サイバー保険会社Coalitionの調査レポートによると、ランサムウェア攻撃の侵入経路には”ある傾向”が見られたという。攻撃のトレンドや、ますます高まる脅威リスクへの備え方と併せて解説する。
サイバー保険会社Coalitionは調査レポート「Cyber Threat Index 2025」を公開した。契約者から申告のあった2024年の2024年1~10月の保険請求データを基に、ランサムウェア(身代金要求型マルウェア)攻撃の最新トレンドを分析したものだ。
レポートによると、2024年に発生したランサムウェア攻撃の侵入経路には一定の傾向が表れたという。侵入経路として2番目に多かったのは「リモートデスクトップソフトウェア」で、全体の18%を占めた。最も多く悪用された侵入経路は意外な結果となった。
最も多く悪用された侵入経路は「境界型セキュリティ機器」で、全体の58%を占めた。これらの機器にはVPN(仮想プライベートネットワーク)機能やファイアウォール機能が搭載されており、外部ネットワークと社内ネットワークの境目に配置されることが一般的だ。実際に攻撃の侵入経路となったのは、Cisco Systems、Fortinet、Palo Alto Networks、SonicWallなど、大手セキュリティベンダーの製品だった。
ランサムウェア攻撃がどのように始まったかを示す「初期攻撃ベクトル」(Initial Attack Vector:IAV)の分析では、最も多かったのはIDやパスワードといった認証情報の侵害で、全体の47%を占めた。その大半は、ブルートフォース(総当たり)攻撃による漏えいだった。ソフトウェアの脆弱(ぜいじゃく)性を悪用するエクスプロイト型の攻撃は29%だった。
さらにレポートでは、リモートデスクトップソフトウェアや、セキュリティ機器のログイン画面がインターネット上に公開されていることが、重大なリスク要因であると警鐘を鳴らす。Coalitionによると、Micorosoftの「リモートデスクトッププロトコル」(RDP)に使用される3389番ポートを解放しているシステムが500万件以上検出されたという。背景には、企業がテレワークの利便性を優先している状況がうかがえる。加えて、セキュリティ機器のログイン画面も数万が検出されたという。同社のサイバー保険の加入申請企業の65%以上が、従業員用向けのログイン画面を1つ以上インターネット上に公開している実態が明らかになった。
インターネット上に公開されたログイン画面の詳細を見てみると、最も多く検出されたのはCisco Systems製VPN機器の管理者用ログイン画面だった、次いで多かったのが、SonicWall製VPN機器のログイン画面であり、この2社のログイン画面だけで、検出された全体の19%以上を占めた。3番目に多かったのは、Microsoftのメールサーバ「Exchange Online」および「Exchange Server」の管理コンソールだった。
このようなログイン画面は、サイバー攻撃者にとって格好の標的である。米国の医療メーカーChange Healthcareは、2024年にランサムウェア攻撃を受け、復旧のために2200万ドル(約33億円)の身代金を支払った。この攻撃は、インターネット上に公開されていた同社のCitrix Systems製リモートアクセス用Webポータルへの不正アクセスから始まったとされる。このポータルにはMFA(多要素認証)が実装されておらず、それがセキュリティホールとなった。
Coalitionのセキュリティプロダクト部門責任者であるアロック・オジャ氏は、次のように警鐘を鳴らす。「ランサムウェアをはじめとするサイバー攻撃から身を守るためには、リスクの高いセキュリティ項目の優先的な見直しが不可欠だ。既存の境界型セキュリティ機器、リモートデスクトップソフトウェア、インターネット上に露出したログイン画面の存在を把握し、継続的な監視と保護対策を講じる必要がある」
Coalitionは今後の見通しとして、2025年には脆弱性識別子「CVE」を付与される脆弱性が月間4000件、年間で4万5000件以上発生すると予測する。これは2024年の約4万件を上回る数字であり、非営利のセキュリティ団体Forum of Incident Response and Security Teams(FIRST)が2025年2月に発表した予測とほぼ一致している。
CVEの増加は、攻撃対象領域(アタックサーフェス)の急速な拡大が主因とされているが、CVEの付与を許可された認定機関「CVE Numbering Authorities」(CNA)の増加も関与しているとCoalitionは見る。
Coalitionのシニアセキュリティリサーチャーを務めるダニエル・ウッズ氏はレポートについて、「特にセキュリティ人材が不足しがちな中小企業にとって、レジリエンシー(障害からの回復力)を高めるために、適切な防御策への投資を優先すべきことを強く示している」と語る。
特に重点的に投資すべき項目は以下の通りだ。
ウッズ氏は、ゼロデイ脆弱性(修正プログラムが提供される前の脆弱性)への対応も不可欠だと強調し、「当社の『アクティブ保険』は、単なる被害補償にとどまらず、ゼロデイ脆弱性に関するアラートを顧客企業に対して通知する」と説明する。これにより、最もリスクの高い脆弱性を優先的に解消できるよう支援するという。
(翻訳・編集協力:編集プロダクション雨輝)
米国Informa TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
クラウド利用が当たり前となった今日、セキュリティ対策もまたクラウド環境に適したものでなくてはならない。とはいえ、大量のデータポイントが生成されるクラウド領域にあって、その全てのポイントを網羅するのは並大抵のことではない。
ビジネスでのAPI利用が進むにつれ、そのAPIを標的としたサイバー攻撃も増加している。それらに対抗するためには、「シャドーAPI」や「ゾンビAPI」を洗い出し、セキュリティ対策を徹底する必要がある。その正しい進め方を解説する。
ある調査で企業の61%がセキュリティ優先事項のトップ3に挙げるほど、重要度が高まっているアイデンティティー管理・保護。その中で昨今注目されているのが「IGA」というアプローチだ。そのメリットや、導入方法を解説する。
DX推進によってさまざまなビジネスシーンでデジタル化が加速しているが、そこで悩みの種となるのがセキュリティの担保だ。リソースやコストの制限も考慮しながら、DXとセキュリティを両輪で進めるには何が必要になるのか。
サイバー攻撃が巧妙化し、セキュリティチームとSOCは常に厳戒態勢を取り続けている。さらにデジタルフットプリントの拡大に伴い、セキュリティデータが絶え間なく往来する事態が生じている。このような状況に対応するには、SOARが有効だ。
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
ITmediaはアイティメディア株式会社の登録商標です。
