partners

迫り来る脅威に対抗するためのリアルタイム脅威インテリジェンスの重要性

この1年、WannaCryやNotPetya、SamSamのような大規模なランサムウェア攻撃が実行され、様々な業界の何千というネットワークが影響を受けました。こうした攻撃によりネットワークに遅延が発生して停止し、ITチームが侵害を受けたデータの復旧を試みるなど、大規模な損害が発生しましたが、一方でこうした猛撃から1つ、学ぶことがありました。サイバー犯罪者にとって、これは優先度の高い攻撃であることが分かったということです。

ITチームは、自分たちの組織に影響を及ぼす可能性のあるランサムウェアの開発にサイバー犯罪者が時間を費やしていると気づいた時点で、予防措置をとることができます。攻撃発生時に侵害を受けていない記録へのアクセスを確保するため、データのバックアップを取ることができます。既知の弱点が標的とされないよう、脆弱性のパッチを行うことができます。そして、フィッシング詐欺や悪意のある添付ファイルを避けるなど、ベストプラクティスに関して社員の教育を行うことができます。

ランサムウェア脅威の傾向を知ることで、ITチームはこうした攻撃から自分たちのネットワークを防御することができます。つまり、脅威インテリジェンスが効果的なセキュリティにおいて果たす重要な役割が示されたということです。標的型の攻撃ベクトルの分散化、多様化が進むなか、当社が先日発表した2018年第2四半期脅威レポートは、こうしたインテリジェンスを提供する重要な資料です。


組織が直面する第2四半期の脅威動向

ここしばらくの脅威動向とは異なり、2018年第2四半期の脅威レポートでは、犯罪者たちが重点を置いている単一の攻撃スタイルを挙げるのではなく、巧妙化と普及が進み、ITチームが防御を行うべき複数の脅威が指摘されています。こうした広範な攻撃手法が見られるということは、迫り来る脅威に対する可視性を維持するため、組織はより広範にセキュリティリソースを分散させる必要があるということです。

リアルタイムで重要な脅威データを収集し、それをグローバルな脅威ランドスケープというより大きなコンテクストにおいて分析する能力がなければ、ITチームはセキュリティのベストプラクティスにおいて後れを取り、リソースの割り当てを間違え、それほど急を要しないリスクに重点をおいてしまう事態を招きかねません。

最近の脅威動向には、以下のようなものがあります。

IoTデバイスへの集中的な攻撃:IoTデバイスは2018年第2四半期にエクスプロイトによって標的とされた上位テクノロジーの1つです。その目的は主にクリプトジャッキングです。犯罪者たちは、ネットワーク化されたデバイス(電話、プリンタ、スマートテレビ)の常時接続性と、自分たちの強力なプロセッサを使って、常に仮想通貨のマイニングを行うマルウェアをインストールします。さらに、Miraiなどの実績のあるエクスプロイトに基づいて新たなボットネットを構築し、未パッチのIoTデバイスを標的とします。

アジャイル開発:定期的にアップデートが行われるアプリケーションや機能に対する消費者の需要に対処するため、アジャイル開発やDevOpsが一般的に用いられるようになってきました。しかし、サイバー犯罪者たちもまた、検知を回避する手段としてこの方法を活用するようになっています。第2四半期は、GandCrabランサムウェアがアジャイル開発を利用して、セキュリティ対策を回避することができるアップデートを提供していました。サイバー攻撃においてアジャイル開発が活用されるようになったため、ITチームは脅威動向を定期的に監視し、防御対策を更新していく必要があります。

ボットネット:今四半期、私たちは265個の独自ボットネットを検知しました。Gh0st、Pushdo、Andromedaといった実績のあるボットネットも、脅威ランドスケープにおいていまだ存在感を発揮しています。今回のレポートでは、ボットネットの普及が欧州や北米、オセアニアでは少ない傾向にあり、標的とされているその他の地域では、修復時の対応を改善する必要があることが示されています。感染率や時系列など、こうしたボットネットの広がり方を見ることで、ITチームは脅威ランドスケープをよりよく理解できるでしょう。

BankBots:このタイプの銀行系トロイの木馬も、再び浮上してきました。現在は普及率が低いことから、現時点では特に強力な脅威ではなさそうですが、それも一変する可能性があります。Android端末を標的として認証情報を盗む新たな亜種であるAnubisが登場したことで、バンキング情報をより効率的に盗むことが可能なイノベーションがいくつか登場していることが示されました。

既知の脆弱性に対する攻撃:どの既知の脆弱性が、インザワイルド状態で悪用されたかを確認することで、ITチームはパッチ適用の優先順位を決定することができます。第2四半期に悪用されたのは、既知の全脆弱性のほんの5.7%でした。つまりセキュリティチームは、すべて脆弱性の修復にリソースを無駄遣いするのではなく、どの脆弱性が悪用されているのかを見極めることに集中すべきである、ということです。第2四半期の脅威レポートで明らかになったインテリジェンスにより、組織がそれぞれの脅威インテリジェンスにおいて維持しなければならない粒度の細かさが示されました。悪意のあるアクターの一歩先を行けるよう、こうしたインサイトを伝えるデータは、セキュリティソリューションやポリシーのアップデートを行う上で必要不可欠です。その結果、組織はこうしたデータの収集や分析にリソースを費やし、それぞれの独自のネットワーク環境にとって最大の脅威となる経路はどこなのかを見極める必要があります。


サブスクリプション型のセキュリティサービス

サイバーセキュリティ人材が依然として不足していることから、多くの組織では定期的に詳細な脅威分析を行うための人的資源を確保できていません。だからこそ、フォーティネットのセキュリティサブスクリプションが重要な付加価値を提供します。このサブスクリプションベースのサービスは、勢いを増す脅威に対するニアリアルタイムのインテリジェンスを組織に提供し、ソリューションの更新や予防的措置を取れるようにするものです。このデータはFortiGuard Labsから提供されます。FortiGuard Labsでは、年間450,000時間以上のグローバル脅威リサーチを行っており世界中のセキュリティセンサーからデータを収集して、年間65兆を超えるセキュリティイベントの分析、処理を行い、タイムリーかつ関連のある脅威インテリジェンスを抽出しています。これにより組織は、リアルタイムでグローバルかつローカルの脅威データに基づき、セキュリティを実践できるようになります。セキュリティサービスに加入することで、組織はネットワークや様々な経路における脅威に対する可視性を維持するために必要なリソースを確保できます。

さらに、フォーティネットのセキュリティサービスは、ゼロデイ脅威や回避テクニックを使った高度な攻撃を特定するための高度マルウェア保護サービスも提供しています。また、OTに重点を置いた攻撃がより一般的となっていることから、企業は新たなICS/SCADAプロトコル保護を活用し、ITとOTの融合の安全を確保することもできます。


最後に

セキュリティプログラムの強さは、データやそれを伝える脅威インテリジェンスによって決まります。ランサムウェアがネットワーク中に広まっていた時、抜け目のない組織ではこうしたインサイトを使って、ランサムウェアからの保護対策を追加していました。しかし、最近の脅威動向は様々なベクトルに置いて多様化が進んでいます。脅威ランドスケープに対する可視性を維持し、どこに重点的に取り組むべきかを理解するため、組織はネットワークセキュリティに対してプロアクティブなアプローチを取るのに必要なサポートと粒度の細かさを提供するセキュリティサービスを活用すべきでしょう。


Fortinet FortiGuard Labs Threat Research

最新の脅威に関する詳細については、四半期ごとの脅威レポートの最新版をご覧ください。 FortiGuard Labsでは、脅威インテリジェンス情報(英文)を毎週お届けしていますので、ぜひご購読ください。