過去にも何度かこのブログで取り上げていますが、インテル セキュリティは世界中に配備した数百万台に上るセンサーから得られたデータを、脅威インテリジェンス「McAfee Global Threat Intelligence」(McAfee GTI)に集約し、日々の検知・防御に活用すると同時に、その分析結果を四半期ごとにレポートとして公表しています。早速、2016年第2四半期の状況をまとめた最新号「McAfee Labs脅威レポート: 2016年9月」のポイントをご紹介しましょう。
まずマクロ的な数字からですが、この時期、大きな変化が見られました。McAfee GTIで阻止した不正なファイルの数が、2015年第2四半期の1日平均4億6,200万個から、1億400万個に激減したのです。不審なプログラムのブロック数も、同1億7,400万個から3,000万個に激減しています。
原因は不明ですが、一因として、インテル セキュリティと各国の捜査機関が協力して実施したランサムウェア「Shade」のテイクダウン作戦のように、サイバー犯罪に対抗する努力の成果が現れたのかもしれません。ただ一方で、こうした不正なファイルやプログラムがアクセスを試みる危険なIPアドレスの数は、1日平均約2,900万件と過去最高レベルに増加しており、油断は禁物と言えます。
●全世界的に広がる医療機関を狙うランサムウェアの攻撃
今回ご紹介するトピックの1つは、日本でも猛威を振るうランサムウェアについてです。個人のみならず、複数の企業や教育機関が被害に遭っていますが、海外ではさらに深刻なことに、命を預かる医療機関がランサムウェアの脅威に直面しています。
2016年2月、カリフォルニア州の病院がランサムウェアに感染し、ビットコインで1万7,000ドルの身代金を支払った事件は、既にさまざまなメディアで報じられていることもあり、ご存じの方も多いでしょう。5営業日に渡ってシステムが停止したこの病院では、医療行為を継続して患者の生命を守るため、身代金を支払う苦渋の判断を下したと報じられています。
インテル セキュリティの調べによると、病院を狙ったランサムウェアの攻撃は、大きく報道されていないだけで、その後も複数発生しています。しかも被害に遭ったのは米国だけではありません。ドイツやオーストラリア、英国、そしてお隣の韓国でも被害が報告されているのです。「日本は例外」とはとても言えない状況です。
ランサムウェアが医療機関を狙う理由はいくつかあります。まず、医療機関で利用されている機器のOSは最新のものとは限らず、時にはWindows XPのようなサポート切れのOSが稼働しており、脆弱な状態にあること。一方で、多忙な現場では職員が常にサイバーセキュリティに注意を払えるとは限らず、ランサムウェアへの感染を誘発する添付ファイルやリンクを開く可能性があること。さらに、システムの稼働が重視される医療機関は、個人や通常の企業に比べて身代金を支払わざるを得ない状況に置かれる可能性が高く、攻撃者にとってより魅力的なターゲットになっていることなどです。事実、ある攻撃者は、ツールキットを用いて作成したランサムウェア「samsam」を病院に感染させ、約1億2,100万ドルに相当する身代金を稼いだことを、地下フォーラムで自ら公表しています。
残念ながら、この問題に対する単純な解決策はありません。インテル セキュリティでは、事前に攻撃発生時の行動計画を策定し、最新のパッチを適用し、必要に応じてホワイトリスト式の防御を導入し、エンドポイント保護を実施する……といった基本的な対策の実施をお勧めしています。
●せっかく導入したDLPが生かしきれていない? 情報漏えいの最新の実態
ランサムウェアのように直接金銭を要求する攻撃以外にも、脅威は蔓延しています。中でも多くの企業にとっての懸念はデータ流出でしょう。クレジットカード番号をはじめとするさまざまな情報を盗み取られて地下マーケットで売買されたり、悪用されるのを防ぐため、DLP(Data Loss Prevention)を導入している企業は少なくありません。
しかし、インテル セキュリティがまとめた「2016 Data Protection Benchmark Study」(英文)(2016年データ保護ベンチマーク調査)によると、従来型のDLPは必ずしもデータ流出防止に効果的とは限らないことが分かってきました。DLPを採用している企業の20%は、クレジットカード番号や社会保障番号など、一定の形式に従った「構造化データ」の流出を、正規表現で記したルールとマッチングして監視しています。しかし、個人情報や非構造化データの価値が高まってきた今、それだけで流出を防ぐのは困難です。せっかく導入したDLPの機能が生かされないのはもったいない話です。
また、データ流出の約40%がエンドポイントに接続された物理的なメディアが原因となっているのに対し、その操作状況・使用状況を監視している企業は37%に過ぎないこと、回答者の約60%がクラウドベースのアプリケーションを利用しているのに対し、クラウド上のデータアクティビティを可視化しているのは12%に過ぎないことなど、データの移動を適切に監視できていない実態も明らかになってきました。
この調査結果を、「Grand Theft Data: 2015 Intel Security data exfiltration study」(データの窃盗: Intel Security 2015年データ侵害に関する調査)や「Verizon 2016 Data Breach Investigations Report」(英文)(Verizon 2016年データ漏洩/侵害調査報告書)と合わせて読み込んでいくと、情報流出が発生してから企業がそれに気付き、修復するまでの時間が長期化し、しかも社内のセキュリティチームではなく、捜査機関や外部からの指摘によって流出に気付くケースが多いことなど、興味深い事実が浮き上がってきます。
何より注意したいのは、回答者の77%が「データ流出が発生していないと考えている」と答えたことです。本当にデータ流出が発生していないのでしょうか、それとも漏えいの事実に気付いていないだけなのでしょうか。それを明らかにするには、データを分類し、可視化することが第一歩となるでしょう。
【関連情報】
ランサムウェア関連情報 まとめ