海の向こうの“セキュリティ”
認証試行の3分の1はわずか25個のパスワード/セキュリティ専門家の実態に関する「残念」な調査結果
2017年6月1日 06:00
認証試行の3分の1はわずか25個のパスワード
NTTセキュリティは、2015年10月から2016年9月までのさまざまなセキュリティ関連のデータをもとに世界的な脅威の傾向を分析した「2017年グローバル脅威インテリジェンス・リポート(GTIR:Global Threat Intelligence Report)」を発表しました。
日本語版のプレスリリースには以下のように記載されています。
世界のインターネットトラフィックの40%を視認するNTTセキュリティは、3.5兆個のログと62億件の攻撃データを基に2017年グローバル脅威インテリジェンス・リポートをまとめた。分析はログ、イベント、攻撃、インシデント、脆弱性データに基づく。制度的インフラから独立した環境にある100カ国以上のグローバル・ハニーポットおよびサンドボックスなどNTTセキュリティの調査ソースからの詳細も含まれている。
(原文)
With visibility into 40 percent of the world’s internet traffic, NTT Security summarizes data from over 3.5 trillion logs and 6.2 billion attacks for the 2017 Global Threat Intelligence Report (GTIR). Analysis is based on log, event, attack, incident and vulnerability data. It also includes details from NTT Security research sources, including global honeypots and sandboxes in over 100 different countries in environments independent from institutional infrastructures.
同レポートでは世界全体だけでなく、EMEA(欧州、中東、アフリカ)、米州、アジア、オーストラリア、日本の5地域に分けた分析もなされています。
なお、レポート本文は英語で書かれていますが、図を多用しているので、英語が苦手な方でも比較的理解しやすい内容になっています。また、プレスリリースでは主要なポイントをピックアップして紹介しており、日本語訳も公開されています。
レポート全体で特に注目すべきは、プレスリリースでも紹介されている以下の3点です。
- 世界で検知されたランサムウェアの77%は、4つの分野――ビジネスおよび専門サービス(28%)、政府(19%)、ヘルスケア(15%)、小売業(15%)で検知
- ハニーポットに対する認証試行の3分の1(33%)はわずか25個のパスワード
- 各組織に拡散したマルウェアの約4分の3(73%)はフィッシング攻撃によるもの
- インシデント対応計画を有する組織は32%に増加(過去数年の平均は23%)
また、攻撃全体で見た場合の攻撃元の国や地域は以下の通り。なお、ここで「攻撃元」としているのは、実際には踏み台にされていることが多いため、真の「攻撃者」の所在地を示しているわけではないことに注意してください(以降も同じ)。
| 1. | 米国 | 63% |
| 2. | 英国 | 4% |
| 3. | 中国 | 3% |
| 4. | その他 | 30% |
攻撃先の分野は以下の通り。
| 1. | 政府 | 14% |
| 2. | 金融 | 14% |
| 3. | 製造 | 13% |
| 4. | その他 | 59% |
攻撃の分類は以下の通り。
| 1. | Website application attack | 16% |
| 2. | Service specific | 8% |
| 3. | Application specific | 6% |
| 4. | DoS/DDoS | 6% |
| 5. | その他 | 64% |
各地域ごとにその地域に対する攻撃元として多い国をまとめたのは以下の通り。
| EMEA(欧州、中東、アフリカ) | ||
| 1. | 米国 | 26% |
| 2. | フランス | 11% |
| 3. | 英国 | 10% |
| 米州(アメリカ大陸全体) | |||
| 1. | 米国 | 55% | |
| 2. | 中国 | 17% | |
| 3. | トルコ | 5% | |
| アジア | ||
| 1. | 米国 | 63% |
| 2. | ベトナム | 7% |
| 3. | 韓国 | 5% |
| オーストラリア | ||
| 1. | オーストラリア | 86% |
| 2. | 米国 | 9% |
| 3. | ドイツ | 1% |
| 日本 | ||
| 1. | 米国 | 85% |
| 2. | 英国 | 8% |
| 3. | オーストラリア | 3% |
オーストラリアで、国内からの攻撃が圧倒的に多い点が目を引きます。次に、日本だけに注目すると、攻撃対象として多い分野は以下の通り。
| 1. | 製造 | 41% |
| 2. | メディア | 26% |
| 3. | 金融 | 16% |
| 4. | その他 | 17% |
日本からの攻撃の分類は以下の通り。
| 1. | Botnet activity | 48% |
| 2. | DoS/DDoS | 11% |
| 3. | Data exfiltration | 11% |
| 4. | その他 | 30% |
日本への攻撃の分類は以下の通り。
| 1. | Evasion attempts | 9% |
| 2. | Malware | 2% |
| 3. | Application specific attack | 1% |
| 4. | その他 | 88% |
その他にも日本の特徴としては以下の2点が挙げられています。
- 日本国内で検知されたマルウェアの44%近くがスパイウェアかキーロガーの類い
- 日本における重大インシデントの82%はマルウェア
5つの地域ごとの分析結果はそれぞれ踏み込んだ内容になっていて読み応えはあるのですが、それぞれにポイントやフォーマットが異なっているため、地域ごとの違いを比較するには少々不向きかもしれません。それぞれを個別のレポートとして読むべきでしょう。
URL
- NTTセキュリティ(2017年4月26日付プレスリリース)
ランサムウェアの77%はビジネス&専門サービス、政府、ヘルスケア、小売業の4部門で検知 - http://prw.kyodonews.jp/opn/release/201704261241/
- (原文)2017 Global Threat Intelligence Report: 77% of all ransomware detected in four industries - business & professional services, government, health care and retail
- https://www.nttsecurity.com/en/who-we-are/press-release/2017/april/2017-global-threat-intelligence-report/
- Global Threat Intelligence Report 2017
- https://www.nttcomsecurity.com/as/gtir-2017/
- SecurityWeek.Com(2017年5月10日付記事)
Europe Emerges as Major Source of Cyber Attacks: Reports - http://www.securityweek.com/europe-emerges-major-source-cyber-attacks-reports
セキュリティ専門家の実態に関する「残念」な調査結果
米セキュリティ企業のBromiumは、セキュリティ専門家(security professionals)のうち、平均して10%がランサムウェアの要求に従って身代金を支払ったり、侵害の発生を自組織のセキュリティチームに通報せずに隠蔽したりしたことがあるとの調査結果を発表しました。
これは今年2月にサンフランシスコで開催された「RSA Conference 2017」で実施した調査の結果に驚いたBromiumが、調査対象を変えて改めて同様の調査を実施したもので、結論から言えば、RSA Conferenceでの結果と本質的に変わるものではありませんでした。
調査対象は、2月のRSA Conferenceでは110人、3月の追加調査では米国と英国のセキュリティ専門家100人で、この計210人に対していずれもオンラインで調査が行われました。
身代金の支払いや侵害の隠蔽について認めたのは、RSA Conferenceでは5%でしたが、その後の追加調査では15%、平均して10%となっています。
また、自社のセキュリティ設定を回避したり、無効にしたりしたことがあると認めたのは、RSA Conferenceでは38%、追加調査では32%、平均して35%となっています。
一方、このような調査に対して回答者の全員が正直に回答している保証はなく、実際にはより多くの人が「残念」な行動をとってしまったことがあると考えられます。それを踏まえ、Bromiumは、セキュリティ専門家でもこのような状況なのであるから、一般のユーザーはもっと悪いはずで、それゆえにセキュリティに対してはこれまでとは違ったアプローチが必要であるとし、その1つとして自社のサービスである「仮想化」技術を勧めています(論理に飛躍がありますが)。
確かに、結果だけを見ると、ただただ「残念」としか言いようがないのですが、調査自体はかなり雑なものです。セキュリティ専門家が「残念」な行動をとってしまったことにはそれぞれにさまざまな事情や理由があるはずで、そこまで踏み込んだ調査と分析を行わなければ本質的な解決には至りませんし、そもそも本当に「残念」と言える行為なのかも分かりません。
しかし、このような調査結果が発表されてしまった以上、セキュリティ専門家は今まで以上に「責任のある」行動をとることを意識する必要があるでしょう。
URL
- Bromium Blog(2017年5月9日付記事)
Security Professionals Admit to Paying Ransom and Hiding Breaches (Infographic) - https://blogs.bromium.com/security-pros-pay-ransom-hide-breaches/
- Bromium(2017年5月9日付プレスリリース)
Cybercriminals Are Winning: Even Security Professionals Admit to Paying Ransom and Bypassing Corporate Security - https://www.bromium.com/company/press-releases/cybercriminals-are-winning-even-security-professionals-admit-paying-ransom.html
- TechRepublic(2017年5月9日付記事)
Study finds cybersecurity pros are hiding breaches, bypassing protocols, and paying ransoms - http://www.techrepublic.com/article/study-finds-cybersecurity-pros-are-hiding-breaches-bypassing-protocols-and-paying-ransoms/
山賀 正人
CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。