業界トレンド

2021年下半期 FortiGuard Labs脅威レポートからの主な調査結果

投稿者 Derek Manky | 2022年4月28日

2021年の終わりから2022年の初めにかけてのサイバーセキュリティイベントを一言で表すとしたら、「速さ」ということになるでしょう。サイバー犯罪がこれまでにない速さで仕掛けられるようになっていることが、半期ごとに発表されるフォーティネットグローバル脅威レポート:FortiGuard Labsによる下半期版で明らかになりました。このレポートの調査結果は、サイバー犯罪者が仕掛ける攻撃がこれまでにないほど加速していることを示しています。サイバー犯罪者は、ハイブリッドワークやハイブリッドITで拡大する攻撃対象領域を悪用し、これまで以上に破壊的で予測不能なAPT(高度な持続的標的型攻撃)戦略を採用するようになっています。

2021年下半期版脅威レポートの調査結果:概要

 
2021年の脅威動向は、いくつかの新しい課題をセキュリティチームに提示しています。しかしながら、新たに登場した脅威がある一方で、前年までと同様に攻撃を継続し、今なお被害が拡大している脅威もあります。2021年下半期版のFortiGuard Labsによるグローバル脅威レポートの調査結果は、これらの新旧の両方の脅威を考慮したセキュリティ対策が必要であることを示しています。

1. Log4jで実証されたエクスプロイトの速さ

JavaベースのロギングフレームワークであるApache Log4jの致命的な脆弱性が12月に明らかになり、Javaアプリケーションが存在するほぼすべての環境に影響することがわかりました。この脆弱性のエクスプロイトは非常に簡単で、攻撃者は脆弱なシステムを完全に制御する手段を手に入れることができました。Log4jはわずか数日で、この下半期で最多のIPS検知数を記録しました。最初の脆弱性からほとんど間を空けずに別の2つの脆弱性が発見されたことで、多くの組織が1週間で3度のLog4jの更新に追われることになりました。

年度末まで1ヵ月を切った12月第2週に発生したにもかかわらず、エクスプロイト活動が急拡大し、2021年下半期でIPS検知数が最多になりました。Log4jはさらに、2021年前半に発生した有名なアウトブレイクであるProxyLogonの50倍近い活動件数を記録しました。Log4jの脆弱性の発見から1ヵ月後までに重大な侵害は報告されなかったものの、攻撃者がバグを悪用してすでにネットワークに侵入し、攻撃の機会を待っているだけという可能性もあります。

2. Linuxという新しいベクトルを標的にする攻撃の増加

多くのネットワークのバックエンドシステムやIoTデバイスあるいはミッションクリティカルアプリケーションのコンテナベースのソリューションがLinuxで動作しているにもかかわらず、Linuxは少し前まで、IT業界で最も攻撃されることの少ないプラットフォームの1つでした。ところが、脅威アクターは自らのツールセットを拡張し、Linuxベースのマルウェアを加えるようになりました。

Linuxのバイナリ形式であるELF(Executable and Linkable Format)ファイルのマルウェア検知数が2021年に2倍になり、フォーティネットが新たに作成する必要があったアンチウイルス(AV)検知も4倍になりました。このような亜種や拡散の増加から、Linuxマルウェアが増えていることがわかります。MicrosoftがWindows Subsystem for Linux(WSL)のWindows 11への統合を積極的に進めていることから、マルウェアも間違いなくこれに追随するでしょう。Linux攻撃の継続的な増加をフォーティネットの2022年サイバー脅威の予測に含めたのは、十分な根拠と理由があったためです。

3. 執拗に繰り返されるランサムウェア攻撃

ランサムウェアの巧妙化や攻撃力と影響の拡大は、2021年下半期も容赦なく続きました。脅威アクターは、これまでに確認されたことのない新しいランサムウェアで組織を攻撃し続けています。その一例がKaseyaのリモート監視 / 管理テクノロジーであるVSAに対する攻撃であり、影響が広範囲に及んだことで大きく注目されましたが、このインシデントも、ソフトウェアサプライチェーン攻撃の「一度の侵害で複数の被害を引き起こす」特性を再認識させるものでした。

古いランサムウェアが更新、強化、再利用されているのも、厄介なトレンドと言えるでしょう。例えば、BlackMatterは米国のインフラストラクチャに対する複数の攻撃で使用されましたが、これは、コロニアルパイプライン攻撃に使用されたDarkSideランサムウェアの単なる名称変更と言われています。RaaS(Ransomware-as-as-Service:サービスとしてのランサムウェア)モデルであれば、複数の脅威アクターが容易にマルウェアを拡散できます。

4. 攻撃手法を十分に理解することで可能になる、サイバー犯罪の迅速な阻止

FortiGuard Labsは、収集したマルウェアサンプルを活性化することで、検知したマルウェアの機能を分析し、さまざまな攻撃でもたらされる結果を観察しました。そしてその結果を、攻撃が実行された場合にマルウェアが行うであろう個々の戦術、手法、手順(TTP)をリストにまとめました。この詳細なインテリジェンスは、サイバー犯罪者をできるだけ早く阻止することがこれまで以上に重要であり、特定された一部の手法に注目することで、マルウェアの攻撃手法を効果的に抑止できる場合もあることを示しています。

例えば、「実行」フェーズの上位3つの手法が活動の82%を占め、「永続化」フェーズで足掛かりを築くための上位2つの手法が確認された機能の95%近くを占めました。この分析を活用し、組織が最大限の防御を強化するにあたって、最優先すべきセキュリティ戦略を判断することで、大きな効果がもたらされます。

スマートなソリューションによる保護の強化

これらの攻撃は、2021年下半期に確認された多くの攻撃の一部に過ぎません。攻撃の加速が止まらない現状では、ポイント製品の寄せ集めから脱却し、連携して動作することを前提に設計された統合ソリューションに移行する必要があります。進化する攻撃手法からの保護を可能にするには、リアルタイムの脅威インテリジェンスを取り込み、脅威のパターンやフィンガープリントを検出し、大量のデータを相関付けることで異常を検知し、自動的に連携したレスポンスを開始できる、よりスマートなソリューションが必要です。サイバーセキュリティメッシュプラットフォームの一元管理と広範な可視性は、ポリシーの一貫性ある適用、構成やアップデートの迅速な配信、不審な活動が検知された場合の協調型の脅威レスポンスの開始に役立ちます。

2021年下半期版 FortiGuard Labsによる脅威レポートの調査結果の分析

最新のグローバル脅威レポートには、FortiGuard Labsのインテリジェンスが集約されています。レポートのデータは、世界中で観測される数十億の脅威イベントを収集する、世界中に配置されたフォーティネットのセンサーから取得されます。FortiGuard Labsのグローバル脅威レポートは、MITRE ATT&CKフレームワークによるサイバー攻撃者の最初の3つのグループである、偵察リソース開発初期アクセスを使用して、戦術、手法、手順を分類することで、サイバー犯罪者がどのように脆弱性を見つけ、攻撃用のインフラストラクチャを構築し、標的を攻撃するかを解説しています。レポートではさらに、グローバルおよび地域別の視点からの脅威環境に関する広範かつ具体的な実用的インテリジェンスをセキュリティプロフェッショナルに提供することで、リスクの軽減と重要なデジタルリソースの保護の強化につながる意思決定を支援します。