SonicWall 2024年版サイバー脅威レポート中間アップデート:IoTの狂騒、PowerShellの問題など
2024年の上半期が過ぎ去りました。SonicWallの2024年版サイバー脅威レポート中間アップデートでは、その期間中に当社が収集したデータを使用して、最新の脅威の情勢と業界のトレンドについてより明確に説明しています。ビジネスメール詐欺(BEC)攻撃が増加傾向で、サプライチェーン攻撃と関連するリスクも増えており、IoTマルウェアはますます大きな問題になっています。さらに、当社は今年の脅威とこれまでのトレンドに関するSOCの視点を提供します。そのすべてを測定するために、当社は、より精度の高いシステムを導入しています。 さようなら「HITS」、こんにちは「TICKS」 脅威はより危険なものに進化し、当社の保護機能もそれらと並行して進化していますが、当社が脅威を測定する方法の重要性は見落とされがちです。2024年版サイバー脅威レポート中間アップデートで、当社は変革の時期であると決断しました。 これまで当社はファイアウォールに対するすべての被害件数(HITS)をカウントしていました。これは暴風雨のときにすべての雨粒を数えるようなものであり、実際に起きていることを誇張して示すことにつながるおそれがあります。「TICKS」指標は、一つ一つの被害ではなく、ファイアウォールが攻撃を受けている時間数をカウントする仕組みです。さきほどの雨の例では、「今日の午後は300万粒の雨が降りました」と説明することと「今日の午後は1時間雨が降りました」と説明することは著しく異なります。TICKSは一貫性が高く、比較やデータの解釈が簡単になります。また、テレメトリデータの分析とレポートの方法が全体的に大幅に改善されます。また、どれだけの収益が危険にさらされ、SonicWallによって保護されたかを正確に分析することもできます(詳細についてはレポートの全文を確認する必要があります)。 脅威に関する総括 ビジネスメール詐欺(BEC): ビジネスメール詐欺(BEC)攻撃は増加傾向です。実際に、ランサムウェアのイベント1件に対して10件のBECイベントが報告されており、BECイベントの70%にさまざまなソーシャルエンジニアリングの手法が関係しています。 IoTマルウェア: IoT(モノのインターネット)マルウェアは2024年上半期に107%の急増となりました。攻撃対象であったデバイスは平均で52.8時間攻撃を受けていました。 クラウド攻撃:: 当社のマネージドサービスチームの顧客からのアラートの83%はクラウドアプリや侵害を受けた認証情報に関連するものです。このことは、攻撃対象領域としてのクラウドの拡大が2024年以降も続くことを意味します。 サプライチェーン攻撃が引き続き増加 2024年のサプライチェーン攻撃について現在までにわかったことがあるとすれば、それは、サプライチェーン攻撃はより日常的であり、よりインパクトがあり、対処することがより困難なものになっているということです。今年はJetBrains TeamCityの認証バイパスの脆弱性など、複数のサプライチェーンの脆弱性が注目を集めています。攻撃者はこの脆弱性を悪用して、影響を受けたシステムを制御できました。完全に制御できたケースもありました。実際に、SonicWallの顧客の16%がこの脆弱性を悪用しようとした攻撃の標的になりました。これらの攻撃の大半(83%)は3月に発生し、その後数か月で急激に減少しました。 サプライチェーン攻撃につながったのは新しい脆弱性だけではありませんでした。今年の上半期は、旧来の手法も有効であることが示されています。リソースが限られている中小企業(SMB)にとって、Log4jとHeartbleedは依然として大きな脅威であることがわかりました。 PowerShell:良いことにも悪いことに役立つ? PowerShellは優れたツールです。非常に強力なスクリプティング機能を備えており、Windowsオペレーティングシステムとの緊密な統合が可能です。自動化ツールとして最高レベルと言えるかもしれません。しかし残念なことに、開発者にとってPowerShellを素晴らしいツールたらしめている機能は、サイバー犯罪者にとってもPowerShellを素晴らしいツールに変えてしまいます。実際に、主要なマルウェアファミリーの90%以上がPowerShellを不正な目的で利用しています。AgentTesla、GuLoader、AsyncRat、DBatLoader、LokiBotはすべてPowerShellを悪用しています。 現在はより日常的になっていますが、このような悪用はしばらくの間発生し続けており、2020年にさかのぼってPowerShellベースの攻撃の大規模な急増を示している報告もあります。PowerShellはこれらのサイバー犯罪者を阻止するために取り組んできましたが、回避する方法を発見して努力を続けただけでした。 IoT(モノのインターネット)攻撃の急増 IoTデバイスへの攻撃は2024年上半期に前年比107%というきわめて大幅な増加を記録しています。攻撃が増加している理由は人々が考えている以上に単純です。IoTデバイスのセキュリティが良くない傾向にあるからです。多くの攻撃者はより狙いやすい標的を好みます。IoTデバイスは最も狙いやすい標的の1つです。この点とWindowsなどの主要なオペレーティングシステムのセキュリティが向上している事実を合わせて考えると、これらのサイバー犯罪者にとってより容易な選択肢になります。この急増の最大の要因の1つは、TP-Linkのコマンドインジェクションの脆弱性であるCVE-2023-1389です。この脆弱性は、それだけでも中小企業の21.25%に影響を及ぼしています。この脆弱性と他のIoT攻撃を合わせると、急激な増加の理由を理解できます。また、これらのデバイスは多くの場合重要なインフラストラクチャに直接つながっているため、メーカーがいつセキュリティについてより真剣に考え始めるのか判断に迷います。 ヘッダー:SonicWallの2024年版サイバー脅威レポート中間アップデートをダウンロード 本文:2024年版サイバー脅威レポート中間アップデートは、2024年上半期の最新のインテリジェンス、トレンド、実用的なインサイトについて詳しく説明しています。SonicWallによる独自の脅威インテリジェンスの詳細は、無料のレポート全文を今すぐ入手してご覧ください。 詳細はこちら
サイバー犯罪者の思考を探る:SonicWall、新たなサイバー攻撃に関するデータや脅威アクターの動作を最新レポートで解明
サイバー犯罪者や脅威アクターにとって、最先端のデジタル領域は標的や攻撃機会にあふれた無法地帯です。政府機関や法執行機関、監視グループの取り組みも虚しく、現代のサイバー脅威はかつてないほど機敏で、検知を巧妙に回避します。 こういった背景から、SonicWall Capture Labsの脅威研究者たちは、グローバルなサイバー軍拡競争に先手を打つべく、実用的な脅威インテリジェンスで組織やエンタープライズ、政府、企業の防御力を強化しようと絶え間なく取り組んでいます。 この取り組みの一環として、2020年SonicWallサイバー脅威レポートでは、サイバー犯罪者の思考を探り、次なる攻撃に備えするうえで役立つ脅威インテリジェンスを提供しています。 世界的なマルウェアの蔓延は減少するが、標的がより明確に 過去5年間、サイバー犯罪者は膨大な数の攻撃を組織に仕掛けてきました。しかし、サイバー防衛の進化に伴い、攻撃数が増加してもダメージを抑えることが可能となりました。 そこで2018年、サイバー犯罪者は「より脆弱な」標的に対し、さらに回避的で的を絞った攻撃を開始しました。2019年には全世界のマルウェア件数は減少しましたが、医療業界や地方自治体など、そのターゲットがより明確となり、成功率も上昇しています。 SonicWall Capture Labsは2019年、前年比で6%減少となる99億件のマルウェア攻撃*を記録しました。 地方自治体を狙ったランサムウェア 「運任せで攻撃」する手法はもう通用しません。サイバー攻撃者は、所有している機密データや資金(またはその両方)を奪い、その引き換えに金銭を支払う可能性がある被害者を巧妙に狙うランサムウェアという手法を使用します。今は「大物狩り」が主流なのです。 本レポートでは、2019年に発生した最も悪質なランサムウェア攻撃の概要に加え、Cerber、GandCrab、HiddenTearなどのランサムウェアファミリーやシグネチャの進化の実態についても解説しています。 第3四半期にはファイルレスマルウェアが急増 ファイルレスマルウェアは、メモリベースのアーティファクト(RAMなど)にのみ存在する悪意のあるソフトウェアの一種で、コンピュータのハードドライブにアクティビティを書き込まないため、既存のコンピュータのフォレンジック分析がうまく働きません。 2019年、盛衰の傾向を見せたファイルレスマルウェアですが、SonicWall独自のデータでは、このスマートな手口が中期に大幅に急増することを示しています。 着実に高まる暗号化された脅威 来年も増加の兆しを示しているのが、暗号化された脅威です。より多くの組織がプロアクティブに、責任をもってTLS/SSLトラフィックを検査する体制ができるまで、この攻撃ベクトルは拡大の一途を辿ると考えられます。 IoTマルウェア件数の増加 玄関先カメラのハッキングやベビーモニタの不正侵入など、2019年にはIoTデバイスのセキュリティとプライバシーに深刻な脅威が及びました。今後も、IoTベースの攻撃が増える兆しがトレンドデータから示されています。 クリプトジャックの崩壊 2019年上旬、ビットコインや補完的な暗号通貨の価格により、正当なCoinhiveのマイニングサービスを悪用した、Coinhiveベースのクリプトジャックマルウェアが横行しました。Coinhiveのマイニングサービスが終了したことで、2019年、最も話題を呼んだこのマルウェアは消滅しました。
Wind RiverのVxWorksおよびURGENT/11について – 今すぐパッチを適用してください
お知らせ: 特定のバージョンのSonicOSで稼働するSonicWallのフィジカルファイアウォール機器では、リモート管理のためにサードパーティのTCP/IPコードが使用されており、そのコードにURGENT/11と呼ばれる脆弱性が見つかりました。現時点では、発見された脆弱性のインターネットを介した悪用は確認されていませんが、 SonicWallでは、ただちにSonicOSのパッチを適用されることを強く推奨します。SonicOSの最近のバージョンそれぞれにパッチが用意されています。詳しい説明はセキュリティ アドバイザリーで提供されています。 SonicWallでは、パッチが適用されたSonicOSのバージョンを、現在有効なサポート契約を結ばれていないお客様も含め、皆様に無料で提供しています。また、URGENT/11に対して脆弱な他の機器の保護に役立つファイアウォール機能を提供する、最新のSonicOSリリース(6.5.4.4)へのアップデートも推奨しています。 Wind RiverのVxWorksおよびURGENT/11の脆弱性について Armis社(米国IoTセキュリティベンダー)のセキュリティー研究者は、Wind RiverのVxWorksリアルタイムオペレーティングシステムのTCP/IPスタックに11の脆弱性を発見し、それについて責任ある開示を行いました。VxWorksリアルタイムオペレーティングシステムは世界中の何百万もの機器で使用されているほか、宇宙においても火星に着陸したスペースクラフトでも使用されており、SonicWall製品では特定のバージョンのSonicOSで使用されています。Wind RiverのVxWorksのTCP/IPスタック(名称「IPNET」)には「URGENT/11」と名付けられた脆弱性が含まれており、 そのうちSonicOSに影響する1つの重要な脆弱性タイプがパッチリリースによって対処されます。 野放し、パッチ不適用:危険が広がるIoT Wind RiverのVxWorksは、ネットワーキング、電気通信、自動車、医療、産業用、家電、航空宇宙、その他多くの分野において、IoTや組み込みアプリケーションで広く使用されているリアルタイムオペレーティングシステムです。 組織の周囲の保護を担うのはファイアウォールですが、ファイアウォールは往々にして集中管理ロケーションから能動的に管理され、監視されるデバイスです。 それぞれのファイアウォールの背後には、「使用するファイアウォールは上手く動作しているか?最新の状態に保たれているか?」と毎日真っ先に確認する人がいます。アップデートのリリースから数日以内にこのような人たちが保守のための時間帯をスケジュールし、セキュリティのギャップを埋めます。 しかしながら、インターネットに直接接続している、あるいはさらされている他のデバイスではほとんどの場合そのような人は存在せず、これらの「IoT」デバイスの数自体もファイアウォールよりも桁違いに多くなっています。目に見えない氷山の一角ようなリスクをインターネットにもたらすのは、能動的な管理またはパッチの適用がなされていない、莫大な数の接続デバイスです。非常に優れたソフトウェアであってもいずれ脆弱性が見つかるものです。インターネットやオンラインエコシステムのセキュリティは、修正プログラムをロールアウトして展開する能力にかかっています。 2019年SonicWallサイバー脅威レポートの中間アップデートでは、SonicWallのCapture Labsがすでに、昨年の最初の2四半期の数字を上回る、1350万件ものIoT攻撃を記録していると報告しています。 何億ものIoTデバイスが脆弱でありながらパッチが適用されていないままであることが判明していることから、この現状についてセキュリティの専門家だけでなく政府の規制当局も懸念しています。 これはインターネットの危険な弱点の一つであり、往々にして端末機器としてインターネットに接続されて長期間にわたりそのまま放置された状態になっている消費者向けデバイスを含め、IoTデバイスの爆発的な増加によってさらに危険が高まっています。IoTの広範なリーチは、いくつもの業界に対して警鐘を鳴らすものと言えるでしょう。 「絶えずパッチの適用を怠らないこと」 古いソフトウェアに対して公開された脆弱性の武器化は、ユーザーがソフトウェアのアップデートを決して先延ばしにしてはならないという重要な事柄を再確認させるものとなっています。アップデートは、今日急速に進化する脅威的状況からインフラストラクチャを保護するために実行できる最も重要な手段の1つです。 そのままにしたり後回しにしたりせず、今すぐパッチを適用してください。また、今後も常にパッチの適用を怠らないようお願いいたします。
2019 SonicWallサイバー脅威レポート: 大企業、中小企業、政府を狙う脅威の正体を暴く
年次のSonicWallサイバー脅威レポートを発行する度に、我々は自分たちがなぜこの業界に携わっているのかを思い出します。 オンライン上の人々や企業・組織がサイバー犯罪によってどのような影響を受けるのかを明らかにするために、当社のエンジニアと脅威研究者は何か月もこのプロジェクトに取り組みます。 そしてその結果、サイバー攻撃はあらゆる分野にわたって増加しており、犯罪は一向に沈静化しておらず、ハッカーや犯罪者グループによる攻撃の数は増え、手口の巧妙さもより高度になってきているという事実が判明しました。2019 SonicWallサイバー脅威レポートでは、攻撃の方法、範囲および程度について説明しています。 急速に変化するサイバー攻防戦の実態をご理解いただくために、2019 SonicWallサイバー脅威レポート(無償提供)のダウンロードをお勧めします。サイバー脅威を統合・分析・視覚化することにより、お客様とお客様の所属組織は、これまでにはない権限と決断力と正確さをもって反撃できるようになります。それではレポートの内容を見ていきましょう。 マルウェアの数は現在も増加中 2016年、業界ではマルウェア検出数の減少がみられましたが、それ以来、マルウェア攻撃は33.4%増加しています。2018年には、SonicWallが全世界で記録したマルウェア攻撃は105億2千万件に上り、当社によるそれまでの記録を更新しています。 イギリスとインドはランサムウェア対策を強化 SonicWall Capture Labの脅威研究者は、ランサムウェア攻撃が、イギリスとインドの二国を除くほぼすべての地域で増加したことを確認しました。本レポートは、ランサムウェアの検出数はどこで推移したか、また、この変化によりどの地域や都市が最も影響を受けたかについて概説しています。 メモリに対する危険なサイバー脅威、「サイドチャネル攻撃」の早期発見 本レポートは、SonicWallリアルタイムディープメモリーインスペクション(RTDMITM)が、特許申請中のテクノロジーを使用して危険なサイドチャネル攻撃をどう緩和するかについても説明しています。サイドチャネルは、Foreshadow、PortSmash、Meltdown、SpectreおよびSpoilereといったプロセッサの脆弱性に付け込んでデータを盗み出すための、基本的な手法です。 悪意のあるPDFとOfficeファイルは従来型のセキュリティ管理では対応できず サイバー犯罪者は、マルウェアが従来のファイアウォールや最新のネットワーク防御システムさえも回避できるようにするために、PDFやOfficeドキュメントの兵器化を進めています。SonicWallは、この変化が従来のマルウェアの配信方法にどう影響しているかについて報告しています。 非標準ポートへの攻撃 80番ポートと443番ポートは共にウェブトラフィック用の標準ポートであるため、多くのファイアウォールはこれらのポートを重点的に保護するようにできています。これに対抗するため、サイバー犯罪者は、ペイロードがターゲット環境で検出されることなく展開されるよう、様々な非標準ポートを標的にした攻撃をしかけています。問題なのは、各組織がこの経路の安全を確保していないために「攻撃が検出されないまま放置される」ということです。 IoTへの攻撃が増加 適切なセキュリティ管理が施されずに市場に送り出される大量のIoT(モノのインターネット)デバイスが存在します。実際、SonicWallは、IoTへの攻撃が前年比で217.5%増加していることを突き止めました。 暗号化攻撃の着実な増加 暗号化トラフィックが増加するにつれ、TLS / SSL暗号化によって隠蔽された攻撃もまた増加しています。2018年には280万件を超える暗号化攻撃が発生しており、2017年に比べて27%増加しています。 クリプトジャックの盛衰 2018年は、クリプトジャックがその出現とほぼ同じ速さで消失した年でもありました。SonicWallは4月から12月の間に全世界で何千万件ものクリプトジャックを記録しましたが、その数は9月にピークに達して以来、着実に減少しています。クリプトジャックは一過性のものだったのでしょうか、それとも今後増える可能性があるのでしょうか? 全世界のフィッシング検出数が減少する一方で、標的型攻撃が台頭 企業が電子メール攻撃をブロックする能力を高め、従業員が疑わしい電子メールを見つけて削除できるようになる一方で、攻撃者もまたその戦術を変えつつあり、全体的な攻撃の数を減らしながら、より的を絞ったフィッシングキャンペーンを展開しています。SonicWallが2018年に全世界で記録したフィッシング攻撃は2,600万件に上っており、2017年に比べて4.1%減少しています。
高度なエンドポイント検知・対応(EDR)機能を備えたCapture Client 2.0
エンドポイント保護機能は、従来のシンプルなアンチウイルス(AV)モニタリングより大幅に進化した機能です。エンドポイントで検出された疑わしいファイルや動作について一貫性のある予防的な調査と軽減が今日のエンドポイントには必要です。 SonicWall Capture Client 2.0のリリースにより、組織は、高度なエンドポイント検知・対応(EDR)機能を使って、エンドポイントの正常性をアクティブに管理することができます。 高度なエンドポイント検知・対応(EDR)機能を備えたSonicWall Capture Clientを活用して管理者は攻撃元と標的を追跡し、必要に応じて削除または隔離を行い、感染や詐欺が確認された場合はエンドポイントを元の正常な状態にロールバックできます。 Capture Clientでは、従来のアンチウイルス(AV)ソリューションで通常必要とされるような、手動によるオフラインでのフォレンジック分析や再イメージ化を必要とせず、マルウェアの影響緩和、エンドポイントのクリーニングを実行することが可能です。 ウェブ脅威対策で、従業員によるミスからエンドポイントを保護 SonicWallのContent Filteringオプションは、悪意のあるウェブコンテンツ(例えば、フィッシングサイト)や生産性を阻害すサイト(ソーシャルメディア等)からの脅威をブロックするとともに、アプリケーション通信帯域を管理するために学校や中小企業、企業で使用されてきました。 ウェブ脅威対策と呼ばれるこの技術の一部は、現在Capture Client 2.0に組み込まれています。この機能は、Content Filteringを利用して数百万の既知の悪意のあるURL、ドメイン、およびIPアドレスへのアクセスをブロックします。これにより電子メールによるフィッシング攻撃、悪意のあるダウンロード(ランサムウェアなど)その他のオンラインの脅威を防止することができます。 ウェブ脅威対策は管理者に別のセキュリティ層を提供するため、管理者が感染をクリーンアップしたりPCを元の正常な状態にロールバックしたりする必要がなくなります。 エンドポイントデバイス制御による攻撃領域エリアの縮小 最近のGoogleの社会的実験で、45%の「落とし物」のUSBキーが、それを拾った人によってデバイスに差し込まれていた、ことが判明したことをご存知ですか。 職場とその周り(コーヒーショップ、会社の駐車場、ロビーなど)に感染したUSBドライブを落としておきさえすれば、企業に対し非常に効果的な攻撃を仕掛けられるということとして広く認識されています。事実、多くの小売店には、あらゆる場所からのネットワークへの感染を容易にする、むき出しのUSBポートを備えたPOSシステムがあります。 USBなどの感染したデバイスがエンドポイントに接続するのを防ぐために、Capture Clientデバイス制御機能は、未知のデバイスや不審なデバイスをロックアウトします。管理者は、承認されるまで未知のデバイスへのエンドポイントのアクセスをブロックしたり、プリンターやリムーバブル記憶域などクリーンなデバイスをホワイトリストに登録し、脅威の範囲を狭めることができます。 パートナー、顧客にとってより良いエンドポイントの保護ライセンス SonicWallは、クライアントの安定性と機能性の向上を提供することのみに終始しているのではありません。たとえば、昨年私たちは、パートナーや顧客のグローバルネットワークと協力し、より良いビジネス慣行を生み出しました。 ご要望の増加に伴い、SonicWall認定パートナー対象に競合製品乗り換えSKUを無期限プログラムとしてご提供することになりました。顧客の皆様には、競合製品からの切り替えに際し、2年間分のサポート価格で3年間のサポートをご利用いただけるようになります。 また、新しいバンド型SKUを2019年3月から発売するにあたり、前回ご注文いただきサポート提供させていただいているSKUパックを廃止します。この新しいバンド型SKUにより、必要なだけのライセンスの数を、その数量に合わせた適切な価格で発注いただけます。バンドは5シートからご注文いただけます。5シートから10,000シート、さらに10,000シート超えの各ご注文に対し8タイプのボリュームディスカウントの中から適当なものを受けることができます。
This post is also available in: 英語 ポルトガル語(ブラジル) フランス語 ドイツ語 韓国語 スペイン語