[本リリースは、2019年8月30日にKasperskyが発表したプレスリリースに基づき作成したものです]
Kasperskyのセキュリティ専門チームは、2018年に依頼を受け対処したインシデントレスポンス(対応)について調査、分析しました。そのうち約56%において、依頼のあった組織がサイバー攻撃を受け、不正送金、ランサムウェアによるワークステーションの暗号化やサービス提供が不可能な状態など、被害を受けた後に依頼されていたことが明らかになりました。一方、依頼のうち44%は初期段階の攻撃検知後に対処され、深刻な被害を受ける前に顧客を守ることができました。主な分析結果は、レポート「Incident Response report 2018」に記載しています。
インシデントレスポンスは、サイバー攻撃による損害を被り、詳細を調査する必要がある場合に初めて必要になるものと思われる傾向があります。しかし、2018年にKasperskyのセキュリティ専門チームが関わった複数のインシデントレスポンス事案を分析したところ、このサービスは被害の詳細調査のためだけでなく、初期段階で攻撃を特定して損害を阻止するための手段にもなることがわかりました。
2018年のインシデントレスポンス事案の22%は、ネットワーク内で悪意のある可能性がある活動の検知後に開始され、別の22%は、ネットワーク内で悪意のあるファイルが発見された後に開始されました。侵害を示す形跡がない場合、これら両方のケースは、現在攻撃を受けていることを示している可能性があります。しかし、企業のセキュリティチームでは、自動セキュリティツールが既に悪意のある活動を検知し阻止したのか、それとも、より大規模かつ検知できない悪意のある攻撃がネットワーク内で始まっていて、外部の専門家が必要なのかを判断できない場合があります。
判断を誤ると、悪意のある活動が実被害をもたらすような深刻なサイバー攻撃となってしまいます。調査を実施した「依頼が遅い」ケースのうち26%は、暗号化型マルウェアの感染によるもので、そのうち11%は金銭の窃取に至ってしまいました。また、同ケースのうち19%は、企業のメールアカウントからのスパムを検知したもの、サービス提供不能状態を検知したもの、またはセキュリティ侵害を検知したものでした。
Kasperskyがインシデント対応の依頼を受け、提供されたデータを分析:
詳しくは、Securelistブログ「Incident Response report 2018」(英語)をご覧ください。
Kasperskyセキュリティエキスパートのアイマン・シャーバン(Ayman Shaaban)は次のように述べています。「この状況から言えることは、多くの企業で検知手法やインシデントレスポンス手順を改善する余地が確実にあるということです。攻撃を早く特定できればできるほど、被害はより小さくなります。しかし、当社の経験によれば、企業が重大な攻撃がもたらすものに対して十分に注意できていないことも多く、当社のインシデントレスポンスチームが連絡を受けた段階では、遅すぎて被害を阻止できないことも多々あります。一方で、多くの企業はネットワーク内の重大なサイバー攻撃の形跡に対する判断について学んできており、私たちもそのような事案では、もっと深刻なインシデントにつながったと思われる事態を阻止することができました。これを良い事例として参考にしていただきたいと思います」