脅威リサーチ
脅威レポート:サイバーとフィジカルの融合が、サイバー犯罪者に新たな攻撃の機会をもたらしている
フォーティネットは、最新の2018年第4四半期版脅威レポートを発表しました。過去のレポートと同様に、今回のレポートも世界中で導入されている数百万台ものフォーティネットデバイスが観測した、数十億の脅威イベントから収集されたデータに基づいています。フォーティネットのサイバーセキュリティプロフェッショナルチームは、本レポートの中でデータから得られた発見事項を詳しく分析し、重要な背景説明を追加しています。
今四半期で注目すべき事項としてまず取り上げるのは、企業あたりのエクスプロイト検知数が増加を続けている点、そしてさらに驚くべきこととして、ボットネットの感染日数も長期化している点の2つです。個々の企業に被害を及ぼしたエクスプロイトは、本四半期の間に10%増加しており、企業が影響を受けた一意のエクスプロイト数も5%増えています。この事実は、ホリデーシーズン中でさえもサイバー犯罪者が攻撃の手を緩めなかったことを示しています。同時に、ボットネットも進化を続けており、さらに巧妙化し検知が困難になっています。ボットネットの感染日数は15%増加し、1社あたりの平均感染日数は約12日間へと長期化しました。
今四半期のレポートで注目すべきその他の事項:
- 物理セキュリティとIPネットワークの融合によって攻撃対象領域が拡大している: 上位12のグローバルエクスプロイトの半分がIoTデバイスを標的にしており、上位12のうち4つはIP対応カメラに関連するエクスプロイトでした。皮肉なことに、サイバー犯罪者はセキュリティカメラを標的とする攻撃を増加させています。これは、セキュリティカメラの多くでネットワークセキュリティが欠如していることが原因です。IPカメラにアクセスすることで、サイバー犯罪者はプライベートなやり取りののぞき見や監視、悪意のあるオンサイト活動の実行(カメラを停止して、立ち入り禁止領域へ実際に侵入する等)が可能になるほか、サイバーシステムへの侵入起点として悪用し、DDoS攻撃の実行や機密情報の不正入手、ランサムウェア攻撃の開始なども可能となります。「監視用デバイスを監視する」という格言は、今日の企業組織にとって、その重要性を極めて適切に表現しているといえます。
- オープンソースマルウェアツールの普及: GitHubなどの共有サイトで一般に公開されているオープンソースマルウェアツールを活用することで、セキュリティチームによる防御対策のテスト、研究者によるエクスプロイトの分析、教育目的のラボの開設や学生のトレーニングの際のセキュリティインストラクターによる実例の提示などが可能になります。しかしながら、こういったオープンソースツールは誰でも入手できるため、サイバー犯罪者もこれらのツールを武器化して、特に新たな脅威となるランサムウェアへと進化させるなど、不正な活動に悪用することができます。オープンソースが武器化された例の代表として挙げられるのが、2016年に確認されたMiraiボットネットです。それ以来、亜種が爆発的に増加し、その活動が猛威を奮い続けています。
- ステガノグラフィの拡散: ステガノグラフィの発展は、古いタイプの攻撃に新たな命をもたらしています。通常ステガノグラフィは高頻度で繰り返される脅威に使われることは少ないものの、Vawtrakボットネットは「バースト性を示した」ボットネットの上位に入りました。この事実は、この種類の攻撃の持続期間が長期化していることを示しています。さらにこの四半期には、ソーシャルメディアに投稿したミーム(Meme)にステガノグラフィを使って不正ペイロードを隠蔽するマルウェアサンプルが発見されました。このサンプルは、C2(コマンド&コントロール)ホストへのコンタクトを試みた後の攻撃プロセスにおいて、関連するTwitterフィードに含まれる画像を探してダウンロードし、画像に隠されているコマンドを探して活動を拡散します。こういった隠蔽アプローチは、攻撃者が自分のマルウェアを進化させる方法の実験を続けていることを示しています。
- アドウェアの侵入: アドウェアは厄介なものであるだけでなく、今や大きな脅威になりました。世界的にみると、アドウェアはほとんどの地域でマルウェア感染リストのトップとなっており、北米やオセアニアではすべての感染タイプの4分の1以上、ヨーロッパでもほぼ4分の1を占めています。アドウェアは、公開されているアプリ内で数多く発見されており、このタイプの攻撃を疑うことのないモバイルデバイスのユーザーにとって、特に深刻な脅威となっています。
今後の展望
フォーティネットが今回のレポートで取り上げた課題に取り組むために、企業は次の対策を講じることが重要です。
巧妙化を続けるサイバー攻撃に対処するには、防御対策を進化させなければなりません。サイバー犯罪者がボットネット攻撃を拡散するためにマシンを導入しているのと同様に、企業組織もAIや機械学習分野のテクノロジーの進歩を活用して、マシンの生成する攻撃に対抗する必要があります。さらに、警戒を続けるとともに、企業組織がセキュリティ対策を再検討する一般的なスピードよりも遙かに速く、脅威は四半期毎に進化し続けている実態を理解することも重要です。
また、最先端の脅威インテリジェンスの活用も不可欠です。サイバー犯罪者による攻撃手法の開発は、オープンソースマルウェアツールの採用と再装備からも明らかなようにますます革新的になっており、ボットネットや他の攻撃手法も巧妙化が進んでいます。このため、企業組織は警戒を続けるとともに、すべてのセキュリティ要素を網羅するリアルタイムの脅威インテリジェンス共有をはじめとする、最先端の脅威インテリジェンスの活用が大切です。これにより、脅威の大規模化、高速化、そして高度化の実態に遅れることなく対処することが可能になります。
さらに、予想外のベクトルからの攻撃は短期間で増殖することもあるため、継続的な監視も重要です。これまで、ステガノグラフィは繰り返される頻度の低い攻撃ベクトルでしたが、現在ではサイバー犯罪者がソーシャルメディアに投稿したミームに不正ペイロードを隠蔽するケースも発見されています。このため、セキュリティ担当者は継続的にサイバーセキュリティの認識トレーニングを受けると同時に、個人および業務のデータやアプリケーションが結びつけられるソーシャルメディアからモバイルデバイスにいたるまで、攻撃対象領域全体を透過的に可視化して、このような攻撃や類似の脅威に対する防御体制を確立する必要があります。
結論
私たちは、物理的な安全性とセキュリティの監視に使用されているシステムを監視しなければならないという皮肉な状況にあることに、突然気付きました。物理システムとサイバーシステムの融合に伴って発生する脅威は、今後数か月、数年にわたって拡大を続ける一方です。サイバー犯罪者はこういった状況に絶えず注目し、特にIPカメラをはじめとする物理システムを標的とするエクスプロイトの開発を続けています。
同様に、オープンソースマルウェアツールを新たな脅威に改変する、少数のステガノグラフィエクスプロイトを短期間でさらに大規模な攻撃戦略に取り入れる、あるいはIoTデバイスの膨大な脆弱性を突く攻撃の機会を常に最大化するなど、サイバー犯罪者はその他の攻撃ベクトルについても巧妙化を続けています。
このような課題を解決するには、一貫性のある統合型のセキュリティ戦略、現在のデジタル市場のフレームワークで機能するように設計されたツール、最新の脅威インテリジェンスをリアルタイムで活用する能力、そしてサイバー脅威の進化にプロアクティブに対応するためのAIや機械学習といった最新テクノロジー導入など、包括的なセキュリティ対策が求められています。
2018年第4四半期のボットネット、マルウェア、およびエクスプロイト各々の指標を示したFortinet Threat Landscape Indexをはじめとする脅威レポート全文は、こちらからダウンロードいただけます。レポート発表のニュースリリースも是非ご覧ください。
FortiGuard セキュリティサービスのポートフォリオ、キュリティ監査とベストプラクティスを提供するFortiGuardセキュリティレーティングサービスについても、是非ご覧ください。
FortiGuard Labsでは、脅威インテリジェンス情報(英文)を毎週お届けしています。ぜひご購読ください。
