こうした高度な攻撃が広く使われるようになった背景には、アンダーグラウンドにおけるサイバー攻撃のエコシステムの充実がある。そこではサイバー攻撃に必要なさまざまなツールを容易に揃えることができるし、グループに参加することもできる。前述のDarkSideは、RaaS(Ransomware as a Service)を提供していた。
侵入ポイントが広がる
こうした状況から、2020年も多くのサイバー攻撃による被害が発生した。そこから見えてくるのは、サイバー攻撃者の目的が“金銭”になったことだ。ファイルを暗号化して使えなくし、復号のために仮想通貨を要求するランサムウェアはまさに金銭目的であり、最近は一連のサイバー攻撃にランサムウェアを組み込むことで、二重や三重に脅迫するケースも出てきた。
サイバー犯罪が組織化したことで、攻撃者グループはサイバー攻撃のための新技術に投資し、費用対効果を考えて攻撃し、その精度を向上するために人工知能(AI)を活用したり、高度な人材を集めたりしている。まさに企業と同様の活動をしているといえる。そして優秀なグループは国家から依頼を受け、潤沢な資金によってさらに高度で巧妙なサイバー攻撃を実施している。
加えて、コロナ禍によるリモートワークにより、多くのデバイスが企業ネットワークの外に出た。また、以前から企業はWi-FiアクセスポイントやVoIPフォン、インターネット対応の複合機、ハードディスクなどのIoT機器が数多く導入されている。攻撃者にとってはサイバー攻撃の対象、つまり侵入ポイントとなる「アタックサーフェス」が拡大していることを意味する。
もちろん、サイバー攻撃に対するセキュリティ対策も進化しており、多くの企業がファイアウォールや不正侵入防止システム(IPS)をゲートウェイなどに設置し、エンドポイントにはエンドポイント保護プラットフォーム(Endpoint Protection Platform:EPP)やエンドポイント検知対応(Endpoint Detection and Response:EDR)を導入するなどの多層防御を敷いている。
それでもサイバー攻撃の深刻な被害を受けている。その主な理由は、これらのセキュリティ対策をかいくぐって企業ネットワークの内部に侵入した脅威は検知しづらいことである。実際に、脅威が侵入していることに企業が気付くまでの平均日数は56日といわれている。
こうしたセキュリティ対策機器は、ログや各デバイスにインストールされたエージェントから取得した情報を分析することで脅威を検出する。しかし、サイバー攻撃者は攻撃後にログを消去したり、改竄したり、エージェントの機能を停止させたりして、攻撃の痕跡を消していく。
そもそもログで可視化できるのは企業全体の約30%にとどまるとされている。攻撃者は約70%のブラインドスポットで自由に動き回れる状況にある。
企業IT環境の70%は可視化できていない
※クリックすると拡大画像が見られます
