サイバーセキュリティ最新動向 ~ 企業を狙った最新手法とは 1

近年、標的型攻撃やランサムウェアなど、様々な種類のサイバー攻撃の危険性が高まっています。今回と次回のブログでは、本年6月22日に開催された「@ITセキュリティセミナー東京会場」で、シングテルの子会社であるTrustwaveが行った講演内容から、企業を狙った主要なセキュリティ侵害と最新のサイバーセキュリティ動向についてお届けします。

セキュリティの成熟度

セキュリティの成熟度は3つの段階に分類することができます。

1.受け身のセキュリティ
サイト全体を観察して、安全か否かを判断する従来型のアンチウイルスタイプ。

2.積極的なセキュリティ
サイト内において脅威がないか、積極的に探しに行くシステム。インシデントレスポンスとは、情報セキュリティを脅かす事象へ対応することで、インシデント(異変事象)が起きた後、感染があるかどうかを調べるためにネットワーク全般を積極的に調べていくタイプ。

3.適応力の高いセキュリティ
最新のAIを駆使した未知のマルウェアに対して、その挙動などから≪悪意のあるプログラムである≫と識別し、検知していくタイプ(振る舞い検知)。

「受け身のセキュリティ」は、「シグネチャ(※)」がメインになり、フォールスポジティブ(誤検出)がないというメリットがあります。しかし、一方で、脅威を発見しても異変が起こっている部分のみしか対応できないというデメリットがあります。そのため最近は、1対1のシグネチャではなく、1つのルールで様々な脅威に対応できる汎用性があるものが提供され始めています。

(※ シグネチャとは、マルウェアや感染ファイルのみに含まれる特定のマルウェア検体に共通する一部のバイト(バイトシーケンス)のこと。しかし、現在は、検知システムを構成するテクノロジーを含めて指すことが多い。)

もし、御社がファイアウォール・アンドロイド・CMセキュリティなどを導入されていて、ログの収集も行っている段階であるならば、目指すべきは「積極的なセキュリティ」です。

情報の価値について

一般的に「犯罪者は、直接お金につながるクレジットカード情報・ネットバンキングのアカウント情報・クレデンシャル情報が欲しいのではないか」と考えがちですが、いま非常に価値が高い情報は「医療記録」です。クレジットカードに比べると実に50倍の価値があるとも言われています。

侵害検出までの速さ

セキュリティ対策である侵害までの検出速度には、2パターンあります。

1つ目は外部組織が侵害を検出した場合(例えば:小売店自身は脅威を見つけられないがクレジット会社で侵害を検出したことによって気づく場合、等)、2つ目が感染した企業が自ら検出して発覚する場合です。
外部組織が検出する場合、2015年では検出までに180日間要していましたが、2016年では65日に減り、非常に対応が速くなっています。社会全体のセキュリティレベルが上がってきている証拠と言えるでしょう。
2つ目の企業自らが検出する速度については、2016年では16日間要していましたが、2017年は0日です。
この結果を導いた企業努力としては、CMセキュリティを各社が導入して自社に合ったコリレーションルールを導入し、一定の危険な状態になるとすぐアラートで知らせるよう各企業で実装したことによります。一方で、インシデントレスポンスの認知度も上がってきています。

フィッシング(詐欺)の手段

特に注目すべきはPOSと企業に対して、ほぼ半分以上がフィッシング、並びにソーシャルエンジニアリングを使用した侵入が行われている点です。フィッシングメールを送る側は、信頼度やブランディングが非常に高く、社会的に信用がある事業者(例えば、銀行・宅配業者・電力会社・電話会社・Apple・Amazon 等)のメールをまねてフィッシングメールを投げているので、誤ってクリックすると偽サイトに誘導されマルウェアに感染してしまうケースが非常に増えてきています。

メールのスパム

全スパムにおけるマルウェアを誘発させるスパムメールの割合については、2015年までは97%がアダルト系の通販サイトに導くものがほとんどでした。しかし、2016年以降はメールによるスパムの割合が約30%増えています。これは、単に通販サイトに誘導して何かの購入を促すものではなく「マルウェアに感染させよう」という意図のスパムが蔓延してきた証拠です。エクスプロイットキットの栄枯盛衰にからんで2017年のスパムメールの割合はやや減少傾向でしたが、4分の1のスパムメールが明確に悪意を持っていると分析されています。

永続性をもつマルウェア

所謂、ファイルをもたないマルウェアです。不用意にダウンロードしたものは、メモリ上では(目に見えなくともPC内で)生きています。これには既存の「ファイルをスキャンするアンチウィルス」対策では検知されないので、EDR(エンドポイントでの検出と対応)やネットワークアンチウィルスなどの振る舞い検知システムが必要になってきます。

エンドポイントのバルネラビリティ(脆弱性)

脆弱性の問題も相変わらず大きいことがTrustwave社が調査した最新の『グローバルセキュリティレポート2018』で指摘されています。実例として、「MS17-010」の脆弱性であるを突いたランサムウェア「WannaCry」は、蔓延する2か月前の2017年5月には報告されていましたが、その時点で半数以上はセキュリティの対応ができていませんでした。

次回も引き続き、最新のサイバーセキュリティ動向をお届けします。