2020年始動!サイバー攻撃に備えよ。未然に防ぐだけで大丈夫?

セキュリティ

皆さん、2020年の大規模イベントと言えば何を思い浮かべるでしょうか?
そうです東京オリンピック・パラリンピックです!
開催まで1年を切りましたが、この記事をご覧になっている方の中にも実際に観戦に行く方もいるのではないのでしょうか。
こういった大規模なイベントに合わせてテクノロジーも急激に進化しています。
初めて日本で開催された1964年の東京オリンピックでは、実況放送が全世界にカラー中継され「科学の祭典」とも呼ばれていたそうです。戦後の日本の技術を世界に知らしめた大会となりました。「AI」「IoT」「5G」など様々なテクノロジーが進化するなかで、来年開催される東京オリンピック・パラリンピックではどのような驚きが待っているのでしょうか。

ただ、残念なことに楽しみばかりではありません。大規模イベントに合わせてサイバーの脅威も急増しています。2016年のリオデジャネイロ大会では大会運営サイトが大規模なDDoS攻撃の標的となりました。今大会についても既に、大会運営組織を装ったフィッシング詐欺が確認されています。
※ネットワークを通じた攻撃手法。標的となるコンピュータに対して複数のマシンから大量の処理負荷を与え、サービスを機能停止状態へ追い込む攻撃のこと。
では、サイバー攻撃の急増が予想される中、どのような対策が必要なのでしょうか。セキュリティ脅威のトレンドや、実際に検知したイベントの解説なども踏まえ、今すぐにでも導入すべき対策をご紹介します。

サイバー攻撃のトレンド(ファイルレス攻撃)

最近、「ファイルレス攻撃」と呼ばれる攻撃が増えています。ファイルレス攻撃とは従来のマルウェアと異なり、シグネチャ(署名)を持っておらず、Windows標準ツールであるPowerShellなどを使用して攻撃を行います。少し前まではマルウェアの多くがシグネチャを持っていたため、シグネチャが登録された最新のパターンファイルをエンドポイント製品に登録しておけば、マルウェアの侵入を防ぐことができました。
しかし、このファイルレス攻撃はシグネチャを持たず、全てメモリ上で実行されるため、従来型のエンドポイント製品では防ぐことが困難になっています。
ファイルレス攻撃でよく確認される攻撃のパターンは次の通りです。
最近ではこのファイルレス攻撃の手法を使った、ランサムウェア(身代金型のマルウェア)や、不正マイニング(仮想通貨不正採掘)による被害が増えています。
このファイルレス攻撃、どれくらい増えているかと言うと、2018年1月~6月は約20万程度でしたが、2019年1月~6月には約70万を超えています。たった1年間で約3.5倍も増えています。
最近の脅威はステルス性が高く、検知が難しいため、結果として急増していることが分かります。
<出典:法人システムを狙う脅迫と盗用(トレンドマイクロ社 2019年資料)>

現状は?アナリストの見解は?

では、ここからはCEC SOCのお客様環境で実際に発生したイベントを分析した結果をご紹介しましょう。実際に発生した生のイベントなので、より身近に感じられるかと思います。
以下はトレンドマイクロ社の「Deep Security」で検出したイベントをグラフ化したものです。
「Deep Security」は主にサーバOSを対象としたセキュリティ対策製品です。
<出典:CEC SOCにて検出した被監視サーバ1台あたりの平均イベント>

8月から9月にかけてイベントの数が急増しているのが分かります。
イベントの内容は「Apache関連の脆弱性」をついた攻撃や、Webサイトに不正なスクリプトを挿入して攻撃する「クロスサイトスクリプティング」、アプリケーションが想定しないSQL文を実行させる「SQLインジェクション」など、外部からの攻撃が多く確認されました。

9月にはラグビーのW杯が開催されていたため、恐らくW杯も起因してイベントの数が増加したと考えられます。実際に、ラグビーのW杯期間中にテレビ放送システムを狙ったサイバー攻撃が相次ぎました。
このような大規模イベントにあわせてセキュリティに関するイベントの数が増えるということは珍しくはありません。

続いては「Deep Discovery Inspector」で検知したイベントについてご紹介します。「Deep Discovery Inspector」はネットワーク上で通信の振る舞いを分析し、脆弱性を悪用したサイバー脅威を検知する製品です。
<出典:CEC SOCにて検出した1環境あたりの平均イベント>

先ほどのグラフと同じように、昨年と比べるとイベントの数が約2倍に増えています。
リモート接続(RDP)やファイルアップロードなどのイベントの数が多くを占めていました。
最近、働き方改革などでリモートワークを推進する企業も増えているので、そういった意味でクラウドサービスの利用増加が伺えます。東京オリンピック・パラリンピック開催期間中は混在緩和のためにリモートワークを導入する企業も増えています。

リモートワークは社員がどこからでも仕事を行うことが可能なため、効率面でのメリットもありますが、企業側が管理できていない「シャドーIT」の利用による、機密情報の漏えいなどのリスクが高まるといったデメリットもあります。

巧妙化するサイバー脅威や、働き方改革などの社会の変化に対して、今どのような対策を行えばいいのでしょうか。

感染した後の対応“も”は、非常に重要

もちろん、攻撃を未然に防ぐことも大事ですが、ファイルレス攻撃のように、ステルス性が高い攻撃が増えているという現状を考えると、侵入されたあとの拡散を防ぐことも重要になってきます。システムで全て防御できれば良いのですが、サイバー脅威から100%防御できるシステムなど存在しません。

また、今後、働き方改革が進むとクラウドサービスの利用が増えることが考えられるため、そういった社会の変化にも追随できる対策を行っていく必要があります。システム的な対策と、インシデントが発生した際にすぐに対応できる体制を組み合わせた、「多段的な対策」を取る必要があります。

監視・運用の重要性

H5 未知の攻撃対策+監視・運用

トレンドマイクロ社の「Deep Discovery Inspector」とシーイーシーの「CEC SOC」を組み合わせ、お客様の環境を24時間365日統合的に監視することが可能になります。
「Deep Discovery Inspector」はネットワーク上で通信の振る舞いを分析し、脆弱性を悪用したサイバー脅威を検知します。「Deep Discovery Inspector」で検知したイベントを、「CEC SOC」の専門アナリストが解析し、対策支援などを行います。私が先ほど述べた「多段的な対策」を実現する最適なサービスとなっています。
さらに、シーイーシーでは「Deep Discovery Inspector」を初期費用不要の月額料金固定でお貸し出しできるサービスも取り扱っているため、コスト面で課題をお持ちのお客様に対しても最適なサービスなのではないでしょうか?
このように「多段的な対策」を取ることで、あらゆる攻撃の水際対策を実現することが可能になります。

今回は「ファイルレスマルウェア」や「CEC SOC」で実際に発生したイベントをご紹介しましたが、
次回はIoT機器を狙った攻撃や、最近増えている工場を狙った攻撃についてご紹介します!

関連記事

2019 Trend Micro DIRECTION ~展示会レポート~

関連サービス



【マネージドフラットサービス】
https://security.cec-ltd.co.jp/managed_flat_service/

関連記事一覧