ニュースリリース

統合型かつ自動型の広範にわたるサイバーセキュリティソリューションの世界的リーダーである、フォーティネット（Fortinet®、NASDAQ: FTNT）は本日、最新のグローバル脅威レポートの研究結果を発表しました。この調査によって、企業あたりの攻撃数が前四半期（2017年第3四半期）よりも増加したことがわかりました。さらに、自動化された高度なスウォーム攻撃によって、ユーザー、アプリケーション、デバイスの保護がこれまで以上に困難になっていることも明らかになりました。本レポート（日本語）の全文は、こちらでご覧いただけます。

大規模化、多様化、高速化するスウォーム攻撃

組織を標的とする攻撃がかつてない勢いで高度化しています。デジタルトランスフォーメーションは、ビジネスの形態を大転換させるだけではなく、サイバー攻撃の対象が拡大し、新たな機会を攻撃者にもたらすことにもなりました。スウォームに似た新しい機能が次々と攻撃に実装され、複数の脆弱性、デバイス、アクセスポイントを同時に標的にするようになっています。脅威が急速に進化するだけでなく、新たな亜種が次々と登場していることが、組織におけるセキュリティ対策を一層困難にしています。

• かつてない勢いで増え続けるマルウェア：企業あたり平均で274件のエクスプロイトが検知され、2017年第3四半期と比べて82％も増加したことがわかりました。マルウェアファミリーの数が25％、一意の亜種の数が19％増加しました。また、数の増加だけでなく、マルウェアそのものも進化しています。HTTPSとSSLで暗号化されたトラフィックがネットワークトラフィック全体に占める割合の平均が、60％近くまで上昇しました。暗号化によって、ネットワークコア、クラウド、エンドポイントの環境間を移動するデータの保護が強化されるのは確かですが、その一方で、従来型のセキュリティソリューションに新たな課題を提示することにもなります。
• IoTを標的とする攻撃の急増：IoTデバイスを標的とする攻撃が20位以内に3つも登場し、Wi-Fiカメラなどのデバイスに対するエクスプロイトが4倍に跳ね上がりました。これらのいずれの検知も、既知の（命名された）CVEに関連付けられるものではありません。このことは、脆弱性が存在するIoTデバイスの厄介な一面でもあります。従来の攻撃が1つの脆弱性だけを標的にするものだったのに対し、ReaperやHajimeなどの新しいIoTボットネットの場合は、複数の脆弱性を同時に標的にすることができます。このような複数の脆弱性を標的とする攻撃の場合は、対策が大変困難です。Reaperのフレームワークは極めて柔軟で、以前のIoTエクスプロイトのような、予めプログラミングされた静的な攻撃ではありません。Reaperのコードは簡単に変更できるように作成されているため、新しい攻撃方法を次々と取り入れながら実行することで、急速に拡大することができます。Reaperに関連するエクスプロイトの数がわずか数日間で5万から270万へと急増し、その後再び通常の状態に戻った例を見ると、スウォーム攻撃がいかに短期間で規模を拡大するのかがわかります。
• 引き続き活動が活発なランサムウェア：いくつかの種類のランサムウェアがマルウェア亜種のリストの上位に登場しました。Lockyが最も感染率の高いマルウェア亜種となり、GlobeImposterがそれに続く2位となりました。Lockyが進化を遂げた亜種で、身代金を要求する前に受信者へスパムを送りつける例も確認されています。また、ダークネットにおいては、以前は支払い方法としてビットコインだけが使われていましたが、Moneroなどの他の仮想通貨も受け付けるようになっていることがわかりました。
• 増加する仮想通貨マイニング：クリプトマイニングのマルウェアが増加しましたが、これはビットコインの価値の変動と大きな関連性があるようです。サイバー犯罪者がデジタル通貨の成長に着目し、クリプトジャッキングと呼ばれる方法で、ユーザーに知られることなくCPUリソースをバックグラウンドで使用し、仮想通貨マイニングを行うようになりました。クリプトジャッキングでは、Webブラウザにスクリプトがロードされますが、コンピューター本体に何かがインストールされたり、保存されたりすることはありません。
• 産業用システムを標的にする高度なマルウェア：ICS（産業用制御システム）やSIS（安全計装システム）に対するエクスプロイトの増加は、この分野のシステムを狙う攻撃者が増加している可能性を示しています。その一例である、Tritonというコードネームの攻撃は、自らの行動を隠匿し、フォレンジック分析を逃れるために無意味なデータで上書きし、マルウェアそのものの痕跡を消去するという特性も備えています。これらのプラットフォームが攻撃者にとって魅力的であるのは、極めて重要度の高いインフラストラクチャに影響を与えることができるからです。攻撃が成功すれば、甚大な被害が発生する可能性があります。
• 攻撃の多様化：ステガノグラフィーは、不正コードを画像に埋め込む攻撃ベクトルであり、数年間の停滞期を経て、復活を果たしたようです。このステガノグラフィーを使って情報を不正取得する「Sundown」と呼ばれるエクスプロイトキットが少し前から検知されるようになり、他のいずれのエクスプロイトキットより多くの企業で報告されました。また、このエクスプロイトキットが複数のランサムウェア亜種をドロップすることも確認されています。

スウォーム攻撃によって高まる統合セキュリティの必要性

今回の2017年第4四半期脅威レポートの脅威データは、2018年のFortiGuard Labs（フォーティガード ラボ）のグローバルリサーチチームが先日発表した、2018年に自己学習型のハイブネットやスウォームボットが増加するという予測を裏付けるものでした。今後数年間も攻撃対象の拡大が続き、それと並行して今日のインフラストラクチャに対する可視性や制御が低下することになるでしょう。攻撃の高速化や大規模化に伴うこれらの問題に対処するには、自動化と統合に基づく戦略を採用する必要があります。セキュリティ対策においては、デジタル化された環境のスピードを考慮してレスポンスを自動化し、インテリジェンスと自己学習を応用してネットワークの効果的かつ自律的な判断を可能にする必要があります。

フォーティネットのCISO（最高情報セキュリティ責任者）、Phil Quade（フィル・クエイド）は次のように述べています。「世界経済のデジタルトランスフォーメーションによって、サイバー脅威の大規模化、高度化、多様化が加速しています。サイバー犯罪においても同様のトランスフォーメーションが進み、さまざまなツールが簡単に手に入るようになったことで、これまで以上に大胆な攻撃方法が使われるようになりました。このような現状を考えれば、デジタル化の進んだ組織にとって、従来型のセキュリティ戦略やアーキテクチャでは不十分であるのは明白です。最新の攻撃に対抗するには、セキュリティソリューションにも同様のトランスフォーメーションが求められます。過去のセキュリティ対策では、幾つものポイント製品と静的な防御方法が採用されてきましたが、高速化と大規模化の現状を考えれば、限界を迎えているのは明らかです。自動化された統合ソリューションへの移行がさらに加速することになるでしょう」

レポートの方法論

このフォーティネットのグローバル脅威レポートは、2017年第4四半期における全世界、地域別、業種別、および組織別の視点を網羅する研究データに基づいた、FortiGuard Labs（フォーティガード ラボ）のインテリジェンスを説明するものです。また、アプリケーションエクスプロイト、不正ソフトウェア、ボットネットの3つを中心に、その現状を補完するいくつかの側面についても説明しています。さらには、重要度の高いゼロデイ脆弱性とインフラストラクチャのトレンドを検証することで、サイバー攻撃が企業に及ぼす長期的な影響を考察しています。無料でお申込みいただけるフォーティネットのThreat Intelligence Brief（英文）では、1週間のあいだに発見された上位のマルウェア、ウイルス、およびWebベースの脅威を振り返り、その週の最も重要なフォーティネットの調査結果へのリンク付きで紹介しています。