巧妙・高度化する攻撃への対策コストは高まる一方
乙部氏は続いてDeep Instinctが公開した「2021年 上半期 脅威情勢レポート」から、最新のサイバー脅威について説明を行なった。
まず、最初に紹介したのが「標的系」と呼ばれている脅威。その攻撃の多くはインパクトが大きく、被害を受けてしまうと組織を大きく衰弱させてしまうものだ。たとえば、ランサムウェアによってデータが暗号化されることによってビジネスの継続性が脅かされるだけでなく、窃取されたデータを公開するといった二重三重の恐喝も生じている。
次に「ばらまき系」は、情報搾取系のスパイウェアから始まり、ボットネット、ランサムウェアと連鎖的に攻撃を展開することが特徴だ。攻撃者側は、分業によって収益を分配するモデルができあがっている。また、新型コロナウイルス感染症に起因したサイバー脅威も登場。リモートワークが推進されるとともにシステムもクラウド化されていき、ネットワークも複雑になっている。そのため、これまでにない程に攻撃面が広がっており、防御が難しくなっている。
特に大規模なランサムウェアの事案において、被害額が拡大しているという。乙部氏は、アメリカのコロニアル・パイプライン社というガスパイプラインの会社が、ランサムウェアの被害にあって約4.8億円の身代金を支払ったケースや、食肉加工会社であるJBSが12億円の支払いを行った事案などを説明した。
「『なぜ12億円も支払うのか?』と疑問に思われるかもしれません。たとえば、フランスのIT系ベンダーであるSopra Steria社は、身代金要求に応じませんでした。しかし、その代わりに対策費用として約66億円も必要になったと公表しています。身代金を支払わない場合、こういった対策コストが経営的に大きなインパクトを与えてしまう一方で、身代金を支払った95%のケースでデータを取り戻せているという報告もあります。そのため、倫理面は別として60億円をかけてインシデント対応をするのではなく、身代金を支払ってしまうことも、経営者としては1つの選択肢になるのです」(乙部氏)
また、攻撃の技術トレンドとしては、以前のように長期間にわたる潜伏は減少傾向にあり、感染/実行/組織全体への横展開に遷移している。さらに侵入経路については、ネットワーク機器やリモートデスクトップの抜け穴を突くケースも増えているという。攻撃の初期段階では、検知回避の技術を備えたWord/Excel形式のファイル、PDFなどをメール添付で展開するパターンが多くなっている。これらのファイルがマクロを経由してWindowsの標準機能であるPowerShellを起動、コマンドを実行してマルウェアをダウンロードさせるものだ。
[画像クリックで拡大]
こうした攻撃の技術トレンドの中でも、アンチウイルスソフトをすり抜けるためにAIを活用した敵対的機械学習(Adversarial Learning)が使われた兆候があるということも注目すべきポイントだとしている。アンチウイルスソフトの中でも機械学習というAI技術と取り入れる製品が増えてきたため、攻撃者はそれを意識した動きを見せ始めているという。
そのため、新たな対処法として利用されているのが、エンドポイント監視のEDR(Endpoint Detection and Response)だ。しかしながら乙部氏は、「EDRは、怪しいイベントのアラートをどんどん出すのですが、それらの中から重要な情報だけを適切に見分けることは、企業内に専門組織を有していたとしても困難な作業です。そのため、自然とそのような作業をアウトソースする流れになり、コストが増えて人的リソースを消費しているだけというケースが多くなっています」と、コストと効果の間でアンバランスが生じている点を指摘した。
“検知と対処”に舵を切ったセキュリティ対策は、やればやるほどコストとリソースを消費するようになってしまったという。
