BLOG

F5 Labsが最新の「アプリケーション プロテクション レポート」で進化する脅威の状況を検証

 サムネール
Published May 31, 2022

F5 Labsは先日、今年度の「アプリケーション プロテクション レポート」を公開しました。2022年版には、「流出への期待」というサブタイトルが付けられ、詐欺や身代金要求に利用するかどうかにかかわらず、攻撃者にとって盗んだデータの価値が失われることはないことを示しています。このレポートは、複数のソースのデータを組み合わせて、時間とともに進化する脅威の状況、組織の特性と組織が直面する攻撃手法との関係、そして最も重要な、リスクを軽減するためにセキュリティ担当者ができることを理解するためのものです。

ランサムウェアは増加し続けている

レポートでは、ランサムウェアが増加し続けていることを大きく取り上げていますが、これには十分な根拠があります。2021年、米国ではデータ侵害につながるアプリケーション攻撃の42%にランサムウェアが使われました。ただし、ランサムウェアに気を取られて、非暗号化マルウェアのリスクを忘れてはなりません。マルウェアも劇的に増加し、結果として非暗号化データの流出を引き起こす傾向があります。全体として、2021年に米国のデータ侵害につながった全攻撃の30%以上で、何らかのマルウェア攻撃が使われていました。

データ流出については、2021年に劇的に増えていることがわかったため、このレポートのサブタイトルに選びました。米国でデータ侵害を引き起こしたアプリケーション攻撃の5件に4件は、Magecartによる攻撃、追加のWeb攻撃キャンペーン、ランサムウェア攻撃、その他のマルウェア感染など、戦術として流出を利用していることが特徴的でした。2020年にランサムウェアが爆発的に増加し、2021年初頭にはサイバー攻撃から利益を得る方法として身代金要求が詐欺を上回ったことを考えると、この結果は驚くべきものであり、詐欺は身代金要求に匹敵する収益化手段として今後も利用されることを示しています。

Webエクスプロイトの役割

Webエクスプロイトがデータ侵害で果たす役割は縮小しているように見えますが、この話には続きがあります。Webエクスプロイトによるデータ侵害の割合は低下したものの、報告されたWebエクスプロイトはほぼすべてがフォームジャッキング攻撃と呼ばれるタイプのもので、その代表例がMagecartでした。Webエクスプロイトが一般的ではなくなったように見えても、その焦点は支払いカード番号を大規模に取得する、比較的簡単で手間のかからない攻撃チェーンに移りつつあります。この傾向は、特にフォームジャッキングの標的である小売業やその他のeコマースではランサムウェアの被害が最も少ない傾向にあることを考えると、他の代替しにくいデータと比べて支払いカード番号の価値が失われにくいことを反映しています。

さらに、国の支援を受けた攻撃者による高度なキャンペーンは、当社のソースには現れない傾向がありますが、当社のデータ セットが示す既知の高度な攻撃は、少数であってもWebエクスプロイトを巧みに利用して組織に対して精密な攻撃を仕掛けており、数が多いことが重要なリスクを表しているとは限らないことを示しています。数年前のようにWebエクスプロイトが主力の手段となることはありませんが、防御するためには脆弱性管理とエクスプロイト対策が非常に重要であることに変わりはありません。

組織による現在の取り組み

また、クラウド セキュリティの状況を調査した結果、クラウド内のサードパーティやフォースパーティの関係が予期しない形でリスクを表面化させる傾向があり、悪意のある行為よりも、アクセス制御の構成ミスがデータ漏洩をもたらす可能性が非常に高いことが判明しました。

レポートで推奨している緩和策は、さまざまな組織の運用上の優先度に応じてさまざまな順位で並べられていますが、データのバックアップ、ネットワークのセグメント化、多様な形態の環境強化などの制御目標は、どのような順位で並べても上位に挙がる傾向があります。またこのレポートでは、2021年のレポートで初登場したMITRE ATT&CK®フレームワークを用いた攻撃チェーン分析および可視化アプローチも取り上げています。

F5 Labsの「アプリケーション プロテクション レポート」より、2021年のクラウド侵害に対する攻撃チェーンの可視化の例

F5 Labsが6月のRSACで研究結果を発表

この度、「アプリケーション プロテクション レポート」のある主任研究員が、サンフランシスコで開催されるRSAカンファレスで、この研究結果を発表することになりました。これらの傾向をより詳細に調査することに加え、目立たないが興味深い攻撃行動についても幅広く取り上げる予定です。RSAでは素晴らしい成果の発表が目白押しですが、攻撃対象の傾向が気になる方は、6月8日(水曜日)午後1時15分(太平洋標準時)にMoscone South 208にお立ち寄りください。詳細はこちらでご覧いただけます。また、サンフランシスコには行けないが、詳しく知りたい、またはデータをさらに深く掘り下げたいという方は、F5 Labsにアクセスしてください。