エッジデバイスを狙った攻撃の増加
レポートでは、「エッジデバイスを狙った攻撃の増加」という新たな脅威トレンドが浮き彫りになりました。エッジデバイスとは、ネットワークの境界に位置し、インターネットサービスをホストしている、セキュリティおよびネットワーク機器を指しています。M-Trends 2024において、狙われやすい脆弱性として1位と3位に挙げられたものは、いずれもエッジデバイスに関連するものでした。
エッジデバイスが攻撃者の主要な標的となっている背景には、エッジデバイス特有の性質があります。多くのエッジデバイスは、ネットワーク上で高い権限をもって動作しているため、従来のエンドポイント保護ソリューションの対象外となりやすいこと。加えて、ファイアウォールやVPNなどの重要機能を担っている機器が多く、侵害されたときの影響も大きくなりやすいのです。
実際に攻撃者は、特定のエッジデバイスに特化したカスタムマルウェアの開発・利用を推し進めています。
- 「BOLDMOVE」(Fortinet製品向け)
- 「THINCRUST」(FortiAnalyzer/FortiManagerデバイス向け)
- 「TABLEFLIP」(ネットワークトラフィックリダイレクション用)
- 「SEASPRAY / WHIRLPOOL」(Barracuda Email Security Gateway向け)
などのカスタムマルウェアが該当します。これらのマルウェアにより、攻撃者は組織のネットワークに深く潜入し、長期間にわたって検出を回避しているのです。
検知と対応:改善の兆しと残る課題
こうした脅威トレンドがレポートから読み取れる中、脅威検知の能力については顕著な改善が見られます。全世界の平均検知時間は、2022年に「16日」だったものが2023年には「10日」に短縮されました。また、アジア地域では、2017年に「約500日」だった検知時間が、2023年には「9日」にまで短縮されています。これらの数字からは、組織のセキュリティ体制が着実に強化されていることも伺えるでしょう。
しかしながら、依然として大きな課題も残されています。なんと、「13%のケースで半年以上も脅威が検知されていない」という結果が報告されており、長期にわたる未検知の脅威が組織に潜在していることも露呈しました。さらに、“脅威の検知ソース”に関しても課題があります。全世界で54%、アジア地域では69%もの組織が外部からの通知に依存しており、組織内部での脅威検知能力が低く、ここに大きな改善の余地が残されているのです。