テレワーク環境を介して企業ネットワークや重要なデータへのアクセスを狙うサイバー犯罪者
幅広い適用領域で(Broad)システム連携し(Integrated)自動化された(Automated)サイバーセキュリティソリューションの世界的リーダーであるフォーティネット(Fortinet®、NASDAQ: FTNT)は、2020年上半期における最新のグローバル脅威レポートの研究結果を発表しました。
• 2020年上半期におけるFortiGuard Labsの脅威インテリジェンスから、サイバー犯罪者や国家的攻撃者が世界的なパンデミックに便乗し、多様なサイバー攻撃を極めて大規模に世界中で実行したことが明らかになっています。状況に素早く適応した攻撃者は、昨今の出来事に対する恐怖心や不安を突く攻撃や、企業ネットワーク外のテレワーカーが急増したことで一夜にして拡大した攻撃対象領域を標的とした攻撃を次々に実行しました。
• 多くの脅威トレンドは新型コロナウイルス感染症の世界的流行(パンデミック)に関連するものでしたが、独自の特性を持つものもありました。たとえば、IoT(モノのインターネット)デバイスやOT(オペレーショナルテクノロジー)を標的としたランサムウェアや攻撃は減少しているわけではなく、より標的を絞った高度な脅威へと進化しています。
• 世界的に見ると、地域や業種で違いはあるものの、大半の脅威は全世界のあらゆる業界で確認されています。新型コロナウイルスのパンデミックと同様に、特定の脅威が1つの領域で発生した可能性はありますが、最終的にはほぼすべての場所に拡散し、ほとん
どの組織が脅威に直面する可能性があります。当然ながら、感染率はセキュリティに関するポリシーや実践方法、レスポンスなどの要素に応じて地域差があります。
• このレポートの詳細と重要なポイントについては、フォーティネットセキュリティブログをご参照ください。また、本レポート(日本語)の全文は、こちらでご覧いただけます。
本レポートのハイライト
世界的な出来事に乗じた攻撃:攻撃者は、これまでにもニュースのトピックをソーシャルエンジニアリングに悪用してきましたが、その手法は2020年上半期に次のレベルへと進化しました。便乗型のフィッシング詐欺師から陰謀を企む国家による攻撃者にいたるまで、あらゆる種類のサイバー犯罪者が、自らの利益のために今回の世界的パンデミックにつけ込む大掛かりな方法を編み出しました。たとえば、フィッシングやビジネスメール詐欺のスキーム、国家が支援する攻撃、ランサムウェア攻撃などです。サイバー犯罪者は、攻撃対象領域が急速に拡大したことも踏まえ、世界中のあらゆる人に影響を及ぼすパンデミックの性質を最大限に利用することに力を注ぎました。これらのトレンドに加え、他の注目のニュースを鑑みると、世界レベルで社会に広範な影響を及ぼす出来事を利用するために、いかに攻撃者が迅速に行動するのかがわかります。
個人の領域まで広がる境界:テレワークの増加により、ほぼ一夜にして企業ネットワークは劇的に変化し、サイバー攻撃者は直ちにこれを格好の機会として利用し始めました。2020年上半期には、複数の家庭用ルーターおよびIoTデバイスに対するエクスプロイトの試みが、IPS検知数の上位に入りました。さらに、MiraiとGh0stが最も検知数の多かったボットネットの上位を占めました。その要因となったのは、IoT製品に存在する新旧の脆弱性を標的にした攻撃が明らかに増加したことです。ネットワークの境界が家庭にまで広がった今、テレワーカーが企業ネットワークへの接続時に使用するデバイスを悪用することによって、攻撃者は企業ネットワークへの足場を確保する可能性があり、このようなトレンドは注視する必要があります。
ブラウザも標的となっている:攻撃者にとって、テレワークへの移行は一般のユーザーをさまざまな方法で標的にできるかつてないチャンスとなりました。たとえば今年初めには、フィッシングなどの詐欺に使用されるWebベースのマルウェアが、Eメールを使用する従来型の拡散手段を上回りました。実際、Webベースのフィッシング詐欺のあらゆる亜種を含んだマルウェアファミリーは、1月と2月にマルウェアのランキングでトップを占めていましたが、6月には上位5位から姿を消しています。このことから、サイバー犯罪者は最も脆弱で騙されやすくなる自宅でのWeb閲覧へとユーザーを誘導しようとしていると考えられます。サイバー犯罪者が引き続きテレワーカーを狙っていることから、デバイスだけでなく、恐らくこれまで以上にWebブラウザも主要な標的となっているといえます。
一向にやむ気配のないランサムウェア攻撃:ランサムウェアなどのよく知られた脅威は、過去6ヵ月間減少していません。新型コロナウイルスをテーマにしたメッセージや添付ファイルが、さまざまなランサムウェア攻撃で罠として使用されていました。その他には、データを暗号化する前にコンピュータのマスターブートレコード(MBR)を書き換えるランサムウェアも発見されています。さらに、攻撃者が被害者組織のデータをロックするだけでなく、データを盗み出して大規模に公開すると脅して身代金をゆすり取ろうとする、ランサムウェアのインシデントが増加していました。このトレンドにより、組織が今後重要な情報や機密データなどをランサムウェア攻撃で失うリスクが著しく高まっています。世界的に見て、ランサムウェアの被害を免れた業種はなく、最も多く狙われた業種は、通信事業者、MSSP、教育機関、政府機関、テクノロジーの5つであることがデータで示されています。残念ながら、サービスとして販売されるランサムウェア(RaaS)の増加、そして特定の亜種の進化は、ランサムウェアが引き続き脅威であることを示しています。
Stuxnet以降のOTへの脅威:去る6月で、Stuxnetの登場から10年が経過しましたが、StuxnetはOT(オペレーショナルテクノロジー)のセキュリティが進化するきっかけとなったマルウェアです。10年が経った今も、OTネットワークはサイバー攻撃者の標的となっています。今年初めに出現したランサムウェア「EKANS」は、攻撃者がランサムウェア攻撃の対象をOT環境にまで拡大していることを示しています。また、隔離されたネットワークやアクセスが厳しく制限されたネットワーク内の機密ファイルを収集し、盗み出すために設計されたスパイ活動フレームワーク「Ramsay」は、この種のネットワークに侵入する新たな方法を攻撃者が模索していることを示しています。ITシステムと比較して、SCADA(Supervisory Control And Data Acquisition:監視制御・データ取得)システムやその他のタイプのICS(産業用制御システム)を標的とした脅威が検知される頻度は少ないものの、このトレンドの重要性が低いわけではありません。
エクスプロイトのトレンド分析:CVEリストをレビューしてみると、ここ数年で追加された公開済み脆弱性の数が急増しており、パッチ適用の優先順位付けに関する議論が活発化していま
す。2020年は、ここ数年の記録を塗り替えるペースで脆弱性が公開されていますが、2020年の脆弱性はまた、CVEリストの20年以上の歴史の中で過去最低の悪用率(1%未満)を記録しています。一方、最も高いエクスプロイトの検知率(65%)を示しているのは2018年に発見された脆弱性であるほか、15年前のCVEを悪用しようする試みを4分の1以上の企業が検知しています。サイバー攻撃者にとって、大規模なエクスプロイトの開発、および正規のツールや悪意のあるハッキングツールを介した拡散が、時間のかかる作業であることに変わりはありません。
自宅にまで到達したネットワーク境界を保護することの緊急性
接続性の向上、デバイスの増加、テレワークニーズの拡大に伴って、攻撃対象領域は拡張し続けています。企業ネットワークの境界が家庭にまで及んでおり、攻撃者は侵入経路となる最も脆弱な場所と新たな攻撃機会を探しています。組織は、企業ネットワークの場合と同様の方法で、ユーザーやデバイス、情報を保護する具体的な対策を講じる必要があります。脅威インテリジェンス / 調査研究機関は、脅威環境の進化に対処するための幅広いインテリジェンスに加えて、攻撃方法、攻撃者、新たな戦術に関する詳細な分析を提供することで、サイバーセキュリティに関する組織の知識を補完します。全社員のニーズに対応できる優れた拡張性に加えて、重要なリソースへのセキュアなアクセスを可能にするテレワークソリューションの必要性が、今ほど大きくなったことはありません。急速に進化する今日のネットワークを保護できるのは、ネットワーク環境やアプリケーション環境、マルチクラウド環境、そしてモバイル環境などのデジタル攻撃対象領域全体で、包括的な可視化と保護を実現するように設計されたサイバーセキュリティプラットフォームのみに限られます。
FortiGuard Labsのグローバルセキュリティストラテジスト、Derek Manky(デレク・マンキー)は、次のように述べています。
「2020年上半期のサイバー脅威の状況は、これまでに例のないものでした。攻撃が大規模になり、その手法も急速に進化していることから、新型コロナウイルス感染症の世界的なパンデミックをはじめとする現在の出来事を最大限に悪用するために、攻撃者が戦略を機敏に変化させていることがわかります。組織がなぜ防御戦略を立て直し、家庭にまで到達したネットワーク境界を十分に考慮する必要があるのか、— その理由が今ほど明確になったことはありません。テレワーカーを保護し、長期的にデバイスとホームネットワークを保護できるよう支援することは、組織にとって非常に重要です。また、サイバーウイルスに対しても、現実世界で採用しているものと同じ戦略を導入展開することが賢明な対策となります。サイバーセキュリティにおけるソーシャルディスタンスとは、リスクを認識して距離を保つことに他なりません」
レポートの概要
この最新のフォーティネットのグローバル脅威レポートは、2020年上半期にフォーティネットのさまざまなセンサーを駆使して世界中で観察された数十億件もの脅威イベントに基づく、FortiGuard Labsの脅威インテリジェンスを説明するものです。グローバルおよび地域別の視点に加えて、脅威動向の中心的かつ補足的な3つの側面であるエクスプロイト、マルウェア、ボットネットに関する調査を網羅しています。
FortiGuard Labsについて
FortiGuard Labsは、グローバルな脅威インテリジェンスを提供するフォーティネットの調査研究組織です。悪意のある活動や高度なサイバー攻撃からお客様を保護するために設計された業界最高の脅威インテリジェンスを提供することをミッションとしています。世界各地の専用の脅威リサーチラボに従事する、業界で最も知識の豊富な脅威ハンター、研究者、アナリスト、エンジニア、データサイエンティストで構成されています。FortiGuard Labsは、何百万ものネットワークセンサーと何百ものインテリジェンス共有パートナーを使用して、世界中の攻撃対象領域を継続的に監視しています。FortiGuard Labsは、人工知能(AI)やその他の革新的な技術を使用してこの情報を分析・処理し、そのデータから新たな脅威を探し出しています。これらの取り組みがタイムリーで実用的な脅威インテリジェンスとなり、フォーティネットのセキュリティ製品の更新、お客様が直面する脅威と攻撃者の理解を深めるための積極的な脅威リサーチや、セキュリティ対策を強化するための専門的なコンサルティングサービスを提供しています。
詳細は、フォーティネットのWebサイト、ブログ、FortiGuard Labs、脅威インテリジェンスをご覧ください。
フォーティネットについて (www.fortinet.com)
フォーティネットは、世界中の大手企業、サービスプロバイダ、そして政府機関を守っています。フォーティネットは、拡大するアタックサーフェス(攻撃対象領域)に対するシームレスな保護とインテリジェンスを提供し、外部との明確な境界が消滅したネットワークでの、増え続けるパフォーマンスの条件に応じるパワーで、現在もまた将来も、お客様に貢献します。ネットワーク上でも、アプリケーションやクラウド、またはモバイル環境であっても、妥協することなく、極めて重大なセキュリティ上の問題に対応するセキュリティを提供できるのはフォーティネットのセキュリティ ファブリックのアーキテクチャだけです。フォーティネットは世界で最も多くのセキュリティアプライアンスを出荷し、世界465,000以上のお客様がビジネスを守るためにフォーティネット に信頼を寄せています。フォーティネットのネットワークセキュリティエキスパート(NSE)インスティチュートは、テクノロジーカンパニーとしても、ラーニングカンパニーとしても、業界で最大規模かつ広範なサイバーセキュリティのトレーニングプログラムを提供しています。
フォーティネットジャパンについては、www.fortinet.com/jpをご覧ください。