70ドル以下で手に入る攻撃ツール、Microsoftがサイバーセキュリティレポートを発表:サイバー犯罪サービスの市場が成熟化
Microsoftはサイバーセキュリティ動向に関する年次レポート「2021 Microsoft Digital Defense Report」を発表した。「サイバー犯罪の現状」「国家の脅威」など6つの分野に焦点を当てている。5つの対策を実施することで基本的なセキュリティ対策を講じることができ、攻撃の98%を防ぐことが可能だという。
Microsoftは2021年10月7日(米国時間)、サイバーセキュリティ動向を網羅した年次レポートの最新版「2021 Microsoft Digital Defense Report」を発表した。
同レポートは「Microsoft Azure」(Azure)やエンドポイント、インテリジェントエッジを通じて収集されている1日当たり24兆件を超えるセキュリティシグナルの他、77カ国にまたがる8500人以上のセキュリティ専門家による知見を取りまとめたものだ。「サイバー犯罪の現状」「国家の脅威」「サプライチェーン、IoT、OTセキュリティ」「ハイブリッドワークのセキュリティ」「偽情報」「行動につながるインサイト」という6分野に焦点を当てて、脅威状況を解説するとともに、推奨する対策について提言している。
Microsoft Digital Defense Reportは2020年に初めて発表された。2021年版のハイライトを以下に紹介する。
サイバー犯罪の現状
サイバー犯罪の目的は主に金銭的利益にある。増加の一途をたどっており、個々の企業を超えて国家安全保障上の脅威へと進化している。多くのサイバー犯罪被害者が経験を共有するようになり、透明性が高まっていることは前向きな材料だ。サイバー脅威の増大に対応し、政府のサイバーセキュリティの取り組みも拡充が進んでいる。
・悪意ある電子メールは、フィッシングに加えて25種類以上ある
・Microsoftは2021年5〜7月の3カ月間に、Azureでホストされていた約1万5850のフィッシングサイトを無効にした
・Microsoftはシミュレーションとトレーニングの頻度を増やすことで、従業員のフィッシング被害件数を2020年比で50%削減した
・サイバー犯罪のサプライチェーンは(個人ではなく)犯罪組織によって構築される場合が多く、成熟化が進んでおり、誰もがサイバー犯罪のための道具を購入できるようになっている
主なサイバー犯罪サービスの平均販売価格は次の通りだ。最も安価なランサムウェアキットであれば、66ドルから入手できることが分かる。
| サービス内容 | 価格 |
|---|---|
| 下請け攻撃 | 1ジョブ当たり250ドル以上 |
| ランサムウェアキット | 66ドル(または利益の30%、アフィリエートモデル) |
| PC/デバイス侵害 | 0.13〜0.89ドル(PC)、0.82〜2.78ドル(モバイルデバイス) |
| スピアフィッシング | 100〜1000ドル(アカウント乗っ取り1件当たり) |
| 盗んだユーザー名とパスワードのペア | 1000件当たり0.97ドル(平均)、大口取引では4億件で150ドルなど |
| DoS(サービス妨害) | 1カ月当たり311.88ドル |
国家の脅威
国家の支援を受けたサイバー攻撃者はより巧妙な手口を用いるようになり、検知しにくくなっている。こうした攻撃者のセキュリティ脅威は、他のサイバー犯罪者に模倣されている。
Microsoftは、国家によるサイバー攻撃状況の観察結果をさまざまなグラフで示している。
サプライチェーン、IoT、OTセキュリティ
IoTやOT(オペレーションテクノロジー)、サプライエコシステムは、セキュリティ対策上、これまで個別に扱われてきた。だが、攻撃に対処するには、総合的なセキュリティアプローチを取る必要がある。多要素認証を用いた多層防御がセキュリティ維持に役立つ。
・45日間のセンサーシグナルにより、既定パスワードの「admin」が使われていることが分かったデバイスの台数が、2000万台以上に上った
・Microsoftは、非常に安全と考えられるデバイスに見られる特徴を7つ特定した
その内訳は、(1)ハードウェアの信頼ルート、(2)多層防御、(3)信頼できる小規模なコンピューティング基盤、(4)動的区画化、(5)パスワードレス認証、(6)エラーレポーティング、(7)更新可能なセキュリティだ
・幾つかのIoTとOT向けのOSに重大な脆弱(ぜいじゃく)性が見つかった。これらは、ほぼ全ての業種に影響するものだった
ハイブリッドワークのセキュリティ
物理世界でもサイバー世界でも、犯罪者が侵入に用いる第1の方法は、鍵のかかっていないドアを開けることだ。パッチや更新プログラムの適用、多要素認証の有効化といった基本的なセキュリティ対策を適用していなかったり、維持していなかったりする企業は、ランサムウェア攻撃やDDoS(Distributed Denial of Service Attack)攻撃といったサイバー攻撃の被害に遭うリスクが格段に大きくなる。
・データ侵害の70%近くはフィッシングに起因する。基本的なセキュリティ対策を施すことで、攻撃の98%を防止できる
・サイバー犯罪者は、正規のソフトウェア更新プログラムを装うマルウェアを使用している。このことは、インサイダーリスクの増大につながる。信頼できるソースに注意する必要がある
・攻撃者はオンプレミスシステムを標的とする。このことは、データガバナンスとクラウド移行の必要性を高める
偽情報
人々の意見に影響を与える目的で、意図的に使用される誤った情報が偽情報だ。大衆を操作するためにうそをでっち上げる工作には長い歴史がある。だが、この10年間に新手の偽情報が表面化してきた。コンピューティング能力の増大やインフラの進化が、こうした偽情報のキャンペーンの威力や対象範囲の拡大、効率の向上につながっている。
ソーシャルメディアやクリエーター向けプラットフォーム、検索エンジン、メッセージングサービスといった広く使われている消費者向けプラットフォームやサービスは、偽情報を流布させる強力なチャネルを国家と非国家のアクターに提供する。これらのサービスは悪意あるアクターにとって、偽情報キャンペーンの影響を実験する他、モニタリングや再現、最適化のためのツールにもなる。
新手の偽情報の例として、AIの進歩を利用したディープフェイクビデオや音声がある。これらを使って、個人に直接害をなすことが可能になっている。例えば、従業員をだまして、資格情報を提供させたり、共有させたりするために使われる恐れがある。
行動につながるインサイト(洞察)
技術とサイバーリスクを管理対象とするのは、IT部門とセキュリティ部門だけではない。犯罪者はあらゆる機会に乗じようとするので、リカバリーソリューションが重要になる他、企業の全従業員がサイバーセキュリティトレーニングを受け、オンラインセキュリティの確保に取り組むことが必要になる。
前述したように、「基本的なセキュリティ対策により、攻撃の98%を防げる」との認識から、Microsoftは次に挙げる5つの対策の実施を推奨している。
・多要素認証を有効化する
・最小特権アクセスを適用する
・バージョンを最新に保つ
・マルウェア対策技術を活用する
・データを保護する
【訂正:2021年11月16日午後13時50分】本記事の初出時、表中で「DoS(サービス妨害) 1カ月当たり3万1188ドル」とありましたが、正しくは「DoS(サービス妨害) 1カ月当たり311.88ドル」でした。お詫びして訂正いたします。該当箇所は既に修正済みです(編集部)。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
Microsoft、サイバーセキュリティ年次レポート「Digital Defense Report」を公開
サイバーセキュリティ動向に関するMicrosoftの年次レポート「Digital Defense Report」は、攻撃者がこの1年間に手口を急速に巧妙化させているために、攻撃の検知が困難になったこと、セキュリティに詳しい人をも脅かしていることを明らかにした。最も基本的な対策の一つが多要素認証(MFA)だという。
ハニーポットの実験で1分当たり70件の攻撃を受ける――Comparitech.com
比較サイトComparitech.comが、ハニーポットを使ったサイバー攻撃の調査結果を発表した。ハニーポットに対して24時間で10万1545件、1分当り70件の攻撃が加えられたという。
Webアプリなどが依然として主要な攻撃対象――Forresterの年次アプリセキュリティレポート
WhiteSourceは調査会社Forrester Researchのアプリケーションセキュリティに関する年次レポートの内容を公式ブログで紹介した。組織がオープンソースソフトウェアやサードパーティーのコンポーネントにますます依存し、より多くのAPIを外部に開放している中、どのような対策が望ましいのかが示されている。