サイバーセキュリティの世界的リーダーで、幅広い適用領域で(Broad)システム連携し(Integrated)自動化された(Automated)ソリューションを提供するフォーティネット(Fortinet®)は、FortiGuard Labsによる「フォーティネット グローバル脅威レポート」の最新版を発表しました。FortiGuard Labsは2023年上半期に、ランサムウェアを検知する組織の減少、高度な持続的脅威(APT)グループの活発な活動、攻撃者が使用するMITRE ATT&CK手法の変化などのトレンドを観測しました。本レポート(日本語)の全文は、こちらでご覧いただけます。
https://www.fortinet.com/jp/demand/gated/TR-23H1
攻撃者の巧妙化と標的型攻撃の増加が加速していることで、企業は引き続き防戦体制を強いられていますが、「フォーティネット グローバル脅威レポート 2023年上半期版」の脅威環境の継続的な分析を早期警告システムとして利用することで、潜在的な脅威活動に関するインテリジェンスを手に入れ、セキュリティリーダーによるセキュリティ戦略やパッチ適用の優先度の判断が容易になります。本レポートのハイライトは以下の通りです。
ランサムウェアが検知される組織は減少傾向にある:FortiGuard Labsは、ランサムウェア亜種が数年前から大幅に増加したと指摘しています。ところが、FortiGuard Labsの調査によれば、2023年上半期にランサムウェアが検知された組織が5年前の同時期(22%)より減少しました(13%)。全体として減少しましたが、警戒を怠るべきではありません。この減少は、FortiGuard Labsが2~3年前から観察してきた、攻撃が高度化し、攻撃あたりの投資利益率(ROI)を高くしようと攻撃者が考えるようになっているために、ランサムウェアやその他の攻撃がこれまで以上に標的型になっているというトレンドを裏付けるものです。調査によると、ランサムウェアの検知数が上下する状態が続いており、2023年上半期末に2022年末の13倍を記録しましたが、前年同期と比較すると、全体として減少傾向が続いてにいます。
https://www.fortinet.com/jp/corporate/about-us/newsroom/press-releases/2022/fortiguard-labs-reports-ransomware-variants-almost-double-in-six
上位のEPSS脆弱性が7日以内に攻撃される可能性は他のすべてのCVEの327倍:フォーティネットは、EPSS(Exploit Prediction Scoring System:エクスプロイト予測スコアリングシステム)を中心メンバーとして当初から支援し、エクスプロイト活動データの提供を続けています。このプロジェクトは、多くのデータソースを活用して、脆弱性が実際に悪用される可能性を予測することを目指しています。FortiGuard Labsによる、エクスプロイトが検知された11,000以上の公開された脆弱性に関する6年間のデータの分析で、EPSSスコアが高(深刻度が上位1%)に分類されたCVE(Common Vulnerabilities and Exposure)が7日以内に悪用される可能性が他の脆弱性の327倍であることがわかりました。この世界初の分析では、炭鉱で差し迫った危険を教えてくれるカナリアのような役割を果たし、CISOやセキュリティチームに対し、組織に対する標的型攻撃の兆候を早い段階で示してくれます。このインテリジェンスは、前回のグローバル脅威レポートで初めて採用されたレッドゾーンと同様に、セキュリティチームがパッチ適用の優先度を体系的に判断し、組織のリスクを最小化するのに役立ちます。
EPSS:https://www.first.org/epss/?_fsi=nAUbHOfJ&_fsi=nAUbHOfJ
前回のグローバル脅威レポート:https://www.fortinet.com/corporate/about-us/newsroom/press-releases/2023/fortiguard-labs-reports-destructive-wiper-malware-increases-over-50-percent
CISOによるパッチ適用の優先順位付け判断に役立つレッドゾーン:FortiGuard LabsによるEPSSのエクスプロイトに関する分析は、レッドゾーンを定義する取り組みを発展させたもので、エンドポイントに存在する、攻撃されることの多い脆弱性の割合の定量化に役立ちます。レッドゾーンは2022年下半期に8.9%前後で推移しましたが、これは、16,500以上の既知のCVEのうちの約1,500のCVEが攻撃されたことを意味します。2023年上半期にその数がわずかに減少し、8.3%になりました。2022年下半期と2023年上半期が僅差であることから、このあたりがエンドポイントの脆弱性を標的にする攻撃者にとってのスイートスポットであるようです。ただし、検知され、現存し、悪用される脆弱性の数は常に変動します。これらの可変要素と組織のパッチ管理戦略の有効性により、レッドゾーンの領域が大幅に縮小する可能性があります。上記のEPSS分析だけでなく、FortiGuard Labsは、脆弱性の優先度の判断と迅速な解決を可能にする効果的な方法にも継続的に投資しています。
APTグループの3分の1近くの活動を2023年上半期に確認:FortiGuard Labsは、グローバル脅威レポートで初の試みとして、トレンドの背後にいる犯罪者の数を追跡しました。この調査で、138のうちの41(30%)のサイバー脅威グループが2023年上半期に活動していたことが明らかになりました。その中でも最も活動が活発だったのは、マルウェア検知数に基づくと、Turla、StrongPity、Winnti、OceanLotus、WildNeutronであることがわかりました。サイバー犯罪者による攻撃が長期にわたって継続するのに対し、APTや国家が支援するサイバーグループの攻撃が標的型で比較的短期間であることを考慮すると、この領域での活動の進化と件数の推移については、今後のレポートで明らかになるでしょう。
サイバー脅威グループ:https://attack.mitre.org/groups/?_fsi=nAUbHOfJ&_fsi=nAUbHOfJ
過去5年間の本調査との比較で明らかになった、一意のエクスプロイトやマルウェア亜種の爆発的な増加とボットネットの永続化:
- 一意のエクスプロイトの増加:FortiGuard Labsが2023年上半期に検知した一意のエクスプロイトが10,000を超え、5年前と比べて68%増加しました。一意のエクスプロイトの検知数が急増したことから、セキュリティチームが警戒する必要のある攻撃が増加し、比較的短期間で攻撃が何倍にも増加し、多様化していることがわかります。レポートではさらに、組織あたりのエクスプロイト試行が5年間で75%以上減少し、深刻なエクスプロイトが10%減少したことを示しており、これは、攻撃者が使用するエクスプロイトツールキットが増加した一方で、攻撃が5年前と比べて標的型への移行が進んでいることを示しています。
- マルウェアファミリーと亜種は爆発的に増加し、それぞれ135%と175%の増加を記録:マルウェアファミリーと亜種の大幅な増加以外の驚くべき発見として、グローバル組織の少なくとも10%(注目すべき拡散率のしきい値)に拡散するマルウェアファミリーの数がこの5年で倍増したことが挙げられます。マルウェアの数と拡散のこのような増大は、この数年でサイバー犯罪グループやAPTグループの活動が拡大し、攻撃が多様化しているためでしょう。前回のグローバル脅威レポートでは、ロシアとウクライナの紛争に関連するワイパー型マルウェアの急増に注目しました。その勢いは、2022年末まで衰えなかったものの、2023年になると減速しました。FortiGuard Labsは、国家が支援する犯罪者がワイパーを使用しているのを引き続き確認していますが、サイバー犯罪者によるこのタイプのマルウェアの採用は、テクノロジー、製造、政府、通信、医療分野の組織を標的として増加し続けています。
- ボットネットの潜伏期間がかつてないほど長期化:レポートでは、この5年で活動中のボットネットが増加し(27%増)、組織におけるインシデント発生率が上昇した(126%増)と指摘していますが、さらに衝撃的な調査結果の1つが、「活動日数」(FortiGuard Labsはこれを、1つのボットネットの試行の最初の検知から最後の検知までの時間と定義しています)の合計の指数関数的な増加です。2023年上半期に、コマンド&コントロール(C2)通信が停止するまでのボットネットの平均存続時間は83日で、5年前の1,000倍以上になりました。これもまた、組織におけるボットネットの存続時間が長くなるほどビジネスへのダメージとリスクが大きくなることを示す例と言えます。
過去5年間の本調査:https://www.fortinet.com/jp/resources/threat-landscape-report
サイバー犯罪の分断には全方位アプローチが必要
FortiGuard Labsの過去10年間の脅威インテリジェンスコミュニティへの貢献は、世界中に大きな影響を与え、サイバー犯罪との戦いで、お客様、パートナー、政府機関の保護の強化を支援してきました。サイロ化を解消し、実用的な脅威インテリジェンスの品質を向上させることで、組織は、リスクを削減し、サイバーセキュリティ業界の有効性を向上させることができます。今日、攻撃の経済性を変えるために防御者が利用できるさまざまなツール、知識、サポートが存在します。それでもなお、業界全体でコラボレーションとインテリジェンスの共有に取り組むことで、最終的には、さらに大きなサイバー犯罪を分断するエコシステムを創造し、攻撃者よりも優位に立つことができるはずです。
フォーティネットは、エンタープライズクラスのサイバーセキュリティとネットワーキングのイノベーションのリーダーとして、グローバル企業、サービスプロバイダー、政府機関など、世界中の50万以上の組織の保護を支援しています。特筆すべきは、FortiGuard Labsと製品ポートフォリオのどちらにおいも、サイバーセキュリティのユースケースに応用する人工知能(AI)の開発を継続することで、既知および未知の脅威の防止、検知、レスポンスを加速させていることです。
具体的には、FortiGuard のAIを活用したセキュリティサービスにネットワークとクラウドの両方のインフラストラクチャからアクセスし、エンドポイントとアプリケーションに展開されるセキュリティ制御に利用することができます。さらには、AIエンジンとクラウド分析(EDR、NDR、その他を含む)を活用する専用設計の検知 / レスポンステクノロジーを、これらの制御の統合拡張機能として導入することができます。フォーティネットは、さまざまなAI、自動化、オーケストレーションを活用して迅速な修復を実現する、XDR、SIEM、SOAR、DRPSなどの一元レスポンスツールも提供しています。これらはすべて、攻撃対象領域全体とサイバー攻撃キルチェーンに沿ったサイバー犯罪の確実な分断を可能にします。
FortiGuard Labsのグローバル脅威インテリジェンス担当の主席セキュリティストラテジスト兼バイスプレジデント、Derek Manky(デレク・マンキー)は、次のように述べています。
「サイバー犯罪を阻止するには、官民の垣根を超えた強固で信頼できる関係とコラボレーションに加えて、AI活用セキュリティサービスに投資することで、多くの作業を強いられるセキュリティチームによる実用的な脅威インテリジェンスのリアルタイムの調整を支援する必要があります。標的型攻撃の脅威がかつてない勢いで増大している今、セキュリティチームに傍観者でいる余裕はありません。フォーティネットのFortiGuard Labsは、レッドゾーンや新しいEPSS(Exploit Prediction Scoring System)分析などの革新的で実用的なインテリジェンスを提供し続けることで、セキュリティチームによるプロアクティブなパッチ適用の優先度の判断とこれまで以上に迅速な脅威へのレスポンスを支援します」
レポートの概要
この最新のグローバル脅威レポートは、2023年下半期にフォーティネットのさまざまなセンサーを駆使して世界中で観察された数十億件もの脅威イベントに基づく、FortiGuard Labsの脅威インテリジェンスを説明するものです。MITRE ATT&CKフレームワークによる攻撃の戦略、手法、手順の分類を使用して、サイバー犯罪者がどのように脆弱性を見つけて攻撃のためのインフラストラクチャを構築し、標的を攻撃するかを解説しています。
関連資料
・レポートの全文(日本語版)はこちらからDLしてください。
https://www.fortinet.com/jp/demand/gated/TR-23H1
・本レポートの防御に役に立つヒントを紹介したブログを併せてご参照ください。
https://www.fortinet.com/jp/blog/threat-research/fortiguard-labs-threat-report-key-findings-1h-2023
・FortiGuard Labsの脅威インテリジェンスとリサーチや最新のサイバーセキュリティ攻撃を減災する方法をタイムリーにお知らせするアウトブレイクアラートの詳細をご覧ください。
FortiGuard Labs:https://www.fortinet.com/jp/fortiguard/labs
アウトブレイクアラート:https://www.fortinet.com/jp/fortiguard/outbreak-alert
・フォーティネットのFortiGuardセキュリティサービスポートフォリオの詳細をご覧ください。
https://www.fortinet.com/jp/solutions/enterprise-midsize-business/security-as-a-service/fortiguard-subscriptions
・サイバーセキュリティの意識向上や製品関連のトレーニングを始めとするフォーティネットの無償のサイバーセキュリティトレーニングの詳細をご覧ください。
https://www.fortinet.com/training/cybersecurity-professionals
Fortinet Training Instituteは、フォーティネットTraining Advancement Agenda(TAA)の一環として、認定ネットワーク セキュリティ エキスパート(NSE)プログラム、Academic Partner Program、Education Outreach Programも提供しています。
NSEプログラム:https://www.fortinet.com/jp/training-certification
Academic PartnerProgram:https://www.fortinet.com/training/academic-partner-program
Education Outreach Program:https://www.fortinet.com/training/education-outreach-program
・フォーティネットのお客様による組織の保護の事例を紹介しています。
https://www.fortinet.com/jp/customers
・フォーティネットのTwitter、LinkedIn、Facebook、Instagramをフォローし、フォーティネットのブログおよびYouTubeチャンネルにご登録ください。