threat-research

脅威レポート:ほとんどの企業が重大なエクスプロイトに影響を受けている

先日発表された当社の脅威レポートの内容によると、CVEリストの開始以来公表されてきた103,786の脆弱性のうち、5,898 (5.7%)がインザワイルド状態で悪用されたということです。100,000以上の既知のエクスプロイトがあるなか、たいていの組織ではそれらに後れを取ることなく迅速に脆弱性のパッチを行うことは不可能です。つまり、サイバー犯罪者たちは、潜在的な被害者につけいる新たなテクノロジーや戦略を開発しているだけでなく、最大の収益を生み出すエクスプロイトを慎重に選んで悪用しているのです。

脆弱性のパッチの優先順位を決定するうえで、こうした情報は非常に重要です。犯罪者が脆弱性の大部分を悪用していないわけですから、すべてを修正するというのは不可能であることはもちろんのこと、正しいアプローチではありません。FortiGuard Labsが提供する脅威インテリジェンスサービスなどのサービスを通して、犯罪者が何を悪用しているかを知り、それを意思決定プロセスに組み入れることが重要になります。そうした脅威インテリジェンスを、すべてのセキュリティ要素におけるセキュリティプリペアドネス(セキュリティに関する備え)に関するリアルタイムのインサイトを提供するセキュリティレーティングサービスと組み合わせることで、脆弱性修復に対するよりプロアクティブかつ戦略的なアプローチを取ることができます。

この結論は、フォーティネットの最新の脅威レポートに含まれる内容の1つです。FortiGuard Labsのチームは、タイムリーに関連脅威インテリジェンスを抽出し、様々な攻撃手段を特定し、新たな脅威を発見するため、世界最先端の自己学習システムなど、高度なテクニックや特許取得済みのテクノロジーを活用して、年間65兆以上のセキュリティイベントの処理を行っています。フォーティネットはそうして発見した内容を収集して年4回発表し、様々な規模、業界の組織が考慮すべき重要な事項を紹介しています。


今四半期のレポートで注目すべきその他事項:

重大なエクスプロイトに影響を受けない企業は実質皆無:

サイバー攻撃の進化に影響を受けない企業はほとんどないでしょう。FortiGuard Labsの調査では、96%の企業が重大なエクスプロイトを最低一度は経験していることが明らかとなっています。また、企業の4分の1近くが、クリプトマイニングのマルウェアを検知しており、僅か6つのマルウェア亜種が全組織の10%以上に広がっていました。FortiGuard Labsでは、今四半期に新たに30のゼロデイ攻撃も発見しています。

クリプトマイニングはIoTデバイスから自宅へ移行:

サイバー犯罪者は、仮想通貨のマイニングに使用するツールに、IoTデバイスを追加しました。これにはホームメディアデバイスも含まれます。これらは特に魅力的な標的となっています。なぜなら、計算処理能力が非常に豊富で、それを悪意のある目的に使用することができるからです。こうしたデバイスは常にオン状態で接続されている傾向がある点も重要な要素です。なぜなら攻撃者はクリプトマイニングを持続的に行うマルウェアをロードできるからです。

ボットネットの傾向により、サイバー犯罪における創造力が示される:

サイバー犯罪者は、複数の悪意のある形でボットネットをロードし、ボットネットの影響を最大化しています。Miraiボットネットの新たな亜種であるWICKEDは、そのツールキットに最低3つのエクスプロイトを追加し、未パッチのIoTデバイスを標的としています。SCADA/ICS環境を標的とする国家主導の高度な攻撃であるVPNFilterは、重大な脅威として登場しました。なぜなら、データの盗取を実行するだけでなく、デバイスを完全に個別あるいはグループとして同時に、操作不能な状態にすることができるからです。また、BankbotファミリーのAnubis亜種はランサムウェア、キーロガー、RAT関数、SMSのインターセプト、画面ロック、電話転送など、複数のイノベーションを取り入れています。

マルウェアの開発者がアジャイル開発を活用:

最近の攻撃動向として、マルウェア作成者が、アジャイル開発に目を向け、自分たちのマルウェアをさらに検知困難なものとし、最新のアンチマルウェア製品の戦術に対抗しようとしています。GandCrabは、今年多くのバージョンをリリースし、開発者たちは速いペースでこのマルウェアを更新し続けています。自動化とともに、アジャイル開発は、マルウェア作成者による新たな高度回避攻撃のロールアウトを助けることとなっており、これらのエクスプロイトを正確に狙うため、組織はますます高度な脅威検知および保護機能を導入する必要に迫られています。

教育部門、政府部門がSaaSを活用:

分析を行った全部門のなかで、SaaSアプリケーションの利用という点では政府が群を抜いていました(平均より108%高い)。日々使用するアプリの総数では、教育に次いで2番目でした(それぞれ平均より22.5%、69%高い)。アプリケーションの幅広さ、そしてシャドーITの一環として導入されているSaaSアプリケーションの数の多さが、こうした結果につながっていると考えられます。このような組織で、分散型のネットワークに一貫して透明性のある可視性やセキュリティ制御を適用するには、特にマルチクラウド環境の場合、各アプリケーション間のサイロを壊すセキュリティアプローチが必要になります。

SCADAデバイスへの攻撃は数こそ最も多くはないものの、最も重大なものになる可能性あり:

ITとOTネットワークの融合が進んでいます。皆さんの組織がSCADAやその他ICSソリューションを利用しているのであれば、特にそれらが内部あるいは外部ネットワークにさらされている場合、まずビジネスリスク、運用リスクを徹底的に評価してください。その結果取る戦略として、ゾーンやコンジット、境界線、セキュリティレベルを定義し、OTと非OT環境の間のコミュニケーションを制限して安全を確保する必要があります。

こうした課題に対処するには、組織は未知のエクスプロイトを探し出すためのサンドボックスや機械学習など、高度な脅威検知および阻止機能を活用する必要があります。マルウェア開発者たちは、ベストインクラスのアジャイル開発実践を導入してリソースを容易に使いこなし、新たな脆弱性に対処したり、新たなセキュリティパッチを妨害したりしているため、こうしたアプローチがさらに重要になってきています。最後に、単一かつホリスティックなファブリックとして、攻撃対象領域全体、そして各セキュリティ要素をすべて網羅した完全統合型のセキュリティアプローチは、絶対に譲れません。こうしたアプローチにより、実質リアルタイムで脅威インテリジェンスを共有することが可能となり、検知、阻止、修復の時間を短縮することで、ポリモーフィック型かつマルチベクトルのエクスプロイトを阻止します。


その他のアプローチ:

脅威インテリジェンスをナビゲーション用ダッシュボードとして使用:

今回の最新の脅威レポートで特定された脅威を見てみると、どのような戦略においても、それを成功させるための重要な要素は脅威インテリジェンスです。すべての脆弱性のパッチを行い、すべてのエクスプロイトに後れを取らずについていくことは実質不可能なため、セキュリティチームは脅威の緩和に関して最も大きな違いを生み出す要素に重点を置き、それを優先させていくためのナビゲーション用ダッシュボードが必要です。フォーティネットのセキュリティファブリックに組み込まれたセキュリティレーティングサービスは、こうした脅威インテリジェンスデータとともに組織が活用できる、優れた補助的ツールです。

高度な脅威阻止および検知機能を導入:

重大なエクスプロイトの急速な増大に加え、攻撃者たちがますますアジャイル開発を活用して新たな、未知の脅威をあっという間に作り出すようになっていることから、組織は高度な脅威阻止、検知機能を導入しなければなりません。それには、機械学習、人工知能技術、そしてセキュリティアーキテクチャ全体にITチームが統合できる戦略などが含まれます。こうしたアプローチにより、セキュリティチームはプロセスを自動化し、検知、阻止、修復にかける時間を短縮することができるようになります。

セグメンテーションをホームネットワークに拡張:

企業ネットワークにおけるセグメンテーションの重要性については、これまで何度も取り上げられてきました。より多くの社員が柔軟性のある勤務スケジュールや場所を選ぶようになっていることから、少なくとも一定の時間、自宅から仕事をするようになっています。自宅のIoTデバイスを標的とする新たな攻撃ベクトルの数が増大していることから、セキュリティ組織は、セグメンテーション戦略を企業ネットワークから社員のホームネットワークまで拡張しなければなりません。

セキュリティリスクは増大し続けています。それぞれの組織が直面するリスクやサイバー上の敵が活用する戦術を理解することが、効果的かつ適応型のセキュリティ戦略を策定し、実践していくうえで重要になります。フォーティネットの2018年第2四半期脅威レポートは、最新の脅威課題の先を行きたいと考える組織にとって、非常に貴重な資料となっています。


レポート全文はこちらからダウンロードいただけます。レポート発表のニュースリリースも是非ご覧ください。

FortiGuard Labsでは、脅威インテリジェンス情報(英文)を毎週お届けしていますので、ぜひご購読ください。