2018年10月11日

CrowdStrike、サイバー攻撃における侵入動向を明らかにする報告 書「脅威ハンティングの最前線からの考察」を発表

25,000件以上の侵入未遂ケースの分析から、最大の脅威、攻撃者が標的とする業界が明らかに

カリフォルニア州サニーベール – 2018年10月9日 – クラウドベースの次世代エンドポイント保護の業界リーダーであるCrowdStrike® Inc.は本日、2018年上半期のサイバー脅威の傾向をまとめた報告書 Observations From the Front Lines of Threat Hunting(脅威ハンティングの最前線からの考察)を公開しました。CrowdStrikeが提供するCrowdStrike Falcon OverWatch™は攻撃者の現在の攻撃手口(Tactics, Technigues, Procedures: TTP)に関する知見を明らかにし、日々巧妙化を増し、隠密に行動する攻撃者による侵入活動を検出する業界トップのマネージド脅威ハンティングチームです。本レポートは、このOverWatchチームからのデータを分析しています。またこのレポートでは、この1年でCrowdStrike OverWatchが侵入を阻止した25,000件の侵入未遂に関する追加のコンテキストを、Falconプラットフォームを活用する176ヵ国に渡るお客様のエンドポイントからの1週間あたり1兆件のセキュリティイベントを収集・処理する脅威テレメトリーから得ています。40%の侵入未遂のケースは国家が関与する犯罪集団、19%がネット犯罪者によるものだったことも明らかにしました。

本レポートにより、テクノロジー、プロフェッショナルサービス、ホスピタリティの分野がサイバー攻撃の標的となる頻度が高い結果が明らかになりました。攻撃者は、さまざまな新しい戦術を用いて防御回避を試みるほか、WindowsのActive Directory Explorerを使いワンタイム認証情報をダンピングするなど認証情報へのアクセスTTPなどを駆使してシステム侵入を試みます。本レポートで明らかになった侵入ケースが多い分野とその割合は下記の通りです。

●テクノロジー:36%
●プロフェッショナルサービス:17%
●ホスピタリティ:8%
●政府・防衛:7%
●NGO(非政府団体):7%

CrowdStrikeの共同創立者かつ最高技術責任者(CEO)ドミトリ・アルペロヴィッチ(Dmitri Alperovitch)は 次のように述べています。「現在の攻撃者達は、すべての産業を標的にしています。組織はもはや受け身のアプローチだけでは自身を守ることができません。攻撃者がすでに侵入していることを前提に、自社の環境で24時間365日攻撃者を追う必要があります。それは我々が脅威ハンティングのサービスを始めた理由であり、この分野のパイオニアとして、ネットワーク上の大量のデータから、他の方法では見つけるのが至難の技である侵入を特定しています」

本レポートが特定した脅威のハイライトは下記の通りです。

・中国による脅威の増加:
2018年上期に最も多くの脅威をもたらした国家が関与するサイバー攻撃の背景に中国の存在がありました。中国の攻撃者がバイオテクノロジーや防衛、採掘業、製薬、プロフェッショナルサービス、輸送など、複数の産業分野を標的とする侵入を試みたことがデータから示されています。

・仮想通貨マイニングに関心を抱く電子犯罪者が増加:
OverWatchは法律業界と保険業界において、攻撃者が内部ネットワークへの特権アクセスを不正に取得し複数のネットワーク侵入を試みたケースを特定しました。これらの事例では、Post-Exploitation (侵入成功後)のフェーズで仮想通貨のマイニングプログラムを起動させ、広範囲に及ぶラテラルムーブメントを可能にする技術を使い、彼らがマイニングのためのリソースを掌握できるように大きな足がかりを作り出し、金銭的利益を狙います。

・バイオテクノロジー業界を標的とする攻撃が増加:
バイオテクノロジー業界に対する標的型攻撃者の関心が引き続き高く、いくつかの攻撃は産業スパイ活動を目的とした攻撃でした。特定の組織に対する継続的なデータ収集活動を目的とする攻撃者による戦術であることが確認されました。

・ネット犯罪と国家が関与するサイバー攻撃の違いが曖昧に:
Crowdstrike 2017 Global Threat Report (2017年 CrowdStrike グローバル脅威レポート)で取り上げたように、スキルが未熟なネット犯罪者と、洗練された国家犯罪グループが用いるTTPの違いが少なくなってきました。スキルの低いネット犯罪者が、有名な国家による攻撃手法を模倣するトレンドは続いています。

CrowdStrikeのOverWatch・セキュリティレスポンス担当バイス・プレジデントのジェニファー・エイヤーズ(Jennifer Ayers)は次のように述べています。「本レポートは、最新の攻撃者の傾向・テクニックの分析とOverWatchの知見を提供しています。これは組織がサイバー脅威の現状を戦略的に理解し、新しい脅威ハンティングの手法を学び、執拗なサイバー攻撃に対する調査を効率的に行うための良いリソースです」

CrowdStrike OverWatchが侵入を検知し追跡する主要な指標指数の中に、「ブレイクアウトタイム」があります。これは攻撃者が初めに侵害したシステムからネットワーク内の他のシステムを侵害するまでの時間を示し、現在のブレイクアウトタイムは平均1時間58分であり、これは約2時間以内に侵入を検知、調査、修復できれば、深刻な被害を受ける前に攻撃者を止めることができることを意味します。すべての組織で下記の1-10-60ルールを採用することをお勧めします。

●脅威の検知 : 1分
●脅威の調査 :10分
●脅威に対応・修復 :60分

CrowdStrikeは、OverWatchチームの深い専門知識とFalcon®プラットフォームの技術力を活用し、お客様の環境を24時間、365日体制で保護します。CrowdStrikeは、次世代アンチウイルス、エンドポイントの検知および対応(EDR) 、マネージド脅威ハンティング、IT資産管理、脆弱性管理および脅威ハンティングサービスを統合し、一つの軽量なエージェントによって提供します。

CrowdStrike®について
CrowdStrike は、クラウドベースの次世代エンドポイント保護業界のリーダーです。人工知能(AI)を活用することで、CrowdStrike Falcon®プラットフォームは企業全体のエンドポイントの状況を即座に可視化し、ネットワークに繋がっているものだけでなく、繋がっていないエンドポイントまでも保護します。CrowdStrike Falconは数分で展開でき、導入初日から対処方法を含むアラートや、リアルタイムでの保護を実現します。また、その中には次世代アンチウイルス、EDR、並びに24時間365日体制のマネージドハンティングサービスがシームレスに統合されています。クラウドインフラとシングルエージェントによるアーキテクチャは、複雑さを排除し、拡張性、管理性、および速度を向上させます。

CrowdStrike Falconは、シグネチャを用いない洗練されたAIやIOA (Indicator of Attack)による最先端の振る舞い検知技術を利用し、既知の脅威と未知の脅威をリアルタイムで阻止し、あらゆる種類のサイバー攻撃からお客様の環境を保護します。クラウド上に構築されたグラフデータベース、CrowdStrike Threat Graph™によって、世界各地からクラウドにアップロードされる1週間あたり1兆件以上のセキュリティイベントを即座に相関分析し、脅威を検知・防御します。

Falconがいかにエンドポイント保護の世界を再定義しているかについて説明したいことは多々ありますが、CrowdStrikeについて覚えておいていただきたいことはただ1つですー「We Stop Breaches 」

米国時間2018年10月9日にCrowdStrike, Inc.が発表したプレスリリースの抄訳です