2017年4月20日
フォーティネットジャパン株式会社

• 米国時間2017年3月28日に発表されたプレスリリースの抄訳です。

高性能サイバーセキュリティソリューションの世界的リーダーである、フォーティネット（Fortinet®、NASDAQ:FTNT）は本日、最新のグローバル脅威レポートの調査結果を発表しました。このレポートでは、サイバー犯罪者が利用している手法や戦略の詳細が公開されており、デジタルエコノミーに今後もたらされる潜在的影響について解説しています。過去の脅威が能力を強化して再び出現すると同時に、自動化された大規模な攻撃が新たに登場している今日、「自社にとって最大の脅威は何か?」という問いに対して、正確な答えを出すことは依然として困難です。

レポートのハイライト

インフラのトレンドと脅威との関係性

• インフラのトレンド、そしてそのトレンドが脅威の現状とどのように関係しているのかを考察することは極めて重要です。エクスプロイト、マルウェアそしてボットネットが互いに関係を持たずに単独で実行されることはなく、ネットワークインフラの進化に伴って脅威の検知や防止対策はますます複雑化しています。
• SSLを利用した暗号化トラフィックの割合は約50%を保っており、組織内で送受信されるWebトラフィック全体のおよそ半分を占めています。HTTPSトラフィック比率は、個人情報保護の進行状況を示す有効な指標ですが、HTTPSの利用によって、暗号化された通信に隠れることのできる脅威の検出という課題にも直面します。SSLトラフィックは、その復号、検証および再暗号化処理に膨大なオーバーヘッドが必要となり、IT部門は安全性とパフォーマンスの二者択一を迫られるため、多くの場合検証されません。
• 組織あたりで検出されたアプリケーションの総数の観点では、クラウドアプリケーションの数が63まで増加しています。これは、検出されたアプリケーション全体のおよそ3分の1を占めています。このトレンドによって、IT部門はクラウドアプリケーションに保存されているデータがどのように使用され、誰がアクセスできるのか等の状況を把握することが難しくなるため、セキュリティに極めて大きな影響があります。ソーシャルメディア、ストリーミングオーディオやビデオ、P2Pアプリケーションの使用状況に急激な上昇傾向はありませんでした。

デジタル地下組織によって操られたArmy of Things（モノの軍隊）

• IoTデバイスは、今や世界中のサイバー犯罪者に広く利用されている攻撃ツールとなっています。攻撃者は、「モノ - さまざまなIoTデバイス」を使った自分専用の軍隊を組織しています。驚異的な速度と規模の攻撃を安価な方法で実行できる能力は、近代サイバー犯罪エコシステムの中核となっています。
• 2016年第4四半期に、Yahoo!からのデータ流出とDyn DNSサービスに対するDDoS攻撃が発生し、業界を恐怖に陥れました。これら2つの事件で発生したデータ流出件数の記録は、その四半期が半分経過する前に更新されただけでなく、倍増することになりました。
• IoTデバイスは、Miraiボットネットが実行した記録的規模の複数のDDoS攻撃によって感染されました。Miraiのソースコードが公開された結果、ボットネットの活動はわずか1週間で25倍に急増し、2016年の終わりには125倍に増加しました。
• デバイスカテゴリー別のIoT関連エクスプロイト活動をみると、脆弱性が存在する家庭用ルーターやプリンターのスキャンがリストの上位に登場しますが、DVR/NVRが短期間で6倍に急増し、ルーターを上回った時期があることがわかります。
• 世界の他の地域と異なり、日本とアジアパシフィックではホームルーターの脆弱性がが IoTをベースにした攻撃の大多数を占めています。この地域では多くのホームルーターが製造されており、広く使用されているホームルーターに攻撃が集中しています。
• モバイルマルウェアの問題は、以前に比べて深刻化しています。その割合はマルウェアの規模全体のわずか1.7%を占めるにとどまっていますが、マルウェアを報告した組織の5分の1でモバイル亜種が発見されており、そのほぼ全てがAndroidのものでした。モバイルマルウェアの攻撃には大きな地域差が認められます。その36%がアフリカの組織、23%がアジア地域、16%が北米からそれぞれ仕掛けられており、ヨーロッパ地域からの攻撃は8%にとどまっています。このデータは、今日の企業ネットワーク上の信頼できるデバイスの数に関係しています。

自動化された大規模攻撃のまん延

• エクスプロイトの規模と感染率の相関関係は、加速する攻撃の自動化およびダークウェブで入手可能なマルウェアと配布ツールの低コスト化が進んでいることを意味しています。このため、サイバー犯罪者はかつてない程容易且つ低価格で攻撃を仕掛けることが可能になっています。
• 深刻度が「high」または「critical」のエクスプロイト検出リストの最上位にはSQL Slammerが登場しており、主に教育機関が被害を受けています。
• Microsoftリモートデスクトッププロトコル（RDP）に対する総当り攻撃の試行を表すエクスプロイトが、感染率2位に登場しています。このエクスプロイトでは、10秒毎に200回の割合でRDP要求が開始されるため、グローバル企業で膨大な数が検出されています。
• 感染率が3位となったシグネチャは、Windowsファイルマネージャのメモリ破損の脆弱性に関連するものです。この脆弱性を悪用すると、リモートの攻撃者はjpgファイルを使用して脆弱性のあるアプリケーション内で任意コードを実行できます。
• W64/Egguardマルウェアは、日本で最も高い感染率となりました。これは今までに類を見ないほど感染が広まった初の64ビットプログラムマルウェアで、悪意のあるファイルをダウンロードし、悪意のあるjavascriptをウェブブラウザが表示するウェブページに埋め込みます。

今後も続くランサムウェアの脅威

• 業界を問わず、ランサムウェアには十分に注意する必要があります。この高価値の攻撃手法は、トレーニングも受けずスキルもない潜在的犯罪者でも、ツールをダウンロードしてターゲットを指定するだけで攻撃を実行できるサービス型ランサムウェア（Ransomware-as-a-Service、RaaS）の増加とともに、今後も継続すると考えられます。
• 36％の組織でランサムウェア関連のボットネット活動が検出されました。検出数がトップのランサムウェアはTorrentLockerで、Lockyは3位に登場しています。
• いくつかのNemucodランサムウェアファミリーの亜種は、日本で引き続き多く確認されています。このランサムウェアファミリーは、世界中で出回っているランサムウェアのダウンローダーに関連するマルウェアです。日本で多く確認されているNemucod は、主にLockyとCryptoLoadに関連したものです。
• ランサムウェアはすべての地域と業種で検出されましたが、その数が特に多かったのは医療機関です。この事実は、統計学的に有意な状態が続くといえます。患者の診療データが流出した場合、その他の種類のデータに比べて長期間有効であり、個人的な価値も高いことから、極めて深刻な影響を及ぼす可能性があるためです。

急増するエクスプロイト - 古くて新しい脅威

• 攻撃者は、「あらゆる脆弱性を悪用」する方針を執りました。残念ながら、古いデバイスやソフトウェアのセキュリティパッチや脆弱性にフォーカスして注意を払うということは、今日のデジタルデバイスの普及によって拡大を続ける新しい攻撃対象領域のセキュリティに割かれる時間や注意が不十分になることを意味します。
• 86％の企業で、発見から10年以上が経過している脆弱性の悪用を試みる攻撃が発見されました。その40%近くにおいて、さらに古いCVEへのエクスプロイトが確認されています。
• 組織あたり、平均10.7の一意のアプリケーションエクスプロイトが発見されました。約90%の組織で、深刻度が「critical」または「high」のエクスプロイトが検出されました。
• 全体的な傾向として、地域別の組織で検出された一意のエクスプロイト/マルウェア/ボットネットファミリーの平均数を比較した場合、アフリカ、中東、および南米ではどの脅威カテゴリーでも検出数が多いことが明らかになっています。こういった相違は、ボットネットの場合に最も顕著です。

フォーティネットの最高情報セキュリティ責任者、Phil Quade（フィル・クエイド）は次のように述べています。

「企業組織が今日直面しているサイバーセキュリティの課題は、急速な進化を続ける脅威の現状とともに複雑化しています。新たな脅威が登場すると同時に、過去の脅威もその能力を強化して再び出現するなど、脅威は高度化し自律的な動作が可能となり、その検出はますます困難になっています。さらに、脅威を生み出すツールやサービスへのアクセスが容易となり、金銭を得ることのできる可能性も高いことから、グローバルなサイバー犯罪市場は数百億米ドル規模へと拡大を続けています。このような状況で自社のビジネスを脅威から守るために、企業のCISOは自社の環境およびデバイスすべてのデータとセキュリティ要素の完全な統合と自動化を行い、IoTからクラウドまで企業組織を網羅する脅威インテリジェンスの共有環境を構築しなければなりません」

レポートの方法論

このフォーティネットのグローバル脅威レポートは、2016年第4四半期における全世界、地域別、業種別、および組織別の視点を網羅する研究データに基づいた、FortiGuard Labs（フォーティガード ラボ）の インテリジェンスを説明するものです。本レポートでは、アプリケーションエクスプロイト、不正ソフトウェア（マルウェア）、ボットネットの3つを中心に、それらの脅威の現状を補完する側面についても解説しています。

FortiGuard Labs（フォーティガード ラボ）について

FortiGuard Labsには、世界各地に200名を超える専門のリサーチャーとアナリストが在籍しています。リサーチャーは、フォーティネットが開発したワールドクラスのツールとテクノロジーを用い、最新の脅威リサーチ、発見、それらからの保護を行っています。このチームは、マルウェアやボットネット、モバイル、ゼロデイ脆弱性などの重要な分野の研究を行う専門家で構成されています。サービスアナリストは、最新コードを研究し、シグネチャの開発を行っています。一方、テクノロジー開発者は、FortiGuardサービスを通じて常に進化する脅威と戦うための新たな防御エンジンの開発を行っています。FortiGuard Labsは世界各地から収集しているデータを活用し、300,000社を超えるお客様の保護に日々努めています。

フォーティネットについて (www.fortinet.com)

フォーティネット（NASDAQ: FTNT）は、世界中の大手企業、サービスプロバイダ、そして政府機関を守っています。フォーティネットは、拡大する攻撃に対するシームレスな保護とインテリジェンスを提供し、ボーダレスなネットワークでの、増え続けるパフォーマンスの条件に応じるパワーで、現在もまた将来も、お客様に貢献します。ネットワーク上でも、アプリケーションやクラウド、またはモバイル環境であっても、妥協することなく、極めて重大なセキュリティ上の問題に対応するセキュリティを提供できるのはフォーティネットのセキュリティ ファブリックのアーキテクチャだけです。フォーティネットは世界No.1のセキュリティアプライアンス出荷台数を誇り、世界中で30万社以上のお客様がビジネスを守るためにフォーティネットに信頼を寄せています。
フォーティネットジャパンについては、www.fortinet.co.jpをご覧ください。

Copyright© 2017 Fortinet, Inc. All rights reserved. 「®」および「TM」マークはいずれも、Fortinet, Inc.とその子会社および関連会社の米国における登録商標および未登録商標です。フォーティネットの商標には、Fortinet、FortiGate、FortiGuard、FortiManager、FortiMail、FortiClient、FortiCloud、FortiCare、FortiAnalyzer、FortiReporter、FortiOS、FortiASIC、FortiWiFi、FortiSwitch、FortiVoIP、FortiBIOS、FortiLog、FortiResponse、FortiCarrier、FortiScan、FortiAP、FortiDB、FortiVoice、FortiWebなどが含まれますが、これらに限定されるものではありません。その他の製品名およびサービス名等は、各社の商標である場合があります。フォーティネットは、本プレスリリース内の第三者に帰する声明、認可またはテストについては、検証を行っておらず、また、このような第三者に帰する声明を承認するものではありません。本プレスリリースは、保証または債務保証、または契約として一切拘束を受けるものではなく、記載された製品仕様または製品性能は、ある特定の環境や条件のもとで計測されていることがあります。また、本プレスリリースには、将来の見通しに関して不確実性および仮説を伴う記述が含まれている場合がありますが、本不確実性が現実になったり、あるいは本仮説が正しくないことが判明したりする場合、明文的あるいは暗黙的に記述された内容と異なる結果が生じることがあります。これには、サイバー犯罪活動の動向予測に関する記述などが含まれますが、これに限定されるものではありません。このような動向は予測することが困難であり、また、このような動向に関する公開予測や期待事項は結果として正しくないことがあります。フォーティネットは、このような将来見通しを改正する義務を一切負うものではなく、また改正を発行することもありません。