【最新版】貴社のセキュリティは大丈夫？脅威アクター動向｜攻撃の手口とインシデント対応策（2021年統計）

1．おもな統計

• 33% ― 2020年から2021年にかけての脆弱性の悪用によるインシデント数の増加
• 3倍 ― 電話を使用した標的型フィッシング・キャンペーンのクリック効果
• 1位 ― 製造業の攻撃ランク
• 26% ― アジアを標的とした世界的な攻撃の割合

※2021年1月～12月

2．攻撃の手口

フィッシング詐欺や脆弱性の悪用は、最も一般的な手法であり、続いて、認証情報の盗用、ブルート・フォース、リモート・デスクトップ・プロトコル、リムーバブル・メディア、およびパスワード・スプレー攻撃などの侵入方法があります。

フィッシング

2021年には、フィッシング詐欺が感染手口のトップに浮上し、前年の脆弱性の悪用を上回りました。
2021年の第3四半期は脆弱性の悪用が主流でしたが、同年の第1四半期と第4四半期にフィッシング詐欺が数多く発生したことで、フィッシングが同年のトップになりました。
また、フィッシング詐欺キットに最も頻繁に登場するブランド調査では、大規模なテクノロジー企業や大規模な金融機関が上位ブランドに含まれています。

なりすましが多かったブランド

1位 | Microsoft
2位 | Apple
3位 | Google
4位 | BMO Harris Bank
5位 | Chase
6位 | Amazon
7位 | Dropbox
8位 | DHL
9位 | CNN
10位 | Hotmail
※2021年

脆弱性の悪用

この1年間で脆弱性の悪用が原因で発生した件数は、2020年から33%増加しており、数ある攻撃手段の中でも変わらず、脆弱性の悪用による攻撃が続いています。
脅威アクターは被害者のネットワークにアクセスし、多くの場合で獲得した権限を用いてさらなる操作を行うことができます。
Kaseyaのランサムウェア攻撃およびMicrosoft Exchangeサーバーのインシデントなどの大規模な攻撃では、脅威アクターがゼロデイ脆弱性を利用して被害者のネットワークやデバイスにアクセスしていることが確認されています。
脆弱性を悪用することを目的としたツールであるエクスプロイトの数も着実に増加しており、脆弱性を悪用しようとする脅威アクターが使える選択肢がますます広がっていることは、今後の対策強化の点で重要なファクターであることも間違いありません。
モノのインターネット（IoT）および産業用制御システム（ICS）に関連する脆弱性は、全体の脆弱性よりもさらに速いペースで増加しており、全体の脆弱性数の増加率が0.4%であったのに対し、この2つのカテゴリーはそれぞれ前年比16%、50%の増加となりました。

3．業種別の動向

2021年の攻撃対象業種は、COVID-19の大流行によるサプライチェーンへの圧力に加え、製造業を狙ったランサムウェアおよびBECによる攻撃が急増しました。
専門・ビジネスサービスもかなり多くの攻撃を受け、特にランサムウェアによる攻撃の標的となっています。また、小売業よりも卸売業がはるかに頻繁に攻撃されています。

攻撃が多かった業種

1位 | 製造業：攻撃の23.2%
2位 | 金融・保険業：攻撃の22.4%
3位 | 専門・ビジネスサービス：攻撃の12.7%
4位 | エネルギー：攻撃の8.2%
5位 | 小売・卸売業：攻撃の7.3%
6位 | 医療・ヘルスケア：攻撃の5.1%
7位 | 運輸：攻撃の4.0%
8位 | 政府：攻撃の2.8%
9位 | 教育：攻撃の2.8%
10位 | メディア：攻撃の2.5%
※2021年

4．リスク軽減の対策（まとめ）

ランサムウェアによる深刻かつ増大する脅威、BECやフィッシングによる新たな脅威など、現在の脅威の状況を理解し、これらの脅威に対抗するために取るべき行動とは何なのか？
今日のサイバー脅威への有効な対策（セキュリティ原則）には、インシデント対応の自動化・検知および対応能力の拡張があります。

セキュリティの自動化でインシデント対応を強化

ランサムウェアをネットワーク上にデプロイする前に攻撃者を特定して排除する場合、次のインシデントに備えて帯域幅を確保するためにも問題を迅速かつ効率的に解決するスピードが最も重要です。
このような速いペースで進む環境では、セキュリティの自動化が鍵となります。人間のアナリストやチームが時間を要するタスクをマシンにアウトソーシングし、ワークフローを改善するメカニズムを特定する必要があります。

セキュリティ強化のための具体的アクション

現在、あらゆる業界と地域がランサムウェア攻撃のリスクにさらされており、瞬時にどのように対応するかによって、対応に費やされる時間と費用が大きく異なります。

• アクション（１）

対応計画には、即時の封じ込め措置、利害関係者および法執行当局に通知する必要がある事項、組織がバックアップから安全に保存および復元する方法、修復中に重要なビジネス機能を実行できる別の場所を含めます。

• アクション（２）

ランサムウェア攻撃の一部として、データの窃盗や漏洩を想定したシナリオを計画に含めます。これは、今日非常によく使われている手口で、ランサムウェア攻撃において非常に高い割合で見受けられています。

• アクション（３）

ランサムウェア・ドリルを使用して、組織が身代金を支払うかどうか、およびその決定の計算方法を変更する要因を検討します。

• アクション（４）

ランサムウェアの対応計画には、クラウド関連のインシデントに対する特定の危機管理が含まれていることを確認します。クラウド関連のインシデントには、追加のツールやスキルが必要になる場合があります。

• アクション（５）

マルウェアやランサムウェアの攻撃によるデータの破損を防ぐフラッシュ・ストレージ・ソリューションは、データ損失の防止、業務継続性の促進、インフラストラクチャー・コストの削減に貢献します。

• アクション（６）

ネットワークに接続するすべてのリモート・アクセス・ポイントに、マルチファクター認証を実装します。これによって、Eメールによる乗っ取りキャンペーンの効果も低下します。

• アクション（７）

MFAは、ランサムウェア、データの窃盗、BEC、サーバー・アクセス攻撃など、さまざまな攻撃タイプのリスクを軽減できます。現在では、IDおよびアクセス管理技術によって、実装チームとエンド・ユーザーの双方に、MFAの実装が容易になっています。

• アクション（８）

すべてのフィッシング攻撃を阻止できるツールやソリューションは存在せず、フィッシング対策では階層型アプローチを採用します。脅威アクターは、確立された制御を回避するためにソーシャル・エンジニアリングやマルウェア対策の検出技術を改良し続けています。そのため、フィッシング・メールを検出する可能性の高いソリューションをいくつかの階層に分けて実装します。

• アクション（９）

フィッシング攻撃の阻止には、第一にユーザーの認識と教育が重要であり、これには実例を含める必要があります。第二にメールソフトウェア・セキュリティ・ソリューションを使用して、悪意のあるメッセージを特定してフィルタリングするタスクをマシンに行わせます。第三に万が一フィッシング・メールが送信されてきても、マルウェアや横方向の動きを素早くキャッチできるよう、行動ベースのマルウェア対策、エンドポイント検知と応答、侵入検知・防御ソリューション、セキュリティ情報とイベント管理システムなどの防御策を実装します。

• アクション（10）

脆弱性管理システムを改善し、成熟させます。脆弱性管理に特化したチームを編成し、十分なリソースとサポートが提供されている環境を確立することによって、潜在的な脆弱性の悪用からネットワークを確実に保護することができます。

セキュリティ診断について

マイクロウェーブでは、サイバー攻撃の増加・高度化（高速化）において、大手企業様のWebサイト・業務システムの構築実績を通して、セキュリティ診断をはじめ様々なご提案・サービスの提供が可能です。

• セキュリティ診断・コンサルティングサービス

セキュリティの問題点や具体的アクション・有効性など、ご不明な点やご質問があれば、是非お気軽にお問い合わせください。