ファイア・アイは、「FireEye Mandiant M-Trends 2021」レポートの日本語版を公開した。今年で12年目を迎える本レポートは、サイバーセキュリティに関する専門知識と脅威インテリジェンスに関する情報を、Mandiantが一昨年10月1日から昨年9月30日の期間に世界各地で行った最新の侵害調査から得られた統計と洞察に基づいてまとめたものだとしている。
今年のレポートでは、増加傾向にある攻撃手法やマルウェア、ランサムウェアの拡散と二重のサイバー恐喝、今後予想されるUNC2452/SUNBURSTを模倣した攻撃者への対策などについて解説。また、昨今増加傾向にある内部脅威に加え、パンデミックに乗じたサイバー攻撃や標的とされた業界のトレンドなどがまとめられているという。
「M-Trends 2021レポート」の主な内容
侵害から検知までにかかる日数の中央値が初めて1ヵ月を下回る
過去10年間、Mandiantはセキュリティ侵害の発生から検知までに要した日数の全世界における中央値が減少傾向にあることを確認。2011年には、検知するまでに1年以上かかっていたが、昨年にはわずか24日にまで減少したとしている。56日だった昨年の報告書と比較しても、2倍以上の速さで検知されているという。Mandiantでは、組織の検知・対応能力の継続的な改善に加えて、多角的なサイバー恐喝やランサムウェアによる侵入が急増していることが原因だとしている。
内部検出数の増加
昨年のレポートでは、侵入の内部検知が前年に比べて減少したことが指摘されていたが、今年のレポートではインシデントの大半が内部の指摘により検知されるようになったことが確認されたという。昨年、インシデントの内部検知率は59%に上昇し、2019年と比較すると12ポイント上昇。このように、組織が自らの環境における侵入の大部分を検知するようになったことは、過去5年間に観測された全体的な傾向と一致するとしている。
また、注目すべき点は、すべての地域で内部検知率が前年よりも増加していることだという。内部検知率は、南北アメリカが61%と最も高く、次いでEMEAが53%、APACが52%となっている。しかし、APACとEMEAの組織は、南北アメリカと比較して、外部から侵害の通知を受け取ることが多かった傾向にあるという。
小売・サービス業と医療業界が標的に
最も標的とされた業界のトップ5は、上位から順に「業務・専門サービス」、「小売・サービス」、「金融」、「医療」、「ハイテク」となった。小売・サービス業は大きな標的となり、昨年のレポートで第11位だったのに対し、2020年には第2位に。また、医療業界も、昨年のレポートでは第8位だったのに対し、2020年には第3位になるなど、大きく順位を上げているという。これは、世界的なパンデミックにともない、医療分野が重要な役割を果たしたことによるものだという。
Mandiantのエグゼクティブ・バイス・プレジデント兼CTOであるCharles Carmakal氏は、「脅威グループやサイバー犯罪者が、『羊の皮を被った狼』のように、侵害の様々な段階で公開ツールを利用する傾向が引き続き見られます。レッドチーム演習やペネトレーションテスト(セキュリティ診断)でよく使用される、公開されている市販のツールを使用することで、攻撃者はセキュリティテストに紛れ込むことができます。また、属性がより複雑化してきています。今回のレポートでは、不正侵入の24%にBEACONの使用が含まれていました。これは、Cobalt Strikeソフトウェア・プラットフォームの一部で、ネットワーク環境の侵入テストによく使用される商用ソフトです。BEACONは、APT19、APT32、APT40、APT41、FIN6、FIN7、FIN9、FIN11など、幅広い脅威グループのほか、300近くの未分類の脅威活動クラスタで使用されていることが確認されています」と述べている。
【関連記事】
・朝日生命、DX推進に伴うセキュリティ強化でファイア・アイ製品を採用
・ファイア・アイ、新型コロナに便乗したサイバー攻撃を複数観測、おとり文書でマルウェアの展開を狙う
・ファイア・アイ、クラウド環境の脅威に高度に対応する新セキュリティ機能を追加
