国内のサイバー攻撃が前年比85%増、日本企業が知るべき現実とは?
●
先日、チェック・ポイントは「2022 セキュリティ レポート」の日本版を発表し、その中で2021年のサイバーセキュリティ動向を公表しました。チェック・ポイントの脅威インテリジェンス部門であるCheck Point Research(以下、CPR)によると、前年の2020年と比べ2021年は、グローバルで50%、国内では85%のサイバー攻撃の増加を観測しており、攻撃は増加の一途をたどっています。
また、警視庁によるレポート「令和3年におけるサイバー空間をめぐる脅威の情勢等について」では、昨年中のサイバー犯罪の検挙件数は、1万2209件と過去最多を記録し、「サイバー空間における脅威は極めて深刻な情勢が続いている」といいます。
もはや、サイバー攻撃は対岸の火事ではありません。現在、攻撃の入り口はモバイルデバイスや企業メール、クラウド、Webアプリケーション、Webサーバと多岐にわたっており、あらゆる企業・組織が攻撃のターゲットになりうる可能性があります。
「2022 セキュリティ レポート」は2021年のサイバー攻撃の動向を紹介したものですが、決して「昨年の事件簿」や「過去の物語」と捉えないでください。今年に入ってからも大きなサイバーインシデントが日々ニュースで取り上げられていますが、これは昨年のトレンドに基づいた流れと言えます。
本稿を通して昨年の動向を紹介することで、日常生活にまで迫るサイバー攻撃の現実を知っていただき、ぜひマインドセットを見直すきっかけになれば幸いに思います。
国内のサイバー攻撃数は前年比85%
2021年、サイバー攻撃は前年比でグローバル50%、国内で85%、APAC全体で25%増加しました。以下のグラフは1組織当たりの週平均のサイバー攻撃数を示しており、2021年の後半、初めて日本がグローバル全体の平均数を上回りました。
実際に攻撃が一番増えたのは東京オリンピックの前後で、そちらも平均攻撃数に影響したといえますが、年間を通して攻撃数は増え続けています。
マルウェアのタイプ・ファミリ別の動向
2021年に攻撃を実行したマルウェアのうち最も多かったのは、グローバル、日本ランキングともにボットネットでした。ボットに感染したコンピュータは、攻撃者の指示にあわせて一斉に遠隔操作され、攻撃を次のステージに進めたり、情報漏洩などを行ったりします。
ボットネットに対しては、アンチボット機能を搭載したUTM(ネットワークセキュリティ)、エンドポイントおよびモバイルセキュリティの採用といった対策が有効となります。
マルウェアタイプの攻撃を受けた企業の割合
また現在、日本で活発なマルウェアにEmotet(エモテット)がありますが、このトレンドは2021年から続くものです。2021年に国内で最も検出されたマルウェアランキングの3位にEmotetは入っています。かつてはバンキング型のトロイの木馬として使用されたEmotetですが、現在は他のマルウェアの拡散や、悪質なキャンペーンなどにも使われており、フィッシングメールにも利用されています。
年代別で見る脆弱性悪用の傾向
次のグラフは2021年に行われた攻撃において、どの年に公開された脆弱性が最も悪用されたかを示しています。2017年が最も高い17%となっており、この傾向はしばらく続いています。主な脆弱性としては、JavaでWebアプリケーションを構築するオープンソース・フレームワークであるApache Struts2のリモートコード実行(CVE-2017-5638)が挙げられます。
また、2021年には28,695件の脆弱性が確認されており、これは今までの最高値にあたります。多岐にわたるデバイスの利用、クラウド、アプリ環境なども影響があるといえます。
悪用された脆弱性のタイプ
悪用された多くの脆弱性はWebサービスに関連し、「脆弱性悪用のタイプ」別ランキングではトップ10のほとんどがそれに関係するものとなっています。一般的には、Windows関係の脆弱性が多いイメージがありますが、Webサーバ系、Linux系の脆弱性悪用もトレンドとして見受けられます。
また、実行タイプは、リモートコードの実行(日本55%、グローバル61%)が1位となりました。攻撃者は組織のコンピュータシステムに入り込み、攻撃をリモートで進行していきます。昨年発見された脆弱性のうち4,000件以上はこのリモートコードの実行が可能で、攻撃者のツールは増え続けていることがうかがえます。
●
2021年のサイバー攻撃動向を踏まえた4つの注力ポイント
それでは、2021年のサイバー攻撃動向を踏まえ、セキュリティ対策として注力すべきポイントを紹介しましょう。
(1)激化するサプライチェーンへの攻撃
今年に入り、さまざまなメディアで取り上げられているサプライチェーンへの攻撃ですが、こちらも2020年のトレンドにすでに出ていたものです。昨年9月発表のSonatypeの調査によると、対前年比でサプライチェーン攻撃は650%増加したといいます。また、ENISAの調査では、66%が未知の脆弱性で、既知のものはわずか16%だと報告されています。
これを防ぐには、ビジネスインフラの権限・ロールを見直しが有効です。関連企業や協業するサードベンダーには、役割以上の権限は与えないようし、定期的にレビューすることをおすすめします。
(2)クラウドサービスへの攻撃
パブリッククラウドが急激に成長したことを背景に、クラウドのログからAPIのキーを探られる「権限昇格」タイプの攻撃が増えています。また、クラウドサービスプロバイダのサービス自体にも脆弱性が発覚されました。
企業は、「脅威は日々進化しており、サービスには脆弱性がつきものである」というマインドセットで、ビジネス環境を整えていく必要があります。
(3)モバイル環境
2021年は、SMSフィッシング(Smishing)を通して、マルウェアがばらまかれる事例が多く見受けられました。フィッシングを作成するツールはアンダーグラウンドで安価に売買されています。昨年Appleも多くのバージョン・アップデートをしましたが、パソコン同様、従業員はモバイルデバイスのパッチも迅速に更新する必要があります。
(4)明白に増加したランサムウェア
昨年、米国のインフラ企業への攻撃が確認されたことをきっかけに、米国政府はプロアクティブな捜査へ踏み切りました。犯罪への締め付けが厳しくなる一方で、ランサムウェア「Conti」を使用した犯罪グループがロシア政府を支持する声明を出した後に、グループ内部からグループで会話されたチャットの内容が公開された事例のように、仮想空間上での紛争も激化しています。
誤解を恐れずにいうならば、犯罪者にとってランサムウェアは「最も儲かるマルウェア」です。2022年に入ってもランサムウェアは改良され続け、新しいターゲットも生まれると推測できます。
従業員の「セキュリティハイジーン」を高める
これまで説明してきた通り、サイバー攻撃は日々巧妙化しており、未知の攻撃は今後も増える一方でしょう。特にコロナ禍でハイブリッドな働き方が進められる中、クラウドサービスが攻撃の標的となるなど、新しい攻撃領域も増え続けています。
皆様に、より攻撃を身近に感じていただくため「2022 セキュリティ レポート」では、新型コロナウイルスなどの生物学的なパンデミックとサイバーパンデミックを比較した表をご紹介しました。
感染者が出れば自宅や病院などで隔離されるように、サイバー攻撃が起こればその企業はクライアントレベル、ネットワークレベルで隔離をし、その間ビジネスを停止せざるを得ません。複雑に進化するサイバー攻撃と戦う上では、その停止期間をなるべく短く済ませ、復旧に持っていくビジネス回復力(レジリエンス)を養うことが必須となります。
そのために、チェック・ポイントは日本企業の皆様の「サイバーハイジーン(衛生)」を高めることが大切だと提唱します。コロナ禍ではマスク着用やソーシャルディスタンシングなど衛生面でのベストプラクティスが提唱され、予防のため人々はそれを理解し従います。同様に、サイバーパンデミックの予防にも従業員の一人一人に「サイバーハイジーン(衛生)」の観点を持っていただくことが重要です。
最新情報の把握、権限やロールなどの定期的なレビューに加え、従業員への教育を通し企業全体の回復力を高める努力こそが、ビジネスを守り抜くヒントなのです。
○卯城大士(うしろだいじ)
○チェック・ポイント・ソフトウェア・テクノロジーズ株式会社 サイバー セキュリティ オフィサー
通信機器の開発企業、ネットワーク/セキュリティ輸入販売代理店を経て1997年チェック・ポイント・ソフトウェア・テクノロジーズに日本法人設立メンバーとして参画。イスラエルでのトレーニングを経て、セキュリティ・エバンジェリストとして講演や啓蒙活動を務める。 感銘を受けた言葉は「通信は人をハッピーにする」
先日、チェック・ポイントは「2022 セキュリティ レポート」の日本版を発表し、その中で2021年のサイバーセキュリティ動向を公表しました。チェック・ポイントの脅威インテリジェンス部門であるCheck Point Research(以下、CPR)によると、前年の2020年と比べ2021年は、グローバルで50%、国内では85%のサイバー攻撃の増加を観測しており、攻撃は増加の一途をたどっています。
もはや、サイバー攻撃は対岸の火事ではありません。現在、攻撃の入り口はモバイルデバイスや企業メール、クラウド、Webアプリケーション、Webサーバと多岐にわたっており、あらゆる企業・組織が攻撃のターゲットになりうる可能性があります。
「2022 セキュリティ レポート」は2021年のサイバー攻撃の動向を紹介したものですが、決して「昨年の事件簿」や「過去の物語」と捉えないでください。今年に入ってからも大きなサイバーインシデントが日々ニュースで取り上げられていますが、これは昨年のトレンドに基づいた流れと言えます。
本稿を通して昨年の動向を紹介することで、日常生活にまで迫るサイバー攻撃の現実を知っていただき、ぜひマインドセットを見直すきっかけになれば幸いに思います。
国内のサイバー攻撃数は前年比85%
2021年、サイバー攻撃は前年比でグローバル50%、国内で85%、APAC全体で25%増加しました。以下のグラフは1組織当たりの週平均のサイバー攻撃数を示しており、2021年の後半、初めて日本がグローバル全体の平均数を上回りました。
実際に攻撃が一番増えたのは東京オリンピックの前後で、そちらも平均攻撃数に影響したといえますが、年間を通して攻撃数は増え続けています。
マルウェアのタイプ・ファミリ別の動向
2021年に攻撃を実行したマルウェアのうち最も多かったのは、グローバル、日本ランキングともにボットネットでした。ボットに感染したコンピュータは、攻撃者の指示にあわせて一斉に遠隔操作され、攻撃を次のステージに進めたり、情報漏洩などを行ったりします。
ボットネットに対しては、アンチボット機能を搭載したUTM(ネットワークセキュリティ)、エンドポイントおよびモバイルセキュリティの採用といった対策が有効となります。
マルウェアタイプの攻撃を受けた企業の割合
また現在、日本で活発なマルウェアにEmotet(エモテット)がありますが、このトレンドは2021年から続くものです。2021年に国内で最も検出されたマルウェアランキングの3位にEmotetは入っています。かつてはバンキング型のトロイの木馬として使用されたEmotetですが、現在は他のマルウェアの拡散や、悪質なキャンペーンなどにも使われており、フィッシングメールにも利用されています。
年代別で見る脆弱性悪用の傾向
次のグラフは2021年に行われた攻撃において、どの年に公開された脆弱性が最も悪用されたかを示しています。2017年が最も高い17%となっており、この傾向はしばらく続いています。主な脆弱性としては、JavaでWebアプリケーションを構築するオープンソース・フレームワークであるApache Struts2のリモートコード実行(CVE-2017-5638)が挙げられます。
また、2021年には28,695件の脆弱性が確認されており、これは今までの最高値にあたります。多岐にわたるデバイスの利用、クラウド、アプリ環境なども影響があるといえます。
悪用された脆弱性のタイプ
悪用された多くの脆弱性はWebサービスに関連し、「脆弱性悪用のタイプ」別ランキングではトップ10のほとんどがそれに関係するものとなっています。一般的には、Windows関係の脆弱性が多いイメージがありますが、Webサーバ系、Linux系の脆弱性悪用もトレンドとして見受けられます。
また、実行タイプは、リモートコードの実行(日本55%、グローバル61%)が1位となりました。攻撃者は組織のコンピュータシステムに入り込み、攻撃をリモートで進行していきます。昨年発見された脆弱性のうち4,000件以上はこのリモートコードの実行が可能で、攻撃者のツールは増え続けていることがうかがえます。
●
2021年のサイバー攻撃動向を踏まえた4つの注力ポイント
それでは、2021年のサイバー攻撃動向を踏まえ、セキュリティ対策として注力すべきポイントを紹介しましょう。
(1)激化するサプライチェーンへの攻撃
今年に入り、さまざまなメディアで取り上げられているサプライチェーンへの攻撃ですが、こちらも2020年のトレンドにすでに出ていたものです。昨年9月発表のSonatypeの調査によると、対前年比でサプライチェーン攻撃は650%増加したといいます。また、ENISAの調査では、66%が未知の脆弱性で、既知のものはわずか16%だと報告されています。
これを防ぐには、ビジネスインフラの権限・ロールを見直しが有効です。関連企業や協業するサードベンダーには、役割以上の権限は与えないようし、定期的にレビューすることをおすすめします。
(2)クラウドサービスへの攻撃
パブリッククラウドが急激に成長したことを背景に、クラウドのログからAPIのキーを探られる「権限昇格」タイプの攻撃が増えています。また、クラウドサービスプロバイダのサービス自体にも脆弱性が発覚されました。
企業は、「脅威は日々進化しており、サービスには脆弱性がつきものである」というマインドセットで、ビジネス環境を整えていく必要があります。
(3)モバイル環境
2021年は、SMSフィッシング(Smishing)を通して、マルウェアがばらまかれる事例が多く見受けられました。フィッシングを作成するツールはアンダーグラウンドで安価に売買されています。昨年Appleも多くのバージョン・アップデートをしましたが、パソコン同様、従業員はモバイルデバイスのパッチも迅速に更新する必要があります。
(4)明白に増加したランサムウェア
昨年、米国のインフラ企業への攻撃が確認されたことをきっかけに、米国政府はプロアクティブな捜査へ踏み切りました。犯罪への締め付けが厳しくなる一方で、ランサムウェア「Conti」を使用した犯罪グループがロシア政府を支持する声明を出した後に、グループ内部からグループで会話されたチャットの内容が公開された事例のように、仮想空間上での紛争も激化しています。
誤解を恐れずにいうならば、犯罪者にとってランサムウェアは「最も儲かるマルウェア」です。2022年に入ってもランサムウェアは改良され続け、新しいターゲットも生まれると推測できます。
従業員の「セキュリティハイジーン」を高める
これまで説明してきた通り、サイバー攻撃は日々巧妙化しており、未知の攻撃は今後も増える一方でしょう。特にコロナ禍でハイブリッドな働き方が進められる中、クラウドサービスが攻撃の標的となるなど、新しい攻撃領域も増え続けています。
皆様に、より攻撃を身近に感じていただくため「2022 セキュリティ レポート」では、新型コロナウイルスなどの生物学的なパンデミックとサイバーパンデミックを比較した表をご紹介しました。
感染者が出れば自宅や病院などで隔離されるように、サイバー攻撃が起こればその企業はクライアントレベル、ネットワークレベルで隔離をし、その間ビジネスを停止せざるを得ません。複雑に進化するサイバー攻撃と戦う上では、その停止期間をなるべく短く済ませ、復旧に持っていくビジネス回復力(レジリエンス)を養うことが必須となります。
そのために、チェック・ポイントは日本企業の皆様の「サイバーハイジーン(衛生)」を高めることが大切だと提唱します。コロナ禍ではマスク着用やソーシャルディスタンシングなど衛生面でのベストプラクティスが提唱され、予防のため人々はそれを理解し従います。同様に、サイバーパンデミックの予防にも従業員の一人一人に「サイバーハイジーン(衛生)」の観点を持っていただくことが重要です。
最新情報の把握、権限やロールなどの定期的なレビューに加え、従業員への教育を通し企業全体の回復力を高める努力こそが、ビジネスを守り抜くヒントなのです。
○卯城大士(うしろだいじ)
○チェック・ポイント・ソフトウェア・テクノロジーズ株式会社 サイバー セキュリティ オフィサー
通信機器の開発企業、ネットワーク/セキュリティ輸入販売代理店を経て1997年チェック・ポイント・ソフトウェア・テクノロジーズに日本法人設立メンバーとして参画。イスラエルでのトレーニングを経て、セキュリティ・エバンジェリストとして講演や啓蒙活動を務める。 感銘を受けた言葉は「通信は人をハッピーにする」
