場所に縛られない働き方の浸透に伴い、エンドポイントが引き続き標的に
サイバーセキュリティの世界的リーダーで、幅広い適用領域で(Broad)システム連携し(Integrated)自動化された(Automated)ソリューションを提供するフォーティネット(Fortinet®)は、最新のグローバル脅威レポートの調査結果を発表しました。2022年上半期版レポートのハイライトは以下の通りです。
- RaaS(Ransomeware-as-a-Service:サービスとしてのランサムウェア )の登場により、新たなランサムウェア亜種が次々と作成されている。
- Work From Anywhere:場所に縛られない働き方で利用されるエンドポイントは、サイバー攻撃者が企業ネットワークへのアクセス入手目的で今なお標的にされている。攻撃対象の拡大とIT / OTコンバージェンスの進展を好機とみている攻撃者にとって、現在のOT(オペレーショナルテクノロジー)境とIT(情報テクノロジー)の環境は、格好のターゲットとなっている。
- 攻撃ツールとしてのワイパーマルウェアが拡散しているデータが示す通り、破壊的脅威のトレンドが進化し続けている。
- サイバー犯罪者は、偵察活動を積極的に行い、防御をすり抜ける手法の精度とサイバー攻撃チェーン全体の破壊能力を向上させている。
レポート全文:https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/ja_jp/TR-22H1.pdf
ランサムウェア亜種の増加で犯罪エコシステムが進化
ランサムウェアは今なお最大の脅威であり、サイバー攻撃者は大量のリソースを投入して新たな攻撃手法を開発し続けています。FortiGuard Labsは、過去半年間で合計10,666件のランサムウェア亜種を確認しましたが、その前の半年間は5,400件であり、半年間でほぼ倍増しています。ダークウェブで売買されるRaaSを利用する犯罪が増加し、多くの組織がランサムウェアとの取引の検討を余儀なくされています。組織の業種や規模を問わず、プロアクティブなアプローチでランサムウェアから保護する必要があり、リアルタイムの可視化、保護、修復、さらには、ZTNA(ゼロトラストネットワークアクセス)と先進的なEDR(エンドポイントの脅威検知とレスポンス)が不可欠になっています。
<図:過去1年間の週ごとのランサムウェアの件数>
エクスプロイトのトレンドは、OTとエンドポイントが今なお攻撃の価値ある標的であることを示唆
ITとOTのデジタルコンバージェンスや場所に縛られない働き方を可能にするエンドポイントですが、他面、攻撃者にとっては不断に拡大する攻撃対象として引き続き主要な攻撃ベクトルとなっています。エンドポイントの脆弱性を利用する多くのエクスプロイトでは、不正ユーザーがシステムにアクセスして水平移動し、企業ネットワークの奥深くに侵入しようとします。検知数の上位には、スプーフィング脆弱性(CVE 2022-26925)やリモートコード実行(RCE)脆弱性(CVE 2022-26937)等が挙がっています。また、エンドポイントの脆弱性を、件数別と検知数別で分析すると、サイバー犯罪者が新旧両方の脆弱性を、手を緩めることなく最大限に利用してアクセスしようとしていることがわかります。
さらに、OTの脆弱性のトレンドも例外ではないことが示されました。さまざまなデバイスやプラットフォームが実際に攻撃されたことで、ITとOTのコンバージェンスが進むサイバーセキュリティの現実と犯罪者の破壊的な目標が明らかになりました。他方、高度なエンドポイントテクノロジーを利用することで、攻撃の初期段階で感染したデバイスを減災し、効果的に修復できます。さらに、DRPS(デジタルリスク保護サービス)などのサービスを利用すれば、外部からの客観的視点で攻撃対象領域を評価し、セキュリティ問題を特定、修復し、現在および差し迫った脅威についてのコンテキストが付加された実用的インテリジェンスを取得できるようになります。
ワイパーの拡大で破壊的脅威のトレンドが継続
ワイパーマルウェアのトレンドは、データを完全に消去する不正ソフトウェアの破壊的脅威が継続し、攻撃手法の破壊力が向上、高度化していることを示しています。ウクライナでの紛争を契機に、重要インフラを主な標的とする攻撃者がワイパーマルウェアを仕掛ける例が大幅に増加しました。FortiGuard Labsは2022年上半期に、政府、軍、民間企業に対する様々な攻撃で使用された新しい主要ワイパー亜種を少なくとも7つ特定しました。これは、2012年以降に検知された全てのワイパー亜種の総数にほぼ等しく注視すべきことです。ワイパーは単一の地域や国にとどまらず、ウクライナ以外の24ヵ国でも検知されました。こうしたワイパー攻撃の影響を最小にするには、NDR(Network Detection and Response:ネットワーク検知とレスポンス)と自己学習型AI(人工知能)を活用して侵入を容易に検知できるようにし、さらに、バックアップをオフサイトにオフラインで保存する必要があります。
引き続き防御の回避があらゆる地域で最も重要な攻撃手法
サイバー犯罪者の戦略を検証することで、攻撃手法や戦術の進化の過程が明らかになります。FortiGuard Labsは、過去半年間に検知したマルウェアの機能を分析し、代表的なアプローチを追跡しました。その結果、エンドポイントを標的とする上位8つの戦術や手法でマルウェア開発者に最も多く採用されていた戦術が防御の回避であることがわかりました。また、多くの場合にシステムバイナリのプロキシ実行を使用して防御を回避しようとすることも判明しました。悪意の隠蔽は、サイバー犯罪者にとって最重要事項の1つです。そのため、自らの存在を隠し、正規の証明書でコマンドを隠蔽したうえでし、信頼されるプロセスを実行して不正行為を働こうとします。また、2番目に多かった手法であるプロセスインジェクションは、別のプロセスのアドレス空間にコードをインジェクションすることで防御を回避し、ステルス性を高めようとするものです。このように、多様なツールキットで武装した攻撃者に対し、組織は、実用的インテリジェンスを活用することでその保護を強化できます。AIと機械学習を活用した統合サイバーセキュリティプラットフォームと実用的な脅威インテリジェンスを活用した高度な検知とレスポンスの機能は、ハイブリッドネットワークのすべてのエッジの保護で重要な役割を果たします。
<図:マルウェアの上位の戦術と手法(エンドポイント)>
■拡大する攻撃対象領域を、AIを活用したセキュリティで保護
実用的な脅威インテリジェンスを通じて攻撃者の目標や使用する攻撃手法の理解を深めることで、急速に変化する攻撃手法に防御を適応させ、プロアクティブに対策を実行できるようになります。実用的な脅威インテリジェンスは、パッチ適用の優先度を判断してより安全な環境を実現する上で非常に重要です。従業員やセキュリティチームが脅威環境の変化に対応できるようにするには、サイバーセキュリティの意識向上トレーニングも重要です。また、今日のサイバー脅威の数、巧妙さ、スピードに対応するには、マシンスピードで動作するセキュリティオペレーションが必要です。サイバーセキュリティメッシュアーキテクチャに基づく、AIと機械学習を活用した、予防、検知、レスポンスの戦略を実装することで、拡張ネットワークにおける密接な統合、自動化の強化、そして協調型で迅速かつ効果的なレスポンスが可能になります。
FortiGuard Labsのグローバル脅威インテリジェンス担当の主席セキュリティストラテジスト兼バイスプレジデント、Derek Manky(デレク・マンキー)は、次のように述べています。
「サイバー犯罪者は、自らのプレイブックを進化させて防御を妨害し、犯罪関連ネットワークを拡大しようとしています。さらに、恐喝やデータの消去などの攻撃的な実行戦略に攻撃前の偵察戦術も併用することで、脅威の投資収益率(ROI)を高めようとしています。高度化する攻撃からの保護を可能にするには、ハイブリッドネットワークにおいてリアルタイムの脅威インテリジェンスを取得して脅威のパターンを検知し、大量のデータを相関付けることで異常を検知し、連携型のレスポンスを自動的に開始する統合セキュリティソリューションが必要です」
■レポートの概要
この最新グローバル脅威レポートは、2022年上半期にフォーティネットのさまざまなセンサーを駆使して世界中で観察された数十億件もの脅威イベントに基づき、FortiGuard Labs の脅威インテリジェンスを開示したものです。FortiGuard Labsのグローバル脅威レポートでは、MITRE ATT&CKフレームワークによるサイバー攻撃者の最初の3つのグループである、偵察、リソース開発、初期アクセスの戦術と手法と同じ分類方法を採用し、サイバー犯罪者がどのように脆弱性を標的にして攻撃のためのインフラストラクチャを構築し、標的を攻撃するかを解説しています。さらに、世界全体と地域別の現状、ITとOTに影響する脅威トレンドも提示しています。
このレポートの詳細と重要ポイントについては、フォーティネットブログ(英文)をご参照ください。
■関連資料
##
フォーティネットについて
フォーティネット(NASDAQ: FTNT)は、あらゆる場所で人、デバイス、データを保護するというミッションを通じて、常に信頼できるデジタルワールドを実現します。これが、世界最大の企業、サービスプロバイダー、政府機関が、デジタルジャーニーを安全に加速させるためにフォーティネットを選択する理由です。フォーティネットのセキュリティファブリックのプラットフォームは、データセンターからクラウド、ホームオフィスまで、重要なデバイス、データ、アプリケーション、接続を保護し、デジタルのアタックサーフェス(攻撃対象領域)全体にわたって幅広い適用領域で(Broad)システム連携し(Integrated)自動化された(Automated)保護を提供します。セキュリティアプライアンスの出荷台数では世界で最も多く出荷している第1位であり、595,000以上のお客様がビジネスを守るためにフォーティネット を信頼しています。また、フォーティネットのTraining Advancement Agenda(TAA)の取り組みであるFortinet NSE Training Instituteは、業界最大級かつ最も幅広いトレーニングプログラムを提供し、誰もがサイバー関連のトレーニングや新しいキャリアの機会を得られるようにすることを目的としています。詳しくは、
https://www.fortinet.com/jp、フォーティネットブログ、またはFortiGuard Labsをご覧ください。
Copyright© 2022 Fortinet, Inc. All rights reserved. 「®」および「™」マークはいずれも、Fortinet, Inc.とその子会社および関連会社の米国における登録商標および未登録商標であることを示します。フォーティネットの商標には、Fortinet、FortiGate、FortiGuard、FortiCare、FortiManager、FortiAnalyzer、FortiOS、FortiADC、FortiAP、FortiAppMonitor、FortiASIC、FortiAuthenticator、FortiBridge、FortiCache、FortiCamera、FortiCASB、FortiClient、FortiCloud、FortiConnect、FortiController、FortiConverter、FortiDB、FortiDDoS、FortiExplorer、FortiExtender、FortiFone、FortiCarrier、FortiHypervisor、FortiIsolator、FortiMail、FortiMonitor、FortiNAC、FortiPlanner、FortiPortal、FortiPresence、FortiProxy、FortiRecorder、FortiSandbox、FortiSIEM、FortiSwitch、FortiTester、FortiToken、FortiVoice、FortiWAN、FortiWeb、FortiWiFi、FortiWLC、FortiWLCOS、FortiWLMなどが含まれますが、これらに限定されるものではありません。その他の製品名およびサービス名等は、各社の商標である場合があります。フォーティネットは、本プレスリリース内の第三者に帰する声明、認可またはテストについては、検証を行っておらず、また、このような第三者に帰する声明を承認するものではありません。本プレスリリースは、保証または債務保証、または契約として一切拘束を受けるものではなく、記載された製品仕様または製品性能は、ある特定の環境や条件のもとで計測されていることがあります。また、本プレスリリースには、将来の見通しに関して不確実性および仮説を伴う記述が含まれている場合がありますが、本不確実性が現実になったり、あるいは本仮説が正しくないことが判明したりする場合、明文的あるいは暗黙的に記述された内容と異なる結果が生じることがあります。これには、サイバー犯罪活動の動向予測に関する記述などが含まれますが、これに限定されるものではありません。このような動向は予測することが困難であり、また、このような動向に関する公開予測や期待事項は結果として正しくないことがあります。フォーティネットは、このような将来見通しを改正する義務を一切負うものではなく、また改正を発行することもありません。