トレンドマイクロが対応支援したセキュリティインシデント事例から見えてきた対策のポイント

セキュリティインシデントの現場から見えた被害組織の共通点

トレンドマイクロでは、サイバー攻撃による被害が発生した組織にインシデント対応支援サービスを提供しており、対応にあたる専門チームとして「インシデントレスポンスチーム」を設置しています。インシデントレスポンスチームは、インシデント対応に必要な高度な専門知識を有したメンバーで構成されており、これまで10年以上に渡り300件以上のインシデント対応を行ってきました。

こうしたインシデント対応をご支援するなかで、被害事例に共通する傾向がみられることがわかってきました。そして、これを広くご紹介することで、法人組織皆さまのセキュリティ対策の強化、リスク低減にも役立てていただけると考えました。本記事では、セキュリティインシデントの対応支援事例を攻撃と対策の点で傾向分析し、それを踏まえたリスク低減策を紹介します。

セキュリティインシデントを引き起こした攻撃手口に着目してみます。トレンドマイクロがこれまで対応に協力してきたセキュリティインシデントの傾向から、大きく次の3つを紹介します（集計期間2019年1月～2023年10月）。

・ランサムウェアによる被害が最も多く、次に標的型攻撃による被害が多かった。

・攻撃の発端としてメールの添付ファイルから展開するケースが最も多く、次にVPN機器を起点とするケースが多かった。

・2018年に公表された脆弱性を悪用した攻撃が最も多く、次に2017年に公表された脆弱性を悪用した攻撃が多かった。

外部専門サービスに対応支援を要するレベルのセキュリティインシデントに関しては、やはりここ数年の傾向として、ランサムウェアを起因とするものが多いこと、そして攻撃の入り口としては外部との接点になるメールのほか、昨今のサイバー攻撃で度々問題になるVPNが多いことが確認できました。またこの集計期間が2019年からということを踏まえると、2018年に公表された脆弱性が最も悪用さている事実は、ベンダーによるパッチリリース済みのものや過去に流行したものなど、ある程度攻撃手段が確立されている脆弱性こそ、残っていた場合に狙われやすいものであるということを示していると言えます。

図1　トレンドマイクロが対応支援したセキュリティインシデントについて攻撃手口を整理（集計期間　2019年1月~2023年10月）

被害を受けた組織の対策から見えてきた傾向は、「基本的なセキュリティ対策が徹底できていれば、十分被害は防げた可能性がある」ということです。それぞれの事例で被害を引き起こしたサイバー攻撃の種類こそ異なりますが、発生の根本的な原因は、最新版でないソフトウェアを利用していた、不要な通信を制限していなかった、またセキュリティソリューションに関しては、攻撃検知に有効なソリューションは導入していたが機能を有効化していなかったなど、「基本的なセキュリティ対策」といえるものでした。以下では、被害の原因になった対策の課題を紹介します。

平時の運用改善から始めるセキュリティリスク低減

ここでは、被害を受けた組織に見られた「基本的なセキュリティ対策」課題の一部をご紹介します。以下の例は、平時の「基本的なセキュリティ対策」が如何に重要か分かる事例です。

セキュリティインシデント発生の原因になった対策課題の例

●ITシステムの設定、運用の課題

- ソフトウェアが最新版でなかったこと
- 不要な通信を制限していなかったこと
- 設定ミスやシャドーITなど、そもそも存在するリスクに気づいていなかったこと
- アカウントの認証や管理が脆弱

●セキュリティソリューションの設定、運用の課題

- 有効なセキュリティソリューション利用しているものの、一部の端末にのみ導入していなかった
- 機能の一部が有効化していなかった
- パターンファイルが最新でなかった

ITシステムについては、セキュリティソリューションがあればより効率的に管理が可能ですが、ソリューションが必須ではないということに留意してください。このことは、各社が自社のセキュリティに関する投資を検討する際にはソリューションを選ぶことからではなく、まずは自社のシステム運用状況やセキュリティ体制上の弱点を把握することから始めることがより重要であるということを示しています。

また、セキュリティソリューションのについては、EDRやXDRのような新しいセキュリティ技術でなければ検知が難しいサイバー攻撃も増えている一方で、ソリューション導入だけでセキュリティリスク低減が実現できるわけではなく、導入後も適切な運用が重要であることわかります。

サイバー攻撃の高度化により、侵入を100%防ぐことは難しく、侵入されてしまった場合を想定した対策、体制を整備することが必要になっています。一方で、組織全体のセキュリティを高めていくためには、適切な検知、保護施策も重要になります。NIST の「Cyber Security Framework」では、セキュリティ機能を「識別」、「保護」、「検知」、「対応」、「復旧」の5つに整理して、これらすべておいて、それぞれ組織の要件に応じた対策を実行していく必要性を提唱しています（図2）。新たな投資、対策を行う場合、検知や対応といった特定の領域に焦点があたりがちになりますが、プロセス全体を通じてあるべき対策、体制を考え、現状とのギャップを埋めていくことが、組織のセキュリティ強化につながります。

図２　NIST 「Cyber Security Framework」
「特定」、「保護」、「検知」、「対応」、「復旧」のサイクルを適切に運用していくことが重要。「Cyber Security Framework ver2.0」ドラフト版では、組織でのセキュリティ実施のために「ガバナンス」が新たに追加されている。
https://www.nist.gov/cyberframework

セルフチェックシートでまずは自組織の状態を点検

トレンドマイクロでは、こうしたセキュリティインシデント対応支援の現場で得た知見を、平時のセキュリティ対策の底上げにお役立ていただけるレポートとしてまとめました。

レポ―トでは、過去に対応した7つの事例について事例研究を行い、攻撃の手口や発生当時の状況を物語形式（フィクションを含みます）で整理しました。また、これらの事例で見られた課題と対策推奨事項をまとめ、組織のセキュリティ点検、改善ご利用いただけるセルフチェックシートをレポ―ト内で提供しています。チェックシートに記載されたポイントは、いずれも基本的なものですが、読者様の組織におけるセキュリティ点検にお使いいただき、リスク低減にお役立ていただければ幸いです。