攻撃者の最終目的によって手口が複雑化しているサイバー攻撃ですが、サーティン氏は「多くのインシデントの初期段階の活動は共通しています」とコメントします。まずは、フィッシングを仕掛け、メールに記載した不正なURLをクリックさせたり、添付した不正ファイルを開かせたりします。そして、マルウェアをインストールし、認証情報を盗み出します。
調査報告によれば、900件以上のデータ漏えいにフィッシングが関与していて、フィッシングメール受信者の30%がメールを開封し、13%が添付ファイルや不正なURLをクリックしました。フィッシングメールが届いてから最初のクリックまでに要する時間の中央値は3分45秒だといいます。
さまざまなセキュリティベンダーが「標的型攻撃では『怪しいメール』は届かない。不正メールをクリックし、添付ファイルを開封してしまうことを前提とした対策が必要だ」と指摘していますが、本調査でもその実態が裏付けられたのではないでしょうか。
サーティン氏は「セキュリティパッチを適切に当てていれば、多くで被害拡大が防げたでしょう」ともコメントします。2015年度に脆弱性を突いた攻撃は約700万あり、そのほとんどが1年以上にわたって存在が知られている既知のものでした。2015年に悪用されたCVE(Common Vulnerabilities and Exposures)を件数別に並べると、最多となったのは2007年に公開されたものでした。
「よく知られている脆弱性が長期間にわたって放置されています。しかも85%の攻撃は悪用件数トップ10の脆弱性を突いたものでした。パッチ管理が適切に行われていない実態が明らかになったといえるでしょう」
最後にサーティン氏は、2016年のセキュリティ対策は「基本に立ち戻ることが重要」とまとめました。パッチはきちんと適用し、ユーザーの認証情報が簡単に盗まれないようにするために二要素認証を導入すること、そして情報収集を続けることです。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。