バラクーダのXDRによるインサイト「脅威の深刻度が休暇期間中に上昇」
〜2022年6月から9月末までに検知された脅威アラームの5分の1は高リスクに〜
クラウド対応セキュリティソリューションのリーディングプロバイダーであるBarracuda Networks, Inc.(本社:米国カリフォルニア州キャンベル)の日本法人、バラクーダネットワークスジャパン株式会社(東京都品川区、執行役員社長:大越大造、以下「バラクーダネットワークス」)は、本日、「バラクーダのXDRによるインサイト:脅威の深刻度が休暇期間中に上昇」について、調査結果を発表しました。
バラクーダの高度なXDRプラットフォームと24時間365日稼働のセキュリティオペレーションセンターからの最新の脅威インサイトでは、2022年の脅威の量と深刻度について、特に夏期に焦点を当てて調査しています。調査に関わるデータは、疑わしい脅威や悪意のある脅威の検出・分析・対応にBarracuda XDRを活用している顧客及びMSPパートナーより、取得されています。
2022年現在までに検知された脅威
2022年1月、XDRプラットフォームが検知した脅威アラームの数は140万件に急増し、その後4分の3弱(71.4%)に激減しました。さらにその後、6月にアラームが140万件に急増し、7月から8月にかけては緩やかながら減少を示しました。
図1: 2022年1月から9月にかけて検知された脅威アラーム数
アラームからお客様へのセキュリティアラートまで
これらの脅威アラームのうち、バラクーダの脅威エキスパートの詳しい検証の後に顧客へのセキュリティアラートを引き起こした数を見ると、状況は大きく異なります。顧客への警告が必要なほど深刻なセキュリティアラートは、1月には全脅威アラームの約80分の1(17,500件、1.25%)しかありませんでしたが、6月から9月になると、その割合は5分の1(96,428件)にまで上昇します。
図2: 2022年1月から9月にかけて送られたセキュリティアラート数
夏期の脅威アラームに関する詳細
6月から9月の間にバラクーダの脅威エキスパートが分析した476,994件の脅威アラームのうち、20%にあたる96,428件は、顧客に潜在的な危険を警告し、改善策を講じるよう促すほど深刻な内容となっています。
図3: 2022年6月から9月に検証された脅威アラーム
図4: 2022年6月から9月に発出されたアラート
6月から9月にかけて最も多く検出された脅威は、以下の3つです。
- 疑わしい国からのMicrosoft 365へのログインの成功 (高リスク)
この種の攻撃は、6月から9月末までの90日間に発生した全攻撃の40%を占めています。自動セキュリティ警告のフラグの対象となっている国は、ロシア、中国、イラン、ナイジェリアなどです。Microsoft 365のアカウントへの侵入は、ターゲットがプラットフォーム上に保存しているすべての接続・統合された資産に侵入者がアクセスできる可能性があるため、特に危険です。中でも、イギリスからログインした後、1時間後にロシアや中国からログインするなど、同じアカウントに複数の国からログインしている証拠を、アナリストは検証しています。これらのアラームのうち、正当なログインである「誤検知」はわずか5%でした。これらのアラームは、「高リスク」な脅威と分類されます。「高リスク」の脅威とは、お客様の環境に深刻な損害を与える可能性があり、即時の対応が必要な事象を指します。
- 脅威インテリジェンスが認知しているIPアドレスへの通信 (中程度のリスク)
この種の攻撃は、ネットワーク内の機器からウェブサイトや既知のコマンド&コントロールサーバーなどへ悪意のある通信を試みるもので、この期間の攻撃全体の15%を占めています。これは、「中程度のリスク」に分類され、緩和策を講じる必要があるが、通常、単独で大きな影響を及ぼすことはないレベルの脅威を指します。
- ブルートフォース認証による試み(中程度のリスク)
全攻撃の10%を占め、名前とパスワードの組み合わせをできるだけ多く実行することで、組織の防御を突破しようとする自動化された攻撃となっています。
データの意味するところ
サイバー攻撃者は、企業やITセキュリティ・チームのリソースが不足しがちな時期に標的を定めています。これは、週末や夜間、あるいは夏休みなどの休暇期間となっています。この現象は XDR のデータにも反映されており、脅威の数は全体的に減少しているにもかかわらず、夏期に検出された脅威のうち、高リスクの脅威の割合が著しく高いことが明確に示されています。今年も年末年始を迎えるにあたり、こういった傾向に留意する必要があります。
バラクーダでは、ITセキュリティチームが以下のような基本的なセキュリティ対策を強化することを推奨しています。
- すべてのアプリケーションとシステムでの多要素認証(MFA)の有効化
- すべての重要なシステムのバックアップの確保
- メール保護やEDR(Endpoint Detection and Response)を含む堅牢なセキュリティソリューションの導入
- ITインフラ全体の可視化
- サイバー脅威を監視、検知、対処するための24時間体制のセキュリティオペレーションセンター(SOC)を、社内または信頼できるサービスプロバイダー経由で設置
この調査結果は、24時間365日のセキュリティオペレーションセンター(SOC)を背景に、人間とAIによる脅威の検知、分析、インシデント対応、および軽減サービスを顧客に提供する拡張された可視性、検知、および対応(XDR)プラットフォームであるBarracuda XDRからの検知データに基づいています。Barracuda XDRは現在、MSP向けに提供されています。
バラクーダネットワークスについて
米国Barracuda Networks Inc. の日本法人。ITにまつわる課題について、メール保護、ネットワークとアプリのセキュリティ、データ保護の3つの分野において、効率的かつ低コストで業界最高レベルのソリューションを提供しています。バラクーダネットワークス製品は全世界20万社以上のお客様にご利用いただいており、オンプレミス、仮想、クラウド、そしてハイブリッドといった柔軟な導入形態により、あらゆるIT環境で最適化できるよう設計されています。
【本件に関するお問い合わせ】
〒141-0031東京都品川区西五反田8-3-16 西五反田8丁目ビル5階
バラクーダネットワークスジャパン株式会社
E-mail: jsales@barracuda.co.jp
TEL: 050-1791-0524