主なネットワークセキュリティの問題と傾向
2021年のサイバーセキュリティレポートでは、チェックポイントリサーチグループが2020年の主要な ネットワークセキュリティ の問題、脅威、および傾向を概説しました。
#1.サプライチェーン攻撃
2020年12月8日、サイバーセキュリティ企業のFireEyeは、自社のネットワーク上でSunburstマルウェアを発見したことを明らかにしました。 この感染の調査により、18,000の組織、フォーチュン500の425社(Microsoftを含む)に影響を与え、政府機関も標的にした大規模なサイバー攻撃キャンペーンが明らかになりました。
SUNBURSTマルウェアは、ネットワーク管理ソフトウェア「SolarWinds Orion」の侵害されたアップデートを介して配布されました。攻撃者は、Office 365アカウントに対する斬新な攻撃を使用してSolarWindsを侵害することに成功し、特権アカウントのAzure Active Directoryトークンを偽造し、侵害された管理者資格情報を使用して同社の更新管理サーバーにアクセスすることができました。
攻撃者は、SolarWindsアップデート管理サーバーにアクセスすることで、開発パイプライン中にアップデートを変更し、バックドアマルウェアを含めることができました。 この広範囲にわたる攻撃により、これまでで最も成功したサプライチェーン攻撃となりました。 SolarWindsの攻撃では、まず攻撃を特定して対応するために監視が不可欠であることが証明されました。
将来の攻撃を防ぐには、次のようなセキュリティのベストプラクティスを実装する必要があります。
- 最小特権とネットワーク セグメンテーション: これらのベストプラクティスは、組織のネットワーク内の動きを追跡および制御するのに役立ちます。
- DevSecOps: セキュリティを開発ライフサイクルに統合すると、ソフトウェア(Orionアップデートなど)が悪意を持って変更されているかどうかを検出するのに役立ちます。
- 自動化された脅威対策と脅威ハンティング:セキュリティオペレーションセンター(SOC)のアナリストは、ネットワーク、エンドポイント、クラウド、モバイルなど、あらゆる環境で攻撃からプロアクティブに防御する必要があります。
#2.ビッシング
フィッシングはソーシャルエンジニアリング攻撃の最もよく知られたタイプですが、他の手法も同様に効果的です。 電話では、ソーシャルエンジニアリングの手法を用いて、認証情報やその他の重要な情報にアクセスしたり、2FAを回避したり、被害者にファイルを開いたり、悪意のあるソフトウェアをインストールしたりすることができます。
ビッシングは、企業のサイバーセキュリティに対する脅威としてますます高まっています。 2020年8月、CISAとFBIはビッシング攻撃に関する警告を発し、ビッシングはマルウェアキャンペーンやAPTグループによって使用されています。 2020年には、10代の若者が複数の有名人のTwitterアカウントを乗っ取るという大きな攻撃がありました。 ビッシングの脅威は、ディープフェイクの記録技術が進歩し、より広く利用できるようになるにつれて、悪化する一方です。
ビッシングはローテク攻撃であり、ビッシングから身を守るためには従業員の教育が不可欠です。 企業は、機密情報を提供せず、要求に応じる前に発信者の身元を独自に確認するように従業員を教育できます。
#3.ランサムウェア
ランサムウェアは、2020年に組織にとって最もコストのかかるサイバー脅威の1つでした。 2019年の11.5Bドルから2020年には200億ドルの費用がかかりました。 2020 年第 3 四半期の平均身代金支払い額は 233,817 ドルで、前四半期から 30% 増加しました。
この四半期には、ランサムウェアインシデント全体の半数近くが二重恐喝の脅威を含んでいました。 このイノベーションは、被害者が身代金を支払う可能性を高めるように設計されています。 これは、ファイルの暗号化に加えて、機密データを抽出し、データの公開や販売を脅かすという、新しい第2の脅威を採用することによって行われます。 バックアップにより、組織はお金を払わずにランサムウェア攻撃から回復できる可能性がありますが、機密情報や個人情報の侵害の脅威は、攻撃者にさらなる影響力をもたらします。
このような二重恐喝攻撃の増加は、組織が脅威対策戦略を採用し、検出や修復だけに頼る必要があることを意味します。 予防に重点を置いた戦略には、次のものを含める必要があります。
- ランサムウェア対策ソリューション: 組織は、システム上のランサムウェア感染を検出して根絶するために特別に設計されたセキュリティソリューションを導入する必要があります。
- 脆弱性管理: リモートデスクトッププロトコル(RDP)などの一般的なランサムウェア感染ベクトルを遮断するには、脆弱なシステムにパッチを適用したり、侵入防止システム(IPS)などの仮想パッチを適用したりする必要があります。
- 従業員教育: 悪意のあるメールで添付ファイルを開いたり、リンクをクリックしたりするリスクについて従業員を教育します。
#4.スレッドハイジャック
スレッドハイジャック攻撃は、あなた自身の電子メールを使用します。 内部の電子メールアカウントを侵害した後、攻撃者はマルウェアを含む添付ファイルで電子メールスレッドに応答する可能性があります。 これらの攻撃は、電子メールのスレッドが正当に見えるという事実を利用します...なぜなら、そうだからです。
2020年には、最大級のボットネットであるEmotetバンキングマルウェアがマルウェアランキングのトップに立ち、グローバル組織の20%近くを標的にしました。 被害者に感染した後、被害者の電子メールを使用して、悪意のあるファイルを新しい被害者に送信します。 別のバンキングマルウェアであるQbotは、同様の電子メール収集技術を採用していました。
スレッドハイジャックから保護するには、信頼できる送信元からのメールであってもフィッシングの兆候がないかメールを監視し、疑わしいと思われるメールがある場合は、電話で送信者の身元を確認するように従業員をトレーニングする必要があります。 また、AIを使用してフィッシングを検出し、悪意のある添付ファイルやリンクを含むメールを隔離するメールセキュリティソリューションを導入する必要があります。
#5.リモート アクセスの脆弱性
COVID-19をきっかけにリモートワークが急増したことで、2020年にはリモートアクセスがサイバー犯罪者の一般的な標的になりました。 今年の上半期には、RDPやVPNなどのリモートアクセス技術に対する攻撃が劇的に増加しました。 RDPに対する攻撃は、毎日約100万件検出されています。
下半期には、サイバー犯罪者は、脆弱なVPNポータル、Gartner Magic Quadrant、およびこれらのシステムの新しい脆弱性が判明したため、これらのアプリケーションに焦点を当てるようになりました。 チェック・ポイントのセンサーネットでは、CiscoやCitrixなど、リモートアクセスデバイスの8つの既知の脆弱性に対する攻撃が増加しています。
リモートアクセスの脆弱性のリスクを管理するには、脆弱なシステムに直接パッチを適用するか、IPSなどの仮想パッチ適用テクノロジーを導入する必要があります。 また、EDR(Endpoint Detection and Response)テクノロジーによる包括的なエンドポイント保護を導入し、修復と脅威ハンティングを強化することで、リモートユーザーを保護する必要があります。
#6.モバイルの脅威
COVID-19は、モバイルの脅威領域を支配しました。 リモートワークによりモバイルデバイスの使用が劇的に増加し、コロナウイルス関連のアプリを装った悪意のあるアプリも増加しました。
モバイルデバイスは、米国のGhimob、EventBot、ThiefBotなどのバンキングマルウェアを含む大規模なマルウェアキャンペーンの標的にもなりました。 APTグループは、イランの駐在員をスパイするために2FAをバイパスするイランのキャンペーンなど、モバイルデバイスも標的にしました。 モバイルデバイスの注目すべき脆弱性は、Qualcommチップのアキレス400の弱点と、Instagram、Appleのサインインシステム、WhatsAppなどのアプリの脆弱性でした。
企業は、管理されていないデバイス向けの軽量なモバイルセキュリティソリューションを使用して、ユーザーのモバイルデバイスを保護できます。 また、リスクを最小限に抑えるために、公式アプリストアからのみアプリをインストールして身を守るようにユーザーをトレーニングする必要があります。
#7.クラウド権限昇格
主なセキュリティ問題のまとめでは、SolarWindsの攻撃手法について詳しく説明します。 S3バケットなどのクラウド資産を露出させる設定ミスに依存していた以前のクラウド攻撃とは異なり、クラウドインフラストラクチャ自体も攻撃されています。
SolarWindsの攻撃者は、Office 365などのクラウド サービスにアクセスするための組織のシングル サインオン(SSO)システムでも使用されていたActive Directory Federation Services(ADFS)サーバーを標的にしました。 この時点で、攻撃者はゴールデンSAMLと呼ばれる手法を使用して、被害者のクラウドサービスへの永続性と検出が困難なフルアクセスを取得しました。
クラウドのIDおよびアクセス管理(IAM)システムに対するその他の攻撃も注目に値します。 IAM ロールは、16 の AWS サービスにある 22 の API を使用して悪用される可能性があります。 これらの攻撃は、IaaS および SaaS プロバイダーのコンポーネント、アーキテクチャ、および信頼ポリシーの深い理解に依存しています。
企業は、パブリッククラウド環境全体を包括的に可視化し、統合された自動化されたクラウドネイティブ保護を導入する必要があります。 これにより、企業はクラウドがもたらすメリットを享受しながら、継続的なセキュリティと規制コンプライアンスを確保することができます。
2020年、医療への攻撃は前例のないものとなった
COVID-19により、サイバー犯罪者を含むすべての人にとって、医療機関が最優先事項となりました。 一部のマルウェアキャンペーンは、医療に対する攻撃をドロップすることを約束しましたが、その約束は実体がなく、病院は依然としてMazeとDopplePaymerマルウェアの焦点でした。
10月、CISA、FBI、DHSは、医療に対する攻撃に関する警告を発表し、Ryukランサムウェアの展開に使用されたTrickbotマルウェアに言及しました。 また、国家が支援するAPT攻撃は、COVID-19ワクチン開発に関与する機関を標的にしました。
米国の医療は、サイバー攻撃者によって最も標的にされました。 チェックポイント リサーチは、9月から10月にかけて71%増加し、11月と12月には世界全体で45%以上増加しました。
シルバーライニング
2020年のネットワークセキュリティ問題の脅威を理解すると同時に、世界中のサイバー犯罪に関与する多数の個人や脅威グループを追跡し、起訴するために、サイバーセキュリティコミュニティの支援を受けた法執行機関による多くの成功事例に注目することも重要です。
2020年に成功したサイバー法執行活動の例には、次のようなものがあります。
- 10月には、100万台以上の感染したホストに接続されていたTrickbotのインフラがダウンしました。
- EUはDisRupTorの活動を中止するための調査を主導し、179の違法品業者が逮捕され、法執行機関によって違法品が押収されました。
- ロシアと中国のAPTグループの脅威アクターに対して令状が発行されています。
- TrickBotテイクダウンなどのMicrosoft主導の取り組みにより、Necursボットネットもダウンしました。
- 英国国家サイバーセキュリティセンター(NCSC)は、コロナウイルス関連の不正、詐欺、不正行為に関連する22,000以上のURLを削除しました。
- Cyber Threat Coalition(CTC)のグローバルサイバー脅威アライアンスは、COVID-19 IoCを共有するために団結しました。
- サイバーセキュリティの研究者は、脆弱性を発見し、責任を持って開示し続けています。
- チェック・ポイントは、CVEリスクスコアが10.0のトップであるクラウドのRCE脆弱性と、Windows DNSサーバーのSigRed脆弱性を発見し、開示しました。
- 業界研究者は、Pulse Secure VPNとF5 Big-IPにバグを発見しました。
- マルウェアの停止に役立つマルウェアのバグが見つかりました。
- Emotetのバッファオーバーフローバグがキルスイッチとして機能し、6か月間テイクダウンが可能になり、その後2021年1月にEmotetボットネットがテイクダウンされました。
セキュリティを維持するための推奨事項
2020年のサイバー脅威とネットワークセキュリティの懸念は、2020年にとどまりません。 これらの攻撃の傾向の多くは現在も続いており、2021年は新たなネットワークセキュリティの問題とサイバー犯罪の革新をもたらします。 進化するサイバー脅威の状況から保護するために、次の推奨事項をまとめました。
- リアルタイムの防止に重点を置く: インシデントの検出と対応は重要ですが、攻撃が発生したときに検出するということは、すでに被害が発生している可能性があることを意味します。 検知よりも脅威対策に重点を置くことで、サイバー攻撃による被害やコストを抑えることができます。
- すべてを保護: サイバー犯罪者は、簡単に狙われる標的を探し回る、つまり、簡単に手に入る果実を攻撃するのです。 組織は、 ネットワーク、 クラウドインフラストラクチャ、 ユーザー、エンドポイント、モバイルなど、攻撃対象領域のあらゆる側面を保護する必要があります。
- 可視性を高めるための統合: スタンドアロンのサイバーセキュリティソリューションは、1つの問題を解決するのには適しているかもしれませんが、分断されたセキュリティソリューションが乱雑になっていると、セキュリティチームにとって圧倒的であり、検出を見逃すことになります。 セキュリティを統合することで 、チームの効率が向上し、攻撃を迅速に検出して対応できるようになります。
- ゼロトラストパラダイムの適用: 過剰な権限とアクセスは、ミスやアカウントの侵害が重大なセキュリティインシデントに発展しやすくなります。 ゼロトラストを導入する ことで、組織はリソースへのアクセスをケースバイケースで管理し、サイバーセキュリティのリスクを最小限に抑えることができます。
- 脅威インテリジェンスを最新の状態に保ちます。 サイバー脅威の状況は常に進化しています。 組織は、最新のサイバー脅威から身を守るために、 脅威インテリジェンスへのリアルタイムアクセス を必要としています。
今日の主要なネットワークセキュリティ問題の詳細については、 2021年サイバーセキュリティレポートの全文をご覧ください。 また、組織のセキュリティを危険にさらす問題を特定するために、 セキュリティ診断 をリクエストすることもできます。
Feedback