実際に成功した攻撃の85%はよく知られた脆弱性のトップ10を悪用

この記事をtweetする このエントリーをはてなブックマークに追加


実際に成功した攻撃の85%はよく知られた脆弱性のトップ10を悪用

ネットワークセキュリティ 2016/07/12

 「サイバー攻撃は未知の脆弱性(ぜいじゃくせい)を突いた『ゼロデイ攻撃』が多いというのは誤解です。(2015年中に実際に成功した)攻撃の85%はよく知られている脆弱性のトップ10を悪用しています。つまり、正しくパッチを当てていれば攻撃のほとんどは防げたのです」

ブライアン・サーティン氏

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

ブライアン・サーティン氏
ベライゾン・エンタープライズソリューションズ グローバルセキュリティサービス/RISKチーム マネージングディレクター

 ベライゾンのインシデント対応部門「RISK(Research Investigation Solution Knowledge)」でマネージングディレクターを務めるブライアン・サーティン氏は、2015年に発生した様々なセキュリティインシデントの分析結果をこのようにまとめました。

 同社は、「データ漏洩/侵害調査報告書(DBIR)」を毎年発行しています。2015年度版では、世界82カ国を対象として2015年に発生した10万件以上のセキュリティインシデントと2260件以上のデータ侵害情報をまとめました。現在、日本語版は要約版となっていますが7月中にも完全版が公開される予定です。

高度化する攻撃、不足するセキュリティの人材と予算

 サーティン氏はまず、「どのような企業であってもサイバー攻撃の対象となり得ます。これまで被害が多かったのは金融業や小売業ですが、この傾向は変わりました。今回の報告書では公的機関が最多です。このほか、製造業や公益事業、交通運輸といった社会インフラも狙われています」と言います。この背景として「攻撃者の動機の変化」を挙げ、データ漏洩の89%は金銭目的かスパイ目的だと分析します。

図1 被害にあった企業・組織の業界別および規模別のセキュリティインシデント件数(2015年)

図をご覧いただくには・・・
会員登録いただくと自動的にこの記事に戻り、図がご覧いただけます。

会員登録(無料)・ログイン

図1 被害にあった企業・組織の業界別および規模別のセキュリティインシデント件数(2015年)
(資料提供:ベライゾンジャパン)

 「攻撃は多様になり、攻撃者の数も増加傾向です。攻撃のカテゴリーが異なれば、誰が攻撃しているのか、どこから攻撃されているのか、どんなツールや手口が使われているのか、その全てが異なります。では防御側はどうでしょうか。セキュリティを担当する人員の数、予算が増加しているかといえば、そんなことはない。これでは対抗できません」(同氏)

 例えば、ハクティビスト(主に社会的、政治的な主義主張のためにサイバー攻撃を行う)による攻撃は複雑性や高度さが増しています。シリアの水道局を狙った攻撃では、利用者が水道の使用量を確認したり、支払いを行ったりするWebプラットフォームに脆弱性があり、クレジットカード情報などが個人情報が漏洩していました。

 しかし問題はこれだけではありませんでした。ベライゾンが調査に入る数カ月前から、バルブやダクトの稼働状況に承認されていない不自然な動きがあることが把握されていました。調べてみると課金用プラットフォームで使っているデータベースが、バルブやダクトなどを制御するシステムと同じメインフレーム上で稼働していたため、水道システムにも侵入を許していたのです。攻撃者は、水道に必要以上の塩素を投入したり、下水を水道に混入させたりすることもできたといいます。つまり、単なる金銭目的だけでなく、被害にあった組織が事業継続できないようなダメージを与えることもできたわけです。

3人に1人がフィッシングメールを開封する

 攻撃者の最終目的によって手口が複雑化しているサイバー攻撃ですが、サーティン氏は「多くのインシデントの初期段階の活動は共通しています」とコメントします。まずは、フィッシングを仕掛け、メールに記載した不正なURLをクリックさせたり、添付した不正ファイルを開かせたりします。そして、マルウェアをインストールし、認証情報を盗み出します。

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ
関連キーワード

サイバー攻撃対策/実際に成功した攻撃の85%はよく知られた脆弱性のトップ10を悪用」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「サイバー攻撃対策」関連情報をランダムに表示しています。

サイバー攻撃対策」関連の製品

内部ネットワーク監視ソリューション「VISUACT」 【ギガ+他】 改正個人情報保護法、中堅・中小企業が覚えておきたい「情報の守り方」 【ミロク情報サービス】 ネットワーク分離ソリューション 【アクシオ】
統合ログ管理 ERP その他ネットワークセキュリティ関連
・ファイルサーバのアクセスログを生成する
・内部ネットワークに侵入したマルウェアの拡散活動を記録する
改正個人情報保護法が2017年5月30日に全面施行となり、小規模事業者も法の対象となった。まずはどんな対策を講じるべきか。法改正の背景から、具体的な対応まで解説する。 二要素認証、操作ログ、標的型攻撃対策、ファイル共有、ネットワーク分離を構成する各プロダクトと構築サービス。

サイバー攻撃対策」関連の特集


ネットワークやエンドポイントで多様な脅威にさらされる企業システム。これらを常に監視し、不正をリアルタ…



なぜバックアップが必要なのか。その理由は何かトラブルが発生したとしても業務を継続できることだ。ここに…



IPAが「情報セキュリティ10大脅威」2016年版を公開しました。企業を襲う脅威をまとめた「組織」編…


サイバー攻撃対策」関連のセミナー

世界中で選ばれるサイバー攻撃対策 FireEye定例セミナー 【マクニカネットワークス】  

開催日 11月16日(木)   開催地 東京都   参加費 無料

今や情報セキュリティを考える上で欠かせない『標的型サイバー攻撃対策』。次々と様々な標的型サイバー攻撃によるインシデントが発生しています。世の中には標的型サイバー…

これからのエンドポイントセキュリティ選定支援セミナー 【マクニカネットワークス】  

開催日 11月24日(金)   開催地 東京都   参加費 無料

サイバー攻撃対策として、近年注目を集めるエンドポイントセキュリティ対策ですが、各社から様々なタイプの製品が提供されており、製品の選定が非常に難しくなってきていま…

IoT活用&セキュリティセミナー in 福岡 【九州日立システムズ/日立システムズ/日立情報通信エンジニアリング/ファイア・アイ】  

開催日 11月8日(水)   開催地 福岡県   参加費 無料

今、あらゆる分野で「IoT※」の導入、活用が広がりを見せつつあります。社会の変化やニーズに対応すべく事業のスピードアップの要求に応えるため、あるいは人手不足の問…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

サイバー攻撃対策/ 実際に成功した攻撃の85%はよく知られた脆弱性のトップ10を悪用」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「サイバー攻撃対策/ 実際に成功した攻撃の85%はよく知られた脆弱性のトップ10を悪用」の記事の続きがお読みいただけます。


Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


30009094


IT・IT製品TOP > ネットワークセキュリティ > セキュリティ診断 > セキュリティ診断のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ