実際に成功した攻撃の85％はよく知られた脆弱性のトップ10を悪用：セキュリティ最初の一歩（2/2 ページ）

ベライゾンが約10万件のインシデントを分析した調査報告書を発表。攻撃の85％は、長年にわたってよく知られている脆弱性を悪用したものだった。

[キーマンズネット]

3人に1人がフィッシングメールを開封する

　攻撃者の最終目的によって手口が複雑化しているサイバー攻撃ですが、サーティン氏は「多くのインシデントの初期段階の活動は共通しています」とコメントします。まずは、フィッシングを仕掛け、メールに記載した不正なURLをクリックさせたり、添付した不正ファイルを開かせたりします。そして、マルウェアをインストールし、認証情報を盗み出します。

　調査報告によれば、900件以上のデータ漏えいにフィッシングが関与していて、フィッシングメール受信者の30％がメールを開封し、13％が添付ファイルや不正なURLをクリックしました。フィッシングメールが届いてから最初のクリックまでに要する時間の中央値は3分45秒だといいます。

図2 フィッシングメールをクリックする割合（出典：ベライゾンジャパン）

　さまざまなセキュリティベンダーが「標的型攻撃では『怪しいメール』は届かない。不正メールをクリックし、添付ファイルを開封してしまうことを前提とした対策が必要だ」と指摘していますが、本調査でもその実態が裏付けられたのではないでしょうか。

実際に成功した攻撃の85％はよく知られている脆弱性のトップ10を悪用

　サーティン氏は「セキュリティパッチを適切に当てていれば、多くで被害拡大が防げたでしょう」ともコメントします。2015年度に脆弱性を突いた攻撃は約700万あり、そのほとんどが1年以上にわたって存在が知られている既知のものでした。2015年に悪用されたCVE（Common Vulnerabilities and Exposures）を件数別に並べると、最多となったのは2007年に公開されたものでした。

　「よく知られている脆弱性が長期間にわたって放置されています。しかも85％の攻撃は悪用件数トップ10の脆弱性を突いたものでした。パッチ管理が適切に行われていない実態が明らかになったといえるでしょう」

図3 公開日別の2015年に悪用されたCVEの件数（出典：ベライゾンジャパン）

　最後にサーティン氏は、2016年のセキュリティ対策は「基本に立ち戻ることが重要」とまとめました。パッチはきちんと適用し、ユーザーの認証情報が簡単に盗まれないようにするために二要素認証を導入すること、そして情報収集を続けることです。