2021年4月14日

FortiGuard Labs、破壊的な方向に向かうサイバー脅威を最新の半期レポートで報告

~攻撃対象領域全体での規模と進化の影響がエッジやデジタルサプライチェーンを通じてあらゆる場所の組織に拡大~

幅広い適用領域で(Broad)システム連携し(Integrated)自動化された(Automated)サイバーセキュリティソリューションの世界的リーダーであるフォーティネット(Fortinet®、NASDAQ: FTNT)は、2020年下半期における最新のグローバル脅威レポートの研究結果を発表しました。2020年下半期の脅威インテリジェンスにより、サイバー犯罪者が拡大し続ける攻撃対象領域を最大限に活用し、世界中でかつてない規模で脅威活動を続けている現状が明らかになりました。サイバー犯罪者は適応力が高く、ディスラプティブで(disruptive:破壊的な混乱を起こす)巧妙な攻撃を次々と仕掛けてきます。従来のネットワークの外で働くようになった多くのリモートワーカーや自宅学習のユーザーだけでなく、新たなレベルの俊敏性を手に入れた攻撃者が、デジタルサプライチェーンやコアネットワークまでもを標的にするようになりました。このレポートの詳細と重要なポイントについては、フォーティネットブログをご参照ください。また、本レポート(日本語)の全文は、こちらでご覧いただけます。2020年下半期レポートのハイライトは以下のとおりです。

進化し続けるランサムウェア:FortiGuard Labsのデータから、ランサムウェア全体の活動が2020年上半期の7倍になったことがわかりました。RaaS(Ransomware-as-a-Service)の進化、「大物狙い」の傾向、要求を受け入れなければデータを公開するという脅しといった要素が、このような急増の大きな要因になっています。さらには、検知数に差はあるものの、この四半期に追跡したランサムウェアで最も活発だった亜種としては、Egregor、Ryuk、Conti、Thanos、Ragnar、WastedLocker、Phobos/EKING、BazarLoaderが挙げられます。業種別に見ると、プロフェッショナルサービスやコンシューマー向けサービスの企業、公的機関、金融サービス企業などが、多くのランサムウェア攻撃の標的になりました。進化するランサムウェアのリスクを効果的に軽減するには、データの完全バックアップを適切な時期に取得し、安全なオフサイトの場所に保存する必要があります。さらには、ゼロトラストアクセスやセグメンテーションの戦略を検討し、リスクを最小限にすることも重要です。

新次元へと進んだサプライチェーン攻撃:サプライチェーン攻撃には長い歴史がありますが、SolarWindsによって新たな次元へと進んだようです。攻撃が何倍にも増加し、被害を受けた組織から大量の情報が提供されました。FortiGuard Labsは、この新たなインテリジェンスを注意深く監視し、関連する活動を検知するためのIOC(Indicators of Compromise:侵害指標)の作成に使用しました。SUNBURSTに関連するインターネットインフラストラクチャとの通信が2020年12月に検知され、「ファイブアイズ」における不正IOCと一致するトラフィックの割合が特に高いことから、この脅威がグローバルな攻撃であることがわかりました。また、この攻撃で次々と標的が拡大する可能性を示す証拠もあることから、現代のサプライチェーン攻撃の範囲は相互に関連するものであり、サプライチェーンのリスク管理が重要であることを示しています。

ユーザーのオンライン行動を標的にする攻撃者:検知数が上位のマルウェアのカテゴリを検証することで、サイバー犯罪者が組織に足場を築くための一般的な手法を知ることができます。Microsoftのプラットフォームが多くの攻撃の標的になり、ほとんどのユーザーが日常業務で利用する文書が悪用されました。Webブラウザも多くの攻撃で引き続き標的になり、このHTMLカテゴリには、マルウェアが埋め込まれたフィッシングサイトやスクリプトによって、コードをインジェクションしたりユーザーを不正サイトにリダイレクトしたりするものが含まれていました。グローバルな問題が発生したり、オンラインの商取引が増加したりすると、これらの脅威も必然的に増加します。会社のネットワークからブラウザを利用し、Webフィルタリングサービスで保護されていた従業員が保護フィルターの外でブラウザを利用すると、これまで以上に無防備になります。

ホームオフィスを標的にする攻撃の拡大:自宅とオフィスの境がほとんど消滅した2020年、自宅を標的にした攻撃は、企業ネットワークに一歩近づいたことを意味します。2020年下半期には、多くの家庭で利用されるようになったIoT(モノのインターネット)デバイスを標的にするエクスプロイトが上位に入りました。IoTデバイスが1台追加されるたびに防御が必要なネットワーク「エッジ」が1つ増え、すべてのデバイスにセキュリティの監視と適用が必要になります。

活動の場をグローバルに広げる攻撃者:多くのAPT(高度な持続的脅威)集団が、COVID-19の感染拡大を様々な方法で悪用し続けました。特に多かったのが、大量の個人情報の収集、知的財産の窃盗、APT集団にとって国家的に重要なインテリジェンスの取得を目的とする攻撃で、2020年の終盤にかけて、ワクチン研究やパンデミック関連の国内外の医療政策の開発など、COVID-19関連の活動に携わる組織を標的にするAPT活動も増加し、政府機関、製薬会社、大学、医学研究機関などが標的になりました。

脆弱性を悪用する攻撃の継続:脆弱性を悪用して利益を得ようとするサイバー犯罪者が後を絶たないため、パッチの適用と修復が企業の優先事項である状況が続いています。過去2年間の1,500件のエクスプロイトの追跡で得られたデータから、エクスプロイトが拡散する速さと方法が明らかになりました。例外はあるものの、ほとんどのエクスプロイトはそれほど速く拡散するわけではないようです。過去2年間に追跡したすべてのエクスプロイトで10%以上の組織で検知されたものは、わずか5%でした。すべての条件が平等で脆弱性を無作為に選んだ場合、どの組織も1,000分の1の確率で攻撃されるというデータがあります。最初の1ヵ月に1%以上の企業で観察されたエクスプロイトは約6%で、1年後も91%のエクスプロイトはその1%のしきい値を超えることはありませんでした。しかしながら、エクスプロイトが存在する脆弱性の修復作業が必要であることに変わりなく、その中でも活動が最も活発で短時間で拡散するものに最優先で取り組む必要があります。

サイバー犯罪者との戦いには戦略と幅広い認識の両方が必要になる
今日の脅威環境では、あらゆる方向から攻撃を受ける可能性があります。これらの脅威を理解し、進化する脅威ベクトルをどのように防御するかを判断するにあたっては、脅威インテリジェンスが引き続き極めて重要です。特に、通常のネットワーク環境以外の場所からアクセスするユーザーが多い場合は、可視性も不可欠になります。デバイスが1台追加されるごとに、監視と保護が必要な新しいネットワークエッジが増えます。犯罪者に遅れをとることなく直ちに攻撃を検知し、すべてのエッジで攻撃を迅速に減災するには、人工知能(AI)と自動脅威検知が不可欠です。サイバーセキュリティはITチームやセキュリティチームだけの閉じられた領域ではないため、ユーザー向けの意識向上トレーニングに継続して取り組む必要があります。従業員と組織を常に保護するため、全従業員が定期的にトレーニングを受講し、ベストプラクティスを習得するようにします。

FortiGuard Labsのグローバルセキュリティストラテジスト、Derek Manky(デレク・マンキー)は、次のように述べています。
「2020年はサイバー脅威環境においても激動の年であり、パンデミックが最大の要因ではあったものの、月日の経過と共に攻撃が進化し、破壊的な結果をもたらすようになりました。コアネットワークを超えて拡大するデジタル攻撃対象領域を最大限に活用し、リモートワークや自宅学習のユーザー、さらにはデジタルサプライチェーンを標的にするようになりました。デジタル環境の拡大によってすべてが相互接続されるようになっているため、サイバーセキュリティのリスクがかつてないほど高まっています。あらゆるエッジでの防御を可能にし、組織が直面する脅威をリアルタイムで特定して修正できるようにするには、実用的な脅威インテリジェンスを活用した、AIドリブンプラットフォームの統合アプローチが不可欠です」

レポートの概要
この最新のフォーティネットのグローバルレポートは、2020年下半期にフォーティネットのさまざまなセンサーを駆使して世界中で観察された数十億件もの脅威イベントに基づく、FortiGuard Labsの脅威インテリジェンスを説明するものです。MITRE ATT&CKフレームワークでの攻撃の戦術と手法の分類方法で、偵察、リソース開発、初期アクセスの3つが最初のグループとして定義されていますが、FortiGuard Labsのグローバル脅威環境レポートでもこのモデルを活用し、サイバー犯罪者がどのように脆弱性を発見し、不正インフラストラクチャを構築し、標的を攻撃するかを説明しています。レポートでは、グローバルと地域ごとの脅威環境についても解説しています。

FortiGuard Labsについて
FortiGuard Labsは、グローバルな脅威インテリジェンスを提供するフォーティネットの調査研究組織です。悪意のある活動や高度なサイバー攻撃からお客様を保護するために設計された業界最高の脅威インテリジェンスを提供することをミッションとしています。世界各地の専用の脅威リサーチラボに従事する、業界で最も知識の豊富な脅威ハンター、研究者、アナリスト、エンジニア、データサイエンティストで構成されています。FortiGuard Labsは、何百万ものネットワークセンサーと何百ものインテリジェンス共有パートナーを使用して、世界中の攻撃対象領域を継続的に監視しています。FortiGuard Labsは、人工知能(AI)やその他の革新的な技術を使用してこの情報を分析・処理し、そのデータから新たな脅威を探し出しています。これらの取り組みがタイムリーで実用的な脅威インテリジェンスとなり、フォーティネットのセキュリティ製品の更新、お客様が直面する脅威と攻撃者の理解を深めるための積極的な脅威リサーチや、セキュリティ対策を強化するための専門的なコンサルティングサービスを提供しています。

フォーティネットについて
フォーティネット(NASDAQ: FTNT)は、世界中の大手企業、サービスプロバイダ、そして政府機関を守っています。フォーティネットは、拡大するアタックサーフェス(攻撃対象領域)に対するシームレスな保護とインテリジェンスを提供し、外部との明確な境界が消滅したネットワークでの、増え続けるパフォーマンスの条件に応じるパワーで、現在もまた将来も、お客様に貢献します。ネットワーク上でも、アプリケーションやクラウド、またはモバイル環境であっても、妥協することなく、極めて重大なセキュリティ上の問題に対応するセキュリティを提供できるのはフォーティネットのセキュリティ ファブリックのアーキテクチャだけです。フォーティネットは世界で最も多くのセキュリティアプライアンスを出荷し、世界500,000以上のお客様がビジネスを守るためにフォーティネット に信頼を寄せています。フォーティネットのネットワークセキュリティエキスパート(NSE)インスティチュートは、テクノロジーカンパニーとしても、ラーニングカンパニーとしても、業界で最大規模かつ広範なサイバーセキュリティのトレーニングプログラムを提供しています。
フォーティネットジャパンについては、fortinet.com/jp をご覧ください。

Tags: