サイバーセキュリティの世界的リーダーで、幅広い適用領域で(Broad)システム連携し(Integrated)自動化された(Automated)ソリューションを提供するフォーティネット(Fortinet®)は、最新のフォーティネットグローバル脅威レポート:FortiGuard Labsによる2021年上半期版を発表しました。2021年上半期の脅威インテリジェンスから、個人や組織、さらには、重要インフラストラクチャを標的にする攻撃の件数が増加し、巧妙化していることがわかりました。ネットワークの内外で働くハイブリッドな働き方や遠隔授業の増加で拡大が続く攻撃対象領域が、常に攻撃の格好の標的となっています。また、2021年下半期には、法執行機関だけにとどまらない官民のタイムリーなコラボレーションとパートナーシップが、サイバー犯罪エコシステムを解体に追い込む機会になりそうです。このレポートの詳細と重要なポイントについては、フォーティネットブログをご参照ください。また、本レポート(日本語)の全文は、こちらでご覧いただけます。2021年上半期版レポートのハイライトを以下に紹介します。
1)ランサムウェアの目的は金銭以外にも:FortiGuard Labsのデータによると、2021年6月の週あたりのランサムウェア活動の平均が1年前の10倍以上になり、年間を通して増加し続けました。さまざまな攻撃で複数の組織のサプライチェーン、特に重要な分野が麻痺し、日常生活、生産性、商取引にかつてない大打撃を与えました。通信業界の組織が最も多く標的にされ、政府機関、マネージドセキュリティサービスプロバイダー、自動車、製造の順に続きました。さらには、Eメールでペイロードを送り込む手法から、企業ネットワークへの初期アクセスを手に入れて販売する戦略への移行も進んでいることからも、RaaS(Ransomware-as-a-Service)が常に進化していることがわかります。したがって、組織の業種や規模にかかわらず、ランサムウェアが現存する確かな脅威であり続けていることを十分に認識する必要があります。リアルタイムのエンドポイント保護、検知、自動レスポンスを可能にするソリューションを採用し、ゼロトラストアクセスのアプローチ、ネットワークセグメンテーション、暗号化も併用して環境を保護する必要があります。
2)4分の1の組織でマルバタイジングを検知:検知率が高いマルウェアをマルウェアファミリー別に並べると、ソーシャルエンジニアリングを悪用するマルバタイジングやスケアウェアが増加していることがわかります。4分の1以上の組織で、悪名高いマルウェアファミリーであるCryxosによるマルバタイジングやスケアウェアの試行が検知されました。しかしながら、検知の多くは、マルバタイジングと見られる他の類似するJavaScript攻撃との組み合わせである可能性が高く、サイバー犯罪者は間違いなく、ハイブリッドワークの増加に乗じて、脅迫だけでなく恐喝をも目的にする戦術に舵を切っています。サイバーセキュリティの意識向上につながるトレーニングや教育をタイムリーに提供して、スケアウェアやマルバタイジングの犠牲にならないようにすることが、これまで以上に重要になっています。
3)ボットネットのトレンドとして攻撃の標的がエッジに移行:ボットネットの検知数の変遷を見れば、活動が激増したことにすぐに気付くはずです。年初は35%の組織で何らかのボットネット活動が検知されましたが、半年後に51%に上昇しました。TrickBotの活動の大幅な増加が、6月のボットネット全体の活動の急増の大きな要因になっています。TrickBotは、金融機関を標的にするトロイの木馬としてサイバー犯罪シーンに登場した後に、さまざまな不正活動を支援する、高度な多段階ツールキットへと発展しました。全体としてはMiraiの活動が最も活発で、2020年初めにGh0stから奪った首位を2021年も守り続けています。Miraiには、新しいサイバー兵器が次々と追加されており、その優位性の一因となっているのが、在宅勤務や自宅学習で使用されるIoT(モノのインターネット)デバイスを悪用しようとする犯罪の増加です。攻撃者による感染システムの完全制御、ウェブカメラやマイクのライブ映像のキャプチャ、ファイルのダウンロードなどを可能にするリモートアクセスボットネットであるGh0stの活動も活発です。リモートワークや遠隔学習への移行から1年以上が経過した今も、サイバー攻撃者は、変わりゆく生活習慣を標的にし、攻撃の機会を狙っています。ネットワークとアプリケーションを保護するには、ゼロトラストアクセスのアプローチを採用して最小限のアクセス権限を付与することで、ネットワークに参加するIoTエンドポイントやデバイスを保護する必要があります。
4)サイバー犯罪の解体で脅威の件数が減少:サイバーセキュリティにおいては、すべての行動に即効性あるいは永続的な効果があるわけではありませんが、2021年のいくつかの出来事は、防御側にとっての光明となりました。TrickBotを最初に開発した犯罪者が複数の容疑で6月に召喚されました。また、最も活動が活発だったマルウェアの1つのEmotetが法執行機関の連携で解体され、Egregor、NetWalker、Cl0pなどのランサムウェアの活動も同様に停止に追い込まれたことは、サイバー犯罪を抑え込もうとする世界中の政府や法執行機関の大きな勝利と言えるでしょう。さらには、いくつかの攻撃がこのような高いレベルで注目されたことを受けて、一部のランサムウェア提供者が事業を停止すると発表しました。FortiGuard Labsのデータは、Emotetの解体後に脅威の活動が減速したことを示しています。TrickBotやRyukの亜種に関連する活動は、Emotetボットネットがオフラインになった後も継続しましたが、件数は減少しました。サイバー脅威やサイバー犯罪のサプライチェーンを直ちに解体するのは困難ですが、法執行機関の努力が大きな成果を上げたことに変わりありません。
5)サイバー犯罪者が好む防御回避と特権昇格の手法:詳細な脅威インテリジェンスを研究することで、現在の攻撃手法の進化に関する貴重な情報を得ることができます。FortiGuard Labsは、検知されたマルウェアのサンプルを活動させてサイバー犯罪者が意図した結果を観察することで、そのマルウェアに組み込まれた機能を分析しました。その結果、標的とする環境で攻撃ペイロードが実行された場合にマルウェアが実践するはずの不正行為が明らかになり、サイバー攻撃者が、特権昇格、防御回避、内部システムの水平移動、不正取得したデータの持ち出しなどを画策していることがわかりました。例えば、観測された特権昇格の機能の55%でフッキングが、そして40%でプロセスインジェクションが利用されていました。このことから、防御回避と特権昇格の戦術に重点を置いていることがわかります。いずれも新しい手法ではないものの、このようなタイムリーな知識を得ることで、将来の攻撃に対する防御を強化することができます。あらゆるエッジを保護し、常に変化する脅威の特定と修復を可能にするには、統合型で人工知能(AI)を活用したプラットフォームのアプローチと実用的な脅威インテリジェンスが不可欠です。
パートナーシップ、トレーニング、AIを活用した予防 / 検知 / レスポンスの重要性
政府や法執行機関は、これまでもサイバー犯罪に関連したアクションを起こしてきましたが、2021年前半は、今後の勢いという点で、ゲームチェンジャーになる可能性があります。公的な組織が業界のベンダー、脅威インテリジェンスの組織、その他グローバル組織と協力し、リソースとリアルタイムの脅威インテリジェンスを組み合わせてサイバー犯罪者に対する直接的な行動を起こすようになっています。いずれにしても、組織がリアルタイムで攻撃に対処し、すべてのエッジで攻撃を迅速に減災するには、自動化された脅威検知とAIが今後も不可欠です。さらには、誰もがサイバー攻撃の標的になる可能性があるため、サイバーセキュリティのユーザー意識向上トレーニングも重要であり、個人と組織を保護するためのベストプラクティスを全従業員に定期的に周知する必要があります。
FortiGuard Labsのグローバルセキュリティストラテジスト、Derek Manky(デレク・マンキー)は、次のように述べています。
「たった1つのインシデントで数千の組織に影響する高い効率性と破壊力を持つサイバー攻撃が増加している今、サイバー犯罪との戦いは重要な局面を迎えています。誰もが、キルチェーンの強化でこれまで以上に重要な役割を担うようになりました。サイバー犯罪のサプライチェーンを解体に追い込むためには、コラボレーションに優先的に取り組む必要があります。データの共有とパートナーシップが、効果的なレスポンスとサイバー犯罪の将来の手法の正確な予測による攻撃の阻止を可能にします。サイバーセキュリティ意識向上のトレーニングを継続し、AIを活用した予防 / 検知 / レスポンスのテクノロジーが統合されたソリューションでエンドポイント、ネットワーク、クラウドをサイバー攻撃から保護することが不可欠です」
レポートの概要
この最新のフォーティネットのグローバル脅威レポートは、2021年上半期にフォーティネットのさまざまなセンサーを駆使して世界中で観察された数十億件もの脅威イベントに基づくFortiGuard Labs脅威インテリジェンスを説明するものです。FortiGuard Labsのグローバル脅威レポートでも、MITRE ATT&CKフレームワークによるサイバー攻撃者の最初の3つのグループである、偵察、リソース開発、初期アクセスの戦術、手法、手順と同じ分類方法を採用し、サイバー犯罪者がどのように脆弱性を見つけて攻撃のためのインフラストラクチャを構築し、標的を攻撃するかを解説しています。さらには、世界全体と地域別の現状も報告しています。
フォーティネットについて (www.fortinet.com)
フォーティネット(NASDAQ: FTNT)は、世界中の大手企業、サービスプロバイダ、そして政府機関を守っています。フォーティネットは、拡大するアタックサーフェス(攻撃対象領域)に対するシームレスな保護とインテリジェンスを提供し、外部との明確な境界が消滅したネットワークでの、増え続けるパフォーマンスの条件に応じるパワーで、現在もまた将来も、お客様に貢献します。ネットワーク上でも、アプリケーションやクラウド、またはモバイル環境であっても、妥協することなく、極めて重大なセキュリティ上の問題に対応するセキュリティを提供できるのはフォーティネットのセキュリティ ファブリックのアーキテクチャだけです。フォーティネットは世界で最も多くのセキュリティアプライアンスを出荷し、世界530,000以上のお客様がビジネスを守るためにフォーティネット に信頼を寄せています。フォーティネットのネットワークセキュリティエキスパート(NSE)インスティチュートは、テクノロジーカンパニーとしても、ラーニングカンパニーとしても、業界で最大規模かつ広範なサイバーセキュリティのトレーニングプログラムを提供しています。
フォーティネットジャパンについては、fortinet.com/jp をご覧ください。
Copyright© 2020 Fortinet, Inc. All rights reserved. 「®」および「™」マークはいずれも、Fortinet, Inc.とその子会社および関連会社の米国における登録商標および未登録商標であることを示します。フォーティネットの商標には、Fortinet、Fortinetロゴ、FortiGate、FortiOS、FortiGuard、FortiCare、FortiAnalyzer、FortiManager、FortiASIC、FortiClient、FortiCloud、FortiCore、FortiMail、FortiSandbox、FortiADC、FortiAI、FortiAP、FortiAppEngine、FortiAppMonitor、FortiAuthenticator、FortiBalancer、FortiBIOS、FortiBridge、FortiCache、FortiCam、FortiCamera、FortiCarrier、FortiCASB、FortiCenter、FortiCentral,FortiConnect、FortiController、FortiConverter、FortiCWP、FortiDB、FortiDDoS、FortiDeceptor、FortiDirector、FortiDNS、FortiEDR、FortiExplorer、FortiExtender、FortiFone、FortiHypervisor、FortiInsight、FortiIsolator、FortiLocator、FortiLog、FortiMeter、FortiMoM、FortiMonitor、FortiNAC、FortiPartner、FortiPortal、FortiPresence 、FortiProtect、FortiProxy、FortiRecorder、FortiReporter、FortiScan、FortiSDNConnector、FortiSIEM、FortiSDWAN、FortiSMS、FortiSOAR、FortiSwitch、FortiTester、FortiToken、FortiTrust、FortiVoice、FortiVoIP、FortiWAN、FortiWeb、FortiWiFi、FortiWLC、FortiWLCOS、FortiWLMなどが含まれますが、これらに限定されるものではありません。
その他の製品名およびサービス名等は、各社の商標である場合があります。フォーティネットは、本プレスリリース内の第三者に帰する声明、認可またはテストについては、検証を行っておらず、また、このような第三者に帰する声明を承認するものではありません。本プレスリリースは、保証または債務保証、または契約として一切拘束を受けるものではなく、記載された製品仕様または製品性能は、ある特定の環境や条件のもとで計測されていることがあります。また、本プレスリリースには、将来の見通しに関して不確実性および仮説を伴う記述が含まれている場合がありますが、本不確実性が現実になったり、あるいは本仮説が正しくないことが判明したりする場合、明文的あるいは暗黙的に記述された内容と異なる結果が生じることがあります。これには、サイバー犯罪活動の動向予測に関する記述などが含まれますが、これに限定されるものではありません。このような動向は予測することが困難であり、また、このような動向に関する公開予測や期待事項は結果として正しくないことがあります。フォーティネットは、このような将来見通しを改正する義務を一切負うものではなく、また改正を発行することもありません。
*本プレスリリースは、米Fortinet, Inc.が米国時間2021年8月23日に発表したプレスリリースの抄訳です。