FireEye、年次レポート「M-Trends 2021」日本語版を公開、世界中の数百件の侵害調査から得られた統計と洞察

侵害から検知までにかかる日数の中央値が1ヶ月を下回り検知能力が向上した一方で、
ランサムウェアが急増

2021年6月9日 – インテリジェンス主導型のセキュリティ企業、ファイア・アイ(FireEye、本社:米国カリフォルニア州ミルピタス、日本法人:東京都千代田区、代表:西村隆行)は本日、「FireEye® Mandiant® M-Trends® 2021」レポートの日本語版を公開しました。今年で12年目を迎える本レポートは、サイバーセキュリティに関する専門知識と脅威インテリジェンスに関する情報を、Mandiantが2019年10月1日から2020年9月30日の期間に世界各地で行った最新の侵害調査から得られた統計と洞察に基づいてまとめたものです。

今年のレポートでは、増加傾向にある攻撃手法やマルウェア、ランサムウェアの拡散と二重のサイバー恐喝、今後予想されるUNC2452 / SUNBURSTを模倣した攻撃者への対策などについて解説しています。さらに昨今増加傾向にある内部脅威に加え、パンデミックに乗じたサイバー攻撃や標的とされた業界のトレンドなど、重要な情報がまとめられています。

その他、M-Trends 2021レポートの主な内容は次のとおりです。

侵害から検知までにかかる日数の中央値が初めて1ヶ月を下回る

過去 10 年間、Mandiantはセキュリティ侵害の発生から検知までに要した日数の全世界における中央値が減少傾向にあることを確認しました。2011年には検知するまでに1年以上かかっていましたが、2020年にはわずか24日にまで減少しました。56日だった昨年の報告書と比較しても、2倍以上の速さで検知されています。Mandiantでは、組織の検知・対応能力の継続的な改善に加えて、多角的なサイバー恐喝やランサムウェアによる侵入が急増していることが原因だと考えています。

侵害から検知までにかかる日数の中央値の傾向は、地域によって異なります。例えば、南北アメリカの中央値は減少し続けました。内部からの指摘で発見されたインシデントに限った場合、その中央値は南北アメリカで最も改善され、32日からわずか9日に短縮され、調査以来初めて一桁台になりました。その一方で、アジア太平洋地域(APAC)と ヨーロッパ、中東およびアフリカ(EMEA)地域では侵害から検知までにかかる日数の中央値が全体的に増加しています。Mandiantでは、南北アメリカと比較すると、 滞留時間が3 年以上におよぶ侵害が多いことが影響していると考えています。

内部検出数の増加

昨年のレポートでは、侵入の内部検知が前年に比べて減少したことが指摘されていましたが、今年のレポートではインシデントの大半が内部の指摘により検知されるようになったことが確認されました。2020年、インシデントの内部検知率は59%に上昇し、2019年と比較すると12ポイント上昇しました。このように、組織が自らの環境における侵入の大部分を検知するようになったことは、過去5年間に観測された全体的な傾向と一致しています。

注目すべき点は、すべての地域で内部検知率が前年よりも増加していることです。内部検知率は、南北アメリカが61%と最も高く、次いでEMEAが53%、APACが52%となっています。しかし、APACとEMEAの組織は、南北アメリカと比較して、外部から侵害の通知を受け取ることが多かった傾向です。

小売・サービス業と医療業界が標的に

最も標的とされた業界のトップ5は、上位から順に「業務・専門サービス」、「小売・サービス」、「金融」、「医療」、「ハイテク」となっています。

小売・サービス業は大きな標的となり、昨年のレポートで第11位だったのに対し、2020年には第2位になっています。また、医療業界も、昨年のレポートでは第8位だったのに対し、2020年には第3位になるなど、大きく順位を上げています。これは、世界的なパンデミックにともない、医療分野が重要な役割を果たしたことによるものと考えられます。

Mandiant のサービス・デリバリー担当兼エグゼクティブ・バイス・プレジデントであるJurgen Kutscherは次のように述べています。「企業は自社の環境における不正アクセスを発見する能力を向上させ続けていますが、攻撃者を封じ込めるにはまだ課題が残っています。世界的なパンデミックの影響で、企業は事業運営の方法を見直し、リモートワークへの移行を余儀なくされました。VPNインフラの整備をはじめ、ビデオ会議などのコラボレーションツールがビジネスでは必要不可欠となり、攻撃対象が変化しました。これにより多くの企業や組織で、一般社員がネットワーク接続とセキュリティに責任を持つようになりました。業務・専門サービスは、2016年から最も狙われる業界のトップ5に入っていましたが、リモートワークに必要なビジネスサービスが急増したことで、この業界が2020年にサイバー犯罪者や国家が関与する脅威アクターから最も狙われるようになったと考えています。」

前述のKutscherは次のようにも述べています。「今年のM-Trendsレポートでは、最も頻繁に使用されている最初の侵害経路として、脆弱性のエクスプロイト(29%)、フィッシングメール(23%)、盗まれた認証情報またはブルートフォース(19%)の3つを挙げています。フィッシングメールが依然としてサイバー攻撃の手法として主要なものであることに変わりはありませんが、被害者を危険にさらすために脆弱性を悪用したエクスプロイトによるケースが増加しています。エクスプロイトの利用が増加していることから、企業は製品の脆弱性に対するパッチの適用について、より強固な計画を立てることが必要です。ここで重要なことは、どのようなリソースや情報が利用可能か判断し、迅速にパッチを当てるべきシステムと、後からパッチを当てるべきシステムの優先順位を、攻撃者の目的や標的に関する最新情報に基づいて判断をくだすことです。」

Mandiant のエグゼクティブ・バイス・プレジデント兼CTO であるCharles Carmakal は次のように述べています。「多角的なサイバー恐喝やランサムウェアは、企業や組織にとって最も一般的な脅威です。今年のレポートでは、Mandiantが調査した不正アクセスの少なくとも36%は、金銭目的となっている可能性が高いことが分かりました。ランサムウェアを用いて恐喝を行う攻撃者は、単なる日和見的な攻撃キャンペーンではなく、多額の身代金に応じる可能性が高い組織を標的にする傾向があります。そのため、データの窃盗および被害組織への不正アクセス権の転売は依然として高い水準にあります。このような攻撃が急増しているため、企業は潜在的な被害を軽減するために事前に対策を講じる必要があります。

Carmakalは続いて次のように述べています。「脅威グループやサイバー犯罪者が、『羊の皮を被った狼』のように、侵害のさまざまな段階で公開ツールを利用する傾向が引き続き見られます。レッドチーム演習やペネトレーションテスト(セキュリティ診断)でよく使用される、公開されている市販のツールを使用することで、攻撃者はセキュリティテストに紛れ込むことができます。また、属性がより複雑化してきています。今回のレポートでは、不正侵入の24%にBEACONの使用が含まれていました。これは、Cobalt Strikeソフトウェア・プラットフォームの一部で、ネットワーク環境の侵入テストによく使用される商用ソフトです。BEACONは、APT19、APT32、APT40、APT41、FIN6、FIN7、FIN9、FIN11など、幅広い脅威グループのほか、300近くの未分類の脅威活動クラスタで使用されていることが確認されています。」

Mandiant  グローバル脅威インテリジェンス担当エグゼクティブ・バイス・プレジデントであるSandra Joyceは次のように述べています。「SolarWindsのサプライチェーン攻撃を行った脅威アクターであるUNC2452は、高度に訓練された忍耐強い攻撃者を過小評価できないことを改めて浮き彫りにしました。UNC2452は、オペレーション・セキュリティ、フォレンジック対策、さらには防諜対策にも注意を払っており、他の攻撃グループとは一線を画しています。この脅威アクターに対する防御は容易ではありませんが、不可能ではありません。この数ヶ月間でUNC2452について多くのことを学びましたが、今後はその情報が我々の強みになると信じています。」

「M-Trends 2021」レポートの全文はこちらをご覧ください。

さらにファイア・アイは、2021年6月17日(木)にオンラインイベント、「FIREEYE MANDIANT VIRTUAL SUMMIT」においてM-Trends 2021の内容を解説するセッションを行う予定です。

詳細はこちらをご覧ください。

 

■Mandiantについて

FireEyeの一部門として提供されるMandiant Solutionsは、世界をリードする脅威インテリジェンス、最前線の専門知識と継続的なセキュリティ有効性検証を組み合わせることで、企業・組織におけるセキュリティの有効性を高め、リスクを軽減するために必要なソリューションを提供しています。

■FireEye®(ファイア・アイ)について

FireEyeはインテリジェンス主導型のセキュリティ企業です。顧客企業は、FireEyeの革新的セキュリティ技術、国家レベルの脅威インテリジェンス、世界的に著名なMandiant®コンサルティングの知見が統合された単一プラットフォームを、自社のセキュリティ対策の一部としてシームレスに組み込むことができます。このアプローチにより、FireEyeは準備、防御、侵害・レスポンスといった、組織がサイバー攻撃対策をするうえでの課題となっていた複雑性や負担を解消します。FireEyeは「Forbes Global 2000」企業の5割以上を含む、世界103か国以上の10,100を超える組織で利用されています。

FireEyeウェブサイト: https://www.fireeye.jp/ 

 

【報道関係の方からのお問い合せ先】
ファイア・アイ広報事務局
(ホフマンジャパン株式会社内)
担当: 小倉 / 小嶋
Email: [email protected]

 

©2021 FireEye, Inc. のすべての権利を保有しています。FireEyeおよびMandiantは、米国およびその他の国におけるFireEye, Inc.の商標または登録商標です。その他のブランド名、製品名、サービス名は、それぞれの所有者の商標またはサービスマークです。