2019年10月25日

6つのセキュリティメガトレンド

Verizon社発行の2019年版『Data Breach Investigations Report』の情報量には圧倒されます。これから目を通す皆さんのために、セキュリティ対策で重要な意味を持つ6つの傾向を掘り下げました。そのうち3つは、業界全体で一般に認められているものですが、その他については、意見が分かれます。この記事では、企業のセキュリティ対策で今後考慮すべきポイントをご紹介します。

Verizon社の2019年版『Data Breach Investigations Report』(DBIR) は、おそらく今年2番目に待たれた報告書です (1番目はモラー特別検察官の報告書ですね)。この第12版では、2018年に確認された2,000件以上のデータ侵害が詳細に報告されており、これらは、70以上の情報源と、40,000件以上の異なるセキュリティインシデントの分析に基づいています。

DBIRが優れている点は、業界共通のデータ収集方法であるVERISを使用して、複数の情報源から得られた侵害データを組み合わせていることです。VERISは、サードパーティのリポジトリであり、そこにアップロードされた脅威データは匿名化されます。これにより、確かな根拠に基づく現状がレポートに反映されます。多くの人がDBIRを引用する理由はそこにあります。また、レポートは、ベンダーのテレメトリも情報源として引用しているため、やや、自己言及的とも言えます。

この記事で、メガトレンドについて強調するのは、それらが、非常に重要な問題を示しているからです。ここでは、状況を大きく捉えて、トレンドを2つにグループ化します。1つは、DBIRとその他の情報源との間で、意見がほぼ一致しているグループ、もう1つは、意見が異なるグループです。このレポートを読んで、どの問題が、皆さん自身の環境に当てはまるかを判断してください。では、主要な6つのトレンドを見ていきましょう。

 

意見がほぼ一致する3つのトレンド

経営幹部が企業のセキュリティにおいて最も脆弱な要素となっている: とりわけ、一般的なフィッシングの成功が減少し続けていることを考えた場合に、それが当てはまります。経営者が侵害のターゲットになる可能性は、過去と比較して、最大12倍に上昇しています。そうした攻撃は主に、巧妙化したスピアフィッシング技術によって行われます。レポートは、影響を受けた企業について、特定分野の市場ごとに、割合の範囲を示しています。たとえば、専門サービス企業の経営者は、その他の経営者よりも、6倍、スピアフィッシングの標的にされやすい傾向があります。

DBIRでは、次のように述べられています。「上級経営者へのソーシャルエンジニアリング攻撃が成功すれば、大きな利益を得られます。そうした経営者は、多くの場合、重要なシステムの承認権限と特別なアクセス権を、当たり前のように持っているからです」。CloudStrike社も、2019年版『Global Threat Report』で、北朝鮮、ロシア、中国のさまざまな国家的エージェントによる、よく知られたマルウェアキャンペーンをいくつか挙げ、そうした傾向を同様に報告しています。

「経営幹部を狙う攻撃の増加は、これまでになかった状況です。(こうした経営者は) 重要なデータを安全な場所に保存しなければなりません」。SecurityFirst社の最高マーケティング責任者、Dan Tuchler氏は、そう語ります。

上級経営者も、侵害の標的にされ、ソーシャルメディアを悪用した攻撃を受ける可能性が、他の役職よりも非常に高くなります。「経営幹部を狙うソーシャル攻撃が急増すれば、そうした経営者は、サイバーセキュリティを意識せざるを得なくなります」。CyberSaint Security社の創設者でCEOのGeorge Wrenn氏はそのように指摘します。

IT管理者へのアドバイス: セキュリティに関する定期的な意識向上トレーニングを利用しましょう。財務と支払い処理業務に、当事者2人による署名と、多要素認証 (MFA) を設定して、経営者のアカウントを保護します。また、これまで以上に時間をかけて、経営者を守るための対策を強化します。

国家的なアクターの増加が続いている: かつて、国家的なハッカーグループは、イランの原子力発電所や、ウクライナの送電網といった特別な施設を狙いましたが、今では、誰もが格好の標的になります。こうした政府支援の政治的集団は、あらゆる業界やネットワークをターゲットにして、事業の混乱や、企業秘密の窃盗に成功し、独裁者や、堕落した指導者たちに取り入ろうとします。DBIRによると、国家的な攻撃が著しく増加しています。今では、サイバースパイ活動という動機が拍車をかけ、侵害全体の25%を占めています。その割合はその他の事例調査とも一致しています。レポートの筆者は、侵害そのものの増加というよりも、こうした国家的情報源との関連付けの向上によって、侵害数が増加した可能性があることを明らかににしています。

IT管理者へのアドバイス: すべての侵害で、直接的な金銭的損失が生じるわけではありません。顧客の購入明細、専売の売上高といった企業秘密も対象になるように、機密データの定義範囲を広める必要があります。また、国家的な侵害の大多数が、フィッシング詐欺によって発生しているため、ここでも、セキュリティに関する効果的な意識向上トレーニングを頻繁に利用すると良いでしょう。

不注意なクラウドユーザーが後を絶たず、よく練られたセキュリティ計画でさえ効果を失っている: オンラインアカウントが侵害され、さまざまなデータストレージリポジトリの情報が流出したというニュースを頻繁に目にします。こうした情報漏えいはすべて、クラウドアカウントやデータベースに、パスワードが設定されていなかったことで発生しています。こうした不注意の背景にあるのは、多くの場合、同じパスワードが何度も使用されていることです。過去10年間で発生した膨大な数の侵害によって、どれほど多くのユーザー認証情報が盗まれたでしょうか。「認証情報の窃盗が、さらに多くの侵害で、着実に広まっているようです」。StealthBits Technologies社のシニアバイスプレジデント、Adam Laub氏は、そのように述べています。また、CipherCloud社でソリューション設計のディレクタを務めるTyler Owen氏も次のように語ります。「わざわざ企業をハッキングする必要はありません。パスワードは、簡単に推測して再利用できるのですから」。

クラウドの不注意な利用の一面として、クラウドベースの電子メールサービスが、頻繁に侵害されることも挙げられます。DBIRでは、Webアプリケーションで発生する侵害の60%が、クラウドベースの電子メールサーバーの手前にあるフロントエンドで発生していると述べられています。なぜ、この経路が選ばれるのでしょうか。それは主に、Webベースの電子メールが、数多くのさまざまな企業リソースにアクセスする入り口として機能しているからです。「犯罪者は、クラウドを狙えば、盗んだパスワード、APIの脆弱性、設定ミスなどを悪用して、アカウントを乗っ取り、許可ユーザーなどの情報すべてに、非常に簡単にアクセスできるとも考えています」。CipherCloud社のCEO、Pravin Kothari氏はそのように述べています。
IT管理者へのアドバイス: これまでよりも時間と労力をかけて、クラウドサービスを保護し、すべてのクラウドアカウントにMFA認証情報を適用します。クラウドアクセスセキュリティブローカーの製品を調査しましょう。また、HaveIBeenPwnedなどの公開された情報源を確認し、企業の認証情報が、犯罪者の間ですでに悪用されていないかどうかを判断します。

 

意見が分かれる3つのトレンド

部内者と部外者では、どちらが重要か?: どのような情報を基に判断するかで答えが異なります。DBIRによると、同レポートの昨年の分析では、部外者の割合が、侵害の2/3を占めています。この割合は、Breach Level Indexの図表など、その他の情報源と明らかに一致しています。この図表では、過去に発生した最も大規模なデータ侵害が要約されており、実質的に、いずれも、部内者によるものではありません。
部内者によるとする調査もあります。たとえば、400人を対象としたBitglass社の調査では、回答者の60%が、昨年、部内者による攻撃を経験しています。また、150人のIT専門技術者を調査した、Veriato社の2019年版『Insider Threat Maturity Report』では、次のように報告されています。「組織の大多数が、内部的脅威のポリシーとプロセスを確立する正式なチームを設けていません。また、調査対象者の大多数が、脅威対策プログラムにおおむね賛成しつつも、予算は割り当てていませんでした」。

IT担当者へのアドバイス: どの情報源を信用するにしても、部内者による脅威を軽減しましょう。そのためには、スタッフの退社または契約終了の際に、慎重に業務を終了させ、彼らのアクセス権を削除します。ただし、潜在的な脅威のほとんどが、外部の環境から影響を及ぼすことも忘れないようにします。

ランサムウェア攻撃の割合は明確ではない: ランサムウェア攻撃の増加または減少については、さまざまな意見があります。数値化が難しく、アナリストの間でも意見が分かれています。MalwareBytes社などの、一部の研究者は、最近発生し、報道された被害を挙げ、ランサムウェア攻撃の増加を報告しています。たとえば、ボルチモア市は最近、インフラストラクチャに対する2回目の攻撃を受けました (1回目は、2018年3月に緊急通報運用センターで発生)。

しかし、ランサムウェアの増減にかかわらず、DBIRで重要な点は、ランサムウェアが多くのエクスプロイトで、いかに重要な役割を果たすようになっているかを証明していることです。「なぜなら、ランサムウェアでは、利益を得るために、データを盗み出す必要がないからです」とレポートの筆者は述べます。筆者らは、500件近くのランサムウェアを確認しており、それは、2018年に発生した侵害のほぼ1/4を占めます。問題は、筆者が指摘するとおり、報告の仕方にあります。大部分の組織は、実際にデータ損失が発生しなければ、侵害を報告する必要はありません。しかし、医療関連企業は、それには当てはまらず、データ損失に関係なく、身代金について報告しなければなりません。ランサムウェアの割合は、2年連続で、マルウェア感染の70%を占めています。
Comparitech社のセキュリティスペシャリスト、Brian Higgins氏は、次のように述べています。ランサムウェアは、「盗んだクレジットカードの詳細情報で取り引きを行うよりも簡単です。取り引きの条件にあまり依存せずに、利益を期待できます。残念なことですが、GDPRが気になっても、報告するよりは、思い切って支払う方が楽なのです」。

IT管理者へのアドバイス: バックアップが、コンピューティングの現状を完全に反映していることを確認してください。また、堅実なワークフローと、ディザスタリカバリ計画を常に用意するとともに、演習を定期的に実施し、危機的状況に迅速に対応できるようにしましょう。

ハッカーは、うんざりするほど長い期間、ネットワークに潜んでいる: この潜伏期間は、最初の感染から数か月に及ぶこともあります。「ハッカーが、システムに許可なくアクセスする時間が長くなればなるほど、攻撃の危険度が増します」。Bromium社のCTO、Fraser Kyne氏はそのように述べています。また、興味深い点を指摘しています。「弱みとされてきたエンドポイントを、インテリジェンスを収集させることで強みに変える必要があります」。

大部分のレポートが、潜伏期間について、全体的に日数が減少したと述べているものの、潜伏期間の測定基準や、それが実際に何を指すのかについては、良いとは思えない報告が数多く見られます。たとえば、Trustwave社は、外部で検出されたインシデントについて、2017年に83日だった、侵入から検出までの中間日数が、2018年には55日に減少したと報告しています。しかし、この数字は、多くの要因に左右されます。「開始」に相当するのは、ハッキングイベントが最初に発生したときでしょうか。エンドポイントが最初に侵害されたときでしょうか。最初の侵害検出、または防御対応の時点とも考えられます。また、「終了」とは、マルウェアの全ステージの活動を撲滅した時点でしょうか。それとも、マルウェアを完全に削除した時点でしょうか。「検出時期は、疑わしい活動の種類によって、大きく異なります」と、DBIRの筆者は述べています。

問題の1つは、攻撃者が、マルウェアで複数の手段を組み合わせているため、検出と無力化がさらに難しくなっていることです。これには、良い面も悪い面もあります。攻撃者は、ネットワークに侵入する最初の段階を開始したら、その後、データを盗むか、金銭的な利益を得るまで、すべての手順と攻撃ステージを成功させなければなりません。つまり、生存しにくくすれば、彼らは、あなたの環境をあきらめて、楽な対象に矛先を向ける可能性があります。

DBIRの新しい要素で、私が気に入ったのは、筆者が、さまざまなマルウェアステージを文書化して、開始、中間、終了という期間に分けようとしている点です。最初のステージでは、ソーシャルエンジニアリング、フィッシング、認証情報の侵害といったハッキングの要素が実行される傾向があります。その後、マルウェアが展開される可能性があります。これらは、周到な偵察を行い、ネットワークに水平に拡散します。最後の活動には、ハッキングとマルウェアの要素が混在しています。つまり、センサーがマルウェアを検出したときには、ネットワークは、すでに侵害され、攻撃の真っただ中です。しかし、検出されたものがフィッシングの場合は、侵害がこれから始まる状況だと考えられます。

「攻撃期間と、それに対処する期間には、いまだにずれがあります」と、Virsec社のCTO、Satya Gupta氏は語ります。「DBIRは、一連の攻撃は数分内で行われるが、数か月後に検出されることが多いと指摘しています。この時間差を縮める必要があります。また、こうした侵害を抑制するチャンスがある限り、セキュリティツールでは、リアルタイムの攻撃検出が重視されなければなりません」。

IT管理者へのアドバイス: 今使用している防御対策ツールによって何を検出できるのかを把握しましょう。また、一連のサイバーイベント全体を徹底的に調査して、セキュリティインシデントの根本的原因を特定してください。

最後の重要なアドバイス: ご覧のように、Verizon社のDBIRから多くを学ぶことができます。これからの数週間、数か月の間、多数の解説を目にすることになるでしょう。ぜひ、レポートをダウンロードして読み、それを基にあなた自身の結論を導き出してください。DBIRをモデルにして、自社のセキュリティ向上を呼び掛けることもできます。また、経営者に説得材料として示し、将来のセキュリティ対策に投資してもらうことも可能です。


この記事/コンテンツは、記載されている個人の著者が執筆したものであり、必ずしもヒューレット・パッカード エンタープライズの見解を反映しているわけではありません。

enterprise.nxt

ITプロフェッショナルの皆様へ価値あるインサイトをご提供する Enterprise.nxt へようこそ。

ハイブリッド IT、エッジコンピューティング、データセンター変革、新しいコンピューティングパラダイムに関する分析、リサーチ、実践的アドバイスを業界の第一人者からご提供します。