対応ケースから見る3つの数字と従来の対策
1つめの数字は、78%※1です。
これは、「標的型サイバー攻撃の被害を公表した国内事例のうち、攻撃に気が付いた発端が、法執行機関やセキュリティベンダーなどの外部からの連絡によるものを表した数字」です。契約する外部の監視サービスなども含んだとしても、自組織の努力により、攻撃に気付くことができた企業組織はわずか22%にすぎません。このように、多くの組織で、自ら標的型サイバー攻撃を発見できていないのです。
続いて、2つ目は、156日※2です。
これは、「攻撃者が初めて組織の内部ネットワークに侵入してから、攻撃が発覚するまでの平均日数」です。平均して5カ月以上もの間、攻撃者が自由にアクセスできる環境にあったことを表しています。
最後に、機密情報を盗み出すという目標を達成した事が確認できた数字は、71%※3です。
これは、「疑わしい端末上で攻撃者によって収集されたファイルと外部送信が確認された割合」です。この数字は、あくまでも確認された割合を集計したものであり、攻撃によって証拠を隠蔽された場合や調査した際の環境下でログが残っておらず、満足な分析ができなかったケースは含めていません。実際にはもっと多くのケースで機密情報が漏えいしていると推測しています。
不正なファイルや通信を検知するだけでは不十分
トレンドマイクロが復旧支援を行った企業・組織の大半は、従業員1000名以上の大規模な企業・組織です。多くの組織では、当然サイバー攻撃に対する対策は標準以上に実施しています。しかしながら、ウイルス対策ソフトやファイアウォールの導入といった不正な(”黒”であることが明白な)ファイルやネットワーク通信のみを検出する従来の対策だけでは、標的型サイバー攻撃の攻撃有無を検出するのでさえ困難なのです。
なお、ウイルス対策ソフト=シグネチャー検知(パターンマッチング)の限界があるため、「ウイルス対策ソフトは時代遅れである」という声があります。しかしながら、数年前から多くのセキュリティ製品において、シグネチャー検知はもちろんのこと、振る舞い検知や接続先のURLを評価して通信を制御するといった複数の検出技術が実装されています。
