- 2022/11/29
- セキュリティ
サイバー脅威の現状 〜最新のサイバーセキュリティの状況、新たな攻撃者の傾向、防御側が直面する課題〜
Post by : Cybereason Japan Marketing Team
2022年10月26日、サイバーリーズンが主催するオンラインセミナー「Cybereason Security Leaders Conference 2022秋 トップランナーと考えるこれからのサイバーセキュリティ」が開催されました。
サイバーリーズン合同会社 執行役員(Managed Service担当)ジョシュア・ドマガルスキーのセッションでは「サイバー脅威の現状 〜最新のサイバーセキュリティの状況、新たな攻撃者の傾向、防御側が直面する課題〜」と題し、この1,2年に世界各地で観測されたサイバー攻撃活動や攻撃グループの傾向、多くの組織が直面する課題、そして、それらの脅威を軽減するための推奨事項の概要を紹介しました。
▲サイバーリーズン合同会社 執行役員(Managed Service担当)ジョシュア・ドマガルスキー
ロシア・ウクライナ戦争でサイバー攻撃が活発化
まずジョシュアは、2022年2月に始まったロシア・ウクライナ戦争の関連したサイバー攻撃の動向について触れました。ジョシュアは「紛争の発生に伴って、ロシアを起源とするランサムウェア攻撃は、攻撃グループが公然と紛争に参加したことにより停止しました。これは、ロシアや中国と連携している攻撃者は、犯罪との関連性にかかわらず、自国政府との連携や、政府による支配を受けていることを意味している」と指摘します。
さらにこれらから波及したものとして、東欧モンテネグロの政府機関や重要インフラに対してロシアが協調してDDoS/ランサムウェア攻撃を行ったり、ロシアと関係が深いランサムウェア集団「Conti」や「Hive」による中米コスタリカへのランサムウェア攻撃が行われており、また中国の支援を受けている攻撃グループAPT27は台湾に対する攻撃があったと語ります。
DX、クラウド化、リモートワークの進展と課題
ガートナーの調査によれば、91%の企業がDX(デジタル・トランスフォーメーション)に取り組んでおり、89%の企業がデジタルファーストのビジネス戦略をすでに導入しているといいます。「かつては孤立し自己完結していたネットワークはインターネットに接続されるようになり、さらにDXを推進するためにクラウドの導入も進んでいます。組織のIT環境がクラウド化される割合は92%まで進むと見られており、もともとの役割だったデータの保存・共有から、ネットワークの遠隔監視、セキュリティ、認証などさまざまなものがクラウドに移行しつつあります」(ジョシュア)。
また、COVID-19をきっかけにリモートワークの利用も増え、ほとんどの企業が今後もリモートワークの比率を維持や拡大していく方向にあります。
これらの脅威となるのがランサムウェア攻撃、そしてそれに伴うデータ窃取・流出であるジョシュアは指摘します。「ランサムウェア攻撃による攻撃の規模は年々倍増しており、そのコストは200億米ドルを超えています。また、データの窃取・流出による政府や企業の知的財産の損害は数兆円に上ります。特に中国は製造能力や技術力の両面で他国を凌駕するための知的財産だけでなく、諜報活動のための金融や情報システムのためのデータにも重点を置いています」と語ります。
ここでジョシュアはこれらの攻撃に対する統計数字を挙げます。「まず80%の被害者は2度目の攻撃を受けています。つまり身代金を一度支払っても再度攻撃を受けない保証はありません。73%の被害者が1度のランサムウェア攻撃を、68%の被害者が1回身代金を支払っても、1か月後により高い身代金を要求されてしまっています。
また、54%が身代金を支払ってもデータを取り戻すことができていません。そしてサイバー保険では、セキュリティプロセスの不備や基準に合わないことを理由に、1/5の被害について保険金が支払われていません」。
攻撃者の動向~短時間化する攻撃~
続いて、最近の攻撃者の動向について解説がありました。
2021年の調査では攻撃者が最初にアクセスしてから、メインコントローラーやキーデータベース、ディレクトリに影響を与えるような深刻な侵害までの時間は平均すると1時間32分ほどだったといいます。「この時間はどんどん短くなっている傾向にあります」(ジョシュア)。
また、この1年で見ると、昨年は伝統的ないわゆる“MITRE ATT&CK”の戦術による攻撃が大きかったものが、今年に入り、「初期アクセス」「収集」「流出」に重点がおかれ、「ラテラルムーブメント」(侵入の拡大)が著しく減少しているといいます。この傾向が意味するところは「攻撃者が標的環境内で大きな足場を必要とする、高価で長い作戦より、盗んだデータやドライブバイ攻撃によるマネタイズを優先するようになったことを示している」とジョシュアは指摘します。
これらの攻撃は数分という短いものもあり、自動化されているものもあるので、攻撃の企業への影響や攻撃の厳しさは、攻撃の対象領域と攻撃への対応能力によって決まることが多く、これらの攻撃を軽減するためには、自動化された対応がますます重要になっているとジョシュアは語ります。
「2021年9月ごろに起きたMSHTMLのリモートによるゼロデイ攻撃では、フィッシングメールをクリックすると、その後はマルウェアが展開され、パスワードが盗まれ、重要なデータへのアクセスが可能になり、データの窃取、ランサムウェアの展開までが自動で行われています。
また、ランサムウェアのLockbit、そしてその後継のLockbit2.0を分析したところ、数分でデータへのアクセスする権利を得て、10TBのデータを数時間で暗号化できてしまい、また自動で広がっていくので、一度感染してしまうと、ゼロトラストアーキテクチャーのように緩和する対策がなされていなければ、どんどん広がっていってしまいます」(ジョシュア)
攻撃者たちはMaaS(Malware as a Service)によって提供されるツールキットやインフラを活用することで、環境を侵害するために使われるキルチェーンの各部分においてより高い効果を与えるとともに、新規、もしくは再度攻撃する対象やその能力に対する「標的化までの時間」が短縮できるようになっているといいます。
このように攻撃は自動化され、運用コストを削減しながら収益を上げることに力点を置くようになってきていることから、脆弱性のあるところは定期的に侵害される可能性が高くなっており、対応が自動化されていないと、データ流出を防ぐには手遅れになる可能性も高くなるとジョシュアは指摘します。
さらに、評判のよくない政府にとって、政府とサイバー犯罪者とのサイバーグレーゾーン、攻撃インフラと攻撃キャンペーンの間のサイバーグレーゾーンは拡大しつつあり、その結果、これら政府に対してもっともらしい反証を与えるとともに「ノイズフロア」を高めて意図をわかりにくくして、サイバー攻撃のアトリビューションを困難にしています。
取り組むべき課題
これらの脅威、攻撃に対応するにあたっての課題として、ジョシュアは「監視能力」、「レスポンス」、「体制」の3つを挙げました。
「監視能力」の課題としては、デジタル化、クラウド導入、リモートワークによって、社内のセキュリティチームがほとんど理解していないテクノロジースタック上にあるデータの急速な統合に対応することを余儀なくされている状況にあると指摘します。
冒頭にも触れた通り、大小さまざまな組織が、認証や、Eメール、文書作成などといったワークスペース、ネットワーク構成と保護などに複数のベンダーやサービスを利用していますが、これらのソリューションにおける可視性や保護機能は異なる可能性があります。「このように異なるストリーミングや非データのソースを簡単かつシームレスに統合することは、内部のセキュリティチームが全体を理解するための、監視可能な共通イメージを作成するために非常に重要なことです」(ジョシュア)。
「レスポンス」の課題は、「攻撃者の動向」でも触れた通り、自動化された攻撃ツール、インフラによって攻撃が短時間化しており、これに対応して攻撃がインシデントになる前にレスポンスアクションを自動化し、迅速に実行できることが重要だとジョシュアはいいます。
また、自社環境において、どのような資産やリソースが重要であるかを理解しておくことは、適切なセキュリティ保護、攻撃対象の最小化、被害の最小化のためにとても重要であるともジョシュアは指摘します。
「堅牢で組織的なセキュリティチームや、マネージド・セキュリティ・プロバイダーへの投資は、事後的なインシデント対応に注力するよりもはるかに価値のあるものです」とジョシュアは語りました。
最後に「体制」の課題としてジョシュアが挙げたのは、多くの組織において、どういった資産を自分たちの環境の中に持っているのか、自社環境を保護するためにどのような製品機能に依存しているのか、自社の経済活動にとってどのようなユーザーがより重要なのか、あるいは重要でないのかということを依然として把握していないという状況です。
「セキュリティチームは、従来のオンプレミスのITセキュリティスタッフを超えるトレーニングを受けておらず、攻撃の影響を受けた場合、全てのエンドポイントをリソースユーザーを平等に扱う事を余儀なくされています。
ユーザーと資産の両方について、最新の経済的リスクの評価を行うことはどちらかが攻撃の影響を受けたときに、どのように対応するかを理解するために不可欠です」(ジョシュア)。
最後にジョシュアは「本当に重要なのは人材です。今日の労働市場では人材は貴重な存在です。しかし、その多くはトレーニングと技術的な支援に適切に投資することで、育成維持することが可能です」といい、講演を締めました。
【ホワイトペーパー】最新の脅威分析から読み解くランサムウェア対策〜ランサムウェアとサプライチェーン攻撃から情報資産を守るには〜
世界中で猛威をふるうランサムウェア。
その最新の攻撃にはどのような特徴があり、またどのような脅威があるのか。
本資料では、ランサムウェア、サプライチェーン攻撃、Emotetなど最新の脅威分析から傾向を読み解き、あらゆる企業・組織が今取るべき効果的な対策についてご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/8261/
