日本IBMは2月18日、都内で記者会見を開き、IBM X-Force脅威インテリジェンス・インデックス2020を発表した。同レポートは130カ国以上における1日あたり700億件のセキュリティイベントの監視から得られる観察と洞察に基づく分析で構成されているほか、データはIBM X-Forceの各チームや同社サービス、公表済みのデータ漏えい情報などの複数のソースから集め、分析している。

冒頭、日本IBM 執行役員 セキュリティー事業本部長の纐纈昌嗣氏は「IBMでは8000人超のセキュリティの専任組織としてIBM X-Forceを有しており、X-Force Redではオフェンシブテストを、X-Force IRISはインシデントレスポンスを、X-Force R&Dではマルウェア、スパム、ダークウェブなどの分析を、IBM SOC&コマンドセンターは監視とインテリジェンス共有をそれぞれ手がけている。今回のレポートはX-Forceのチームが、この1年におけるセキュリティのインシデント、あるいは脅威についての特徴をまとめたものだ」と説明した。

  • 日本IBM 執行役員 セキュリティー事業本部長の纐纈昌嗣氏

    日本IBM 執行役員 セキュリティー事業本部長の纐纈昌嗣氏

2019年における脅威インテリジェンスサマリーのポイントとして「標的」はOT(オペレーショナルテクノロジー)への攻撃が激増、「被害」は85億レコードの漏えい、「原因」はクラウドなどの設定ミス、「手口」は脆弱性の悪用、「業界」は小売りが急伸したという。

  • 2019年脅威インテリジェンスサマリー

    2019年脅威インテリジェンスサマリー

OTへの攻撃傾向は過去3年間で観測した攻撃件数を上回り、SCADAとICS(産業用制御システム)ハードウェアによる既知の脆弱性の組み合わせやICSへのパスワードスプレー攻撃、ITとOTのインフラストラクチャ集約により、ITからOTへのラテラルムーブメントで侵害が増加。昨年には新たなICS脆弱性が200件以上公開され、2020年も製造業やICSへの攻撃は続くと予測している。

  • OTへの攻撃傾向

    OTへの攻撃傾向

昨年報告された85億件を超える侵害されたレコードのうち70億件(85%超)は、クラウドサーバやそのほかシステムの不適切な構成によるものであることが判明し、この割合は全体の半分未満の前年から増加し、サイバー犯罪者が悪用するソースとして、盗んだ認証情報の数も増加していることが判明している。

  • レコードの漏えいは劇的に増加しているという

    レコードの漏えいは劇的に増加しているという

攻撃手口はフィッシング攻撃が攻撃起点として利用されたのは、インシデント全体の3分の1未満(31%)へと減少したものの、攻撃者が標的の環境をスキャンし、悪用できる脆弱性を探すケースが増加しており、WannaCryでは公開から2年以上経過した脆弱性が有効であったことも影響している。

  • 上位の攻撃手口

    上位の攻撃手口

脆弱性スキャンとその悪用は、2018年にはインシデント全体のわずか8%だったが、2019年は30%へと増加し、実際にMicrosoft OfficeやWindows Server Message Blockにおける以前から公開されている脆弱性が2019年においても高い割合で悪用されていることがわかったという。また、取得済みの資格情報を利用して標的の組織にアクセスする資格情報の盗用が29%となり、資格情報はサードパーティのサイトから盗むか、標的組織に対するフィッシングで取得され、盗んだ資格情報を正当なトラフィックに紛れこませる場合があり、検知が難しくなっているという。

TrickBotなどアクティブなバンキング型トロイの木馬が増加し、大規模なランサムウェア攻撃の準備を整えている兆候が報告されており、実際には新しいコードが使用されたバンキング型トロイの木馬とランサムウェアが他のマルウェア亜種と比較して上位を占めている。

昨年、攻撃者たちは主にバンキング型トロイの木馬とランサムウェアのコード開発・進化に注力する一方で、各種のクリプトマイニングマルウェアの修正・作成に多大な労力を割いており、攻撃の最低限の足場を築くボットネットは大きな革新が必要とされていないという。

バンキング型トロイの木馬の上位3つはTrickBot、Ramnit、Goziと2018年の年間調査と変動はないが、これらのプログラムはBotnet as a Serviceや不正アクセスされた資産を介して配布されるなど、ほかのサイバー犯罪者に攻撃をツールを提供するビジネスモデルとして組織化されたグループに操作されている。

一方、テクノロジーやソーシャルメディア、コンテンツストリーミングなど、一般消費者に広く受け入れられているブランドがフィッシングのためにサイバー攻撃者にスプーフィング(なりすまし)ブランドとして悪用されており、「トップ10ブランド」を構成していることがわかった。

なりすましとして悪用されたブランドは、Google、YouTube、Appleと続き、この変化は歴史的に信頼が高い小売や金融のブランドよりも、一般消費者がテクノロジープロバイダーに信頼を置くようになっていることを示唆している可能性があるという。

  • スプーフィングされたブランド上位10社

    スプーフィングされたブランド上位10社

また、業界は金融サービスが4年連続トップだが、小売りが2018年の4位から2位に順位を上げており、攻撃者の注目を集め、ECビジネスを展開している企業が狙われている。これらの状況を踏まえ、2020年は従来からの脅威と新たな脅威の両方に対応する必要性があるという。

日本IBM セキュリティー事業本部 コンサルティング&システムインテグレーション 理事/パートナーの小川真毅氏は「われわれが推奨する指針は、経理リスクとしてサイバーセキュリティ対策に取り組み、デジタルトランスフォーメーションにおいて設計段階からセキュリティをビルトインする必要があり、脅威インテリジェンスを活用する仕組みの構築が望まれる。具体的な対策としては脆弱性管理とバックアッププロセスの確立、多要素認証の実装、実践的な演習でインシデント対応計画・体制を成熟させるべきだ」と警鐘を鳴らしていた。

  • 日本IBM セキュリティー事業本部 コンサルティング&システムインテグレーション 理事/パートナーの小川真毅氏

    日本IBM セキュリティー事業本部 コンサルティング&システムインテグレーション 理事/パートナーの小川真毅氏

  • IBMが推奨するセキュリティ対応戦略の概要

    IBMが推奨するセキュリティ対応戦略の概要