エフセキュアは3月16日、説明会を開催し、同社のレポートの「サイバーセキュリティの状況2017年」のポイントを説明するとともに、同社のセキュリティサービス「レッド・チーミング」を紹介した。
2016年はランサムウェアファミリーが激増
セキュリティレポートについては、エフセキュア カントリー・マネージャーのキース・マーティン氏が説明を行った。
マーティン氏は2016年の主な脅威動向の1つとして、「ランサムウェア」を挙げた。同社の調査によると、2015年に検出されたランサムウェアファミリーは35個だったが、2016年には新たに197個検出されたという。
ランサムウェアの増加の要因としては、金銭を得られることが挙げられた。ランサムウェアは感染したPCをロックしたり、ファイルを暗号化したりして、その復元を条件に身代金を要求するマルウェアだが、マーティン氏によると、1回当たりの身代金の支払いは300ドルから400ドルとなっており、世界で支払われた身代金の合計金額は10億ドルに上るという。
マーティン氏は、ランサムウェアの問題点として、亜種が増えてビジネスモデルが成立していることを指摘した。また、企業にとって新たなマルウェアの脅威として、身代金を支払わないと暗号化したデータを公開すると脅す手口が出てきていることを紹介した。
続いて、マーティン氏は同社が世界中にしかけているハニーポットを用いたインターネットトラフィックの分析結果を示した。
まず、送信されたトラフィックのほとんどはロシア、オランダ、アメリカ、中国、ドイツを含む、わずか10カ国のIPアドレスから発信されており、うち60%はロシアが占めていた。また、ハニーポットのトラフィックのほぼ半分が公開されたHTTP/HTTPSのポートを探索していたという。
さらに、マーティン氏は同社のハニーポットを襲うために用いられたユーザーIDとパスワードを紹介した。これによると、一般にシステムの管理者の初期IDとしてよく利用されているrootが最も多かったそうだ。
管理者の初期IDとパスワードが変更されていないことが、ルータなどIoTデバイスが狙われる要因の1つと言われているが、正にそれを証明する結果となったようだ。
検出率ゼロ!SoCの穴をあぶりだすレッド・チーミング
レッド・チーミングについては、Fsecure サイバーセキュリティリサーチ シニアセキュリティコンサルタントのアンッティ・トゥオミ氏が説明した。レッドチーミングとは、セキュリティの専門家が顧客企業に入り込んで攻撃を仕掛けることで、その企業のセキュリティ対策の有効性を明らかにするサービスだ。
トゥオミ氏によると、「セキュリティ対策を実施しているが、穴がないかどうかを確認したい企業」「セキュリティ・オペレーション・センター(SoC)がちゃんと機能するかどうかを確認したい企業」などが、同サービスを利用するという。
同サービスを提供するチームには60人ほど属しており、これまでに銀行、保険、ゲーム会社などにサービスを提供したが、侵入を発見されたケースはゼロだという。
レッド・チーミングの大まかな手順はこうだ。何らかの方法でその企業のIDカードのコピーするとともにキーコードを入手して、そのカードを用いて侵入する。その後、フィッシングメールを送信したり、Wi-FiのゲストIDを窃取、ネットワークを攻撃したりと、さまざまな攻撃を仕掛ける。
「1通のフィッシングメールにおいて、27%~40%の人がパスワードを入力し、さらに電話で入力を促すと80%まで入力率が上がる」とトゥオミ氏。
これまで、1年間に1億7000万の予算をSoCに割いている企業に侵入し、攻撃をしかけたところ、その企業のSoCは何も見つけることはできなかったという。
トゥオミ氏は、SoCがレッド・チーミングの攻撃を発見できない理由について、「SoCは主に外からの攻撃を見ており、内部からの攻撃は見ていないから」と指摘する。これまで、世界各地で企業の内部の人間による情報漏洩事件が起きているにもかかわらず、いまだその対応は進んでいないようだ。
ヨーロッパでは提供が始まっているレッド・チーミングだが、国内でも今年の前半にはリリースが予定されているそうだ。