実際に成功した攻撃の85%はよく知られた脆弱性のトップ10を悪用

この記事をtweetする このエントリーをはてなブックマークに追加


実際に成功した攻撃の85%はよく知られた脆弱性のトップ10を悪用

ネットワークセキュリティ 2016/07/12

 「サイバー攻撃は未知の脆弱性(ぜいじゃくせい)を突いた『ゼロデイ攻撃』が多いというのは誤解です。(2015年中に実際に成功した)攻撃の85%はよく知られている脆弱性のトップ10を悪用しています。つまり、正しくパッチを当てていれば攻撃のほとんどは防げたのです」

ブライアン・サーティン氏

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

ブライアン・サーティン氏
ベライゾン・エンタープライズソリューションズ グローバルセキュリティサービス/RISKチーム マネージングディレクター

 ベライゾンのインシデント対応部門「RISK(Research Investigation Solution Knowledge)」でマネージングディレクターを務めるブライアン・サーティン氏は、2015年に発生した様々なセキュリティインシデントの分析結果をこのようにまとめました。

 同社は、「データ漏洩/侵害調査報告書(DBIR)」を毎年発行しています。2015年度版では、世界82カ国を対象として2015年に発生した10万件以上のセキュリティインシデントと2260件以上のデータ侵害情報をまとめました。現在、日本語版は要約版となっていますが7月中にも完全版が公開される予定です。

高度化する攻撃、不足するセキュリティの人材と予算

 サーティン氏はまず、「どのような企業であってもサイバー攻撃の対象となり得ます。これまで被害が多かったのは金融業や小売業ですが、この傾向は変わりました。今回の報告書では公的機関が最多です。このほか、製造業や公益事業、交通運輸といった社会インフラも狙われています」と言います。この背景として「攻撃者の動機の変化」を挙げ、データ漏洩の89%は金銭目的かスパイ目的だと分析します。

図1 被害にあった企業・組織の業界別および規模別のセキュリティインシデント件数(2015年)

図をご覧いただくには・・・
会員登録いただくと自動的にこの記事に戻り、図がご覧いただけます。

会員登録(無料)・ログイン

図1 被害にあった企業・組織の業界別および規模別のセキュリティインシデント件数(2015年)
(資料提供:ベライゾンジャパン)

 「攻撃は多様になり、攻撃者の数も増加傾向です。攻撃のカテゴリーが異なれば、誰が攻撃しているのか、どこから攻撃されているのか、どんなツールや手口が使われているのか、その全てが異なります。では防御側はどうでしょうか。セキュリティを担当する人員の数、予算が増加しているかといえば、そんなことはない。これでは対抗できません」(同氏)

 例えば、ハクティビスト(主に社会的、政治的な主義主張のためにサイバー攻撃を行う)による攻撃は複雑性や高度さが増しています。シリアの水道局を狙った攻撃では、利用者が水道の使用量を確認したり、支払いを行ったりするWebプラットフォームに脆弱性があり、クレジットカード情報などが個人情報が漏洩していました。

 しかし問題はこれだけではありませんでした。ベライゾンが調査に入る数カ月前から、バルブやダクトの稼働状況に承認されていない不自然な動きがあることが把握されていました。調べてみると課金用プラットフォームで使っているデータベースが、バルブやダクトなどを制御するシステムと同じメインフレーム上で稼働していたため、水道システムにも侵入を許していたのです。攻撃者は、水道に必要以上の塩素を投入したり、下水を水道に混入させたりすることもできたといいます。つまり、単なる金銭目的だけでなく、被害にあった組織が事業継続できないようなダメージを与えることもできたわけです。

3人に1人がフィッシングメールを開封する

 攻撃者の最終目的によって手口が複雑化しているサイバー攻撃ですが、サーティン氏は「多くのインシデントの初期段階の活動は共通しています」とコメントします。まずは、フィッシングを仕掛け、メールに記載した不正なURLをクリックさせたり、添付した不正ファイルを開かせたりします。そして、マルウェアをインストールし、認証情報を盗み出します。

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ
関連キーワード

サイバー攻撃対策/実際に成功した攻撃の85%はよく知られた脆弱性のトップ10を悪用」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「サイバー攻撃対策」関連情報をランダムに表示しています。

サイバー攻撃対策」関連の製品

クラウド基盤サービス NEC Cloud IaaS 【NEC】 改正個人情報保護法、中堅・中小企業が覚えておきたい「情報の守り方」 【ミロク情報サービス】 InterSafe MobileSecurity/InterSafe MobileSecurity Lite 【アルプス システム インテグレーション】
IaaS/PaaS ERP フィルタリング
高いコストパフォーマンス、高性能・高信頼が特長のIaaS。セルフサービスポータル画面から、ユーザ自身によりプロビジョニングや他社サービスまで含めた運用管理が可能。 改正個人情報保護法が2017年5月30日に全面施行となり、小規模事業者も法の対象となった。まずはどんな対策を講じるべきか。法改正の背景から、具体的な対応まで解説する。 スマートデバイスのWeb閲覧やアプリ利用、社内アクセスを一括制御するセキュリティサービス。専用アプリ不要でSafariやAndroid標準ブラウザが使え既存システムに影響なし。

サイバー攻撃対策」関連の特集


ネットワークやエンドポイントで多様な脅威にさらされる企業システム。これらを常に監視し、不正をリアルタ…



データのバックアップは業務遂行において必要不可欠だ。しかし、バックアップを取るという手段がゴールにな…



セキュリティやコンプライアンスへの対応が企業の信頼に関わるようになっている中、標的型攻撃対策に不可欠…


サイバー攻撃対策」関連のセミナー

60分で構築!クラウドで実現するサイバー攻撃対策 【網屋/アルプス システム インテグレーション】 締切間近 

開催日 2月27日(火)   開催地 東京都   参加費 無料

昨今、標的型攻撃やランサムウェアなどのサイバー攻撃被害が急増し、企業・組織では従来のセキュリティ対策に入口・出口対策などを加えた多層防御がスタンダードになりつつ…

60分で構築! クラウドで実現するサイバー攻撃対策 【アルプス システム インテグレーション/網屋 主催】 締切間近 

開催日 2月27日(火)   開催地 東京都   参加費 無料

昨今、標的型攻撃やランサムウェアなどのサイバー攻撃被害が急増し、企業・組織では従来のセキュリティ対策に入口・出口対策などを加えた多層防御がスタンダードになりつつ…

これからのエンドポイントセキュリティ選定支援セミナー 【マクニカネットワークス/シマンテック】  

開催日 3月6日(火)   開催地 東京都   参加費 無料

サイバー攻撃対策として、近年注目を集めるエンドポイントセキュリティ対策ですが、各社から様々なタイプの製品が提供されており、製品の選定が非常に難しくなってきていま…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

サイバー攻撃対策/ 実際に成功した攻撃の85%はよく知られた脆弱性のトップ10を悪用」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「サイバー攻撃対策/ 実際に成功した攻撃の85%はよく知られた脆弱性のトップ10を悪用」の記事の続きがお読みいただけます。


Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


30009094


IT・IT製品TOP > ネットワークセキュリティ > セキュリティ診断 > セキュリティ診断のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ