セキュリティの一年: 2019年から学んだこと
トピック: クレデンシャルスタッフィング、データ保護、メール保護
2019年12月11日、Phil Muncaster
サイバー犯罪の地下組織はルールに従っているわけではありません。このため、サイバー犯罪の新しい傾向がカレンダーに従っていることは、期待できません。とはいえ、来年末は、評価を行うには十分な時期です。
企業が、デジタル変革を推進するために、クラウドベースのシステムにますます多くの金額を投資していることは明らかです。たとえば、ガートナーによると、今年、世界中のパブリッククラウドへの投資は17.5%増加します。一方、セキュリティテクノロジ、セキュリティプロセス、およびセキュリティトレーニングへの投資は継続しない可能性があります。保険会社のHiscoxによると、ヨーロッパと米国でサイバー犯罪に対応できている企業は、わずか10%です。この現状は問題です。予測どおり、今年、IoT(モノのインターネット)攻撃、ファイルレスマルウェア、サプライチェーンリスク、およびスキルの不足が、すべて急増しました。また、企業が顧客の信頼を低下している場合、政府機関は高額の罰金を科す用意があることを示しています。
では、2019年について言えることは何でしょうか。5つの重要な点は下記のとおりです。
共同責任のジレンマ
企業はクラウドセキュリティに関する自信を深めていると思われます。バラクーダが世界中の850人のセキュリティプロフェッショナルを対象に実施した最近の調査によると、44%はクラウド環境がオンプレミス環境と同様にセキュアであると考えており、21%はオンプレミス環境よりはるかにセキュアであると考えています。また、60%は自社がクラウドテクノロジを使用することはセキュアであると確信しています。
企業が、このように感じていることは素晴らしいです。しかし、共同責任モデルによると、クラウドリスクは、プロバイダと顧客の両方が管理する必要があります。このため、上記のセキュリティプロフェッショナルはコンプライアンスと可視性に関する懸念を表明しており、53%は顧客情報、55%は自社の財務データをクラウドにホスティングすることに抵抗を感じていますが、この現状には多少、安心しています。間違いなく、企業は、基礎となるインフラストラクチャがセキュアでも、データセキュリティを強化するための追加的な取り組みが必要であることを従来より理解しています。
人的エラーが重大な問題になる
企業がクラウドインフラストラクチャを構築するにつれて、複雑性が増大します。IBMによると、企業の85%はマルチクラウドを使用しています。ベンダとシステムが多様であり、アクセス管理に関するポリシーが複雑であるため、クラウドの共同責任モデルの目的は、ますます達成しにくくなっています。必然的に、過去1年間、人的エラーは、さまざまな企業からの重大なデータ漏洩につながっています。
サイバー犯罪者が脆弱なクラウドサーバを非常に簡単に検出および悪用できることに気づくにつれて、このようなデータ漏洩が大規模な侵害にますます変化していることは不安なニュースです。サイバー犯罪者は、MongoDBデータベース内の200万以上の顧客データをインターネット上に漏洩したメキシコの書店、および主要なホテルチェーンにランサム(身代金)を要求しました。また、AWS(Amazon Web Services)で動作するWAF(Webアプリケーションファイアウォール)の誤設定は米国の銀行であるキャピタル・ワンの1億人の顧客と申込者のデータ漏洩につながりました。
メールが最大の攻撃ベクタ
次世代デジタルシステムへの攻撃が増加している一方、従来の攻撃は依然として一般的です。メールは2019年の最大の攻撃ベクタでしたが、当面、この現状は続く可能性が高いです。今年、バラクーダが調査した世界中のITセキュリティプロフェッショナルの約82%は過去12か月間にメール攻撃を受けています。また、4分の3(74%)はビジネスへの直接的な影響を受けており、48%は生産性の低下、36%はダウンタイムの発生、28%はIT部門の信用の低下、20%は復旧コストの発生という損害を受けています。
BEC(ビジネスメール詐欺)攻撃、フィッシング攻撃などのソーシャルエンジニアリング攻撃は引き続き企業の問題の中心にあります。フィッシング攻撃では、情報が盗み出されており、ランサムウェア、バンキング型トロイの木馬などがインストールされています。損害が増加しているにもかかわらず、自動的なインシデント対応、スピアフィッシング対策、ATO(アカウント乗っ取り)対策などの高度なツールに投資している企業は、ほとんどありません。
Cレベル(経営幹部)が攻撃を受けている
2019年は、上記のようなソーシャルエンジニアリング攻撃が役員にますます実行されました。この現状は無理もありません。ほぼ間違いなく、時間的余裕がない役員はフィッシングメールをクリックする可能性が従業員より高いため、役員のアカウントはサイバー犯罪者にとって利益が高いです。
ベライゾンの最新のData Breach Investigations Reportによると、役員は、ソーシャルエンジニアリング攻撃を受ける可能性が12倍、侵害を受ける可能性が9倍、以前より高くなっています。このため、役員と秘書がセキュリティ意識プログラムに参加することが、ますます重要になっています。
クレデンシャルスタッフィングによってATOが実行しやすくなる
ATOは、アカウントを盗み出すためのフィッシング攻撃によって、実行しやすくなる場合が多いです。しかし、2019年にますます悪用された技術はクレデンシャルスタッフィングです。サイバー犯罪者は、多くのアカウントをダークWeb上で購入し、他のさまざまなサイト上で同じパスワードを試行する自動的なスクリプトに入力します。パスワードは再利用される傾向が強いため、利益の高い可能性があるアカウントのパスワードが知られる場合があります。
企業では、ATOは侵害の第1段階になる可能性があります。あるいは、サイバー犯罪者は、役員のアカウントを乗っ取って、財務部門の従業員に外部の銀行口座への電信送金を行わせる場合、ATOによって、BEC攻撃を実行しやすくなる可能性があります。毎年、数百億回のクレデンシャルスタッフィングが実行されており、推定される損害は米国の企業だけで毎年50億ドル以上であると考えられています。パスワードマネージャ、2FA(2要素認証)などの従来よりセキュアな認証が不可欠です。
次回は、2020年の予測について説明します。
製品のご紹介:Barracuda Total E-mail Ptotection
原文はこちら:
A year in security: what have we learned from 2019?
December 11, 2019 Phil Muncaster
https://blog.barracuda.com/2019/12/11/a-year-in-security-what-have-we-learned-from-2019/
No comments yet.