データで紐解く、2023年のサイバー攻撃
トレンドマイクロが独自に収集しているサイバー攻撃に関するデータを紐解き、2023年における傾向を5つのポイントで解説します。
【2023年年間サイバーセキュリティレポート】
※1 1億の位までの概数であらわしています。
ランサムウェア攻撃は大企業が大半、中小企業への攻撃も継続
トレンドマイクロ製品が全世界でブロック・検出したランサムウェア脅威の総数は2016年には10億を超える数に達しましたが、2018年は約5,500万までに減少し、その後も減少が続き、2023年には約1,400万件となりました(図2)。この減少は、2018年を境にランサムウェア攻撃が「ばらまき型」から「標的型」へ移行していることが背景にあります。
参考事例:ランサムウェア | トレンドマイクロ
※2 ERS(Email Reputation Services:メール対策技術)、WRS(Web Reputation Services:Web対策技術)、FRS(File Reputation Services:ファイル対策技術)のブロック・検出結果より算出
ランサムウェア攻撃のブロック・検出台数を大企業と中小企業※3のセグメント別に見た場合、被害にあっている大半が大企業になりますが、前述の通り攻撃が「ばらまき型」から「標的型」に移行していた2019年以降は大企業におけるランサムウェア検出台数は大きく減少が続いています。一方、中小企業は大企業と比較して検出台数は少ないものの、2019年から2023年までの年間推移を見た場合、大企業ほどの大きな減少傾向は見られず、横ばいが続いています(図3)。昨今のトレンドマイクロのリサーチから攻撃者は特定の規模や業界の会社を標的に定めて侵害を行っているというよりも、ネットワークに侵入できる等、「弱点がある組織」を優先的に攻撃対象としていると推測しています。
また、攻撃者の収益は「標的母数」「攻撃成功率」「身代金支払率」の掛け算で決まることから、標的母数を増やすために、大企業だけでは十分な数を確保できず、結果として中小~中堅企業への攻撃が増えていくことを予想しています。つまり、企業規模を問わず、どの組織でも弱点があれば狙われる対象になります。組織は自社がどのような攻撃に遭いやすいか、を想定することも重要ですが、なによりもまず自社内の弱点の発見と修復を優先して対処することが重要です。
参考記事:アンダーグラウンド調査から解明したランサムウェア攻撃グループの実態
※3 大企業は、Trend Vision One Endpoint Securityをはじめとしたセキュリティ対策製品からの検出台数、中小企業は、Worry-Free XDRをはじめとした中小企業向けセキュリティ対策製品からの検出台数
※4 FRS(File Reputation Services:ファイル対策技術)のブロック・検出数より算出
脆弱性が過去最多にも関わらず、修正プログラムの適用をしていない組織が約半数
トレンドマイクロが運営する脆弱性発見コミュニティ「Zero Day Initiative:ゼロデイイニシアティブ(以下、ZDI)」が、2023年に公開した脆弱性のアドバイザリ※5は過去最多の1,913件となりました(図4)。2023年に公開した脆弱性のうち、影響を受ける顧客数が最も多い脆弱性のトップ3※6において、修正プログラムの適用状況を調べたところ、約半数の法人組織が修正プログラム未対応である実態が明らかになりました(図5)。サイバー攻撃者は、攻撃可能な脆弱性を見つけると、優先的に攻撃を試みるため、組織が脆弱性を残存させた場合、攻撃される可能性が高まることとなります。仮想パッチ(IPS)を用いて暫時的に脆弱性を悪用する攻撃を防ぐとともに、抜本的な対策である修正プログラムの適用を行うことが重要です。
※5 ZDIが2023年に公表した脆弱性は識別子CVEが採番されていない脆弱性も含みます。
※6 CVE-2023-24880(Windows SmartScreenのセキュリティ機能バイパスの脆弱性、CVSSスコア4.4「警告:Warning」)
CVE-2023-21823(Windowsグラフィックスコンポーネントのリモートコード実行の脆弱性、CVSSスコア7.8「重要:Important」)
CVE-2023-23376(Windows共通ファイルログシステムドライバの特権昇格の脆弱性、CVSSスコア7.8で「重要:Important」)
アタックサーフェスの拡大、直接侵入が4年で68.7ポイント増
メール、Web、ファイルのレイヤー別でブロック・検出した脅威の割合を見ると、2020年まで8割以上がメールでの検出でしたが、2021年からファイルでの検出が大幅に増加し、2023年になるとファイルでの検出がメールでの検出を上回る結果となりました(図6)。
メールやWebのレイヤーで脅威が検出されるということは、メールにマルウェアが添付されていた場合や、不正なWebサイトを閲覧してマルウェアに感染させる際にブロックしたことを意味します。一方、ファイルのレイヤーで脅威が検出されたということは、脅威が組織内のネットワークに侵入していることを意味します。また、ファイルでの検出のうち9割以上がエンドポイント上で検出されていることから、侵入が間際まで迫ってきている傾向が見てとれます。
※7 ERSは「Email Reputation Services:メール対策技術」、WRSは「Web Reputation Services:Web対策技術)、FRSは「File Reputation Services:ファイル対策技術)を指します。
トレンドマイクロが国内法人組織のインシデントにおける侵入経路種別を確認すると、2019年から2023年にかけてVPNやRDPの認証情報や脆弱性を悪用した内部ネットワークへ直接侵入する割合が増加していることが分かりました。具体的には2019年は9.1%だった直接侵入の割合が2023年は77.8%となり、4年で68.7ポイント増加しています(図7)。また、2019年はRDPの1種類でしたが、2023年までにRDPに加え、VPN、脆弱性※8、クラウドサービスの認証突破など種類も増え、多様化しています。まさに、攻撃の侵入起点や経路となるアタックサーフェス(攻撃対象領域)が拡大していることを示しています。
※8 VPNの脆弱性は、VPNに含みます。
まとめ
トレンドマイクロが独自に収集しているサイバー攻撃に関するデータを紐解くことで、下記の実態が明らかになりました。
●サイバー攻撃(不正なファイル、メール、Web)が増加していること
●ランサムウェア攻撃は大企業が大半の被害を占めていること、中小企業への攻撃は変らず継続していること
●脆弱性は過去最多となっているが、脆弱性の修正プログラムを適用していない法人組織が約半数に留まっていること
●脅威がエンドポイントまで到達している割合が増えていること
●侵入経路は直接侵入の割合が増加し、アタックサーフェスが拡大していること
法人組織を取り巻くサイバー攻撃が高度化する中、堅牢で包括的なセキュリティ戦略の策定と実行は、組織にとっての優先事項であるべきです。保護するべきデジタル資産が増加する一方でサイバーリスクを把握できていないことが、直接侵入の大きな要因となっています。今後も、サイバー攻撃の侵入起点や経路となるアタックサーフェスの拡大はますます進んでいくことが想定されます。
組織はアタックサーフェスリスクマネジメント(ASRM)により、攻撃対象となり得る自社の弱点を可視化・対処することで平時からサイバー攻撃や侵入の可能性を低減することが求められます。加えて、XDR(Extended Detection and Response)により、万が一攻撃を受け、侵入されてしまっても早期対処を行い、被害を最小限に留めることが重要です。
Security GO新着記事
ソブリンクラウドとは?プライベートクラウドやガバメントクラウドとの違いを解説
(2024年11月5日)
VPN機器の脆弱性はなぜ管理しづらいのか~ネットワークエンジニアの立場から探る
(2024年11月1日)
暗号資産マイニングマルウェアとは?~事業停止にもつながるサイバー脅威~
(2024年10月31日)