日本IBMは3月8日、オンラインで記者説明会を開き、「X-Force脅威インテリジェンス・インデックス2022」を発表した。

日本IBMは3月8日、オンラインで記者説明会を開き、「X-Force脅威インテリジェンス・インデックス2022」を発表した。レポートは、昨年1月~12月の期間でネットワークやエンドポイントの検出デバイス、インシデントレスポンス活動、ドメイン名の追跡など、何十億ものデータポイントから観察・分析した新しいトレンドと攻撃パターンをマッピングしている。

冒頭、日本IBM 執行役員 セキュリティー事業本部長の小川真毅氏は昨今のビジネス環境とサイバーリスクの関係性について「DX(デジタルトランスフォーメーション)と、それに伴う企業のインフラのクラウドシフトが進んでおり、裏を返せばクラウド環境がサイバーリスクのエントリーポイントや情報漏えいの原因となることが後を絶たなくなってきている。また、サプライチェーンの拡大・複雑化に加え、国際情勢は目まぐるしく変化している」と述べた。

  • 日本IBM 執行役員 セキュリティー事業本部長の小川真毅氏

    日本IBM 執行役員 セキュリティー事業本部長の小川真毅氏

こうした状況のもと、昨年はLinexを対象にした攻撃が増加し、最も狙われた業界は初めて金融を抜いて製造業となり、初回アクセス時にフィッシングを悪用する攻撃の割合が急増しているという。

続いて、日本IBM セキュリティー事業本部 X-Force 日本責任者の徳田敏文氏がレポートの詳細を解説した。攻撃手法のトップはランサムウェア(21%)となり、前年の23%からは減少した。攻撃者は2年連続でREvil(Sodinokibiとも呼ばれる)が最も多く、ランサムウェア攻撃の37%を占め、次いでRyukが13%を占めた。攻撃者がブランド名の変更またはシャットダウンするまでの平均時間は17カ月となっている。

  • 日本IBM セキュリティー事業本部 X-Force 日本責任者の徳田敏文氏

    日本IBM セキュリティー事業本部 X-Force 日本責任者の徳田敏文氏

  • 攻撃手法のトップはランサムウェアとなった

    攻撃手法のトップはランサムウェアとなった

また、初期侵入手口の上位はフィッシングと脆弱性攻撃となり、フィッシングを悪用する攻撃の割合が41%を占め、脆弱性の悪用が原因となったインシデント数は2020年から33%増加し、Log4jは昨年12月に公開されたにもかかわらず、脆弱性トップ10で2位となっている。

  • 攻撃手口としてフィッシングが増加

    攻撃手口としてフィッシングが増加

さらに、新しいコードを持つLinuxランサムウェアは146%増加し、Linuxバンカー、ボットネット、トロイの木馬マルウェアでも新規・独自コードが増加。加えて、複数のマルウェアファミリーが一般的なLinuxシステムを標的とすることから、Dockerやそのほかのコンテナに焦点を当てることに移行していることを確認。

  • クラウド化に伴いLinuxマルウェアが増加している

    クラウド化に伴いLinuxマルウェアが増加している

一方、最も攻撃を受けた地域はアジアとなり、次いでヨーロッパ、北米と続く。アジアは攻撃の26%を占め、ヨーロッパにおける攻撃手法のトップはランサムウェア、手口は脆弱性悪用がトップ、最も攻撃を受けた業種は製造業。米国では、攻撃手法はランサムウェア、手口はフィッシングがそれぞれトップとなり、最も攻撃を受けた業種は製造業となった。

2021年に最も攻撃を受けた業種は製造業となり、攻撃の23.2%を占め、2020年の2位から上昇し、5年ぶりに金融・保険業を上回っており、製造業では脆弱性の悪用が攻撃手口のトップだったという。昨年、OTに接続された組織で発生した院市電の61%は製造業となったほか、OT接続された組織への攻撃の36%はランサムウェアとなった。大量のIoTマルウェアの活動も確認しており、Moziボットネットが74%と最も大きなボリュームを占めている。

2016年以来初めて金融・保険からトップが入れ替わり、ランサムウェアやBEC(Business Email Compromise)の猛威が影響しているという。製造業のダウンタイムに対しての過敏な反応が攻撃グループの収益を上昇させている要因の可能性があり、攻撃手法はランサムウェアが23%を占めた。

  • 製造業が金融を抜いて攻撃を受けた業種別でトップに

    製造業が金融を抜いて攻撃を受けた業種別でトップに

金融・保険業界が1位から2位になったことは金融業界で実施されている高いセキュリティ基準が結果を生み出しており、業界がセキュリティ対策を正しく行っていることを示しているという。

徳田氏はIBM Securityの推奨事項に関して「ランサムウェアの対応計画を作成するとともに、ネットワークへのすべてのリモートアクセスポイントに多要素認証を実装し、フィッシング対策のために多段階の施策を準備するべきだ。また、脆弱性管理システムを強化・成熟させ、ゼロトラストの原則を採用して主要な攻撃を回避し、セキュリティの自動化を活用することでインシデント対応の強化を図り、攻撃者に負けないために検出や応答の機能を拡張することを推奨している」と力を込めていた。

  • IBM Securityが推奨する7項目

    IBM Securityが推奨する7項目

また、小川氏は企業が取り組むべきこととして「ベストプラクティスの参照や脆弱性管理の徹底、複雑性の解消など、ゼロトラスト戦略にもとづくセキュリティ管理策を見直し、リスクベース管理、IDガバナンス、多要素認証、インシデント対応体制をはじめとしたサプライチェーンセキュリティの徹底を講じるべきだ。そして、脅威アクターの洗い出し、定常的モニタリング、最適なリソース配分といった脅威インテリジェンスを積極的に活用することが望ましい」と提言していた。