2022年5月、Splunkは2つの調査レポートを公開しました。ひとつは、サイバーセキュリティ専門家チームSURGeによる「ランサムウェアの暗号化速度に関する調査レポート」、もうひとつはSplunkとEnterprise Strategy Groupによる「2022年のセキュリティ調査レポート」です。
ここでは、この2つのレポートについて紹介します。
ランサムウェアとは、感染するとPCや共有フォルダ内にあるファイルを暗号化して使えなくし、復号のために“身代金”を要求するマルウェアというサイバー攻撃の一種です。以前は他のマルウェアと同様に、メールの添付ファイルやメール本文に記載されたリンクのクリックにより感染を拡大させていましたが、最近では他のサイバー攻撃と組み合わせて使用されるようになっています。
例えば“二重脅迫”に悪用されるケースが増えています。これは、サイバー攻撃による不正アクセスで企業の重要なファイルを盗み出す際に、ランサムウェアを仕掛けていくというものです。サイバー犯罪者はあらかじめ情報公開(暴露)用のWebサイトを用意し、「身代金を支払わなければ盗んだ情報を公開する」と脅します。さらにDDoS攻撃を組み合わせた“三重脅迫”も確認されています。
ランサムウェア攻撃が拡大した背景には、サイバー犯罪者が集まる地下市場において「RaaS:Ransomware as a Service(サービスとしてのランサムウェア)」が提供されているためだといわれています。このサービスを利用すれば、誰でも簡単にランサムウェアを作成し、攻撃を行うことができます。主要なランサムウェアにはLockbit、REvil、Blackmatterなどがありますが、これらの亜種が膨大に流通しています。
SURGeが公開した「ランサムウェアの暗号化速度に関する調査レポート」では、Lockbit、REvil、Blackmatterを含む10種類の主要なランサムウェア株が、100,000個のファイルを暗号化する速度を計測しています。その結果、中央値は42分52秒でした(ファイルサイズは合計53.93GB)。
ただし、ファイルを暗号化する速度は、ランサムウェアの系統や感染したPCのリソースによって異なり、最速のランサムウェアは約4分で暗号化を完了しました。最長は3時間半でした。
最高速度を記録したのはLockBitで、RaaSにより提供されているランサムウェアのひとつです。LockBitはあらゆるシステム上で、中央値より86%も速い速度で暗号化を行いました。最も速かったLockBitのサンプルは、毎分25,000ファイルを暗号化したのです。
ランサムウェアは感染したPCのリソースを活用して暗号化を行うため、PCの性能が向上すれば暗号化の速度も速くなると考えられます。ただし、一部のサンプルや亜種は、マルチスレッドプロセッサの利点を活かせていないと指摘しています。また、メモリの増設は暗号化速度の向上には寄与しなかったようです。ディスクの高速化は影響を与えると思われますが、最も可能性が高いのはCPUコアの追加に対応した亜種といえます。
この調査結果は、組織はランサムウェアの感染防止に注力する必要があることを示唆しています。その実用的な手順と戦略には、より適切なパッチ適用、資産の把握と管理、MFA(多要素認証)、およびランサムウェアバイナリを展開する前にネットワーク上でランサムウェアアクターを探すことなどが挙げられます。
「ランサムウェアの暗号化速度に関する調査レポート」をダウンロードし、より詳細な調査結果をご覧ください。
もうひとつの調査レポート「2022年のセキュリティの現状(The State of Security 2022)」は、2022年1月中旬から2月中旬に、SplunkとEnterprise Strategy Groupにより世界11カ国、1,200名以上のセキュリティリーダーを対象に実施した調査の結果がまとめられています。これによると、過去2年間にデータ侵害を受けた組織は49%と、前年の調査(39%)から増加しています。
サイバー攻撃によるダウンタイムが月に1回以上発生した組織は54%を占め、ビジネス上で重要なワークロードの修復時間の中央値は14時間にも及びます。また、ビジネス上で重要なアプリケーションにダウンタイムが発生した場合の1時間あたりの推定コストは、平均で約20万ドルとなっています。つまり、今日のサイバーセキュリティ攻撃によるダウンタイムの年間コストは平均3,360万ドルという計算になります。
また、79%の組織がランサムウェア攻撃を受け、35%が実際に被害に遭ってデータやシステムにアクセスできなくなりました。ランサムウェア攻撃の被害に遭った組織の中で、バックアップからリストアすることで身代金の支払いを回避した組織は33%にとどまり、約66%は組織(39%)または保険会社(27%)が身代金を支払っています。直近で支払った身代金の平均額は約34万7,000ドル(約4,400万円)でした。
リモートワークの導入率は、パンデミック前の21%から現在は46%に増加しており、1年後も41%と予測しています。つまり、今後もリモートワーク率は大きく下がることはないと考えられます。そのため、90%の組織がセキュリティコントロールとポリシーを調整する必要があると感じています。なぜなら、「サイバー攻撃の件数が増加した」と答えた組織が65%に上っているためです。一方で、78%が「リモートワーカーの保護はより困難になっている」と感じていることから、この問題は深刻です。
脅威の増加や複雑化、人材不足、複雑なクラウド活用といった課題は組織のセキュリティ対応をより難しくしていることも明らかになっています。これに輪をかけて、2020年末に起きたSolarWindsへのハッキングと、それに続くKaseya攻撃、Log4Shell脆弱性の公開により、サプライチェーンのセキュリティにも注目が集まり、対策が加速しています。
レポートでは、各国の結果もまとめられています。これによると、日本ではクラウドインフラの活用度が低く、重要なアプリケーションの多くをクラウドインフラで運用している組織の割合は53%にとどまり、他のすべての国の平均(67%)を大きく下回っています。
セキュリティに関する最重要課題については、環境内に新しく追加されるデバイスやデバイスタイプが多すぎて対応できないことを挙げた日本の組織が43%(他のすべての国の平均は25%)、アラートに十分なコンテキストが含まれないため、調査が難しく時間がかかることを挙げた組織が38%(同23%)といった項目において、日本は他の国よりも顕著な結果になりました。
一部のセキュリティインシデントについては、過去24カ月以内に発生した割合が他の国よりも大幅に低く、データ侵害は20%(他のすべての国の平均は51%)、規制違反は23%(同41%)、インサイダー攻撃は18%(同41%)と、他国よりも大幅に低い結果となっています。そのためか、DevSecOpsアプローチの導入には消極的で、幅広く導入している組織は22%と、すべての国の平均の39%を大きく下回りました。
より詳細な調査結果は、「2022年のセキュリティ調査レポート」をダウンロードし、ご確認ください。
Splunkでは、ランサムウェア、サプライチェーン攻撃、セキュリティ担当者の離職といった新たな脅威や困難から、インサイダー攻撃やソーシャルエンジニアリングという不変の課題まで、さまざまな問題が降りかかる昨今において取り組むべきこととして、次の6つを推奨しています。
1:人材を探し、育てる
2:クラウドを理解する
3:SBOM(ソフトウェア部品表)を作成する
4:人間による分析を自動化で支援する
5:DevSecOpsを前進させる
6:ツールセットを統合する
「人材を探し、人材を育てる」では、「人」ではなく「能力」に注目した人材開発を推奨します。組織はすでに、人材の雇用や育成、維持に積極的に取り組んでいますが、セキュリティ担当者の人材市場は限定的であり、今後も、需要が供給を上回る状況が継続されることが予測されます。そのような状況下において、たとえ未経験であっても、データを総合的に理解できる能力を持ち、好奇心の旺盛な人材を採用することが重要です。
「クラウドを理解する」では、パブリッククラウド、プライベートクラウド、SaaSソリューションの複雑な相互連携の理解促進を目的としたトレーニングの実施が挙げられます。CISO(最高情報セキュリティ責任者)がクラウドの理解力を向上させなければならないという重圧にさらされている組織の割合は8割にのぼり、長年の業務経験を持つリーダーから初心者まで、すべてのセキュリティ関係者が、ハイブリッドかつマルチクラウドの環境を理解する必要があるでしょう。
「SBOMを作成する」では、前述したクラウドの理解の同様に、ソフトウェアについても全体を理解する必要があります。本番環境で稼働しているすべてのソフトウェアコンポーネントをリスト化したSBOM(ソフトウェア部分表)を作成することで、昨今急増しているサプライチェーン攻撃に対し、脆弱性リスクを可視化した上での対策が可能となります。
「人間による分析を自動化で支援する」では、セキュリティ担当者の負担軽減を念頭に置いた自動化の導入が求められています。人材不足の解消を考慮した自動化によるツールの増加は、セキュリティ担当者が燃え尽き症候群に陥るリスクをもたらし、ひいては更なる人材不足を引き起こす原因にもなりかねません。プラットフォームベースの統合的なアプローチの採用によりツールの軽減をはかり、セキュリティ担当者の効率的な業務をサポートすることが重要です。
「DevSecOpsを前進させる」では、DevSecOpsの従来のメリットをランサムウェアやAPT (Advanced Persistent Threat)対策としての使用に拡大させることを推奨します。また、エンジニアリングチーム内での技術的なアプローチのみならず、組織内で行われるすべてのソフトウェア開発にDevSecOpsを適用することで、組織がさまざま過程でセキュリティ対応を実行する上での概念や方法論を深化させることができるでしょう。
「ツールセットを統合する」では、業務に合わせた適切なツール選択に併せて、チーム全体でのツール管理を可能にする必要があります。あらゆるソースを一つのダッシュボードで確認できるプラットフォームのアプローチを取り入れることで、セキュリティ担当者の負担を軽減できるだけでなく、メンテナンスやトレーニング、ライセンス等における長期的なコスト削減にも貢献することができます。
Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。
Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は1,020を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキストに基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。