ファイア・アイは4月7日、年次レポート「Mandiant M-Trends 2020」の日本語版を公開した。同レポートは米本社が発表したレポートの日本語訳で、2018年10月1日~2019年9月30日までの12カ月間のフォレンジック調査結果に基づくデータなどから統計情報や洞察をまとめたもの。今回で11回目の発行となる。
同レポートの主な内容としては、「企業・組織による攻撃の検知と封じ込めが迅速化」「内部検知率が4年ぶりに外部からの侵害指摘を下回る」「数百の新たなマルウェアファミリーを特定」「収益を狙ったランサムウェア攻撃の増加」などが挙げられる。このほか、国家支援型攻撃グループと同社が分類する“APT”に新たな攻撃グループとして「APT41」が加わったことも注目される。APT41は中国の攻撃グループとされ、「国家レベルの諜報活動と金銭目的の犯罪との区別が不明瞭」という特徴があるという。任務をこなす合間に「不正な小遣い稼ぎ」にも手を染めている感じだろうか。
新しいAPT攻撃グループ“APT41”の主な特徴
※クリックすると拡大画像が見られます
同社では、「侵害の発生から検知までに要した日数」をデュエルタイム(Dwell time:滞留時間)と呼び、その中央値を指標として紹介している。2011年には416日だったのが、2019年には56日まで短縮されたとしており、明るい材料として報告されている。なお、日本を含むアジア太平洋地域のデータでは、2018年の204日から2019年の54日へと、73%の大幅減となったという。同時に、2016~2018年には侵入を組織内で検知した割合が、外部からの指摘によって気付いた割合を上回っていたが、2019年にはこの比率が僅差であるが逆転したことも報告されている。ただし、前述の様にデュエルタイムは短縮していることから、この逆転は組織内部の検知能力が低下したというよりは、捜査当局やサイバーセキュリティベンダーからの通知が増加したことなど、外部からの指摘が増加したことが理由になっていると分析されている。
また、Mandiantが2019年に観測した全てのマルウェアファミリーのうち、41%がこれまで未確認の新型だったという。なお、ここでいう“マルウェアファミリー”は、共通のコードベースから派生したさまざまな“亜種”をひとまとめにしたもので、セキュリティベンダーがそれぞれ独自に分類しているものなので、他社がカウントした数と一致するとは限らない。このデータについては「41%もの新種が作られた」と見るか「59%もの既存マルウェアがいまだに使われている」と見るかで評価が変わるが、サイバー犯罪者間でのコードの売買やオープンソース化などによる開発の集約化の傾向もあることから、少数のマルウェアファミリーに属する大量の亜種が使われる、という方向に向かう傾向があるようだ。
調査期間内に検出されたマルウェアの傾向分析結果
※クリックすると拡大画像が見られます
なお、同社 シニア インテリジェンス オプティマイゼーション アナリストの千田展也氏はレポートの意義について「人や社会が『自らを守る』ことの手伝いをすること」が一番の目的だとし、「事例としてできる限りの情報を共有する中で『どういうことが世の中で起こり得るのか』『どういうことが実際に起きたのか』を“他山の石”としてほしい」ための取り組みだと説明している。また、同様の年次レポートがセキュリティベンダー各社から発表されていることについても「1社だけで攻撃者の手口全てを解析することは不可能」だとして、公表されるさまざまな情報を組み合わせて多角的に分析することでより高度な知見が得られるとの認識を示した。その上で「Dwell timeをさらにどこまで短縮できるか、ファイア・アイとしてできることをやっていく」とコメントを寄せた。
レポートで得られた主な知見
※クリックすると拡大画像が見られます
