サイバーセキュリティ傾向分析レポート2017

第 257 回 NRI メディアフォーラムサイバーセキュリティ傾向分析レポート 2017 ~ 気軽な IT 利用が増大させるセキュリティリスク ~ 2017 年 7 月 26 日 NRI セキュアテクノロジーズ株式会社サイバーセキュリティサービス事業本部サイバーセキュリティサービス開発部上級セキュリティコンサルタント内藤陽介 100-0004 東京都千代田区大手町 1-7-2 東京サンケイビル

目次 1. はじめに 2. サイバーセキュリティ傾向分析結果とあるべき対策 2-1. 脆弱な IoT 機器を攻撃する通信が大幅に増加 2-2. HTTPS 通信とクラウドサービス利用の増加による新たな課題 2-3. 4 割の企業 Web サイトは容易に攻撃可能 2-4. 猛威を振るうマルウェアメール 3. ご参考 Copyright NRI SecureTechnologies, Ltd. All rights reserved. 1

1. はじめにサイバーセキュリティ傾向分析レポート 2017 について経緯当社が企業などに提供する各種の情報セキュリティ対策サービスを通じて得たデータをもとに分析してサイバーセキュリティ傾向分析レポート2017 を作成このレポートは2005 年度以降毎年発表しており今回で13 回目目的企業や公的機関におけるセキュリティ対策の向上集計対象期間 2016 年 4 月 ~2017 年 3 月レポートの概要サイバー攻撃に対する企業などの対策状況および脅威の現状を分析分析結果を踏まえ企業などが実施すべき対策を提示分析対象のサービスおよび標本数については次ページ及びP.28を参照 Copyright 2017 NRI SecureTechnologies, Ltd. All rights reserved. 3

1. はじめに分析対象のサービスおよび標本数について分析対象サービス FNCセキュアインターネット接続サービス URLフィルタ20システム分スパムフィルタリングサーバ26システム分のログ FNC セキュア Web ネット管理サービスファイアウォール 96 システム分 WAF 37 システム分次世代ファイアウォール 41 システム分のログセキュリティログ監視サービスセキュリティインシデントに繋がるような攻撃かどうかを分析する必要があった 918 イベントプラットフォーム診断 92 システム分 Web アプリケーション診断 451 システム分スマートフォンアプリケーション診断手動にて診断を実施した 52 アプリケーション (342 指摘事項 ) Web サイト群探索棚卸サービス (GR360) 4,039 サイトプラットフォーム診断エクスプレスサービス 1,090 IP アドレス分 Copyright 2017 NRI SecureTechnologies, Ltd. All rights reserved. 4

1. はじめに本日の発表内容 ( 今年のポイント ) 脆弱な IoT 機器を攻撃する通信が大幅に増加ユーザーメーカーともに IoT 機器へのセキュリティ意識の向上を HTTPS 通信とクラウドサービス利用の増加による新たな課題暗号化された通信に対してセキュリティを担保するための仕組みの検討が必要 SSLインターセプトクライアントセキュリティ 4 割の企業 Web サイトは容易に攻撃可能 CMSの利用により増加傾向自社 Webサイトの把握と適切な対応が有効猛威を振るうマルウェアメール毎日のように新種マルウェアが届く時代システムユーザーの両面で対策強化を Copyright 2017 NRI SecureTechnologies, Ltd. All rights reserved. 5

2-1. 脆弱な IoT 機器を攻撃する通信が大幅に増加 telnet *1 ポートへのアクセスを筆頭に IoT 機器を標的とする通信を多数検知外部からの脅威 telnet を標的とした攻撃は 2016 年度にはそれまで以上に大きく増加ファイアウォールでブロックした通信のうち telnetポートへの通信の割合 21.0% 48.1% (2015 年度 ) (2016 年度 ) ファイアウォールでブロックした通信の件数 ( 割合 ) 年度 48.1% 年度 21.0% 過去にほとんど検出していなかった 2323/tcp などの通信も上位にランクイン IoT 機器を標的とした攻撃が大きく増加している *1: TCP/IP ネットワークを通じて別のコンピュータにアクセスし遠隔操作するためのプロトコルのひとつ 2.0% 2.1% 2.3% 2.4% 2.5% 2.5% 2.9% 3.2% Copyright NRI SecureTechnologies, Ltd. All rights reserved. 8 34.5% 年度 67.1% 56.0% 3.8% 12.2% 7.3% 5.0% 4.7% 7.3% 4.9% 4.0% 3.5% 3.4% 標本数 632,420,826 件 (2014 年度 ) 808,955,599 件 (2015 年度 ) 2,262,695,083 件 (2016 年度 )

2-1. 脆弱な IoT 機器を攻撃する通信が大幅に増加件数ベースでは telnet ポートへのアクセスは 2015 年度比で約 6.4 倍に増加背景に脆弱な IoT 機器とそれを狙ったマルウェアの急増外部からの脅威従来のコンピュータの世界では外部からの telnet アクセスを遮断することは既に常識遮断は常識なのになぜ通信が増え続けているのか? 脆弱な IoT 機器とそれを狙ったマルウェア (IoT マルウェア ) の急増ファイアウォールで telnet 通信をブロックした件数 1,088,264,637 件 6.4 倍 169,636,636 件 77,455,577 件 2014 年度 2015 年度 2016 年度 Copyright NRI SecureTechnologies, Ltd. All rights reserved. 9

2-1. 脆弱な IoT 機器を攻撃する通信が大幅に増加外部からの脅威 Mirai ボットネットによる DDoS 攻撃事例を皮切りに IoT 機器を標的とするマルウェアを用いた大規模な攻撃を観測 Mirai ボットネット 2016 年 9 月に発生し当時では史上最大 *1 の DDoS 攻撃 *2 に使われたとされるボットネット *3 PCではなくIoT 機器に感染するマルウェア (IoTマルウェア) によって構成される感染機器は中国製 Webカメラが多数を占めると言われるファイアウォールでブロックした通信 (2323/tcp,7547/tcp,5358/tcp 宛て ) の件数 Mirai の感染経路 telnetを用いてターゲットとなるIoT 機器へデフォルトパスワードなどの情報を用いて侵入 telnetのほか TCP 2323 番ポートも利用多数の標的に対して初歩的な攻撃手法が成立 Mirai のオリジナルマルウェアに引き続いて異なる機器を標的とする類似マルウェアが出現多数の IoT デバイスが格好の標的であることが再認識された 2,000 万件 1,800 万件 1,600 万件 1,400 万件 1,200 万件 1,000 万件 800 万件 600 万件 400 万件 5 万件 0 件 Mirai 2323/tcp 類似 1 7547/tcp 類似 2 5358/tcp *1: 著名ジャーナリスト Brian Krebs 氏のサイト Krebs on Security に対する DDoS 攻撃でピーク時のトラフィックは 665Gbps に達した *2: Distributed Denial of Service の略大量の通信を発生させ標的をサービス不能に陥らせる攻撃 *3: マルウェアに感染したデバイスによって構成される大規模なネットワークマルウェアメール配信や DDoS 攻撃などに利用される標本数 218,003,655 件 Copyright NRI SecureTechnologies, Ltd. All rights reserved. 10

2-1. 脆弱な IoT 機器を攻撃する通信が大幅に増加 IoT 機器のセキュリティ対策は未熟なものが多いセキュリティ水準の確保には機器のユーザーとメーカー双方の努力が必要推奨対策ユーザーに求められる対応活用する機器がどのような外部アクセスを許すかを把握し必要に応じてアクセス制限や機器の設定を変更機器選定条件にセキュリティ的に問題がない ( あるいは代替的な対応が可能である ) ことを選定条件に入れるメーカーに求められる対応ネットワーク経由での攻撃を受け得ることを認識しライフサイクルに運用フェーズを追加するセキュリティレベルの維持のために専門組織 PSIRT *1 を立ち上げる *1: Product Security Incident Response Team の略自社製品に対する脆弱性情報の管理と対策のハンドリングを行うチームのこと Copyright NRI SecureTechnologies, Ltd. All rights reserved. 11

2-2. HTTPS 通信とクラウドサービス利用の増加による新たな課題企業の実態常時 SSL の普及により HTTPS 化が急加速全アクセスに占める HTTPS 通信の割合は 1 年で 2 倍となり全体の 40% を占める常時 SSL とは従来 : ログイン画面や個人情報を取り扱う場面など重要な情報をやりとりする画面のみを暗号化 (HTTPS 化 ) 常時 SSL: 重要情報の有無にかかわらずサイト全体を暗号化 HTTPS 化が急加速 Googleなどが常時 SSLを奨励する流れ検索順位に HTTPS 化を加点対象とする WebアクセスにおけるHTTPSリクエストの割合 2016 年 4 月 2017 年 3 月大手サイトの常時 SSL 化推進日本でもYahoo! JAPANなどが常時 SSL 化を完了社内 OA 環境からの Web アクセスを対象とした FNC サービスについてみると HTTPS 通信の割合が 1 年で 2 倍以上全体の 40% に調査対象企業数 20 社 Copyright NRI SecureTechnologies, Ltd. All rights reserved. 13

2-2. HTTPS 通信とクラウドサービス利用の増加による新たな課題企業の実態 HTTPS 化がもたらすデメリット (1) 暗号化によるセキュリティ強化と引き替えに通信経路でのセキュリティ対策が行えない HTTPSによって暗号化された通信は通信経路上で内容の確認変更を行うことができないプライバシーの保護や第三者による攻撃を防ぐという面では暗号化を行うことが望ましいが従来行われてきた通信経路上のセキュリティ対策を行うことができなくなってしまう暗号化なし (HTTP) マルウェアが含まれていないか? 大容量のファイルをアップロードしていないか? 社内ポリシーに違反したサイトにアクセスしていないか? クライアント端末セキュリティ機器 Web サイト暗号化あり (HTTPS) HTTPS で保護されて安全なのだが検査できない! マルウェアが含まれていないか? 大容量のファイルをアップロードしていないか? 社内ポリシーに違反したサイトにアクセスしていないか? クライアント端末セキュリティ機器 Web サイト Copyright NRI SecureTechnologies, Ltd. All rights reserved. 14

2-2. HTTPS 通信とクラウドサービス利用の増加による新たな課題 HTTPS 化がもたらすデメリット (2) 通信経路上で実現できなくなるセキュリティ対策の例企業の実態悪意のある Web サイトが HTTPS を利用していたらマルウェアまで暗号化されてしまうマルウェア検査できないクライアント端末セキュリティ機器マルウェア配布サイト感染! ファイル交換サービスが HTTPS を利用していたら機密ファイル HTTPS で保護されて安全なのだが止められない気づけない何をしたか分からない機密ファイルクライアント端末セキュリティ機器ファイル交換サービス機密ファイルがインターネットへ! Copyright NRI SecureTechnologies, Ltd. All rights reserved. 15

2-2. HTTPS 通信とクラウドサービス利用の増加による新たな課題企業の実態クラウドサービスの利用は企業の管理部門が把握しているよりもずっと多い Shadow IT の問題は今後大きくなっていく Office 365 Dropbox Evernoteといったクラウド (SaaS *1 ) サービスの普及が進んでいる上記 SaaSサービスへのアクセスは管理部門が把握しているものよりも明らかに多い企業向けアンケート調査 *2 によれば SaaSサービスを利用していると回答した企業は40.4% 今回の分析結果では上記 3つサービスともに単体で40.4% を上回っている Shadow IT 問題事業部門や従業員が管理部門の認可承認なしでクラウドサービスを利用し情報流出のリスクにつながってしまうという問題事業部門が自社で定められた承認を受けずにサービスを契約他社契約下のサービスを利用従業員が個人的にサービスを契約利用 2017 年 3 に各サービスへ通信量 1MB 以上の通信が 1 回以上観測された企業の割合 Office 365 大手クラウドサービス事業者は積極的に常時 SSL 化を推進しており通信経路上での制御が難しいこともたとえば自社契約下のサービスのみ利用を認めるというような制御が難しい Dropbox Evernote *1: Software as a Service の略インターネット上でソフトウェアを必要な分だけ利用できるようにするクラウドサービスの形態 *2: NRI セキュアテクノロジーズ企業における情報セキュリティ実態調査 2017 より調査対象企業数 41 社 Copyright NRI SecureTechnologies, Ltd. All rights reserved. 16

2-2. HTTPS 通信とクラウドサービス利用の増加による新たな課題 HTTPS クラウド時代への対応は必須自社のニーズに合ったセキュリティ対策の選択を推奨対策 SSL インターセプト HTTPS 通信をいったんセキュリティ機器で復号し再度暗号化を行ってWebサーバと通信する HTTPS 通信であっても HTTPと同様の検査を行うことが可能実施の上で課題があるため十分な検討の上での導入を推奨 CASB(Cloud Access Security Broker) クラウド利用の可視化制御セキュリティ保護を行うサービスクライアントの機能強化従来通信経路上で実施していたセキュリティ機能をクライアント上のソフトウェアで実施する暗号化の有無に関係なくセキュリティ機能の適用が可能全端末に対してソフトウェアのインストール管理が必要 SSL インターセプトいったん暗号化を解く ( 復号処理 ) マルウェアが含まれていないか? 大容量のファイルをアップロードしていないか? 社内ポリシーに違反したサイトにアクセスしていないか? クライアント端末セキュリティ機器 HTTPSで保護される ( 再暗号化 ) Webサイト Copyright NRI SecureTechnologies, Ltd. All rights reserved. 17

2-3. 4 割の企業 Web サイトは容易に攻撃可能 4 割の企業 Web サイトは容易に攻撃可能この傾向は CMS の利用増により加速企業の実態 Web サイト群棚卸しサービスによって管理部門が把握しきれていない Web サイトが発見される事業部門や海外現地法人などが独自に構築したサイトなど発見したWebサイトすべて ( 企業が元々把握していたものを含む ) を対象として調べた結果外部から容易に攻撃可能となる下記の2つの問題について少なくとも片方が露呈していたケースは全体の40.8% 古いバージョンのプロダクト利用 : 14.4% 古いバージョンの利用は既知の脆弱性を放置していることを意味する古いバージョンを利用しかつファイアウォール WAF *1 などによって代替的な対策を行わない場合容易に攻撃可能メンテナンス経路の外部開放 : 36.9% メンテナンス用のサービス (telnet SSH FTP Webコンソールなど) に対して外部からアクセス可能 ID/ パスワードのみで制御されている ( 二要素認証などの高度な方式が利用されていない ) 特にデフォルトID/ パスワードがそのまま利用されている場合非常に危険 CMS *2 の利用増によりこの傾向は加速される傾向にある容易に攻撃可能な問題が検出されたサイトの割合 40.8% 該当なし 59.2% 古いバージョンのプロダクト利 3.9% 古いバージョンかつメンテナンス経路外部開放 10.5% メンテナンス経路外部開放 26.4% 標本数 4,039サイト *1: Web Application Firewall の略アプリケーションに対する攻撃を防御する為のソリューション *2: Content Management System の略 Webサイトを管理構築するためのシステムで専門的な知識をそれほど必要とせずにWebサイトの運営が可能 Copyright NRI SecureTechnologies, Ltd. All rights reserved. 19

2-3. 4 割の企業 Web サイトは容易に攻撃可能 CMS 利用サイトの大半は堅牢化が行われていない簡単に Web サイトを作れることが安易なサイトリリースに繋がっている企業の実態 CMS 利用サイトについては前述の容易に攻撃可能な状態になっている割合が非常に高い低コストで見栄えの良い Web サイトが構築できるため Web サイト全体への予算も小さくセキュリティ対策に十分なリソースが割かれないことも多いと推測される多くの CMS は既定設定が十分に堅牢ではない上堅牢化のためのノウハウが公式マニュアルでは十分に提供されていないことも多い CMS 利サイトにおいて容易に攻撃可能な問題が検出されたサイトの割合標本数 173 サイト Copyright NRI SecureTechnologies, Ltd. All rights reserved. 20

2-3. 4 割の企業 Web サイトは容易に攻撃可能推奨対策自社 Web サイトの現状を把握し一元管理によるセキュリティ水準の底上げをまずは現状を把握する Webサイトの存在を把握できていなければ脆弱性が存在していても対処のしようがない自社に関連するWebサイトを探索するソリューションを支援策として活用することも一つの選択肢発見したWebサイトをひとつひとつ地道に評価し対策を検討していくことが結局は近道 Web サイトを把握し一元管理するための王道は管轄部門を定めて Web サイトの構築運用に関わるルールを設定し PDCA サイクルを回していくこと CMS サイトについても共通ルールを設定し運用することで確実に堅牢化を実施利用中のプロダクトにおける脆弱性情報を収集し該当する Web サイトについては適切な対応を実施するプロダクトのバージョンを最新化する WAFなどによって代替的な対策を行う Copyright NRI SecureTechnologies, Ltd. All rights reserved. 21

2-4. 猛威を振るうマルウェアメール外部からの脅威バラマキ型メールが猛威を振るう 2016 年度後半にいったん落ち着いたが再び激化の兆しあり 2016 年度初頭から 12 月頃まで大量のバラマキ型マルウェアメールを毎日のように検出バラマキ型マルウェアメールとはマルウェアが添付されたスパムメールランサムウェア拡散にも利用される一度に大量の組織アドレスに向かって配信される配信の都度マルウェアに変更が加えられるためウイルス検査をすり抜けてしまうことが多いいわゆる標的型攻撃ではない本文の内容から特定の業種を想定ターゲットとしていると考えられるものはある高度な攻撃ではないが標的が多数に及ぶため全従業員に対して不審なメールを開かないように教育することが有効スパムメール検出数推移 140 万件 120 万件 100 万件 80 万件 60 万件 40 万件 2016 年末にいったん激減配布に使われていたボットネットの停止による 2017 年度に入って激化の兆し 20 万件 0 件 Copyright NRI SecureTechnologies, Ltd. All rights reserved. 23

2-4. 猛威を振るうマルウェアメールメール訓練における危険メールの開封率は 1 桁台へ継続的な実施により低開封率の維持を図るべき企業の実態標的型メール訓練におけるメール開封率は低下を続けている 2016 年度のメール開封率は9.2% ユーザーの不審メールへの関心が高まっている繰り返し訓練を実施することにより教育の結果が出ているメール訓練における添付ファイル実 URL へのアクセス率当社の経験上メール訓練の継続実施により開封率は低下するものの最終的には 5% 程度以下には下がらない Copyright NRI SecureTechnologies, Ltd. All rights reserved. 24

2-4. 猛威を振るうマルウェアメール企業の実態攻撃メールの着信から添付ファイルの開封もしくは URL リンクのクリックまで平均 26 分開封前に対策を行うことが理想的訓練メールの配信開始から最初の開封者が出るまでの平均時間は約 26 分 26 分間のうちに最初の対策を取ることを一つの目安値として考えることができる開封者が出ないうちに対策を行うことで被害を発生させない ( 理想的な対応 ) サイバーキルチェーン ( サイバー攻撃者の動パターン ) のモデル標本数 460 配信 Copyright NRI SecureTechnologies, Ltd. All rights reserved. 25

2-4. 猛威を振るうマルウェアメール推奨対策標的型メール攻撃やバラマキ型マルウェアメールから企業を守るためにはシステム的人的な多層防御が重要システム的対策システムレベルの防御力の強化新型ソリューションの導入 ( 振舞検知 *1 EDR *2 ) 既存セキュリティ製品設定の見直しファイルタイプ ( 拡張子 ) 規制によって遮断できるマルウェアメールも多数ある人組織的対策訓練の継続的な実施継続的な訓練により教育の効果が上昇従業員をセキュリティリソースに変える不審なメールを受信したり開封してしまったときにはすぐに報告を習慣づける従業員からの報告をうまく扱えるような仕組みを作ることでより効率的なハンドリングも検討できる *1: ファイル実行時の動作を解析しマルウェアであるかどうかを判断するソリューション *2: Endpoint Detection and Response の略エンドポイント ( 端末 ) の情報を分析し不正な挙動の検知や感染発覚後の対策を迅速に行うためのソリューション Copyright NRI SecureTechnologies, Ltd. All rights reserved. 26

ご参考分析対象とした NRI セキュアテクノロジーズのサービスマネージドセキュリティサービス FNC セキュアインターネット接続サービスメールゲートウェイプロキシサーバリモートアクセスなどお客様の社内ネットワークとインターネットを安全に接続するために必要となるセキュリティ対策のアウトソーシングサービスです本レポートでは FNC セキュアインターネット接続サービスで管理しているゲートウェイサーバのうち URL フィルタ 20 システム分スパムフィルタリングサーバ 26 システム分次世代ファイアウォール 41 システム分のログを集計対象としています FNC セキュア Web ネット管理サービスお客様の Web サイトを外部からの不正アクセスの脅威から守るセキュリティ対策のアウトソーシングサービスですファイアウォール (FW) や侵入検知システム (IDS) の他侵入防御システム (IPS) や Web アプリケーションファイアウォール (WAF) 等のセキュリティデバイスを 24 時間 365 日監視しています本レポートでは FNC セキュア Web ネット管理サービスで管理しているセキュリティデバイスのうちファイアウォール 96 システム分 WAF 37 システム分のログを集計対象としていますセキュリティログ監視サービスお客様環境より収集した各種プロダクトのイベントログを SIEM に取り込みリアルタイムに監視分析するサービスです本レポートでは 2016 年 4 月 ~2017 年 3 月にセキュリティログ監視サービスにおいてセキュリティインシデントに繋がるような攻撃かどうかを分析する必要があった 918 イベントを集計対象としていますセキュリティ診断サービスプラットフォーム診断ネットワークの外側 ( インターネット ) あるいは内側の LAN からサーバやネットワーク機器等のシステム基盤のセキュリティホールや設定状況について検査を行い発見された問題に対して当社独自の基準により危険性を評価して報告するサービスです本レポートでは 2016 年 4 月 ~2017 年 3 月にインターネット経由で診断した 92 システム分を集計対象としています Web アプリケーション診断 Web アプリケーションの実装方式開発言語利用プラットフォームなどを考慮し Web アプリケーションに潜在するセキュリティ上の問題点を洗い出し発見された問題に対して当社独自の基準により危険性を評価して報告するサービスです本レポートでは 2016 年 4 月 ~2017 年 3 月に診断を実施した 451 システム分を集計対象としていますスマートフォンアプリケーション診断スマートフォンアプリケーションの実装方式開発言語利用プラットフォームなどを考慮しスマートフォンアプリケーションに潜在するセキュリティ上の問題点を洗い出し発見された問題に対して当社独自の基準により危険性を評価して報告するサービスです本レポートでは 2016 年 4 月 ~2017 年 3 月に手動にて診断を実施した 52 アプリケーション (342 指摘事項 ) を集計対象としています Web サイト群探索棚卸サービス (GR360) 独自アルゴリズムによりインターネットに公開されている特定企業関連の Web サイトを探索し発見された Web サイトに対して簡易なセキュリティチェックを行って Web サイト群全体に対するセキュリティレベルの可視化を行うサービスです本レポートでは 2016 年 4 月 ~2017 年 3 月に簡易なセキュリティチェックを実施した 4,039 サイトを集計対象としています標的型メール攻撃シミュレーション疑似攻撃ファイルを添付あるいは疑似攻撃サイトへの URL リンクを記載した標的型メールを送付し対象者へ標的型メール攻撃に対する意識付けを行うと共に対象者のファイル実行あるいはリンクのクリック状況を確認することで標的型メール攻撃へ耐性をチェックして報告するサービスです本レポートでは 2016 年 4 月 ~2017 年 3 月に送信した 837,703 通を集計対象としていますプラットフォーム診断エクスプレスサービス診断ツールを用いてインターネット経由でサーバやネットワーク機器等のシステム基盤のセキュリティホールや設定状況について検査を行い発見された問題を報告するサービスです本レポートでは 2016 年 4 月 ~2017 年 3 月にインターネット経由で診断した 1,090 IP アドレス分を集計対象としています Copyright 2017 NRI SecureTechnologies, Ltd. All rights reserved. 28