日経ビジネス電子版 Special
CYBER INITIATIVE TOKYO 2021 / サイバーイニシアチブ東京2021レビュー CYBER INITIATIVE TOKYO 2021 / サイバーイニシアチブ東京2021レビュー

クラウドストライク

講演タイトル

Adversary universe:サイバー攻撃者の世界

ブレイクアウト時間が短縮し、痕跡も残さぬ攻撃から守れ

古川勝也氏

古川勝也

クラウドストライク

セキュリティアドバイザー・

マーケティングディレクター

「サイバー犯罪の裏には必ず人間がいる。攻撃者の意図や目的を理解し、戦術や技術などの手法を理解することが対策につながる」。こう指摘するのは、クラウドストライクの古川勝也氏だ。古川氏は、同社が発行している脅威ハンティングレポートから、今年の攻撃の特徴を紹介した。「1つは、サイバー犯罪のブレイクアウト時間が短くなり、1時間半になったこと。2つ目は、マルウエアを使わない脅威が68%に上ったことだ」。

1つ目のサイバー犯罪のブレイクアウト時間とは、攻撃者がシステムに侵入して、その後に権限昇格してネットワーク内で横展開を始めるまでの時間である。従来は3時間以上かかったものが、2021年の調査では1時間半となった。これは、ランサムウエアで攻撃者が身代金要求ツールを企業全体に広めて暗号化するまでの時間が急速に短くなったことを示す。その上、「68%がマルウエアを使わず、メモリーからコードを実行したり、正規のツールを悪用するため「テクノロジー」だけでは検出が難しい」と古川氏は指摘する。

そこで古川氏は、対策のポイントに言及した。1点は攻撃者が「テクノロジー」による防御をすり抜けて侵入した兆候やふるまいを「人」の目と経験から見つけ出して遮断する、脅威ハンティングの必要性である。もう1点は、IDプロテクションの重要性だ。「攻撃者はアクセスブローカーから正規のID/パスワードを入手して侵入するため横展開までの時間が短縮している。そこで攻撃者によるIDの悪用や権限昇格を検知し阻止するIDプロテクションが求められる」と解説する。

古川氏が指摘するのは、エンドポイントで止める脅威ハンティングと、IDベースで止めるIDプロテクションの「2段構え」の守りの重要性である。攻撃者の進化を知り、変化に応じた適切な対策を基本対策に加えることの重要性を改めて訴えた。