日本年金機構や大手旅行代理店での情報漏えい事件は記憶に新しい。両者に共通していえるのが「標的型攻撃」による被害ではあるが、こうしたサイバー攻撃は2014年と比較すると、わずか1年足らずでその傾向や特長が変化してきている。本稿では、こうした攻撃に対する調査レポートやそこから見える傾向、その具体策が詳しく記載されている「M-Trendsレポート2016」を紹介する。

同レポートは、セキュリティ・インシデントへの事後対応や高度なセキュリティ脅威への予防対策で、業界をリードするファイア・アイ株式会社Mandiantコンサルティングが、毎年発表している最新のレポートだ。

標的型攻撃に変化の兆し

2014年頃の標的型攻撃は、”不特定”多数にウイルスメールを送りつけ、WebサービスのユーザーIDやパスワードを無作為に取得するといったものが主流だった。しかし2015年以降その傾向は変わりつつある。ファイア・アイの調査によると、医療、旅行、金融、官公庁など、複数の業種で、”特定”個人情報の大量窃取インシデントが発生しているという。当初、攻撃グループの狙いはカルテ情報やクレジットカード情報にあると見ていたが、調査を進めるうちにその攻撃グループは個人の特定に利用可能な情報(社会保障番号や母親の旧姓、誕生日、職歴、秘密の質問とその答えなど)に狙いを定め、まさにその情報を窃取していた事実が判明したのだ。

標的型攻撃における最新の傾向と対策を今すぐチェック >>

「破壊型・妨害型」の攻撃増加と10の教訓

2015年に確認された新しい傾向で特に興味深いのは、「破壊型・妨害型」の攻撃が増加している点だ。破壊型・妨害型の攻撃とは、ランサムウェア「CryptoLocker」などでデータを暗号化し、身代金の要求やシステムの破壊、重要な業務データの改ざんといった攻撃手法だ。意図的に公然と行われる場合もあれば、できるだけ表沙汰にならないよう秘密裏に行われる場合もあり、金銭的ダメージや企業の信用失墜に繋がるのことは容易に想像できるだろう。

破壊型・妨害型の攻撃の対処は容易ではない。攻撃者がネットワークへの侵入に成功した直後に甚大な被害が生じる可能性があるため、情報の窃取などを目的とした攻撃とは異なる対応が必要なためだ。そこでファイア・アイでは、これまでのインシデント・レスポンスの現場で得た10の教訓を紹介している。

破壊型・妨害型攻撃に対する10の教訓とは? >>

業務委託先を経由した攻撃とは

業務委託先を経由して標的の組織に侵入する高度な攻撃が2015年は多数確認された。この手法は、侵入の足がかりを得る手段として広く使用されている。標的組織のセキュリティ対策が厳重である場合、対策が不十分な業務委託先を経由した方が、容易に侵入できるためだ。

こうした中、特に被害が大きかったのはITアウトソーシング企業を経由した攻撃だ。また最近の調査では、WMI(Windows Management Instrumentation)経由で自動実行されるマルウェアを、ITアウトソーシング企業のネットワークや複数の委託元に仕掛ける攻撃が確認されている。

ITアウトソーシング企業経由で進入していた手口とは?また最新の動向は? >>

セキュリティ侵害を前提にした対策が急務

これまで紹介したセキュリティ・インシデントから分かるように、サイバー攻撃手法や目的、ターゲットは常に進化し続けている。そのため、企業側は「侵害されることが前提の対策」が急務であることはお分かりいただけただろうか。事前・事後の対策を行うことは当然ながら、本レポートでは”擬似攻撃の演習”といった軍隊や官公庁でも以前から採用されている「レッド・チーム・サービス(攻撃演習、攻撃シミュレーション)」の重要性を説いてる。では、このレッド・チーム・サービスを導入することで、企業にはどのような恩恵が受けられるのだろうか。その詳細はご自身の目でぜひご確認いただき、今後の対策の一助としていただきたい。

M-Trendsレポート2016のダウンロードはこちら >>

M-Trendsレポート2016

目次
エグゼクティブ・サマリー
被害の統計
2015年の傾向
 傾向1:ダビデとゴリアテの戦い
 傾向2:狙われる個人情報
 傾向3:ネットワーク・デバイスに対する攻撃
常態化した傾向
 業務委託先を経由した攻撃
 Windowsにおけるマルウェアの自動実行・常駐化
見直される「レッド・チーム・サービス」の必要性
FaaS - 高度なサイバー攻撃を広範囲にわたってリアルタイムに検知、対応
結論

(マイナビニュース広告企画:提供 ファイア・アイ)

[PR]提供:ホワイトペーパー