による
の上
フォーティネットのFortiGuard Labsのサイバーセキュリティ研究者兼実務者であるアミール・ラカニ氏による
2022年上半期FortiGuard Labs脅威レポートの主な調査結果
今年上半期を振り返ると、FortiGuard Labsの2022年上半期グローバル脅威ランドスケープレポートのデータから、サイバー犯罪者が攻撃の手口を巧妙化し、セキュリティチームやITチームに様々な変化球を投げかけていることがわかります。過去6ヶ月間で、エクスプロイトの発生件数が増加しました。また、攻撃者は巧妙な戦術を巧妙に使いこなすようになり、攻撃が成功した場合の影響はかつてないほど甚大になっています。
これはセキュリティとITにとって何を意味するのでしょうか?攻撃者は「多ければ多いほど良い」という理論を信奉しているようで、その勢いが衰える気配は全くありません。規模に関わらず、あらゆる組織が標的となるのです。
かつて、中小企業の経営幹部は、攻撃者はより価値のあるデータを盗む可能性が高い大手企業に狙いを定めており、自分たちは侵害を受ける可能性が低いと考えることが多かった。しかし今日、この考え方は真実とは程遠い。誰もがリスクにさらされており、今こそセキュリティプログラムを再評価し、不審な行動を検知し攻撃を阻止するための適切なプロセスとテクノロジーを備えていることを確認する絶好の機会だ。
知っておくべき最近の攻撃傾向
攻撃者は依然として、ランサムウェアやプロセスインジェクションといった実績のある戦術に頼っていますが、攻撃者は目的を達成するために並外れた手段に訴えるようになり、セキュリティ専門家を欺き、組織のセキュリティ技術を回避しようとする新たな手法を駆使しています。また、サイバー犯罪者は、通常よりも高額なランサムウェアの身代金や重要インフラの混乱など、新たなレベルの破壊を企てています。
組織のリスク管理戦略を再評価する際に考慮すべき、レポートからの主要なポイントは次のとおりです。
ランサムウェア・アズ・ア・サービス(RaaS)は、新たな亜種(そしてさらに多くの亜種)の出現を意味します。ランサムウェアは依然として最大の脅威であり、攻撃者は新たな攻撃手法に多大なリソースを投入しています。しかし、サブスクリプション型のRaaS事業の増加により、ハッカーにとって新たなランサムウェア亜種の入手が容易になっています。RaaSは、今年前半に検出されたランサムウェア亜種の爆発的な増加を説明しています。新たな亜種の数は、2021年後半に観測された数のほぼ2倍に上りました。
現在のトレンド:破壊力の増すマルウェア攻撃。マルウェア自体は新しいものではありませんが、攻撃者はワイパーマルウェアなどの新しい亜種を用いて、より大きな破壊を引き起こしています。2022年の最初の6か月間で、FortiGuard Labsは、政府機関、軍事機関、民間組織に対する様々な攻撃キャンペーンで攻撃者が使用した、少なくとも7つの重要な新しいワイパー亜種を特定しました。この数は、過去10年間に検出されたワイパー亜種の総数とほぼ同数です。
防御回避は攻撃者が好んで用いる戦術です。サイバー犯罪者が新たな手法で摘発を回避しているという、おそらく最も不安なニュースと言えるでしょう。FortiGuard Labsチームは、検出されたマルウェアの亜種の機能を分析し、最も一般的な配信メカニズムを特定しました。その結果、防御回避が最も多く利用されていることがわかりました。
エンドポイントが増えれば、問題も増えます。リモートワークへの移行が進むにつれ、エンドポイントはサイバー犯罪者にとってさらに魅力的な標的となっています。エンドポイントに関わる多くの侵害は、不正ユーザーがシステムにアクセスし、企業ネットワーク内を横断的に移動することを目的としていることがほとんどです。
組織のセキュリティ体制を強化するための重要な推奨事項
FortiGuard Labsの2022年上半期グローバル脅威ランドスケープレポートで共有された洞察に基づき、サイバー攻撃の増加と新たな攻撃ベクトルの出現に対抗するために、ITおよびセキュリティ専門家が今すぐ実行すべき重要な対策がいくつかあります。最も嬉しいのは、これらの推奨事項のほとんどを、新たな資金を調達したり、チームの人員を増員したりすることなく実装できるということです。
まず、基本的なセキュリティプロセスとテクノロジーを見直しましょう。統合セキュリティプラットフォーム、セキュアSD-WAN、ZTNA、エンドポイント検知・対応(EDR)ツール、そして環境を監視するセキュリティアナリストチームが「あれば便利」ではあっても、まだ必須ではなかった時代は終わりました。今日では、こうしたセキュリティテクノロジーは、あらゆる環境を適切に保護するための基盤となっています。既にこれらのテクノロジーをお持ちであれば素晴らしいですが、そうでない場合は、これらのツールと、それらを実装・監視するための適切なスタッフを追加することが、まず取り組むべき課題です。
次に、人工知能(AI)を活用し、高度な脅威をリアルタイムで特定し、対応します。潜在的に悪意のある行動を監視することは、モグラ叩きゲームのように複雑です。潜在的な攻撃ベクトルは無数にあり、組織の脆弱なホットスポットは常に変化します。ここでAIの出番が来ます。AIは、よりカスタマイズされた行動ベースの検出ルールを作成し、環境に実装する役割を果たします。膨大な量のデータを相関分析・分析できるため、環境により適合した検出が可能になります。つまり、誤検知が減り、対応時間が短縮されるということです。
セキュリティプロセスを自動化する機会を見つけましょう。セキュリティプロセスの自動化は、セキュリティチームに大きなメリットをもたらします。しかし、セキュリティツールが個別に運用されていると、自動化は不可能になる可能性があります。そのため、自動化と密接に連携して、セキュリティを統合セキュリティプラットフォームに統合することが重要です。一部のプロセスでは、常にアナリストによる監視が必要になりますが、ソフトウェアのパッチ適用や反復的な脅威分析など、自動化できる可能性のあるプロセスを特定するためにAIを活用することが、成功の鍵となります。
サイバーセキュリティにおいて最も見落とされがちな側面は、おそらくプロセスでしょう。テクノロジーの更新と統合に加え、インシデント対応計画と事業継続計画の見直し(または作成)も必要です。これらのToDoリストは往々にして優先順位が下がってしまいますが、実際にはチームが定期的に実施すべき最も重要な活動の一つです。インシデント対応計画と事業継続計画は策定されていますか?計画の内容は?そして、最後に更新されたのはいつですか?ハニーポットの作成、テーブルトップ演習やレッドチーム/ブルーチーム演習といった敵対者シミュレーションの実施、さらにはオンラインとオフラインのバックアップの定期的なテストなど、将来の攻撃から身を守るために今日から実行できるプロアクティブな対策を検討しましょう。
今こそ重要な変化を起こす時だ
攻撃者はますます巧妙化しており、RaaSなどのアクセスしやすいサービスや新たな攻撃バリアントによって、エクスプロイトの実行が容易になっています。セキュリティチームとITチームは、常に一歩先を行くためには、今すぐ戦略を調整する必要があります。新たな攻撃戦術や手法に関する知識を常に深め、組織の防御力を強化することが、前進するための最良の第一歩です。
FortiGuard Labs チームは今後数週間にわたってレポートのトピックを調査しますので、この調査から得られる貴重な情報を得るには、Fortinet ブログを購読してください。
