シマンテックの年次脅威レポート、シンプルな戦術がいかにして前例のない結果に繋がったかを解説

• 悪意のあるリンクや添付ファイルを電子メール131通につき1通検出 ― 過去5年で最多
• 身代金の金額が266%高騰、国民の64%が身代金を支払う米国が一番の標的国
• CIOは社内で使用されているクラウドアプリの数を把握できておらず、実際には1,000近いアプリケーションが活用されているにもかかわらず、大半が40以下と回答

株式会社シマンテック（本社：東京都港区赤坂、執行役員社長：波立行智、以下シマンテック）は、本日、「インターネットセキュリティ脅威レポート第 22号（ISTR: Internet Security Threat Report, Volume 22）」を発表し、サイバー犯罪者たちのさらなる野心を明らかにしました。本日発表したレポートによると、2016年は数百万ドルのサイバー銀行強盗や、国家が支援するグループによる米国大統領選へのあからさまな妨害工作など、これまでにない攻撃が目立ちました。

株式会社シマンテック 　マネージドセキュリティサービス 日本統括　滝口　博昭は、次のように述べています。「新たな高機能化とイノベーションが脅威情勢の本質ですが、今年は攻撃の動機と焦点に極めて重大な推移が認められました政治的操作と妨害工作で金賭けする特定の国家を世界は目の当たりにしました。その一方で、サイバー犯罪者たちは比較的簡単なITツールやクラウドサービスに集中して攻撃を行うことで、これまでにないレベルの破壊活動を展開しました。」

シマンテックのISTRは、グローバルな脅威活動に関する洞察、サイバー犯罪者の動向、攻撃者の動機など、攻撃の情勢の全体像を提供します。主なハイライトは以下のとおりです。

妨害工作、転覆工作の攻撃が登場

サイバー犯罪者は、新しい種類の標的を攻撃する方法として政治的な破壊的攻撃を実行しています。米国の民主党へのサイバー攻撃とそれに続く情報漏えいは、標的となる組織や国家を揺るがし混乱させることを目的として、犯罪者たちが広く知られたキャンペーンを利用しているトレンドを反映しています。妨害工作を伴うサイバー攻撃はこれまで極めて稀でしたが、米国大統領選やShamoonなど、いくつかの攻撃キャンペーンは成功したとみられており、犯罪者たちが政治に影響を及ぼし、他国に不和の種をまこうとする風潮が見受けられます。

国家が大成功を狙う

新たな攻撃者のグループは金銭的な野心をあからさまにしていますが、これは内密の転覆工作活動に資金提供することが目的である可能性もあります。今日では最大の強盗はバーチャルに実行されており、サイバー犯罪者は数十億ドルもの金銭を盗んでいます。こうした攻撃のいくつかは犯罪組織によるものですが、初めて国家もこうした犯罪に関与するようになったようです。シマンテックは、バングラデシュ、ベトナム、エクアドル、ポーランドの銀行への攻撃に北朝鮮が関与している証拠を発見しました。

さらに滝口は、「これは非常に大胆なハッキングであり、国家が金銭的なサイバー犯罪に関与したことを強く示唆した初めてのケースです。彼らはより高い目標を掲げていますが、北朝鮮の攻撃者は9,400万ドル以上を盗んでいます」と述べています。

攻撃者は広く使用されているソフトウェアを攻撃に利用：最も利用されたのは電子メール

2016年にシマンテックは、PCにインストールされている一般的なスクリプト言語のPowerShellやMicrosoft Officeファイルをサイバー犯罪者たちが攻撃手段として使用していることを明らかにしました。システム管理者は日常的な管理タスクにこうしたITツールを使用していますが、サイバー犯罪者たちは足跡があまり残らず、監視の目から身を隠しやすい点に着目し、この組み合わせを攻撃キャンペーンで使用するようになりました。攻撃者によるPowerShellの利用が広がっていることから、シマンテックがインターネット上に出回っているPowerShellのファイルを調べたところ、95%は悪意のあるファイルでした。

電子メールを感染手段に使用しているケースは増加し、サイバー犯罪者が好んで使用する手段となる一方、ユーザーにとっては危険な脅威となっています。シマンテックによると、電子メール131通に1件、悪意のあるリンクや添付ファイルが含まれており、過去5年間で最多であることが明らかになりました。その上、手の込んだスピアフィッシングの電子メールを活用するビジネスメール（BEC）詐欺により、過去3年間に企業は30億ドル以上奪われており、1日あたり400社以上が標的となっています。

デジタル恐喝：身代金の要求に最も応じてしまうのは米国人

ランサムウェアは引き続き世界的な問題となっており、犯罪者にとっては収益性のあるビジネスです。シマンテックは100種以上の新たなマルウェアファミリーを特定しましたが、この数は過去と比較して3倍以上であり、全世界のランサムウェア攻撃数は36%増加しています。

とはいえ米国は、攻撃者にとって一番の標的となっています。シマンテックによると、米国のランサムウェア被害者の64%は身代金を払いますが、全世界ではその割合は34%です。残念ながら、その結果2016年の身代金の平均額は266%上昇、被害者1人当たりに要求される身代金は平均1,077ドルとなり、去年に比べ294ドル増えています。

クラウドの弱点：新しいサイバー犯罪の発生

クラウドサービスへの依存の高まりに伴い、組織は攻撃を受けやすくなっています。ユーザーが古いデータベースの認証を有効にせずにインターネット上に放置した結果、2016年には1つのプロバイダー上の数万ものクラウドデータベースが身代金目的で乗っ取られました。

クラウドのセキュリティは今後もCIOの課題といえます。シマンテックのデータによると、CIOは社内で使用されているクラウドアプリケーションの数を把握しきれなくなっています。実際には1,000近いアプリケーションが活用されているにもかかわらず、大半のCIOが40以下と回答しています。この認識のギャップにより、従業員のクラウドサービスへのアクセス方法のポリシーや手順が整備されず、その結果、クラウドアプリケーションのリスクが高まっています。クラウドに見られるこうした弱点が具体化しつつあります。CIOが社内で使用されているクラウドアプリケーションを確実に把握していない限り、自社の環境に脅威が侵入する方法が変化するだろうと、シマンテックは予測しています。

セキュリティに関する専門家からのヒントとアドバイス

攻撃者が進歩を遂げる一方で、企業や消費者も数々の防衛策を講じることができます。その手始めとして、シマンテックは次のベストプラクティスを推奨しています。

企業向け：

• 警戒を怠らない：データ漏えいの兆しをいち早く察知して迅速なインシデント対応を可能にするため、脅威や危険に対抗する高度なインテリジェンスをもつサービスやソリューションの活用をお勧めします。
• 最悪の事態への備え：インシデント管理は、セキュリティフレームワークを最適化し、測定（何が起きていて）と再現性（何が再び起きえるのか）を把握できるようにするだけでなく、そこから得られる教訓に基づいてより全体を見据えたセキュリティ体制の強化も考えることができます。サードパーティーの専門家による緊急対応サービスやインシデント管理の相談などを検討してもよいでしょう。
• 複数の防衛策を実装：ゲートウェイ、メールサーバー、エンドポイントでの攻撃に対処できる多層防御システムの導入をお勧めします。二要素認証、不正侵入防御システム (IPS)、Webサイト脆弱性マルウェア保護、ネットワーク全体に対するWebセキュリティゲートウェイソリューションなどが含まれます。
• 悪意のあるメールに関するトレーニングの提供：スピアフィッシングメールやその他の悪意のあるメール攻撃により起こりうる危険について従業員に教育を行う必要があります。また、そのような攻撃を社内でどこに報告すべきなどの情報共有も行う必要があります。
• リソースの監視：リソースを監視し、ネットワークに異常もしくは不審な行動が見当たらないかを確認し、専門家の脅威インテリジェンスとの関連付けを行いましょう。

個人向け：

• 強力なパスワードを設定：PC、IoTデバイス、Wi-Fiネットワークには強度の高いアカウント用パスワードの使用を推奨します。「123456」や「password」のような推測されやすいパスワード、パスワードの使い回しを行わないことを推奨します。
• OSやソフトワエアを最新にアップデートする：ソフトウェアアップデートには、攻撃者が悪用する可能性のある最新のセキュリティ脆弱性に対応したパッチが含まれています。
• メールには細心の注意を払う：メールは最も多い感染源の一つです。特にリンクや添付が含まれている怪しいメールを受信したら削除してください。コンテンツ閲覧のためにマクロを有効にするように指示をするMicrosoft Officeファイルが添付されたメールには特に注意が必要です。
• ファイルのバックアップを取る：ランサムウェアの対策で最も、かつ唯一の効果的な方法は、データをバックアップを取ることです。攻撃者は被害者のファイルを暗号化し、アクセスできなくしてしまいます。データのバックアップを取っていれば、デバイスを初期化し、ファイルを復元することができます。

インターネットセキュリティ脅威レポートについて

インターネットセキュリティ脅威レポートは、1年の世界全体の脅威活動についての概要と分析を示したレポートです。このレポートは、シマンテックのGlobal Intelligence Network（GIN）から収集したデータに基づいています。このデータをシマンテックのアナリストが活用し、攻撃、悪質のあるコードの活動、フィッシング、スパムにおける新たな傾向の特定、分析、解説を行います。

以上