インシデントレスポンスの50%超がサイバー攻撃による損害後に依頼

[本リリースは、2019年8月30日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kasperskyのセキュリティ専門チームは、2018年に依頼を受け対処したインシデントレスポンス（対応）について調査、分析しました。そのうち約56%において、依頼のあった組織がサイバー攻撃を受け、不正送金、ランサムウェアによるワークステーションの暗号化やサービス提供が不可能な状態など、被害を受けた後に依頼されていたことが明らかになりました。一方、依頼のうち44%は初期段階の攻撃検知後に対処され、深刻な被害を受ける前に顧客を守ることができました。主な分析結果は、レポート「Incident Response report 2018」に記載しています。

インシデントレスポンスは、サイバー攻撃による損害を被り、詳細を調査する必要がある場合に初めて必要になるものと思われる傾向があります。しかし、2018年にKasperskyのセキュリティ専門チームが関わった複数のインシデントレスポンス事案を分析したところ、このサービスは被害の詳細調査のためだけでなく、初期段階で攻撃を特定して損害を阻止するための手段にもなることがわかりました。

2018年のインシデントレスポンス事案の22%は、ネットワーク内で悪意のある可能性がある活動の検知後に開始され、別の22%は、ネットワーク内で悪意のあるファイルが発見された後に開始されました。侵害を示す形跡がない場合、これら両方のケースは、現在攻撃を受けていることを示している可能性があります。しかし、企業のセキュリティチームでは、自動セキュリティツールが既に悪意のある活動を検知し阻止したのか、それとも、より大規模かつ検知できない悪意のある攻撃がネットワーク内で始まっていて、外部の専門家が必要なのかを判断できない場合があります。

判断を誤ると、悪意のある活動が実被害をもたらすような深刻なサイバー攻撃となってしまいます。調査を実施した「依頼が遅い」ケースのうち26%は、暗号化型マルウェアの感染によるもので、そのうち11%は金銭の窃取に至ってしまいました。また、同ケースのうち19%は、企業のメールアカウントからのスパムを検知したもの、サービス提供不能状態を検知したもの、またはセキュリティ侵害を検知したものでした。

■ Incident Response report 2018の調査結果

Kasperskyがインシデント対応の依頼を受け、提供されたデータを分析:

• 　81%の組織で内部ネットワークで悪意のある活動の痕跡を発見
• 　34％の組織で高度な標的型攻撃の形跡が見られた
• 　金融機関の54.2%は、APTグループによる攻撃を受けていた

詳しくは、Securelistブログ「Incident Response report 2018」（英語）をご覧ください。

Kasperskyセキュリティエキスパートのアイマン・シャーバン（Ayman Shaaban）は次のように述べています。「この状況から言えることは、多くの企業で検知手法やインシデントレスポンス手順を改善する余地が確実にあるということです。攻撃を早く特定できればできるほど、被害はより小さくなります。しかし、当社の経験によれば、企業が重大な攻撃がもたらすものに対して十分に注意できていないことも多く、当社のインシデントレスポンスチームが連絡を受けた段階では、遅すぎて被害を阻止できないことも多々あります。一方で、多くの企業はネットワーク内の重大なサイバー攻撃の形跡に対する判断について学んできており、私たちもそのような事案では、もっと深刻なインシデントにつながったと思われる事態を阻止することができました。これを良い事例として参考にしていただきたいと思います」

■ インシデントへの効果的な対応のために、次のことを推奨します

• 企業内にITセキュリティ問題を担当する専門チーム（少なくとも専門の従業員）を設ける
• 重要なデータ資産についてはバックアップシステムを導入する
• サイバー攻撃に迅速に対応するために、第一線で対応する社内インシデントレスポンスチー　ムと、より複雑なインシデントを担当する外部の専門業者を組み合わせる
• さまざまなサイバー攻撃についての詳細なガイダンスと手順を示したインシデントレスポンス計画を策定する
• 従業員に対してサイバー犯罪に対する基本的な予防策について教育し、悪意のある可能性があるメールやリンクに気付き、回避する方法についてのトレーニングを実施する
• ソフトウェアをアップデートするためのパッチ管理手順を導入する
• ITインフラストラクチャのセキュリティ評価を定期的に実施する