国家支援を受けるハッカー集団の脅威--ロシアからの攻撃は20分以内に対処を

Catalin Cimpanu (ZDNET.com) 翻訳校正: 村上雅章 野崎裕子

2019-02-27 06:30

 政府機関や企業は、ロシア政府が支援するハッカーからのサイバー攻撃を受けた場合、およそ20分以内にその検知と対応を終えなければならない。

提供:CrowdStrike
提供:CrowdStrike

 米国のサイバーセキュリティ企業CrowdStrikeは米国時間2月19日、2019年版の「CrowdStrike Global Threat Report」を発表した。同レポートでは、脅威をもたらすグループをその「ブレークアウト時間」によってランク付けしている。

 「ブレークアウト時間」とは、ハッカーらが被害者のコンピュータに最初にアクセスした時から、ネットワークを経由して他のコンピュータに侵入するまでの時間のことだ。これには、攻撃者がローカルネットワークのスキャンを実行する時間や、近傍のコンピュータへの特権アクセスを得るためのエクスプロイトを配備する時間が含まれている。

 ネットワーク全体に影響を及ぼすセキュリティインシデントは、単純な侵入から始まる。このため、大規模インシデントに発展する前に感染を検出し、侵入されたコンピュータを隔離する必要がある。ブレークアウト時間は、そうした行動を取るために使える時間を表しているという点で、組織にとって重要な指標と言える。

 2018年におけるハッキング事件のデータを収集したこのレポートによると、同年を通じて最も攻撃力が高く、効率的だったロシアのハッカーグループ(レポートでは「Bear」(熊)と呼ばれている)が平均18分49秒というブレークアウト時間でランキングのトップになったという。

 2位以下は、北朝鮮のハッカーグループ「Chollima」(千里馬)の2時間20分、中国のハッカーグループ「Panda」(パンダ)の4時間、イランの「Kitten」(子猫)の5時間9分、サイバー犯罪集団「Spider」(クモ)の約9時間42分だった。

提供:CrowdStrike
提供:CrowdStrike

 同レポートは、「2018年にCrowdStrikeが把握したすべての侵入と脅威アクターの平均ブレークアウト時間は4時間37分であり、2017年の1時間58分という値よりも大きく増加している」と記している。

 また「(ブレークアウト時間は)攻撃の洗練度合いを評価するための唯一の指標ではないが、そのランキングは主な脅威アクターの作戦能力を評価する興味深い手法である」とも記している。

 最初に侵入したコンピュータからネットワーク接続された他のコンピュータに侵入していくには、スキルとともに、すぐに使えるハッキングツールやエクスプロイトの存在が必要となる。ロシアと北朝鮮、中国のグループがこの10年で最も活発なサイバー脅威アクターであり続け、何年もかけて先進的なツールを構築し、自らのスキルを磨いていることを考えると、このランキングで上位に位置しているのは当然と言えるだろう。

 同レポートには「ブレークアウト時間」のほかにも、CrowdStrikeが把握している2018年のサイバー攻撃(国家が支援するグループによるものとサイバー犯罪グループによるものの双方)に関するサマリが含まれている。

 同レポートに記載されている興味深い点のいくつかを以下に紹介する。

  • 国家の支援を受けたハッカーグループは、意思決定者のための情報を収集する目的で2018年を通じて、意見を異にするグループや地域的な敵対者、他国の勢力を標的にした活発な攻撃を続けている。
  • 多くの国家は報道や外交といったチャネルを通じて、サイバー攻撃などしていないと主張している一方で、サイバー攻撃を続けている。
  • サイバー攻撃の60%はマルウェアの形態を取っている。
  • 国家の支援を受けたハッカーグループによる2018年の攻撃のほぼ半数は中国と北朝鮮によるものとなっている。
  • 標的を直接攻撃するのではなく、サプライチェーン企業をハッキングするケースが大きなトレンドとなってきている。
  • イランとロシアは電気通信企業のハッキングに注力している。
  • サイバー犯罪グループは、戦術およびテクニック、手段(Tactics, Techniques and Procedures:TTP)のレンタルを使用する(つまり、自らでサービスやツールを開発するのではなく、他のグループによって開発されたものを借りる)ようになってきている。
  • 大企業に的を絞った侵入とランサムウェアを組み合わせ、大金を奪い取る「ビッグゲームハンティング」という戦略が犯罪グループによって採用されている。
  • CrowdStrikeは高度に洗練された犯罪アクター同士が連携する攻撃を確認してもいる。
提供:CrowdStrike
提供:CrowdStrike

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    Pマーク改訂で何が変わり、何をすればいいのか?まずは改訂の概要と企業に求められる対応を理解しよう

  2. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  3. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  4. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

  5. セキュリティ

    クラウド資産を守るための最新の施策、クラウドストライクが提示するチェックリスト

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]