クラウドからエッジまで IT 資産の管理、検出、保護、サービスを自動化するプラットフォーム Ivanti Neurons を提供する Ivanti(本社:米国ユタ州ソルトレイクシティ、CEO:Jeff Abbott)は、本日認証番号付与機関(CNA)であるCyber Security Works社、および次世代Security Orchestration, Automation and Response(SOAR)および脅威インテリジェンスソリューション「Cyber Fusion」のリーディングプロバイダーであるCyware社と共同で実施した「Ransomware Spotlight Year End Report」の結果を発表しました。本レポートでは、2021年に新たに32種類のランサムウェアファミリーが確認され、合計で157種類(前年比で26%増加)となったことが報告されています。
また、本レポートでは、これらのランサムウェアが、パッチが未適用の脆弱性を標的とし、ゼロデイ脆弱性を記録的な速さで武器化し、致命的な攻撃を仕掛けていることが明らかにされています。また、これらのランサムウェアグループは、攻撃範囲を拡大し、企業のネットワークを危険にさらす新しい方法を見つけて、大きな被害を与える攻撃を大胆に仕掛けています。
Ransomware Spotlight Year End Reportが明らかにした主な見解と傾向は次の通りです。
- パッチ未適用の脆弱性は、依然としてランサムウェアグループが利用する最も重要な攻撃手段:65件発見されました。これは、前年と比較して29%の増加であり、ランサムウェアに関連する脆弱性の総数は288件となりました。驚くべきことに、新たに追加された脆弱性のうち3分の1以上(37%)は、ダークウェブ上で急速にその存在を拡大させ、繰り返し悪用されていました。これと並行して、2021年以前に確認された223の古い脆弱性のうち56%は、ランサムウェア攻撃グループによって活発に悪用され続けてきました。企業・組織には、脆弱性の新しい、古いに関わらず、攻撃者が標的とする武器化された脆弱性を優先順位化し、パッチを適用することが求められています。
- ランサムウェア攻撃グループは、CVEがNational Vulnerability Databaseに追加され、パッチがリリースされる前であっても、ゼロデイ脆弱性の検知・悪用を継続:QNAP(CVE-2021-28799)、Sonic Wall(CVE-2021-20016)、Kaseya(CVE-2021-30116)、そして最近ではApache Log4j(CVE-2021-44228)などの脆弱性は、National Vulnerability Database(NVD)に登録される前から悪用されていました。このような危険な傾向は、ベンダーによる脆弱性の開示と優先順位に基づくパッチのリリースには、機敏な対応が必要であることを示しています。また、企業においては、NVDだけでなく、脆弱性の傾向、悪用事例、ベンダーの勧告、セキュリティ機関からの警告などにも目を配り、パッチを適用する脆弱性の優先順位を決めることが不可欠となっています。
- ランサムウェア攻撃グループは、甚大な損害を与え、広範囲に混乱を引き起こすことを目的に、サプライチェーンネットワークを標的とする攻撃を拡大:一つのサプライチェーンが侵害されると、複数の道が開かれ、何百もの被害者ネットワークのシステム全体を乗っ取ることが可能になります。昨年は、サードパーティ製のアプリケーション、ベンダー固有の製品、オープンソースのライブラリなどを介してサプライチェーンネットワークが侵害されました。例えば、REvilグループは、Kaseya VSAリモートマネジメントサービスのCVE-2021-30116を標的に、悪意のあるアップデートパッケージを起動し、オンサイトおよびリモートバージョンのVSAプラットフォームを使用しているすべての顧客を危険にさらしました。
- ランサムウェア攻撃グループは、あたかも正規のSaaSのように、自分たちのサービスを他者と共有することをますます活発化:Ransomware-as-a-Service(ランサムウェア・アズ・ア・サービス)とは、ランサムウェアの開発者が自らのサービス、亜種、キット、コードなどを他の悪意のある攻撃者に提供し、対価を得るビジネスモデルです。Exploit-as-a-Service(エクスプロイト・アズ・ア・サービス)は、開発者からゼロデイ・エクスプロイトを借りることができるソリューションです。また、dropper-as-a-service(ドロッパー・アズ・ア・サービス)では、初心者の脅威攻撃者が、悪意のあるペイロードを被害者のコンピュータ上で実行することができるプログラムを通じて、マルウェアを配布することができます。また、trojan-as-a-service(トロイの木馬サービス)は、malware-as-a-service(マルウェア・アズ・ア・サービス)とも呼ばれ、インターネットに接続している人であれば誰でも、カスタマイズされたマルウェアをクラウド上で入手し、インストールなしで展開することができます。
288の脆弱性を悪用した157のランサムウェアファミリーが存在することから、ランサムウェア攻撃グループは今後数年間で猛烈な攻撃を仕掛けてくることが予想されます。Coveware社によると、「ランサムウェアの攻撃を受けた企業は、平均で220,298ドルを支払い、23日間のダウンタイムを余儀なくされています。これは、サイバーハイジーンをより重視する必要性を示唆しています。今後、特に環境が複雑化していく中で、サイバーハイジーンの自動化はますます重要になっていくでしょう」と述べています。
Ivanti、セキュリティ製品担当シニアバイスプレジデントであるスリニヴァス・ムッカマラ(Srinivas Mukkamala)は次のように述べています。
「ランサムウェア攻撃グループはより洗練され、その攻撃はよりインパクトのあるものになってきています。これらの脅威攻撃者は、自動化されたツールキットを活用して脆弱性を悪用し、侵害されたネットワークに深く侵入することをますます活発化させています。また、彼らは、標的を拡大させ、私たちの生活に密接に関連する分野への攻撃を強化することで、日常生活を混乱させ、かつてないほど甚大な被害をもたらしています。企業・組織には、警戒を怠らず、武器化された脆弱性に遅滞なくパッチを適用することが強く求められます。これには、リスクベースの脆弱性の優先順位化と自動化されたパッチインテリジェンスを組み合わせて活用し、脆弱性の弱点を特定して優先順位をつけ、その後の修復を加速させることが必要です」
Cyware社、CEOであるAnuj Goel氏は、次のように述べています。
「ランサムウェアの被害状況全体で観察された実質的な変化は、攻撃者がシステムに侵入するために保護のギャップを探すのと同様に、パッチ適用などのプロセスに侵入しようとしていることです。脆弱性の検知には、脆弱性のデータをインテリジェンスとして活用して、迅速な対応を決定するというアクションが必要となります。ランサムウェアの攻撃者がツール、手法、ターゲットリストを活用・運用する中で、SecOpsチームは、脆弱性のある資産やシステムを自己修復するプロセスを自動化し、インテリジェンスをリアルタイムで活用することでリスクを軽減することが不可欠です」と述べています。
Cyber Security Works社、CEOであるAaron Sandeen氏は、次のように述べています。
「ランサムウェアは、あらゆる産業分野の顧客や従業員に壊滅的な被害を与えています。2022年には、新しい脆弱性、エクスプロイトの種類、APTグループ、ランサムウェアのファミリー、CWEのカテゴリー、そして古い脆弱性を利用して組織を攻撃する手法などが増加し続けることが予想されます。企業経営幹部たちは、ランサムウェアの脅威の優先順位化および修復を実現可能にする、革新的で予測可能な支援を必要としています。」
Ransomware Index Spotlight Reportは、IvantiとCSW社の独自データ、一般に公開されている脅威データベース、脅威研究者やペネトレーションテストチームなど、様々なソースから収集したデータを基に作成されています。レポートの全文はこちらhttps://www.ivanti.com/ransomware-spotlight-year-end-2021-reportをご覧ください。
本プレスリリースは、米国本社が1月26日発表したリリースの抄訳版です。
Ivantiについて
Ivanti について Ivanti は「Everywhere Workplace(場所にとらわれない働き方)」を実現します。場所にとらわれない 働き方により、従業員は多種多様なデバイスでさまざまなネットワークから IT アプリケーションやデータにアクセスし、高い生産性を保つことができます。 Ivanti Neurons 自動化プラットフォームは、業界をリードする統合エ ンドポイント管理、ゼロトラストセキュリティと、エンタープライズサービス管理のソリューションをつなぎ、デバイスの 自己修復および自己保護、またエンドユーザーのセルフサービスを可能にする統合 IT プラットフォームを提供し ます。 Fortune 100の96社を含む40,000社以上の顧客が、クラウドからエッジまで IT 資産の管理、検 出、保護、サービスのために Ivanti を選択し、従業員があらゆる場所にいても作業できる優れたユーザー体験 を提供しています。 詳細については、www.ivanti.co.jp をご参照ください。
Cywareについて
Cywareは、企業のサイバーセキュリティチームがプラットフォームに依存しないバーチャルサイバーフュージョンセンターを構築するための支援を行っています。Cywareは、次世代SOAR(Security Orchestration, Automation, and Response)テクノロジーを搭載したサイバーセキュリティ業界唯一のバーチャルサイバーフュージョンセンターを提供することで、セキュリティオペレーションを変革しています。その結果、企業・組織はスピードと精度を高めながら、コストとアナリストの疲弊を低減すことができます。Cywareのバーチャルサイバーフュージョンソリューションは、あらゆる規模とニーズの企業、シェアリング・コミュニティ(ISAC/ISAO)、MSSP、政府機関にとって、安全なコラボレーション、情報共有、脅威の可視性向上を実現します。https://cyware.com/
CSWについて
CSWは、攻撃対象領域の管理とペネトレーションテストをサービスとして提供するサイバーセキュリティサービス企業です。脆弱性とエクスプロイトの調査における当社の革新的なテクノロジーにより、Oracle、D-Link、WSO2、Thembay、Zohoなどの人気製品において45以上のゼロデイを検知しました。また、CVE のNumbering Authorityとなり、何千人ものバグバウンティハンターの活用を可能にするなど、脆弱性管理のグローバルな取り組みにおいて重要な役割を果たしています。CSWは、脆弱性の調査・分析のリーダーとして、世界中の企業が進化し続ける脅威からビジネスを保護するために、業界の最前線を走っています。詳細については、www.cybersecurityworks.com をご覧いただくか、LinkedIn や Twitter でフォローしてください。