インシデントレスポンス:よくある初期侵入経路

攻撃者が標的企業のインフラへ侵入する際、どういった経路が使われることが多いのか。

当社のエキスパートの元には、インシデント調査の実施(またはその支援)や、サイバー犯罪に使われたツールの分析といった、インシデント対応(インシデントレスポンス)の緊急支援要請が、頻繁に他社から寄せられます。2020年を通じ、当社では脅威の最新動向を概観できる数多くのデータを収集しました(英語)。このデータは、今後特に発生しそうな攻撃シナリオ(最も一般的な初期侵入経路を含む)を予測して最善の防御戦術を選択する上で役立ちます。

当社では、サイバーインシデントの調査を行う際、特に初期侵入経路へ注意を向けるようにしています。端的に言って、最初に侵入を許した経路が弱点であり、再発防止のためには防御システムの弱点を特定することが極めて重要です。

残念ながら、必ずしも特定が可能なわけではありません。インシデントが発生してから検知されるまでの間に時間が経ちすぎている、被害者がログを保持していない、または攻撃の痕跡を(意図せず、または意図して)破棄してしまった、などで特定ができない場合もあります。

さらに問題が複雑になるのは、近年大いに増加傾向にある、サプライチェーンを通じた攻撃の場合です。初期侵入経路が、最終的な標的である企業の管轄内ではなく、第三者であるプログラム開発企業やサービスプロバイダーの管轄内にあるためです。しかし、全インシデントの半数以上で、当社エキスパートは初期侵入経路を正確に特定することができました。

第1位・第2位:総当たり攻撃とパブリックアクセスが可能なアプリケーションの悪用

総当たり攻撃と、企業境界の外からアクセスできるアプリケーションおよびシステムの脆弱性の悪用が、ほぼ同率で1位でした。それぞれ、全事例のうち31.58%で侵入経路となっています。

過去数年間を見ても、脆弱性の悪用ほど、攻撃の開始に効果的な手法はありません。悪用された脆弱性をさらに詳しく分析すると、アップデートをすぐにインストールしていなかったことが脆弱性悪用の主要因だったことがうかがえます。どの脆弱性も、攻撃のあった時点で、パッチが公開済みの状態でした。パッチを適用していれば、それだけで被害を防ぐことができていたと思われます。

多くの企業が一斉にリモートワークに移行したことと、リモートアクセスサービスの利用が、総当たり攻撃の増加の主要因になったと見られます。移行に当たり、多くの組織がセキュリティの問題に適切に対処しておらず、リモート接続に対する攻撃の件数がほとんど一夜にして急増する結果となりました(英語記事)。

第3位:悪意あるメール

全事例のうち23.68%は、マルウェアが添付されたメールまたはフィッシングメールが初期侵入経路となっていました。標的型攻撃のオペレーターも、メールばらまき型の犯罪者も、両方のタイプを以前から利用しています。

第4位:ドライブバイ攻撃

標的が定期的にアクセスするWebサイト、または偶然たどり着いたWebサイトを使用して、システムへのアクセス権を入手しようとする攻撃もあります。ブラウザーの脆弱性を悪用して標的のコンピューターで悪意あるコードを実行するスクリプトをWebサイトに仕込む、または相手をだましてマルウェアをインストールするように仕向けるという手口で、こうしたやり方は一部の複雑なAPT攻撃で見られました。2020年、7.89%の事例でドライブバイ攻撃が初期侵入経路となっていました。

第5位・第6位:USBメモリと内部関係者

USBメモリを使用して企業システムに侵入する事例は、あまり見られなくなりました。USBメモリで感染させるウイルスがおおむね過去のものとなったことに加え、有害なUSBメモリをこっそり渡すやり方はあまり成功率が高くありません。それでも、ネットワーク侵入事例の2.63%がこの手口でした。

内部関係者がインシデントの原因となっていたケースも、同じく2.63%で、何らかの理由で自社に害を及ぼそうとした社員によるものでした。

サイバーインシデントとその影響の可能性を最小限に留めるには

当社のエキスパートが分析したインシデントの多くは、未然に防ぐことが可能なものでした。分析結果に基づき、エキスパートが勧める対策は以下のとおりです。

  • 厳格なパスワードポリシーを導入し、多要素認証を義務づける
  • 一般アクセス可能なリモート管理サービスの利用を禁止する
  • ソフトウェアアップデートは現実的に可能なかぎり速やかにインストールする
  • フィッシング対策およびマルウェア対策のツールでメールサーバーを保護する
  • 最新のサイバー脅威について定期的に社員の意識向上を図る

加えて、調査を迅速にするためだけでなく、サイバーインシデントによる被害を最小限に抑えるためにも、監査システムおよびログ記録システムはすべて設定しておき、データを定期的にバックアップすることをお勧めします。

今回紹介した統計情報は、当社エキスパートがまとめた情報のごく一部です。『Incident Response Analyst Report 2021 日本語版』の全文は、こちらからご覧ください。

ヒント

ホームセキュリティのセキュリティ

最近では様々な企業が、主にカメラなどのスマートなテクノロジーを活用したホームセキュリティサービスを提供しています。しかし、セキュリティシステムは侵入者からの攻撃に対してどの程度セキュアなのでしょうか?