海の向こうの“セキュリティ”
インシデント発生の認知スピードは大幅改善も、まだまだ不十分 ほか
2017年4月4日 06:00
インシデント発生の認知スピードは大幅改善も、まだまだ不十分
FireEyeグループのMandiantは、2016年のセキュリティ動向に関する報告書を公開しました。これは、Mandiantが2016年に対応支援したインシデントを分析した結果などをまとめたものです。
まず、インシデントの発生を認知したきっかけが自らの検知(internal)か外部からの通報(external)かをまとめたのが以下の図です。一般的には外部からの通報で認知することが多いとされていますが、Mandiantの顧客に関して言えば、自ら検知したケースが多かったようです。
また、インシデントの発生から認知までの時間(dwell times)をまとめたのが、以下の図です。当然ながら外部からの通報で認知した場合の方が時間は長くなっています。
全体の中央値(median)は2015年の146日から99日と大きく減っており、認知のスピードは大きく改善しています。しかし、前年の報告書で示されているように、一般的にインシデントの発生(最初の侵入)から3日もあれば管理者権限の取得が可能であるため、認知に99日かかるということは、まだ96日も長いとMandiantは指摘しています。
認知までにかかった時間をアメリカ大陸、APAC(アジア太平洋)、EMEA(欧州、中東、アフリカ)の地域別にまとめたのが以下の図です。縦軸が明らかにおかしい図ですが、APACが他地域と比べて際立って長い時間がかかっていることだけは確かのようです。
次に、APACとEMEAのそれぞれの地域での傾向として以下の点を挙げています。
APAC
・金融サービスへの攻撃が引き続き顕著
・ATMおよびATMネットワークへの攻撃が急増
・国家が関与した個人情報収集目的のAPT攻撃が継続
・中国の周辺を狙った諜報活動として通信事業者に対する攻撃が継続
EMEA
・個人情報の大規模侵害の発生
・ロシアのグループが選挙結果への影響を目的に他国の政治家を攻撃
・金融犯罪の増加
報告書では、それぞれの地域で特に目立った侵害事件として、APACについてはバングラデシュ中央銀行からの不正送金事件をはじめとする計7件、EMEAについては「パナマ文書」の事件をはじめとする計5件を挙げています。
また、狙われやすい業種の傾向について、攻撃者の動機やターゲットを含めてまとめています。
APAC
狙われやすい業種として「Construction and Engineering」「Financial」「Governments」「High Tech and Electronics」を挙げています。中でも日本が名指しされているのは「Construction and Engineering」と「High Tech and Electronics」で、ターゲットとしては以下のものがそれぞれ挙げられています。
Construction and Engineering
・Advanced materials
・Chemical engineering
・Industrial equipment
・Marine engineering
・Oil, gas and nuclear engineering
High Tech and Electronics
・Advanced electronics
・Cloud and IT service providers
・Computing and hardware Semiconductors
・Software and gaming
EMEA
狙われやすい業種として「Energy」「Government」「Financial services」「Telecommunications」を挙げています。「Telecommunications」に関しては、中国やロシア、西側諸国の国家が関与していると見られる、EUの情報を狙った攻撃をMandiantは観測しているそうです。
上記以外にも報告書では、攻撃に使われた電子メールやスクリプトなどを示して具体的にさまざまな事例を紹介しています。また、推奨される対策として、電子メールにも多要素認証、それもSMSではなく、ワンタイムパスワードのハードウェアトークンを使用するなどした仕組みを導入することや、PowerShellのログ取得の改善などを挙げています。
本報告書の分析対象は基本的にMandiantの顧客であるため、必ずしも世界の動向を正確に表わしているとは言えません。それでも、自社・自組織に対する脅威の分析に用いる情報ソースの1つとしては充分に価値のあるものですし、紹介されている事例や対策がセキュリティ対策の改善に役立つことは間違いないでしょう。まずは一読をお勧めします。
URL
- FireEye Threat Research Blog(2017年3月14日付記事)
M-Trends 2017: A View From the Front Lines - https://www.fireeye.com/blog/threat-research/2017/03/m-trends-2017.html
今年も中国勢の活躍が目立ったクラッキングコンテスト「Pwn2Own 2017」
3月15日から17日までカナダのバンクーバーで開催されたCanSecWestの会場で今年も行われたクラッキングコンテスト「Pwn2Own 2017」の結果を紹介します。今年で10周年を迎えたPwn2Ownですが、今回も中国のチームの活躍ぶりが目立っています。
上記の結果を見ても明らかなように、360 Security、Tencent Security、Chaitin Security Research Labといった中国のチームの「独壇場」で、中国以外の参加者を探すのが難しいほど。これはこれで今の世の中の現実(の一側面)を如実に示しているとも言えますが、コンテストを盛り上げる意味でも来年は他のチーム(もちろん日本も)にも活躍していただきたいところです。
URL
- CanSecWest
- https://cansecwest.com/
- Zero Day Initiative Blog
- https://www.zerodayinitiative.com/blog
- ITmedia(2017年3月17日付記事)
ハッキングコンペ「Pwn2Own」、今年も中国チームの独壇場 EdgeもSafariも破られる - http://www.itmedia.co.jp/enterprise/articles/1703/17/news060.html
- PC World(2017年3月20日付記事)
Pwn2Own hacking contest ends with two virtual machine escapes - http://www.pcworld.com/article/3182816/security/pwn2own-hacking-contest-ends-with-two-virtual-machine-escapes.html
- PC Watch(2017年3月23日付記事)
「仮想マシンでWebを見ているからホストOSは安全」という常識を覆す - http://pc.watch.impress.co.jp/docs/news/yajiuma/1050966.html
- 窓の杜(2017年3月21日付記事)
「Firefox」v52.0.1、ハッキングコンテスト“Pwn2Own”で報告された深刻な脆弱性を修正 - http://forest.watch.impress.co.jp/docs/news/1050339.html
山賀 正人
CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。