ニュース

攻撃グループの手口の高度化がさらに進行、インテリジェンス主導型セキュリティの導入を~ファイア・アイ調査レポート

 ファイア・アイ株式会社は17日、セキュリティ侵害およびサイバー攻撃の年間トレンドを解析したレポート「Mandiant M-Trends 2017」の日本語版を発行した。

 レポートは、FireEyeグループのMandiantが、2016年にグローバルで実施した調査に基づくもので、日本を含むアジア太平洋(APAC)地域および、ヨーロッパ、中東、アフリカ(EMEA)地域の調査から得られた統計情報や、監視・分析サービス「FireEye as a Service(FaaS)」チームからの知見が盛り込まれている。

 2016年の被害の傾向としては、企業などの組織がセキュリティ侵害の発生から検知までに要した日数は99日(中央値)で、前年より47日短くなった。これは、侵害への対策が進んだこともあるが、ランサムウェアのように侵害がすぐに露見する攻撃が増えたことも要因になっているという。

 また、組織に対する模擬攻撃を行うMandiantのレッドチームが、ドメイン管理者の認証情報を入手するのに要する時間は、ほとんどの場合で3日以内となっており、検知までの日数は短くなったとはいえ、99日はまだ長すぎであり、引き続き対策が必要だとした。

侵害発生から検知までの日数は短縮
模擬攻撃の結果を考えると、依然として検知までにかかる時間は長すぎる

 攻撃のトレンドとしては、現在活発な攻撃を繰り返しているグループの中には、国家の支援を受けて活動していると推測されるグループと、金銭犯罪を目的とした金融系攻撃グループがあるが、この2つのグループのレベルが接近していると指摘。2013年以前は、国家支援型のグループに比べて、金融系グループの手口は高度化しておらず、初歩的なツールキットを使用していたが、徐々に手口が巧妙化。2016年時点では、「特定の金融系攻撃グループと国家支援型の高度な攻撃グループの境界線はもはや存在しない」と言えるレベルにまで達したという。

 こうした金融系攻撃グループは、侵入先のシステムごとに構成を変えた独自開発のバックドアを利用するなど、さらに手口が高度化していると指摘。攻撃者が標的に電話をかけ、Wordのマクロを有効にする方法を指示したり、個人用のメールアドレスを聞き出すなど、あらゆる方法を利用して攻撃を行うようになっており、組織には継続的なセキュリティ対策、リスク評価、脅威トレンドの変化への適応が求められるとした。

金融系グループの攻撃が、国家支援型グループの攻撃と同様の高度なものに

 こうした攻撃への防御には、現代のITモデルに対応したセキュリティ体制の構築が必要で、セキュリティ自動化やサイバー脅威インテリジェンスなど、高度なセキュリティ機能の導入が必要となるが、しっかりとした基礎がなければ高度な機能の導入は困難だと説明。高度な機能を導入しても、多すぎるアラートや、脅威の優先度の判断が困難であること、新技術の導入環境に対する不適切なエンジニアリングサポートといった要因で、制御ができなくなってしまうことがあるとした。

 一方で、誰もが検知・対応できていないわけでななく、対策としては脅威情報(脅威プロファイル)を基にした予防的な対策を可能とする、インテリジェンス主導のセキュリティが重要だと説明。脅威プロファイルを基に、脅威のモデリングを行って防衛計画を策定するとともに、戦術的な優先度の判断、基準の策定を行い、ワークフローの自動化や探索計画の策定を行う。こうした環境を作り上げることで、脅威に対して先手を打つことが可能になるとした。

脅威プロファイルを基にしたインテリジェンス主導のセキュリティ
脅威に対して先手を打つことを可能に

 ファイア・アイ執行役副社長の岩間優仁氏は、大規模な感染で話題となったランサムウェア「WannaCry」については、ランサムウェアは攻撃として目新しいものではないが、蔓延させること自体も目的としていて、その意味では成功していると説明。ただし、日本では週末にあたったことなどから被害規模は大きくなく、グローバルでも攻撃の規模に比べて金銭被害の総額は少ないとした。

 こうした点から、攻撃全体がデザインされ、目標となるゴールが明確な国家支援型グループの攻撃に比べると、WannaCryのグループはやや劣る印象を受けると説明。また、北朝鮮系の攻撃グループが用いたウイルスとの関係については、同じコードは発見されているものの、使われた技術や戦術などから総合的に判断すると、FireEyeの見解としては現時点では関係性は高くないと考えているとした。

ファイア・アイ執行役副社長の岩間優仁氏