ファイア・アイは2017年5月17日、年次で発行しているサイバー攻撃の調査レポート「Mandiant M-Trends 2017」をリリースした。2016年の攻撃トレンドの1つは、攻撃に用いるツールキットの進化などの要因によって、金融犯罪の高度化が続いていることである。説明会での主なトピックを紹介する。
写真1:セキュリティ調査レポート「Mandiant M-Trends 2017」のイメージセキュリティベンダーのファイア・アイは2017年5月17日、年次で発行しているサイバー攻撃の調査レポート「Mandiant M-Trends 2017」をリリースした(ダウンロードURLはhttps://www.fireeye.jp/current-threats/annual-threat-report/mtrends.html)。
同社が依頼を受けて調査した数百社のインシデント事例や、セキュリティ運用サービス「FireEye as a Service」のデータをもとに作成した(写真1)。
被害の統計情報として、セキュリティ侵害の発生から検知までの日数(中央値)は、2015年比で短くなった(図1)。グローバルで146日から99日へと47日短縮、APACでは520日から172日へと大幅に短縮した。セキュリティ侵害が発覚した経緯も、外部からの指摘が94%とほとんどを占めていた2011年当時から改善し、2016年では53%が組織内で検知できている。
図1:セキュリティ侵害の発生から検知までの日数は短くなった (出典:ファイア・アイ)拡大画像表示
ただし、検知までの日数が短くなった事実や、組織内で侵害が発覚したケースが増えている事実をもって、全面的に喜んでいいとは限らないと、ファイア・アイで執行役副社長を務める岩間優仁氏(写真2)は指摘する。なぜなら、ランサムウエアが増えているからだ。
写真2:ファイア・アイで執行役副社長を務める岩間優仁氏ランサムウエアは、短期に攻撃をしかける、システム破壊型の攻撃である。情報漏えいを目的とした一般的なサイバー攻撃のように、潜伏して水面下で目立たずに攻撃を続けるといったタイプではないため、検知までの日数は必然的に短くなり、検知場所も組織内となる。
また、検知までの日数が短くなったとは言え、グローバルで99日、APACで172日というのは、まだまだ長いと岩間氏は指摘する。同社のセキュリティコンサルティングのチームがユーザー企業のドメイン管理者の認証情報を入手してみたところ、要した時間は3日以内だったという。このことからも、「99日という発生から検知までの日数は、まだ96日も長すぎる」としている。
インテリジェンス主導のセキュリティ対応が必要に
2016年の攻撃トレンドの1つは、攻撃に用いるツールキットの進化などの要因によって、金融犯罪の高度化が続いていることである。2014年発行のレポートにおいても「ありきたりなサイバー犯罪者と、国家支援型の高度な攻撃グループの境界線がぼやけてきている」と指摘しており、2016年時点では「特定の金融系攻撃グループと国家支援型の高度な攻撃グループの境界線はもはや存在しない」と結論付けている。
一方、2016年の防御トレンドとしては、インテリジェンス主導のセキュリティといった高度な取り組みへの関心が高まっているという(図2)。「インテリジェンス主導型のセキュリティプログラムを作成することによって、脅威に対して先手を打つことが可能となる」と岩間氏はインテリジェンス情報サービスの重要性を説く。
図2:インテリジェンス主導型のセキュリティプログラムの重要性(出典:ファイア・アイ)拡大画像表示
写真3:ファイア・アイでプレジデントを務める西村隆行氏インテリジェンス主導型のセキュリティプログラムを作成するために必要な条件として岩間氏は、脅威トレンドに基づいて戦略を策定すること、自社のプログラムを実行する担当者の能力水準を検証すること、日常業務で直面する可能性のある現実と自社のリソースを照らし合わせること、最新の状況に対応できるように戦略計画を更新すること、などを挙げる。
ファイア・アイは、インテリジェンス主導型のセキュリティを実現するためのサービスも提供している(図3)。攻撃中の対策製品(サンドボックス製品)だけでなく、攻撃前の情報提供と、攻撃後の対応についてもサービス化している。「グローバルではサービスが売上の半分を占める。日本はまだ10%に達していないので、事業を早く変革する」と、ファイア・アイでプレジデントを務める西村隆行氏は意気込む(写真3)。
図3:攻撃中の対策製品だけでなく、攻撃前や攻撃後を対象とした情報サービスも提供している(出典:ファイア・アイ)拡大画像表示
FireEye / 標的型攻撃 / Mandiant / 脅威インテリジェンス
