ファイア・アイは4月7日、「FireEye Mandiant M-Trends 2020」レポートの日本語版を公開した。同レポートは、2018年10月1日から2019年9月30日までの12カ月間のフォレンジック調査の結果から得た統計や洞察をまとめたもの。

シニア インテリジェンス オプティマイゼーション アナリストの千田展也氏は「新型コロナウイルスが流行する前の期間の調査となっていることに留意いただきたい」と説明した。

千田氏は、「FireEye Mandiant M-Trends 2020」から得られた教訓として、「変わらない本質」「変わり続ける攻撃」「明るい材料」を挙げた。

「変わらない本質」とは、「セキュリティ侵害の発生から検知までに要する日数が依然として重要なこと」「正規の認証情報の悪用が問題となっている」「これまでと同様の攻撃グループ(6カ国に所属する17のAPTグループと6つのFINグループ)」「観察されたマルウェアの59%は既知のもの」を指す。

「変わり続ける攻撃」とは、「幅広いシステムや環境にわたる攻撃の増加」「CyberCrimeas aServiceの増加」「クラウドにおける攻撃の顕著な増加」「内部の脅威の増加」を指す。

千田氏は、クラウドにおける攻撃の侵入方法として、「認証に対する攻撃」「オンプレミスのネットワークの侵害」「アクセス制御が不十分なデータストア」「保護されずに公開されているクラウド上のサービス」を挙げた。昨年は、Amazon Web ServicesのS3の設定ミスで、大規模な情報漏洩が相次いで発生した。

具体的には、「多要素認証が有効になっていないGitHubリポジトリ」「 窃取したアクセス・キーを用いたAWS CLIへのアクセス」「AWS EBSボリュームとRDSに対するデータ窃取」といった事例を見つけたという。

クラウドのセキュリティを強化する方法

千田氏は、クラウドのセキュリティ対策として、「認証情報の保全に注意し、侵入の可能性を監視する」「設定ミスに留意し、検証する」「テレメトリー・データを集中管理し、監査証跡のためのモニタリングを行う

」を紹介した。

「明るい材料」とは、セキュリティ侵害の発生から検知までに要した日数の中央値が短縮したことを指す。

世界においてセキュリティ侵害の発生から検知までに要した日数の中央値は56日だったという。これは前年に観察された中央値の78日より28%も改善されている。さらに、日本を含むアジア太平洋地域においては、侵害の発生から検知までに要した日数の中央値は54日で、前年の204日に比べて73%の大幅減となっている。

その要因としては、サイバーセキュリティ対策に取り組む企業・組織が攻撃を検知する取り組みを改善したことに加え、他のタイプの攻撃よりも滞留時間が短いことが多いランサムウェアに代表される破壊的攻撃が増加傾向にあることなど、攻撃者の行動が変化していることもあるという。

さらに、千田氏は今年のレポートの特徴として、外部による侵害の指摘が、内部チームによる検出を上回ったことを挙げた。これは、4年ぶりのこととなる。

千田氏は、その背景について、「組織の侵害検知能力自体が低下しているというよりは、捜査当局やサイバーセキュリティベンダーによる協力体制の効果が出ているのではないか」と語った。

セキュリティ侵害の発生から検知までに要した 日数のトレンド

最後に、千田氏は新型コロナウイルスが猛威を振るう中、どのようなセキュリティ対策を講じるべきかについて説明した。

新型コロナウイルスが流行しているからといって、サイバー攻撃者が手を緩めることはなく、むしろ、現在の混沌とした状況をチャンスととらえているという。

ユーザーサイドでは、リモートワークやクラウドサービスを利用しない状況にあり、その結果、新たな資源が生まれている。これは、攻撃者にとって新たな標的となり得る。

加えて、千田氏は「テレワークという顔が見えない環境で仕事をすることで、今まではなかった不和が生じる可能性があり、その結果、内部の脅威が増すことになる」と述べた。

こうした状況を理解した上で、千田氏は対策の1つとして、「冷静さを保つこと」を挙げた。既に、新型コロナウイルスを悪用したフィッシングメールが発見されており、そうした内容のメールを受け取った時は、落ち着いて内容を確認したいものだ。

2つ目の対策としては、継続性が紹介された。新型コロナウイルスの感染拡大に伴い、自粛を求められる期間が1カ月を超えており、国内では自粛疲れのムードが漂っている。そうした中でも、集中力を持って、セキュリティ対策を継続することが大切だという。