現代における攻撃面の構造

ほとんどの組織にとって、メールは日々の業務に欠かせないものです。残念ながら、メールは依然として脅威の最重要経路となっています。2022 年に発生したランサムウェアのインシデントの 35% は、メールが関与しています。⁴攻撃者はかつてないほど多くのメール攻撃を行っています。2022 年には、フィッシング攻撃の割合は 2021 年と比較して 61% 増加しました。⁵

攻撃者はまた、合法的なリソースを活用してフィッシング攻撃を行うことも一般的になっています。このため、ユーザーが本物のメールと悪意のあるメールを区別することがさらに難しくなり、脅威がすり抜ける可能性が高まっています。同意フィッシング攻撃はこのような傾向の一例であり、脅威アクターは合法のクラウド サービス プロバイダーを悪用し、機密データへのアクセス許可を与えるようユーザーをだまします。

メールのシグナルをより広範なインシデントに関連付けて攻撃を可視化する機能がなければ、メール経由で侵入した脅威アクターを検知するのに時間がかかる可能性があります。そして、その時には被害を防ぐには遅すぎるかもしれません。攻撃者が組織の個人データにアクセスするのにかかる時間の中央値は、わずか 72 分です。⁶この結果、企業レベルで深刻な損失が発生する可能性があります。ビジネス メール詐欺 (BEC) による 2021 年の調整後損失額は、推定 24 億米国ドルに上ります。⁷

今日のクラウド化された世界では、アクセスの保護がこれまで以上に重要になっています。結果として、 ユーザー アカウントのアクセス許可、ワークロードの ID、潜在的な脆弱性など、組織全体の ID  を詳細まで深く理解することが、特に攻撃の頻度と創造性が高まる中で不可欠となっています。

パスワード攻撃の件数は、2022 年には毎秒 921 件に上ると推定されています。これは、2021 年から 74% も増加しています。⁸ Microsoft では、脅威アクターが多要素認証 (MFA) を回避するために、敵対的中間者フィッシング攻撃やトークンの乱用などのテクニックを使用して、より創造的に組織のデータにアクセスするようになっていることも確認してきました。フィッシング キットにより、脅威アクターはさらに簡単に資格情報を盗むことができるようになっています。Microsoft の Digital Crimes Unit は、フィッシング キットの巧妙化がこの 1 年で進んでいることを確認しており、また、フィッシング キットへの参入障壁が非常に低くなっていることも確認しています。ある販売者は、1 日あたりわずか USD$6 でフィッシング キットを提供しています。⁹

ID の攻撃面を管理することは、ユーザー アカウントの安全性を確保すること以上に重要です。クラウド アクセスだけでなく、ワークロードの ID にも広がるからです。侵害された資格情報は、脅威アクターが使用する強力なツールとなり、組織のクラウド インフラストラクチャに大混乱をもたらす可能性があります。

今日のハイブリッド環境ではデバイスの数が非常に多くなっており、エンドポイントのセキュリティ保護はより困難になっています。エンドポイント、特にアンマネージド デバイスを保護することは、強固なセキュリティ態勢を構築する上で非常に重要であることは不変です。たとえ 1 つでも侵害があれば、脅威アクターの組織への侵入を許してしまう可能性があるからです。

組織が BYOD ("Bring Your Own Device") ポリシーを採用するにつれ、アンマネージド デバイスが急増しています。その結果、エンドポイントの攻撃面は拡大し、露出がさらに高まっています。企業内には、エンドポイントでの検出と対応エージェントによって保護されていない接続デバイスが平均で 3,500 台存在します。¹¹

アンマネージド デバイス ("シャドー IT" の一部) には、セキュリティ チームがデバイスを保護するために必要な可視性がないため、脅威アクターにとっては特に魅力的です。Microsoft では、アンマネージド デバイスでは、ユーザーがウイルスに感染する可能性が 71% 高いことを確認しています。¹²アンマネージド デバイスは企業ネットワークに接続するため、攻撃者がサーバーやその他のインフラストラクチャに対して広範な攻撃を仕掛ける機会にもなります。

アンマネージド サーバーは、エンドポイント攻撃の潜在的な経路でもあります。2021 年、Microsoft Security は、脅威アクターがパッチの適用されていないサーバーを利用し、ディレクトリを移動して、アカウント資格情報へのアクセスを提供するパスワード フォルダーを発見する攻撃を確認しました。

エンドポイントの攻撃経路として最も見過ごされているものの 1 つに、IoT (モノのインターネット) があります。IoT には大小合わせて数十億台のデバイスが含まれます。IoT セキュリティは、ルーター、プリンター、カメラなどのデバイスなど、ネットワークに接続し、ネットワークとデータを交換する物理的なデバイスを対象としています。また、製造ラインのスマート機器など、運用デバイスやセンサー (運用技術、"OT") も含まれます。

IoT デバイスの数が増えれば増えるほど、脆弱性の数も増えます。IDC は、2025 年までに 410 億台の IoT デバイスが企業および消費者環境に存在するようになると予測しています。¹⁵ 多くの組織では、脅威アクターが侵入することをより困難にするために、ルーターやネットワークのハードニングを行っているため、IoT デバイスはより簡単で魅力的なターゲットになりつつあります。脅威アクターが脆弱性を悪用して IoT デバイスをプロキシ化し、露出したデバイスをネットワークへの足がかりとして利用するケースはよく見られます。いったん IoT デバイスにアクセスできれば、脅威アクターは他の保護されていない資産のネットワーク トラフィックを監視したり、横方向に移動して標的のインフラストラクチャの他の部分に侵入したり、偵察を行って機密性の高い機器やデバイスに対する大規模な攻撃を計画したりすることができます。ある調査では、セキュリティ担当者の 35% が、過去 2 年間に、組織に対する広範な攻撃を行うために IoT デバイスが使用されたと報告されています。¹⁶

残念ながら、組織にとって IoT は可視性の点でブラックボックスであることが多く、多くの組織で適切な IoT セキュリティ対策がとられていません。セキュリティ担当者の 60% は、 IoT と OT  のセキュリティは、IT と OT インフラストラクチャの中で最もセキュリティが確保されていない側面の 1 つであるとして挙げています。¹⁷

組織の外部攻撃面は、今や、複数のクラウド、複雑なデジタル サプライ チェーン、巨大なサードパーティ エコシステムを含む領域に大きく広がっています。インターネットは今やネットワークの一部であり、その規模はほとんど計り知れないにもかかわらず、セキュリティ チームは、ファイアウォールの内側のすべてと同程度に、インターネット全体における組織の存在を防御しなければなりません。そして、 ゼロ トラストの原則を採用する組織が増えるにつれ、内部と外部の両方の攻撃面を保護することは、インターネット規模の課題となっています。

グローバルな攻撃面はインターネットとともに拡大し、日々拡大しています。Microsoft では、フィッシング攻撃など多くの種類の脅威が増加していることを確認しています。2021 年、Microsoft の Digital Crimes Unit は、96,000 を超えるフィッシング URL と 7,700 を超えるフィッシング キットの削除を指示しました。これが、盗まれた顧客資格情報を収集するために使用された 2,200 を超える悪意のあるメール アカウントの特定と閉鎖につながりました。²⁴

外部攻撃面は、組織内の資産にとどまりません。外部攻撃面は多くの場合、サプライヤーやパートナー、企業ネットワークや資産に接続された従業員個人アンマネージド デバイス、新たに買収された組織なども含まれます。したがって、潜在的な脅威を軽減するためには、外部との接続と露出を認識することがきわめて重要です。2020 年の Ponemon のレポートによると、組織の 53% が過去 2 年間にサードパーティによるデータ侵害を少なくとも 1 回は経験しており、その修復に平均 750 万米国ドルの費用がかかっていることが明らかになっています。²⁵

サイバー攻撃の背後にあるインフラストラクチャが増加するにつれ、脅威にさらされるインフラストラクチャを可視化し、インターネットに露出した資産のインベントリを作成することが、これまで以上に急務となっています。Microsoft は、組織が外部への露出の範囲を理解するのには苦労することが多く、その結果、重大な死角が生じていることを発見しました。こうした死角は、壊滅的な結果をもたらす可能性があります。2021 年には、61% の企業がランサムウェア攻撃を経験し、それにより少なくとも部分的なビジネス業務の停止に至っています。²⁶

Microsoft がお客様によくお伝えしていることは、セキュリティ態勢を評価する際に、組織を外側から見るようにということです。VAPT (Vulnerability Assessment and Penetration Testing) だけでなく、外部攻撃面を深く可視化することが重要であり、これにより環境全体と広いエコシステム全体の脆弱性を特定することができます。もしあなたが侵入しようとする攻撃者だとしたら、何を悪用できるでしょうか。組織の外部攻撃面の全容を把握することは、組織の安全性を確保するための基礎となります。

Microsoft によるサポート

今日の脅威の状況は常に変化しており、組織はそれに対応できるセキュリティ戦略を必要としています。組織の複雑性と露出の増加に加え、脅威の大量発生とサイバー犯罪の経済における参入障壁の低さにより、各攻撃面の中、および攻撃面の間のあらゆる継ぎ目を保護することが、これまで以上に急務となっています。

セキュリティ チームは、今日の無数の進化する脅威から身を守るために、強力な脅威インテリジェンスを必要としています。適切な脅威インテリジェンスでは、さまざまな場所からのシグナルが関連付けられます。これにより、現在の攻撃行動やトレンドにタイムリーかつ適切なコンテキストが提供され、セキュリティ チームは脆弱性の特定、アラートの優先順位付け、攻撃の妨害を成功させることができます。また、侵害が発生した場合でも、脅威インテリジェンスは被害の拡大を防ぎ、同様の攻撃が二度と起こらないように防御を改善するために不可欠です。簡単に言えば、組織がより多くの脅威インテリジェンスを活用すれば、より安全になり、成功を収めることができるということです。

Microsoft は、毎日 65 兆個のシグナルを分析し、進化し続ける脅威の状況について比類のない視野を持っています。Microsoft Security ソリューションに組み込まれた脅威インテリジェンスは、攻撃面全体でこれらのシグナルをリアルタイムに相関させることで、拡大するランサムウェアや脅威の環境に対するインサイトを提供するため、お客様はより多くの攻撃を検知して阻止することができます。また、 Microsoft Security Copilot などの高度な AI 機能により、進化する脅威を先取りし、マシンの速度で組織を防御することができます。これにより、セキュリティ チームは、複雑な作業を簡素化し、他の人が見逃しているものを把握し、すべてを保護できるようになります。