連載
» 2020年02月04日 05時00分 公開

セキュリティ・アディッショナルタイム(38):2019年のサイバー脅威には3つの変化があった――取引先のセキュリティ対策確認で何を聞けばいい?

Sophosのチーフ・リサーチ・サイエンティストに、2019年のサイバー脅威、3つの変化と2020年に注意すべき傾向を聞いた。

[高橋睦美,@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 セキュリティ企業、Sophosでチーフ・リサーチ・サイエンティストを務めるChester Wisniewski(チェスター・ウィスニエフスキー)氏が、2019年11月に来日した。200人に上るリサーチャーが日々まとめている解析結果や調査動向を集約し、全体像を描くことを主な任務としている同氏に、昨今のサイバーセキュリティ動向について尋ねた。

2019年のサイバー脅威、3つの変化とは

 ウィスニエフスキー氏は2019年を振り返って、脅威トレンドには主に3つの変化があるとした。

Sophos チーフ・リサーチ・サイエンティスト Chester Wisniewski(チェスター・ウィスニエフスキー)氏

 1つ目は、ランサムウェアの変化だ。数年前とは異なり、コンシューマーではなく企業を主なターゲットにし始めた。「理由は簡単で、その方がお金がもうかるからだ。個人をターゲットにした場合、得られる身代金はPC1台当たり500ドル程度だが、企業ならば1万ドル以上になることもある。このため、ランサムウェアの感染件数自体は減っても、被害額は増えている」(ウィスニエフスキー氏)

 日本国内でも話題になった「Emotet」も、感染先が個人のPCならばオンラインバンク関連の情報を盗み出すが、もし企業内にあるコンピュータだと分かればランサムウェアに感染させ、金銭を取ろうとするという。

 2つ目は、攻撃対象の変化だ。デスクトップPCやラップトップPCの代わりに、「サーバ」が狙われ始めているという。皮肉なことかもしれないが、数々の痛い経験を踏まえながらPC側のセキュリティ対策が向上してきたのに対し、「サーバの保護レベルは低い」とウィスニエフスキー氏。

 サーバが狙われる理由は幾つかある。まず、サーバには価値のある情報がたくさん保存されている。そして、ひとたび問題が発生すると、バックアップから復旧させるのは難しい。

 何より、「サーバへのパッチ適用は、(クライアントPCに比べ)遅れがちだ。たいていのデスクトップPCならば、WindowsやOfficeの脆弱(ぜいじゃく)性を修正するパッチは2週間程度で適用されるし、ブラウザも自動更新機能を備えるようになった。だがサーバの場合、Oracleのようにクリティカルなエンタープライズアプリケーションが稼働しており、パッチを適用する前に何度もテストし、慎重に適用しなければならない。このため、90日から180日たっても脆弱性が修正されないことがある」(ウィスニエフスキー氏)

 その上で同氏は「かといって、サーバの安定稼働を優先させたい事情を考えると、この状況を変えるのは難しい。パッチ適用はクライアント環境には有効な手段だが、サーバの場合はそうとも限らない。従って、次世代保護ツールなどを用いて攻撃コードからサーバを保護するなど、リスクを緩和する手段を取ることをお勧めしたい」とした。

 3つ目は、サプライチェーン攻撃の増加だ。取引先やパートナーを介した攻撃は、2020年以降、さらに増加する恐れがあるという。

 「この数カ月の傾向を見ると、何百もの企業と契約しているサービスプロバイダーをターゲットにしたサプライチェーン攻撃が非常に増加している。1カ所を侵害するだけで、そこから何百、何千社もの顧客企業にアクセスできてしまうので、攻撃者にとってはとても効果的だ。非常にスケーラブルなことから、サプライチェーン攻撃の件数はいろいろな分野で増加している」(ウィスニエフスキー氏)

 そして、サーバを狙う攻撃にしてもサプライチェーン攻撃にしても、今後の攻撃パターンを占う上で、APT(高度標的型)攻撃の動向に注目すべきだという

 「当初は、政府機関が関与していたAPT攻撃で使われていた手法を、サイバー犯罪者がまねするようになった。どの国が関与しているかに関係なく、彼らにとって『いいアイデア』があればすぐにまねして活用し始める。しかもマルウェアは、物理的な武器とは異なりいくらでもコピーできるため、より危険度は高い」(ウィスニエフスキー氏)

2020年、特に注意が必要なのは?

Copyright © ITmedia, Inc. All Rights Reserved.

編集部からのお知らせ

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。