今回のレポートで注目される点として次の4つをあげている。
1. 標的型メールを開封してしまう割合に大きな改善は見られない
2015年度に実施した「標的型メール攻撃シミュレーション(標的型メールへの対応訓練)」サービスの結果を分析したところ、およそ従業員は8人に1人、役員は5人に1人が標的型メールに添付されたファイルを開いたり、URLをクリックしたりしてしまうことがわかった。この割合は、過去3年にわたり、大きな改善が見られず、標的型メール攻撃は依然として脅威であると考えられる。
攻撃メールの巧妙さは徐々に増し、受信者が気づくことが難しくなってきている。したがって、受信者が標的型メールを開封してしまう前提で、企業内での対応を整理したり、システム面での予防/検知策を導入したりするなど、対策を多層的に検討していく必要がある。
2. マルウェア付きメールには多層防御が重要だが、添付ファイルの拡張子による制御が効果的な場合も
2016年2~3月にかけて、NRIセキュアが管理するウイルスチェックサーバでは、マルウェア付きメールの検知数が急増した。その9割以上が、ワードやエクセルなどマクロが付加されたオフィス文書とスクリプトファイルであったことが分かっている。
大量にマルウェア付きメールが配信されると、高度なマルウェア対策製品では処理量の急激な増加によって高負荷状態に陥り、業務メールの配信遅延につながる可能性がある。このような場合、多くの企業で既に導入されているスパムフィルタリング製品などによる拡張子規制を用いることで、効率よくマルウェア付きメールの流入を防ぐことができる。
マルウェア付きメールの対策には、スパムフィルタリング製品やアンチウイルス製品など複数の手法を多層的に用いる必要がある。さらに攻撃の状況に応じて各層の構成や設定を定期的に見直し、マルウェアの侵入リスクを効果的に低減することが重要だ。
3. Webアプリが抱える高危険度の脆弱性の約3/4は、機械化された検査では発見できない
2015年度に実施した「Webアプリケーション診断」で危険と判定したシステムの75.2%は、あるユーザが他のユーザになりすましてシステムを利用できたり、一般ユーザが管理者用の機能を利用できたりするなど、「アクセスコントロール」に関する問題を抱えている。
このような問題を検査するためには、個々のアプリケーションの仕様を踏まえての検査が必要であり、機械化された検査だけで発見することは困難だ。
4. 企業が把握している外部向け自社Webサイトは半数
2015年度に実施したWebサイト群探索棚卸しサービス「GR360」で、企業が自社で管理すべき外部向けWebサイトを調査したところ、一元的にその存在を把握できていたWebサイトは半数にとどまっている。
この割合は、3年間ほぼ同じであり、多くの企業で自社のWebサイトを把握できていない状況が未だに続いている可能性がある。Webサイトの存在を把握できていなければ、脆弱性を悪用する攻撃への対策が十分に実施できず、Webサイトを改ざんされるなどの被害につながる恐れがある。
紹介した内容の詳細は、NRIセキュアテクノロジーズが発行した「サイバーセキュリティ傾向分析レポート2016」にまとめられており、同社のWebサイトからダウンロードが可能だ。
