため、効果的なサイバーセキュリティ戦略を計画する時間はほとんどありませんでした。その結果、時代遅れでセキュリティが不十分な自宅への攻撃成功 Pwn は、企業への侵入に 一歩近づいたことを意味します。
企業の中には、企業のセキュリティ保護を従業員の自宅まで効果的に拡大する方法を模索しているところもあるようです。一方で、特に2020年後半には、ホームエンターテインメントシステム、ホームルーター、コネクテッドセキュリティデバイスなどのモノのインターネット(IoT)デバイスを標的としたエクスプロイトが、当社が記録した上位の脅威の一つとなりました。これらのIoTデバイスは、それぞれ防御が必要な新しいネットワークの「エッジ」となります。そのため、セキュリティチームは、セキュリティの監視と実施をすべてのデバイスに拡大する方法を考えなければなりません。
その一方で、かつてはエンタープライズグレードのセキュリティソリューションのフルスタックの背後に隠れていたユーザーベースのリソースが、状況によってはSSL接続程度で保護されていることもあります。その結果、サイバー犯罪者は、接続機器の老朽化を狙った旧式のエクスプロイトを使ってホームネットワークを標的にし、そこを拠点に企業ネットワークやクラウドベースのアプリケーションやリソースに対する攻撃を仕掛けることに成功しているのです。
2. デジタルサプライチェーンが主役に
サプライチェーンへの攻撃には長い歴史がありますが、SolarWindsの情報漏えい事件では、その議論が新たな高みへと進みました。この攻撃が展開されるにつれ、被害を受けた組織から大量の情報が漏洩しました。FortiGuard Labsは、この新しい情報を注意深く監視し、関連する活動を検出するためのIoCを作成するために使用しました。2020年12月にSUNBURSTに関連するインターネットインフラとの通信が検出されたことで、このハッキングが世界中で被害者を出したことが明らかになり、「ファイブアイズ 」における悪意のあるIoCに一致するトラフィックの割合が特に高くなっています。
また「間接的影響」で標的となった可能性を示す証拠は、現代のサプライチェーン攻撃は相互に関連していること、およびサプライチェーンリスクマネジメントの重要性を強調しています。
3. ランサムウェアの猛攻は続く
ランサムウェアの活動は、2020年下半期には上半期と比較して7倍という驚異的な伸びを示しました。重要なシステムを暗号化してロックし、その復号鍵を求めて身代金を要求する方法は、組織の規模や所属する業界を問わず、比較的容易に組織から金銭を搾取することができることを、攻撃者はすでに発見していました。しかし、RaaS(Ransomware-as-a-Service)が進化し続け、「大物狙い」(大きな標的から大きな身代金を得ること)が強調され、要求が満たされない場合は侵害されたデータを開示するという脅しがかけられたことで、サイバー犯罪者が大きな利益を得るための市場が大きく成長しました。ランサムウェアのキャンペーンにおいて、追加手段としてデータ不正取得を利用することは、年末までには攻撃の大部分を占めるようになりました。
2020年の7月から12月の間に追跡されたランサムウェアの中で最も活発だったのは、Egregor、Ryuk、Conti、Thanos、Ragnar、WastedLocker、Phobos/EKING、BazarLoaderでした。ランサムウェアの攻撃で大きく狙われた分野は、ヘルスケア、専門サービス企業、消費者サービス企業、公共機関、金融サービス企業など、幅広い市場に広がっていました。
進化し、急速に拡大するランサムウェアのリスクに効果的に対処するためには、企業はデータバックアップの頻度、場所、セキュリティを根本的に変更する必要があります。デジタルサプライチェーンの危険性や、ネットワークに接続している従業員の在宅勤務と相まって、攻撃がどこからでも可能になるという現実的なリスクがあります。ネットワーク外のデバイスを保護するSASEなどのクラウドベースのセキュリティソリューション、マルウェアを攻撃の途中で停止させることができるEDR(Endpoint Detection and Response)ソリューションなどの高度なエンドポイントセキュリティ、ポリシーやコンテキストに基づいてアプリケーションやリソースへのアクセスを制限するゼロトラストアクセスやネットワークセグメンテーション戦略など、リスクを最小限に抑え、ランサムウェア攻撃が成功した場合の影響を軽減するために、すべての調査を行う必要があります。
Daily detections of select ransomware strains of interest in 2H 2020
脆弱性を狙うエクスプロイトのカーブを平坦にする
脆弱性を利用して利益を得ようとするサイバー攻撃者が後を絶たない中、パッチ適用と修復は組織にとって継続的な優先課題です。具体的には、"どの脆弱性が"、"いつ "狙われるかという難しい課題です。これは、適切に調査するために必要な規模のデータを持っている組織が非常に少ないため、回答や分析が困難です。フォーティネットはそのような組織の1つであり、FortiGuard Labsは他の組織と協力してこのトピックに光を当てる手助けをしています。
過去2年間に発生した1,500件のエクスプロイトの進行状況を追跡した結果、エクスプロイトがどれだけ速く、どれだけ遠くまで伝播するかを示すデータがあることがわかりました。常にそうであるとは限りませんが、ほとんどのエクスプロイトは、それほど速くは広がらないようです。過去2年間に追跡されたすべてのエクスプロイトのうち、10%以上の組織で検出されたのはわずか5%でした。すべての条件が同じであれば、脆弱性を無作為に選んだ場合、組織が攻撃を受ける確率は1000分の1程度であるというデータがあります。最初の1ヶ月間に1%以上の企業に攻撃されたエクスプロイトは約6%で、1年経っても91%のエクスプロイトは1%の閾値を超えていません。
いずれにしても、悪用されることがわかっている脆弱性の修正に注力し、その中でも、実際に急速に広まっているものを優先することが賢明であることに変わりはありません。
脅威レポートの概要
グローバル脅威レポートは、FortiGuard Labsのインテリジェンスを説明するものです。そのデータは、2020年下半期に世界中で観測された何十億もの脅威イベントを収集し、世界最先端のAIシステムを用いて処理したフォーティネットの膨大なセンサーから抽出されています。FortiGuard Labsのグローバル脅威状況レポートでは、MITRE ATT&CKフレームワークの最初の3つのグループ(偵察、リソース開発、初期アクセス)を用いて、敵対者の戦術と技術を分類し、攻撃者がどのように脆弱性を発見し、悪意のあるインフラを構築し、標的を悪用するかを説明しています。本レポートでは、グローバルおよび地域別の視点から、セキュリティ専門家に脅威の状況に関する広範かつ具体的な洞察を提供し、リスクを低減し、重要なデジタルリソースをよりよく保護・保全するための意思決定を可能にします。
