どれくらいあぶない？社員が使うPC、その脅威の現状とエンドポイントデバイス

　2017年には、150か国以上が影響を受けたとされるランサムウェア「WannaCry」をはじめ、世界中で毎月のように重大なインシデントが報告されました。

　2018年に起きた仮想通貨の流出事件は社員を狙った標的型攻撃によるPC感染が原因とも言われており、サイバー攻撃は年々巧妙になり、被害は増え続けています。2021年のサイバー攻撃の被害額は6兆ドルになり、すべての不法ドラッグ取引額より大きくなるという予想もあります。

参考資料：2017 Annual Cybercrime Report　

　これらのインシデントの原因の一つとなるマルウェアの現状を見ると、G DATA Software社は、2017年度だけで、約840万個の新しいマルウェアが検出されたことを発表しています。この10年間でその数は実に63倍に増え、2017年には1分間に16種類、3.75秒に１つ新しいマルウェアが作成されたことになります。

参考資料：G DATA Software “Malware numbers 2017

  実際に、サイバー攻撃の推移を可視化するサイトを見ると、インターネットに曝される環境では毎秒数百～数千オーダーの攻撃をPCが受けていることがわかります。

参考資料： Kaspersky CYBERTHREAT REAL-TIME MAP　

　これらの統計情報が示しているのは、PCなどエンドポイントデバイスに対するマルウェアによる攻撃を完全に防ぐことはますます難しくなっているということです。従来の予防対策に加えて感染を前提とした現実的な対策をとる必要があるということがわかります。

エンドポイントセキュリティの新たな課題

　サイバー攻撃は、数だけでなく攻撃の目的や手段も変化しています。HP Labsのセキュリティ研究所は、最近の脅威のトレンドとして１）攻撃の目的の変化とそれによる被害額の拡大、そして２）より低レイヤーへの攻撃の２つを挙げています。

参考資料： HP 2018 Cybersecurity Guide　

　これまでサイバー攻撃の目的は個人情報をはじめとする重要情報の窃盗が多くを占めていました。そのため、情報漏洩に関連した脅威に対する対策は、暗号化などの技術的対策から、最近では保険によるリスク緩和など様々な対策がすでに取られています。

　一方で、今後注目すべき傾向は攻撃対象の組織のシステムを破壊し、事業を停止に追い込む破壊型攻撃の増加です。2010年代の初めからいくつかのインシデントが報告されてきましたが、2016年からその頻度が急速に増えています。2017年7月のランサムウェア「NotPetya」は多くのUSとヨーロッパの企業のPCに感染しました。ランサムウェアの形態を取っていましたが、マスターブートレコード（MBR）を動作不能にし、PCを破壊することにその目的があったと言われています。

主なインシデント例

　破壊的攻撃の恐ろしさは、その被害額の大きさです。組織内のPCの広範な破壊は膨大なリストア作業を必要とするため、大規模な感染の場合には復旧に数週間から1か月程度要する場合もあります。長期間の業務の停止により、大きな損害を引き起こします。

　エンドポイントセキュリティのもう一つの課題は低レイヤー攻撃への対策です。PCの機能の基盤となっているBIOSは侵入を検知することが非常に難しいため、一度マルウェアがインストールされると、攻撃者がシステムへ継続的にアクセスすることを可能にします。そのため、長期的かつ深刻な被害を引き起こす可能性が高い攻撃手法です。1990年代からその被害は報告されていましたが、2010年代になってからもUEFI ルートキットを使った攻撃 が報告されています。

参照:The Hacker News

 OSレベルの各種のマルウェア対策が進んできたことで、攻撃に要するコストが上がってきている事、BIOSがUEFIで標準化され技術の汎用性が高まった事と相まって、依然として技術的な難しさはあるものの、BIOSへの攻撃は攻撃者にとってROIの高い手法と考えられています。

　低レイヤーへの攻撃対策は、広くネットワークにつながるエンドポイントデバイス共通の課題でもあります。プリンターや複合機、IoT機器は限られたシステムリソースで機能を実現しているために、そのセキュリティ機能の実装はファームウェアなどの低レイヤーに実装されます。