Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

2020年はランサム攻撃により77億件のデータが漏えい

考えてみた。

Tenableの最新レポートでは、2020年に全世界で220億件のデータが漏えいし、その35%がランサムウェアに関連していた述べられています。

www.ehackingnews.com

サイバーエクスポージャー企業のTenableのセキュリティ対応チーム(SRT)は、データ漏洩の14%が2020年1月から2020年10月までの期間の電子メール侵害の結果であると分析しました。脅威アクターが使用した主な戦術は、ストライキにおけるパッチが適用されていない感受性への依存でした。一方、他の複数の脆弱性を含みます。

TenableのスタッフリサーチエンジニアであるSatnamNarangは、洞察を与えながら、次のように述べています。「インドおよびその他の国々のサイバーセキュリティ専門家は、組織を危険にさらす可能性のある新たな課題と脆弱性に毎日直面しています。2020年だけで開示された18,358の脆弱性は、サイバー防御者の仕事が拡大し続ける攻撃対象領域をナビゲートするにつれてますます困難になっているという新しい通常の明確な兆候を反映しています。

Common Vulnerables and Exposures(CVE)の成長率は、2015年から2020年にかけて平均36.6%増加しました。2020年には、2015年と比較して183%まで急上昇しました。2015年の6,487に対して、2020年には18,358のCVESが報告されました。

仮想プライベートネットワーク(VPNソリューションの既存の脆弱性(その多くは2019年以前に最初に開示されました)は、サイバー犯罪者のお気に入りの標的であり続けています」とNarang氏は述べています。

(ehacking News記事より引用)※機械翻訳

 

元ソース(Tenable)

TL;DR: The Tenable Research 2020 Threat Landscape Retrospective

 

キタきつねの所感

レポートではデータ漏えいの約35%がランサム攻撃に関連していたとされているので、Tenableが分析した730件で考えると250件、データ侵害件数220億で考えると約77億件がランサム被害となる様です。

2020年のランサム被害が250件というのは「判明分」に過ぎないかと思います。名が知れたランサムオペレーターだけでも20-30にはなりますが、仮に20としても平均して1オペレーターで10-20件というのはあまり現実的ではありません。

ランサムオペレーター(攻撃者)と交渉して身代金を支払い、公表を回避した企業や組織も結構多いかと思いますので、「ランサム被害」はこのレポートのデータよりもっとあったと考えてデータを見るべきなのかと思います。

 

攻撃を受けたポイント(脆弱性)は記事にも書かれていますが、テレワーク(在宅勤務や遠隔教育)と脆弱性管理に尽きると言えそうです。

特にVPNのパッチ不備は、日本でも問題となりましたが、全世界的な傾向としても「サイバー犯罪者がロックオンしている」状況である事がこのレポートからも分かります。

 

防衛側は、日々で続ける脆弱性の対応に追い付いていない、その実態もこのレポートに良く出ている気がします。

2020年には約1.8万件のCVEが報告されている事を考えると、現実問題としてIT部門が自社の影響機器・ソフトの脆弱性をいち早く把握し、迅速にパッチ対応(あるいは緩和策)する事は不可能に近いかと思います。

だとすれば、CVSSスコアや、OWASP等を参考にして(放置しておくと)、優先度の高い脆弱性から対応していく事が、従来以上に求められていると言えます。

※色々な会社の方とお話ししている中では、企業によっては資産管理(棚卸し/シャドーIT把握)が十分に出来ていない所も結構あるという印象です。こうした状況にある企業や組織は、まずはそこから手をつけた方が良いかと思いますが、このレポートでは、2020年の脆弱性上位5つも挙げていました。改めて言うまでも無い様な既知の脆弱性ですが、まだ対応してない様であれば最優先課題となるかと思います。

2020年の上位5つの脆弱性

ゼロログオン(CVE-2020-14720)
Citrix ADC /ゲートウェイ/ SDWANWAN-OP(CVE-2019-19871)
パルスコネクトセキュアSSLVPN(CVE-2019-11510)
Fortinet Fortigate SSL VPN(CVE-2018-13379)
F5 BIG-IP(CVE-2020-5902)

 

Tenableは以下の様に、緊急性の高い脆弱性以外の部分が重要(※Business as Usualという意味かと思います)とも言っています。

「このレポートに反映されているように、複雑な脅威の状況、意欲的な脅威アクター、およびすぐに利用できるエクスプロイトコードは、深刻なサイバー攻撃につながります。悪意のある人物が使用する戦術の多くは、洗練されていないか、あまりにも多くの精神的な筋肉を曲げる必要がありませんでした。これにより、脆弱性にタイムリーにパッチを適用することがこれまで以上に重要になります。」

Australian Cyber Security Magazine記事より引用)※機械翻訳

 

こうした攻撃の増加に対応した有効な防衛ツールが2021年に出てくる事は十分予想されますが、まずは自社の資産と正しく把握した上で、脆弱性対応の優先順位をつけて対応する事の重要性を、(既に実施している所も多いかと思いますが)今一度認識すべきかと思います。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

ランサムウェアのイラスト(スマートフォン)

 

更新履歴