ファイア・アイのレポートに見るサイバー攻撃の動向

侵害発見まで99日も!今すべきセキュリティ対策とは

2017.06.23 Fri連載バックナンバー

 セキュリティベンダーであるファイア・アイ株式会社では、サイバー攻撃の脅威の動向やそれに基づくセキュリティ対策のヒントを「M-Trends®」としてまとめて毎年公開しています。その内容について、同社のソリューションアーキテクトである藤田平氏に伺います。

 

気になる見出しをクリック

状況を見ながらターゲットを変えている攻撃者

 仮想環境で疑わしいコードを実行し、シグネチャレスで発見困難な攻撃を検知することを可能にする「Multi-Vector Virtual Execution(MVX)エンジン」など、独自技術を搭載したセキュリティ製品を展開しているのがファイア・アイ株式会社(以下、ファイア・アイ)です。主要な製品としては、ネットワーク・セキュリティ製品である「NXシリーズ」、そしてメール経由での攻撃を検知、遮断する「EXシリーズ」があり、いずれも多くの企業に採用されています。

 そのファイア・アイのコンサルティング部門であるMANDIANT®では、セキュリティ侵害およびサイバー攻撃の年間トレンドを「M-Trends」として公表しています。その最新版である「M-Trends 2017」を元に、ファイア・アイのソリューションアーキテクトである、藤田平氏に昨今のサイバー攻撃の現状について解説していただきました。

 まず藤田氏が挙げたのは、業種別の攻撃ターゲットです。2016年の1年間でもっとも狙われたのは金融業の19%で、前年の10%から9ポイント上昇しています。2位は13%の小売業で、こちらも前年から3ポイントアップという結果になりました。一方、前年1位のハイテクは3ポイントダウンの10%で3位に、前年2位の業務サービス/部門サービスは2ポイント減少の9%で5位と、ターゲットとなる業種に変動が見られます。

2016年:攻撃ターゲット(業種別)

 この結果を踏まえ、藤田氏は「攻撃者も状況を見ながらターゲットを変えています。自分たちの会社は大丈夫だと思っていても、攻撃者は業種や業界を変えて攻撃を仕掛けてくるというのが、去年との動向の比較から見て取れるのではないでしょうか」と分析しました。

管理者権限を奪うのに必要な時間は3日間

 続けて紹介されたのは「99日間」という数字です。これは侵害を受けた企業が攻撃を発見するまでに要した日数の平均であり、攻撃者がそれだけ社内に滞留していたことになります。前年の調査では攻撃の発見までに146日間がかかっており、1年間で47日間短縮されたことになります。その理由について「マネージドセキュリティサービスなどの導入が進み、攻撃が発見されるまでの時間は短くなってきているのではないでしょうか」と藤田氏は見解を述べます。

2016年:侵害を許していた期間(滞留時間)

 注目したいのは、自組織で発見できた場合と、外部からの報告で攻撃が露呈したケースで大きな開きがある点です。自組織で発見した場合の滞留時間は平均80日間だったのに対し、外部から報告を受けるまで気付けなかった状況では平均107日間の滞留を許しており、27日間の開きがあります。この結果からも、サイバー攻撃の防御や検知のために、積極的にセキュリティ対策に取り組むことの重要性がわかるでしょう。

 なお、M-Trendsではグローバルにおける地域別の滞留時間の差も公開しています。それによると、最も滞留時間が長かったのはAPAC地域で、平均172日間だったとしています。藤田氏は「私自身、アジア地域担当ということでシンガポールやインドネシア、タイなども見ていますが、実際にそれらの地域のお客さまについては、日本ほどセキュリティ対策のレベルは上がっていません。ファイアウォールやウイルス対策ソフトで止まっていることが多く、しかもログも見られていないという状況です」と現状を説明し、次のように続けました。

2016年:侵害から発見されるまでの期間

 「攻撃は弱いところを狙って行われるので、いくら自分の会社は大丈夫、あるいは日本の拠点は大丈夫だと言っていても、ターゲットとされた企業の海外拠点から入ってくる可能性があるということがこの数値からも読み取れます」

 MANDIANTでは、顧客のIT環境のぜい弱な部分を調べるために模擬的な攻撃を仕掛けるサービスも提供しており、その攻撃では平均して3日ほどでドメインの管理者権限を攻撃によって奪うことができたとします。つまり滞留時間が99日間であったとすれば、そのわずか3日間で管理者権限が奪われ、残り96日間は攻撃者が自由に行動できるということになります。藤田氏は「何かおかしいと気付いたときには、すでに3カ月前から攻撃を受けていたということになります。そのような状況で、本当にセキュリティ対策ができていると言えるのでしょうか」と懸念を示しました。

ご覧いただくにはログインが必要です。

新規会員登録(無料)はこちら

まだ会員でない方は、会員登録(無料)いただくと、続きが読めます。

攻撃者自身が被害者を電話でサポート?

 続けて紹介されたのは攻撃トレンドの変遷です。特に金融関連の犯罪について、2013年以前は場当たり的な攻撃だったのが、それ以降は攻撃の質が向上している状況が見られるとします。さらに昨年の段階では、国家レベルの技術水準を持つ攻撃グループが存在し、独自開発のバックドアを利用する、あるいは対策が困難な耐障害性の高いC&Cサーバーを利用したり、攻撃を行った際に痕跡を残さないように後処理を行ったりと、非常に高度な攻撃が行われているとM-Trendsでは報告しています。

2016年:高度化する金融系攻撃グループの手口

 興味深い例として挙げられたのは、従業員の個人メールアドレスを聞き出し、そこに対して攻撃を意図したメールを送る、そして電話でサポートを行うという事例です。

 「企業のメールシステムは、すでにセキュリティ対策が進んでいます。それを回避するために、個人のメールアドレスを聞き出してメールを送り、マルウェアを感染させて踏み台に使うという流れです。また、被害者に対して電話でフォローするというものもありました。実は標的型攻撃では、今でもマクロウイルスが使われています。しかし昨今のOfficeアプリケーションは、マクロ付きのファイルを開こうとすると警告メッセージが現れますよね。そこで攻撃者が被害者に電話をかけ、警告を無視してマクロを実行するように誘導するわけです」

ご覧いただくにはログインが必要です。

新規会員登録(無料)はこちら

まだ会員でない方は、会員登録(無料)いただくと、続きが読めます。

インテリジェンスの活用が今後のセキュリティ対策の鍵

 このように高度化したサイバー攻撃に対処するために、セキュリティパッチの適用や攻撃に備えた対策、重要システムのバックアップ、重要な業務の遂行に必要な仮想デスクトップや仮想サーバーを短時間で展開する準備といった事業継続の観点からの準備などの基本を抑えることがまず大切であると藤田氏は強調します。その上で、インテリジェンス主導のセキュリティ対策を考えることが重要だとします。

 「今後のセキュリティ対策のトレンドに、自動化や脅威の積極的な探索があります。ただし、何を自動化するのか、どうやって脅威を探索するのかを明確にする必要があるでしょう。そのために必要となるのが、脅威情報のデータベースとでも言うべき脅威インテリジェンスです。攻撃者がどこからやってくるのか、どのような手法を使うのかをインテリジェンスにより明らかにして、その内容をもとに積極的に検知を行ったり、あるいは対策を自動化したりしていきます。まず基本的な対策を講じた上で、その先に一歩進むためにインテリジェンス主導のセキュリティを考えていくことが今後のポイントとなるでしょう」

先進的なセキュリティ対策を支援するFireEyeソリューション

 前述したように、MANDIANTでは模擬的なサイバー攻撃を仕掛けるサービスを行っていますが、この攻撃を検知、防御できた企業も存在しており、最短の対応時間は12分だったそうです。確かに高度化、巧妙化したサイバー攻撃は企業にとって大きな脅威ですが、適切にセキュリティ体制を整えればサイバー攻撃を防御することも不可能ではないことがわかるでしょう。その実現に向けてセキュリティ対策のレベルアップを考える際、藤田氏の話すインテリジェンスの活用は大きなヒントになるでしょう。

※掲載されている内容は公開日時点のものです。
※掲載されているサービスの名称、内容及び条件は、改善などのために予告なく変更することがあります。

このテーマについてもっと詳しく知りたい

関連キーワード

Bizコンパス編集部

Bizコンパス編集部

このページの先頭へ
Bizコンパス公式Facebook Bizコンパス公式Twitter