世界のサイバーリスク動向を”データ”で読み解く~世界サイバーリスクレポート2024年版より~
2024年11月13日、トレンドマイクロは「世界サイバーリスクレポート~2024年版~」を公開しました。今回は本レポートを元に、世界のサイバーリスク動向を読み解きます。
「世界サイバーリスクレポート」とは?「Trend Micro世界サイバーリスクレポート」は、全世界を対象としたサイバーリスクの状況をスコア化して分析したレポートです。2024年9月に初めてトレンドマイクロが英語版を公開し、日本では2024年11月13日に日本語版である「Trend Micro 世界サイバーリスクレポート~2024年版~(以降、本レポート)」を公開しました。今回は、本レポートで特筆すべきトピックを2つ取り上げ、日本と世界のサイバーリスク動向を解説していきます
「Trend Micro 世界サイバーリスクレポート~2024年版~」はこちらからダウンロード可能
まず初めに前提条件を整理しましょう。本レポートの調査期間やデータ集計対象は以下の通りです。
●集計期間:2023年12月25日~2024年6月30日
●対象者:
・トレンドマイクロの統合サイバーセキュリティプラットフォーム「Trend Vision One(以下、Vision One)」の導入組織のうち、以下のデータの収集に承諾した法人組織
・Vision Oneのアタックサーフェスリスクマネジメント(ASRM:Attack Surface Risk Management)機能と拡張検知・対応(XDR:eXtended Detection and Response)」機能のデータを収集
●対象地域:日本、南北アメリカ、欧州、(日本以外の)アジア・中東・アフリカ地域
本レポートは2部構成となっており、第1部(資産リスク)で、資産・プロセス・脆弱性に関する利用組織環境のリスクを、第2部(攻撃手法の分析)で、攻撃者の行動パターンや実際に検知されたMITRE ATT&CKフレームワークにおけるTTPs(戦術・技術・手順)について解説しています。
参考情報:MITREの攻撃テクニックのみに注目するなかれ~Detection&Responseが効果を発揮するには“攻撃シナリオ”ベースの検知こそ重要
トレンドマイクロではこれまでもセキュリティ関連のレポートを公開してきましたが、本レポートはこれまで作成してきた「脅威データ」をまとめたレポートと異なり、新たに算出した「リスクデータ」を中心に分析している点が特徴です。
●脅威データ:
・利用者に対する脅威の広がりと深刻度を主に測定
・すでに発生した攻撃や攻撃の兆候を対象に集計(脅威そのものを分析)
・(例)攻撃のブロック数など
●リスクデータ:
・攻撃の可能性と影響を左右する要因を分析
・脅威の検知状況、システム設定、不正活動、アカウントとネットワークのセキュリティなどを総合的に評価(将来起こり得る攻撃や攻撃の試みの可能性を予測)
・(例)ダークウェブに流出したアカウントの検出、など
これから解説する「リスク指標」は、以下の3つのカテゴリのリスクデータで算出されています。詳細は本レポートでも説明されていますので是非ご覧ください。
① 露出リスク要因:悪用可能なOSやアプリケーションの脆弱性、流出したアカウントの検知情報、ネットワーク内の不審な挙動など
② 攻撃リスク要因:エンドポイントの悪意のあるイベントの検出、XDRによるリスクの高いイベント検出、Microsoft365アプリ上での悪意あるイベントの検出など
③ セキュリティ設定リスク要因:トレンドマイクロ製品のエージェントの展開状況やバージョン、ライセンスの有効性など
リスク指標は、これら①~③の各要因から計算され、対象となった資産と重要度(ADサーバは重要度が高いなど)が考慮されます。計算結果は0~100のスコアで表示され、低・中・高の3段階に分類されます。
グラフ:地域別平均リスク指標(左)と全世界の企業規模別平均リスク指標(右)(本レポートより)
日本は他地域と比較して現状は平均リスク指標が低い状況ですが、グローバルに取引先を持つ組織などは他地域から脅威が侵入する、サイバー攻撃により事業活動が止まるといったサプライチェーンリスクに直面する可能性もあり、他地域のリスク指標にも注意を払う必要があります。また、企業規模別の平均リスク指標を見ると、従業員規模1万人以上の大企業が、中程度のレベルですが最もリスク指標が高い傾向にあります。これは、多数の従業員を抱える組織では管理すべき資産が多く、アタックサーフェスも拡大する傾向にあることが要因と推測されます。
参考記事:
・海外拠点におけるサプライチェーンリスク
・サプライチェーン攻撃とは?~攻撃の起点別に手法と事例を解説~
また、業種別のリスク指標では、航空宇宙・防衛のリスクが高い傾向にあります。本レポートでは、「現在の地政学的緊張がサイバー犯罪者・攻撃者の動機を刺激」していることを指摘していますが、そうした影響を受け現在最もサイバー攻撃のリスクにさらされやすい業界であると言えるでしょう。加えて、他業界の組織であったとしても、比較的リスク指標の高い業界と取引のある組織は、必然的に高い水準のサイバーセキュリティ対策を求められることになるため、取引先の業界がどのようなサイバーリスクにさらされているか、また取引相手である自身の組織に求められているサイバーセキュリティ対策のレベルを明確に把握しておくことは必須です。
参考記事:
・地政学リスク、CISOがやるべきことは?
・防衛省のサイバーセキュリティ調達基準の元となったNIST SP 800-171とは?~日本企業が取り組むべき対策を解説~
調査対象期間に発生したリスクイベントのトップ10(1日当たりの平均発生件数)は以下の通りです。詳細は、レポートを参照いただければと思いますが、最も多く発生したのは「危険なクラウドアプリケーションへのアクセス」でした(ここでいう危険なクラウドアプリケーションとは、過去の利用データ、トレンドマイクロの製品などの検知データ、コミュニティの知見に基づいて判定されています)。このほか、長期間使用されていないMicrosoft Entra IDアカウントの検知やセキュリティ設定が不十分なアカウントなども検知されています。
クラウドサービスは攻撃者にもよく悪用されるため継続的に監視が必要です。場合によっては業務に明らかに使用しないクラウドサービスは、アクセス自体を除外リストに入れてブロックするなども有効でしょう。また、不必要なアカウントやセキュリティ設定が不十分なアカウントの存在は、攻撃者の不正アクセスにより乗っ取られる可能性が高いため、利用しなくなったアカウント消去や設定の見直しは必須です。また業務上使用してよいITルーツやサービス、適切な使用方法についても教育を継続して徹底していくことも重要です。
この他、本レポートではデバイスやアカウントなど資産ごとのリスク指標なども掲載されていますので、ご興味のある方は是非ご覧ください。
地域別に見たMTTPの平均時間では、全体平均が29.3日であるのに対し、日本は36.4日と約1.24倍の時間がかかっています。この傾向自体が慢性的な日本の状況であるかは継続して注視する必要がありますが、パッチ適用までの慎重さやパッチメンテナンスにかかる関係各所の調整など日本の組織の慎重さがこのグラフに表れている可能性があります。
全ての脆弱性がサイバー攻撃者に即座に悪用されるわけではありませんが、Microsoft Exchange Serverの脆弱性「ProxyLogon」やApache Log4jの脆弱性「Log4Shell」など、影響が広範囲かつ深刻なものはすぐに悪用される傾向があります。脆弱性の深刻度と自組織での利用範囲(利用しているシステム数や外部露出の有無など)をすぐに把握できる体制の整備は急務と言えるでしょう。
参考記事:サイバー犯罪者はどの脆弱性を悪用しようとしているのか?
本レポートでは、業界別のMTTPやパッチ未適用の脆弱性のうち検出数上位10位の脆弱性についても掲載されていますので、是非詳細をご覧ください。
DXが拡大していくことに対して、セキュリティ人材不足が叫ばれる現在、すべてのシステム領域のセキュリティ対策に均一に十分なリソースを割いていくことはますます難しくなるでしょう。実環境から得られたリスクデータを用いることで、自組織にとって効果的なセキュリティ対策とは何なのかを把握しながら、サイバーセキュリティ戦略を計画していくことが最も重要です。トレンドマイクロはサイバーリスクと戦う組織のセキュリティ対策の支援を継続していきます。
是非本レポートをご一読いただき、今後のサイバーセキュリティ戦略立案にお役立てください。
「Trend Micro 世界サイバーリスクレポート~2024年版~」はこちらからダウンロード可能
監修
岡本 勝之
トレンドマイクロ株式会社
セキュリティエバンジェリスト
製品のテクニカルサポート業務を経て、1999年よりトレンドラボ・ジャパンウイルスチーム、2007年日本国内専門の研究所として設立されたリージョナルトレンドラボへ移行。シニアアンチスレットアナリストとして特に不正プログラム等のネットワークの脅威全般の解析業務を担当。現在はセキュリティエバンジェリストとして、サイバーセキュリティ黎明期からこれまでのおよそ30年にわたるキャリアで培った深く幅広い脅威知識を基に、ブログやレポ―ト、講演を通じて、セキュリティ問題、セキュリティ技術の啓発にあたる。
講演実績:日本記者クラブ、一般財団法人日本サイバー犯罪対策センター(JC3)、クラウドセキュリティアライアンス(CSA)などにおける講演
Security GO新着記事
ダークパターンとは?企業にとってのリスクを解説
(2024年11月20日)
PPAPだけじゃない?セキュリティリスクにつながりかねない商習慣3選
(2024年11月20日)
病院でランサムウェア被害が起きたらどうする?ボードゲームでシミュレーション
(2024年11月19日)