FortiGuard Labs 脅威リサーチ
サイバー攻撃者による世界的パンデミックの大規模な悪用
サイバーセキュリティ業界の内外を問わず、2020年に私たちが経験する変化の度合いと大きさを予想できた人は1人もいませんでした。今年の上半期は、サイバー犯罪者や国家的攻撃者が世界的なパンデミックに便乗し、極めて大規模な標的型サイバー攻撃を世界中で仕掛け、攻撃を成功させていることが確認されています。このような攻撃者は、攻撃戦略として個人が抱える恐怖心とパンデミックの不確実性を悪用しています。これらの攻撃ではさまざまな戦略が用いられていますが、集中的に狙われている攻撃対象としては、急激に拡大したテレワーカー(ほぼ一夜にしてテレワーカーが数百万人増加したことで、デジタル攻撃領域は大幅に拡大しました)と、テレワーカーが使用している脆弱なホームネットワークやデバイス、保護されていないブラウザなどが挙げられます。
それと同時に、他の攻撃も継続しています。たとえば、サイバー犯罪者は引き続きランサムウェアを使用しており、RaaS(Ransomware-as-a-Service)への依存度はこれまで以上に高まっています。ただし、最近の攻撃には少しひねりが加えられています。重要なデータが暗号化されて身代金を要求されるだけでなく、その暗号化されたデータがオンラインで公開され、「身代金を支払わなければ、顧客情報から知的財産に至るまでの企業の全データを公開する」と脅迫されるケースが発生しているのです。
上半期を振り返る:FortiGuard Labs「グローバル脅威レポート」の主な調査結果
2020年上半期は、職場環境の進化や個人デバイスへの依存度の向上が、サイバー脅威活動の活発化につながりました。最新のグローバル脅威レポートで明らかになった、第1および第2四半期に最も多くみられたサイバー脅威のトレンドの一部を、以下にご紹介します。
- 便乗型のフィッシング詐欺師から、陰謀を企む国家による攻撃者にいたるまで、あらゆる種類のサイバー犯罪者が自らの利益のために今回の世界的パンデミックにつけ込む大掛かりな手法を編み出しました。その例としては、フィッシングやビジネスメール詐欺のスキーム、国家が支援する攻撃、ランサムウェア攻撃などが挙げられます。
- ランサムウェアをはじめとする良く知られた脅威は、過去6ヵ月間減少も消滅もしておらず、標的型攻撃の性質を強めています。その一方で、新型コロナウイルスをテーマにしたメッセージや添付ファイルが、さまざまな攻撃で罠として使用されていました。その他には、データを暗号化する前にコンピュータのマスターブートレコード(MBR)を書き換えるランサムウェアも発見されています。さらに、攻撃者が被害者組織のデータをロックするだけでなく、データを盗み出して大規模に公開すると脅して身代金をゆすり取ろうとする、ランサムウェアのインシデントが増加していました。
- マルウェアを拡散させる手段として最も使用頻度が高まったWebベースのマルウェアは、フィッシング攻撃や詐欺の一環として広く使用されています。この攻撃ベクトルが、マルウェアの主要な拡散手段として電子メールを上回ったのは、久しぶりのことです。
- サイバー攻撃者にとっては、大規模なエクスプロイトの開発、および正規のハッキングツールや悪意のあるハッキングツールを介した拡散が、時間のかかる作業であることに変わりはありません。2020年は、公開される脆弱性の記録を塗り替えるペースが続いていますが、2020年の脆弱性はまた、CVEリストの20年以上の歴史の中で過去最低の悪用率(1%未満)を記録しています。興味深いことに、最も高いエクスプロイトの検知率(65%)を示しているのは2018年に発見された脆弱性ですが、15年前(2004年)のCVEを悪用しようする試みが4分の1以上の企業で検知されています。
- 複数の家庭用ルーターおよびIoTデバイスに対するエクスプロイトの試みが、IPS検知の上位に登場しました。これらのエクスプロイトの中には新しい脆弱性を標的にしたものもありますが、驚くべき数のエクスプロイトが2014年に発見されたものでした。この事実は、企業ネットワークへの踏み台として使用する目的で、ホームネットワークに今なお存在するエクスプロイトを犯罪者が探していることを示しています。
- さらに、Mirai(2016年)とGh0st(2009年)が最も多く検知されたボットネットの上位を占めました。その要因となったのは、消費者向けIoT製品に存在する古い脆弱性を標的にした攻撃が明らかに増加したことです。
- 去る6月にStuxnetが登場から10周年を迎えた2020年、最新のスパイ活動フレームワークである「Ramsay」など、産業環境への侵入を目的としたOT(オペレーショナルテクノロジー)のセキュリティ脅威に再び注目が集まりました。もう1つの注目すべき動きとして、ランサムウェアがOT(オペレーショナルテクノロジー)環境で使用されたことが挙げられます。
CISOに求められていることとは
CISOは、このレポートで示されている情報を活用して現在のセキュリティ対策の評価と更新を実行し、これらの攻撃ベクトルや攻撃戦略に対して適切な保護が導入されていることを確認する必要があります。
テレワーカーのエンドポイントデバイスを保護する:最初のステップは、テレワーカーの環境を見直して、リモートで使用されているデータ、アプリケーション、リソースを保護する適切なセキュリティ対策が講じられていることを確認すること、そして、マルウェアが企業ネットワークに侵入するための経路にならないようにすることです。そのためにはまず、エンドユーザーのデバイスに適切なセキュリティを導入します。2020年上半期は、フィッシング攻撃などの詐欺を介して配信されたWebベースのマルウェアの数が、従来のメール配信を上回っていたため、特にブラウザ上でのアクティビティを厳重に保護する必要があります。
エンドポイントデバイスは、従来のアンチウイルス(AV)やエンドポイント保護に留まらない強力なセキュリティによって保護する必要があります。FortiEDRなどの新しいEDR(Endpoint Detection and Response)ソリューションは、高度な攻撃を特定できるだけでなく、解析が完了するまでマルウェアなどの未知のアプリケーションの実行を阻止することができます。
ランサムウェアのセキュリティ対策を見直す:組織は、堅牢なランサムウェア対策を完備していなければなりません。この対策は、コンテンツの無害化ツールを使用してEメール内の悪意のあるコンテンツを削除する機能を備えている必要があります。影響を受ける可能性のあるリソースを制限するためには、ZTNA戦略の一環としてネットワークのセグメント化が不可欠です。データの完全なバックアップをオフラインおよびオフネットワークに保存することで、迅速な復旧が可能になります。また、ネットワーク内のデータを暗号化して、サイバー犯罪者に使用されたり公開されたりしないようにする必要があります。この暗号化対策は、ダウンタイムを回避する目的で定期的に実施される完全なレスポンス戦略と組み合わせることが重要です。
すべてのVPNトラフィックに対するインスペクションを確実に実行する:ホームルーターとその接続デバイス(DVRなど)を標的とする攻撃が増加しているため、VPN接続においてテレワーカーのホームネットワークから送信されたマルウェアを検知可能にする完全なインスペクション機能を装備する必要があります。そのためには、急増したVPNトラフィックのボリュームを管理できるだけでなく、暗号化されたトラフィックの検査で要求される大きな負荷の処理にも対応するファイアウォールの配備が不可欠です。
OT環境のセキュリティを強化する:OT環境に対する攻撃の増加に伴い、ユーザーやデバイス、アプリケーション、ワークフローにアクセスを許可するリソースを制限するセキュリティ機能が重要となっています。フォーティネットの完全なゼロトラストネットワークアクセス(ZTNA)ソリューションでは、SCADAやICSシステムなどのOT環境およびシステムのセキュリティを確保するためのアクセス制御 / ネットワークセキュリティソリューションと、アクセスポイントやネットワークセグメンテーションなどのネットワーク機能が統合されています。このソリューションにより、万一マルウェアがエッジセキュリティ戦略を迂回した場合でも、マルウェアの影響が及ぶ範囲はOTネットワークのわずかなセグメントに限定されます。
重要な対策の施行に本レポートをご活用ください
本ブログは、このたびFortiGuard Labsが公開した2020年上半期の宇ローバル脅威レポートの概要にすぎません。CISOやその他のセキュリティ専門家の皆様におかれましては、このレポートをお読みになって推奨事項を確認し、解説されている脅威トレンドに対して適切な対策を講じることを強くお勧めします。
攻撃やデータ侵害の試みを避けられないことは周知の事実です。このため組織は、前述の具体的な推奨事項に加えて、脅威の防止とインシデントレスポンスに重点を置いたセキュリティフレームワークの開発に戦略的レベルで注力すると同時に、AI機能を活用してセキュリティ侵害による経済的影響を低減しなければなりません。Ponemon Instituteが実施した調査によると、データ漏洩のコストは世界全体における6年間の平均で378万ドルに上ります。データ侵害がもたらすコストは、侵害の根本原因、ネットワークの規模、組織が保持するデータのタイプなど複数の要因によって異なりますが、より多くの標的型攻撃が発生すればそれだけ増加するに違いありません。
これまでもお伝えしているように、最良のサイバー脅威対策とは優れた情報です。この最新版の「フォーティネット脅威レポート」をはじめとする重要な脅威インテリジェンスを活用することで、組織はリソースと戦略を再確認して改善し、最新の脅威の一歩先を行くことが可能になります。
サイバーセキュリティの脅威の最新トレンドと急速に進化する脅威の現状の詳細は、最新の2020年上半期脅威レポートでご確認ください。
FortiGuard Labsの脅威リサーチ、およびFortiGuardセキュリティサブスクリプション / サービスのポートフォリオの詳細については、こちらをご覧ください。FortiGuard Labs Weekly Threat Brief(英文)の購読は、こちらからお申込みいただけます。
また、フォーティネットの無償サイバーセキュリティトレーニングについて、フォーティネットのネットワーク セキュリティ エキスパート プログラム、ネットワーク セキュリティ アカデミーおよびFortiVetプログラムについても、詳細をご覧ください。
