シスコは、エクスプロイトキットの使用減少、IoTボットネットおよびサービス破壊キャンペーンの増加、効果的な攻撃ベクトルとしての電子メールスパムの復活など、企業のサイバーセキュリティにおけるいくつかの重要な傾向を示す2017年中間サイバーセキュリティレポートを発表しました。
エクスプロイトキットは背景に消えつつある
Ciscoのサイバーセキュリティレポートによると、主要なエクスプロイトキットのうち3つ(Angler、Nuclear、Neutrino)が昨年突如姿を消しました。Neutrinoはその後復活しましたが、買い切り型のエクスプロイトキットではなく、攻撃者向けのサブスクリプションサービスという形で復活しました。
この「サービス」が市場に与える影響は、攻撃がより制御され、検知が困難になる一方で、小規模な犯罪グループにもより低い利用料で利用できるようになるという点です。しかしながら、シスコシステムズ社によると、エクスプロイトキットの活動は2016年1月以降、全体的に劇的に減少しているとのことです。
同社によれば、減少の理由としては、Anglerエクスプロイトキットの作者が逮捕されたことや、Flash、ウェブブラウザ、Windows 10のリリースにより自動更新が実現したWindowsなど、以前はより脆弱だったソフトウェアプラットフォームの更新サイクルが速まったことなどが挙げられる。
ネットワーク セキュリティ調査会社 Qualys の調査によると、企業が Flash の脆弱性の 80% を修正するのに 2014 年は平均 308 日かかったのに対し、2016 年にはわずか 62 日しかかからなかったことがわかりました。エクスプロイト キットの開発者は、攻撃を成功させるためには複数のエクスプロイトを連鎖させる必要があることに気づいています。
シスコ独自の調査によれば、企業ネットワーク内でのデータ侵害の検出にかかる時間は、2015年の39時間から、2016年11月から2017年5月までの期間で約3.5時間に短縮されたことも判明した。
しかし、シスコは企業に対し、警戒を怠らないよう警告しています。エクスプロイトキットの動向は今のところ静穏な状態にあるかもしれませんが、ツールは既に作成されており、主要プラットフォームに新たな重大な脆弱性が出現すれば、再び活発化する可能性があります。企業が重大な脆弱性の発見から修正までの期間を長く設定しすぎると、エクスプロイトキット市場が再び利益を生み出す可能性があります。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
メールスパムが復活
エクスプロイトキットの活動が減少する一方で、メールスパムやマルウェアが再び増加しているようです。悪意のあるハッカーは、ランサムウェアやその他のマルウェアの配信手段としてメールを利用しています。シスコの研究者は、エクスプロイトキットの状況が流動的であるため、メールスパムの量は今後も増加し続けると予測しています。メールを通じて、攻撃者は組織ネットワークのより特権的な領域に侵入し、より大きな被害を与えることも可能になります。
シスコによると、ビジネスメール詐欺(BEC)は組織にとって最大の脅威ですが、このタイプの攻撃は最近のランサムウェア攻撃ほど目立たない傾向にあります。BECキャンペーンでは、攻撃者がなりすましを用いて金融機関の従業員に資金を要求し、あたかも正当な要求であるかのように見せかけます。
インターネット犯罪苦情センターによると、攻撃者はこの戦術を使って2013年から2016年の間に企業から53億ドルを吸い上げたが、2016年にランサムウェアで得られた金額はわずか10億ドルだった。
ランサムウェアによるサービス拒否(RdOS)
Armada Collectiveのような一部のサイバー犯罪グループは、DDoS攻撃の脅威を利用して企業に身代金を要求します。身代金要求の後には、真剣な攻撃であることを示すために「デモ」攻撃が行われるのが一般的です。
Ciscoによると、調査対象企業のほぼ半数(49%)が2016年に身代金要求書を受け取ったとのことです。これは驚くべき数字です。Armada Collectiveは通常20ビットコインを身代金として要求しますが、他のグループはそれより少ない金額または多い金額を要求する場合があります。
サービスの破壊
シスコが考案した造語である「サービス破壊(DeOS)」も増加傾向にあるようです。シスコは過去1年間、攻撃者がIoTボットネット機能を構築し、後にサービスを妨害するために利用しているのを確認してきました。また、最近のNotPetya攻撃では、一部の攻撃者、特に一部の国家は、身代金の獲得ではなく、特定のインフラを破壊または無効化することに興味を持っている可能性があることも明らかになりました。
IoTボットネット
昨年の DynDNS 攻撃やその他の大規模な DDoS 攻撃によって証明されたように、現在は数十万または数百万の感染したモノのインターネット (IoT) デバイスによって可能になる、毎秒テラビットの DDoS 攻撃の時代に入っているようです。
オープンソースの Mirai ボットネット、および大多数の IoT デバイスにおけるセキュリティや適切な自動更新メカニズムの重大な欠如により、1 日で 10 万台を超える感染デバイスを使った攻撃キャンペーンがセットアップされ、実行される可能性があります。
Cisco は、IoT ネットワークを標的とした攻撃から身を守りたい企業に対して、次のアクションを推奨しています。
古いシグネチャをアクティブに保つIoTデバイスをIPS防御で囲むネットワークトラフィックを綿密に監視する(これは、ネットワークトラフィックのパターンが非常に予測可能なIIoT環境では特に重要です)IoTデバイスがネットワークに接続し、他のデバイスとやり取りする方法を追跡する(たとえば、IoTデバイスが別のデバイスをスキャンしている場合、それは悪意のあるアクティビティを示す危険信号である可能性があります)パッチをタイムリーに適用する製品セキュリティベースラインを持ち、セキュリティアドバイザリを発行するベンダーと連携する
サイバーセキュリティはかつてないほど重要になっています
シスコは、攻撃者が企業の業務を完全に混乱させたり破壊したりするツールを開発していると警告しました。これは、大多数の企業が壊滅的なサイバー攻撃を受けた場合に備えてITインフラを一から再構築するための緊急時対応計画を策定していないことを攻撃者が認識しているためです。攻撃者は、この状況を有利に利用し、身代金として多額の金銭を得るか、あるいは他の目的を達成しようとしています。
シスコ社は、これは企業がサイバーセキュリティをより真剣に受け止め、ネットワークとデータの安全を確保するためのツールとインフラに投資する必要があることを意味すると述べた。また、セキュリティベンダーは、より強力な攻撃に対処できる、より相互運用性の高いツールの開発に向けて協力する必要があると主張した。
「複雑さは多くの組織のセキュリティ対策を依然として阻害しています」と、シスコのセキュリティ事業グループ担当シニアバイスプレジデント兼ゼネラルマネージャーであるデビッド・ウレビッチ氏は、Tom's Hardwareへのメールで述べています。「統合できない単機能製品への長年の投資は、見落とされていた脆弱性やセキュリティ対策のギャップを容易に特定できる攻撃者に大きなチャンスを与えていることは明らかです。検知までの時間を効果的に短縮し、攻撃の影響を最小限に抑えるためには、業界は可視性と管理性を高め、セキュリティチームがギャップを埋められるよう支援する、より統合されたアーキテクチャアプローチに移行する必要があります」とウレビッチ氏は提言しました。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
