F5ネットワークスジャパン

攻撃者の行動から判明した脅威分析と
これから効果的な「保護対策」とは

コロナ禍、オンライン上での業務・コミュニケーション・顧客サービスが定着し、ライフスタイルは一変した。
これにより、サイバー攻撃も大きく変化している。
アプリケーションのクラウド移行やモダナイズ化により、利用形態や場所が変化し、それらを狙った攻撃が急増してきたのだ。
今、攻撃者はどのようなポイントを狙っているのか。
F5の講演では調査レポートから最新の攻撃トレンドとその保護対策について解説された。

アプリケーションの増加で
企業が直面する3つの課題

F5ネットワークスジャパン合同会社 SE本部 ソリューションアーキテクト 伊藤 悠紀夫氏
F5ネットワークスジャパン合同会社
SE本部 ソリューションアーキテクト
伊藤 悠紀夫
 日々の業務を自宅からリモートで行う。またはプライベートでオンライン宅配サービスやECサイトを活用し、店舗に行かずに食料品や製品を受け取る。コロナ禍でこうした生活が当たり前になった。これは別の視点で見れば、「何らかのアプリケーションを生活の中で利用するようになった」ということになる。

 実際、企業が利用するアプリケーションの数も急増している。F5が行った調査レポート「F5 SOAS(STATE OF APPLICATION SERVICES)」によれば、2017年から2022年にかけて、200~1000ものアプリケーションを使う企業が増えたという。「その場所もオンプレミスから、クラウドやエッジへと分散しています。これによって、大きく3つの課題が顕在化しています」とF5ネットワークスジャパンの伊藤 悠紀夫氏は指摘する。

 1つ目の課題はセキュリティーだ。このように分散したアプリケーション環境で、一貫したセキュリティーを適用することは簡単ではない。2つ目はモニタリング。パフォーマンスやセキュリティー状況が、可視化されていないアプリケーションが増えている。そして最後に3つ目が管理の複雑化だ。異なる環境で動くアプリケーションに対して複数のツールでの管理を行うことになった結果、全体の俯瞰が難しくなっているのだ。「企業が利用するアプリケーションが増大・分散化した結果、よりシンプルに管理することが求められていることが分かります」(伊藤氏)。

 それではこれらの課題に対し、世界の企業はどのような対策を検討しているのか。F5の調査結果では、大きく2つの方向性が見られる。1つはゼロトラスト、もう1つはWAAP(Web Application and API Protection)。これらのフレームワークや考え方に基づいて、認証認可や防御を行うことが大きな潮流になっているという。

昨今のサイバー攻撃の
「4つのトレンド」とは

 企業が急増するアプリケーションの管理に課題を抱える一方で、アプリケーションに対する脅威はどのような状況になっているのか。これについてもF5のセキュリティー調査研究機関である「F5 Labs」が、2020年から2021年にかけてサイバー攻撃がどのように変化しているのかについてレポートをまとめている。

 このレポートで着目すべきポイントは大きく4つある。第1は「マルウエア発生率の増加」だ。2021年に発生した情報漏洩の原因の1/3は、マルウエアによって引き起こされている。その代表例ともいえるのがコロナ禍で猛威を振るった「ランサムウエア」だ。

 第2は「ビジネスメール詐欺被害の多さ」。実に24%ものデータ侵害がこれに関係しているという。第3は「脆弱性を突くエクスプロイトやフィッシング攻撃」。被害件数自体は減少しているものの、実際には検出されていないケースも少なくない。そして第4が「クラウド侵害」だ。クラウドサービスの設定をデフォルトまたは不適切な状態にしておくことで、情報漏えいの大きな原因になりつつあるという。

 「また、産業別では金融とヘルスケアが多くなっており、その多くはアクセス違反とマルウエアが原因です。また小売ではウェブエクスプロイトやクレジットカード情報を窃取するフォームジャックが多く、業界によって攻撃手法は異なっていることがわかります。また2021年にはクラウドに関するインシデントも47件発見されており、そのうち43件がアクセス制御の設定不備が原因でした」

 それでは実際に攻撃者はどのように仕掛けてくるのか。伊藤氏はその具体的な方法を「MITRE ATT&CK Framework」※1をもとにひも解いていく。

 「例えばランサムウエア攻撃に着目して攻撃者の動きを見ていくと、まず初期アクセス(ステージ1)で侵入を試み、ステージ2で不正なコマンドやスクリプトを実行、ステージ3でデータを盗み、ステージ4でデータを暗号化していることがわかります。ここで戦術別の使用頻度を見ていくと、初期アクセスが最も多く使われる戦術であることも分かります」

 さらに初期アクセスに着目し、その具体的な手法を分析すると、最も多いのが「公開Webアプリケーション脆弱性」、次に多いのが「フィッシング等で得たアカウントによるログイン試行」だということがわかる。
  • MITRE ATT&CK Framework:米国連邦政府が資金提供する非営利組織MITRE(マイター)が運営する、サイバー攻撃の戦術や技術に関するフレームワーク・ナレッジベース。世界各国で発生したサイバー攻撃事例を基に、サイバー攻撃に関する知見を整理・体系化している

新たな攻撃に
対応するための
推奨緩和策は

 こうした攻撃に対し、どのような対策が有効なのか。F5 Labsでは有効な推奨緩和策を発表している。その代表的なものは、データの暗号化を狙うランサムウエアに対抗するための「データバックアップ」、侵入後のラテラルムーブメント(横移動による侵入拡大)を抑止するための「ネットワークセグメンテーション」、フィッシングなどを防止するための「ウェブベースコンテンツ制限」だ。

 「もちろん推奨されているのはこれらだけではありません。F5 Labsでは有効範囲の広いものとして20程度の緩和策を提唱しています。もちろんそのすべてをカバーすることは難しいため、自社の守るべき情報や状況に応じた対策を行うことが肝要です」(伊藤氏)

 F5でも、こうした脅威の変化を念頭に置いたセキュリティーソリューションを提供。それがクラウド基盤「F5 Distributed Cloud Services(F5 XC Services)」だ。これは、ルーターやファイアウオール、APIゲートウエイといった「ネットワーク」、WAFやAPIセキュリティーなどの「アプリケーションセキュリティー」、Kubernetesプラットフォームやその管理、サービスディスカバリーなどの「アプリケーション開発と展開」をカバーする、SaaS形のセキュリティーサービス。その管理コンソールを利用することで、オンプレミスからプライベートクラウド、パブリッククラウド、エッジに至るまで、俯瞰的な管理とセキュリティー対策が可能になるという。  彼を知り己を知れば百戦危うからず。まずはサイバー攻撃の傾向を分析し、自社にとって優先すべき緩和策を明確にすれば、より戦略的なセキュリティー対策が可能になるだろう。
セキュリティマネジメント Summit 2021 Winter ~ウィズコロナ時代にサイバーリスクとどう向き合うか、先進企業の事例に学ぶ~
お問い合わせ
F5ネットワークスジャパン合同会社 URL:https://www.f5.com/ja_jp/ContactFormJP