Trace Id is missing
メイン コンテンツへスキップ
Security Insider

外部攻撃面の構造

ダウンロード
共有
外部攻撃面の構造を理解する

組織で監視すべき 5 つの要素

さまざまな組織においてクラウド環境と分散型業務への移行が進む中、サイバーセキュリティの状況は複雑化し続けています。組織の外部攻撃面は、今や、複数のクラウド、複雑なデジタル サプライ チェーン、巨大なサードパーティ エコシステムを含む領域に大きく広がっています。その結果、現在一般的になっているセキュリティに関する問題のその絶大な規模により、包括的なセキュリティの認識が根本的に変化しつつあります。

今やインターネットはネットワークの一部です。その規模はほとんど計り知れないにもかかわらず、セキュリティ チームは、ファイアウォールの内側のすべてと同程度に、インターネット全体における組織の存在を防御しなければなりません。 ゼロ トラストの原則を採用する組織が増えるにつれ、内部と外部の両方の攻撃面を保護することは、インターネット規模の課題となっています。このため、組織の攻撃面の詳細な範囲を把握することが組織にとってこれまで以上に重要となっています。

Microsoft は 2021 年に RiskIQ を買収し、デジタル エンタープライズ全体のセキュリティ評価を支援しています。組織で  RiskIQ Internet Intelligence Graph を使用することで、攻撃面を構成するコンポーネント、接続、サービス、IP 接続デバイス、インフラストラクチャ全体で脅威を検出して調査し、回復性がある大規模な防御を構築することができます。

セキュリティ チームにとっては、防御の対象となるものがあまりに深く広範であるため、気が遠くなるかもしれません。だたし、組織の攻撃面の範囲を正しく捉える方法の 1 つは、インターネットを攻撃者の視点から見てみることです。この記事では、外部攻撃面の効果的な管理のための課題の枠組みを構築するのに役立つ 5 つの領域について取り上げます。

グローバルな攻撃面はインターネットとともに拡大

さらに日々拡大しています。2020 年にインターネット上のデータ量は 40 ゼタバイト (40 兆ギガバイト) に達しました。1 RiskIQ による調査の結果、毎分 117,298 個のホストと 613 個のドメイン2 が織り合わされた多くの糸に追加され、グローバルな攻撃面の複雑な織物を作り上げていることが分かりました。これらの 1 つ 1 つに、基盤となるオペレーティング システム、フレームワーク、サードパーティ アプリケーション、プラグイン、追跡コードなどの一連の要素が含まれています。これらの急速に増殖するサイトにこのような基本的要素が含まれているため、グローバルな攻撃面の範囲は指数関数的に拡大します。

グローバルな攻撃面は毎分拡大

  • 毎分作成されるホスト数。
  • 毎分作成されるドメイン数。
  • 毎分 375 件の新しい脅威。2

正規の組織と脅威アクターの両方がこの拡大に寄与しています。つまり、サイバー脅威もインターネットのその他のものと一緒に大規模に拡大しているということです。洗練された持続的標的型攻撃 (APT) からささいなサイバー犯罪者までが、企業のデータ、ブランド、知的財産権、システム、人々をターゲットにしてビジネスの安全性を脅かしています。

2021 年の第一四半期に、CISCO は 611,877 個の一意のフィッシング サイト3と、毎分 32 件のドメイン侵害イベントと合計 375 件の新しく発生した脅威を検出しました。 2 これらの脅威は、偽装した資産を使用して組織の従業員と顧客をターゲットにし、悪意のあるリンクをクリックするように誘導して、機密データをフィッシングするもので、すべてブランドの信用と顧客の信頼を損なうものです。

リモートワーク従業員の脆弱性の拡大

インターネットに公開された資産の急速な拡大により、平均的な組織に影響を与える脅威と脆弱性の範囲は飛躍的に広がっています。COVID-19 の出現により、デジタルの成長が再び加速しました。ほぼすべての組織が、リモートの高度に柔軟な働き方とビジネス モデルに対応するために、そのデジタル フットプリントを拡大しました。その結果、攻撃者がプローブしたり、悪用したりするアクセス ポイントが大幅に増えることになりました。

RDP (リモート デスクトップ プロトコル) や VPN (仮想プライベート ネットワーク) などのリモート アクセスのテクノロジーの利用はそれぞれ 41 % と 33 % 急上昇しました4。世界のほとんどがリモート ワークのポリシーを採用しています。リモート デスクトップ ソフトウェアのグローバル マーケットの規模は 2019 年には 15.3 億米国ドルでしたが、2027 年までには 46.9 億米国ドルに達します。5

リモート アクセスのソフトウェアとデバイスの多数の新しい脆弱性により、攻撃者は以前にはなかった足がかりを手に入れました。RiskIQ により、人気の高いリモート アクセス機器と周辺機器の多数の脆弱なインスタンスが見つかっており、この脆弱性の激しいペースは減速していません。2021 年に合計で 18,378 件の脆弱性が報告されました。6

新たな脆弱性の様相

  • RDP 使用の増加。
  • VPN 使用の増加。
  • 2021 年に報告された脆弱性。

複数の脅威グループにより画策され、デジタル エンタープライズ向けに調整されたグローバル規模の攻撃が増加しているため、セキュリティ チームは、デジタル サプライ チェーンにおける関係の中で、自身、サードパーティ、パートナー、管理下および非管理下のアプリ、サービスの脆弱性を緩和する必要があります。

デジタル サプライ チェーン、M&A、シャドウ IT が見えない攻撃面を生み出す

ほとんどのサイバー攻撃の発生源はネットワークからはるかに離れたところです。ハッキング関連の侵害でもっともよく悪用されるベクトル カテゴリは Web アプリで構成されます。残念なことに、ほとんどの組織では、自分達のインターネット資産の全体像やそれらの資産がグローバルな攻撃面にどのように接続されているかを把握していません。この可視性の欠如に大きく寄与する 3 つのものが、シャドウ IT、合併買収 (M&A)、デジタル サプライ チェーンです。

リスクの依存関係

  • 毎分有効期限が切れるサービス2
  • サイバーセキュリティ デュー デリジェンスを含む取引の割合7
  • サード パーティが原因のデータ侵害を少なくとも 1 回経験した組織の割合8

シャドウ IT

 

IT 部門がビジネス要件の速度についていけない場合、ビジネスでは新しい Web 資産の開発とデプロイのための他にサポートを求めます。セキュリティ チームは多くの場合、このようなシャドウ IT 活動について知らされず、作成された資産を自分達のセキュリティ プログラムの範囲に取り込むことができません。管理されていない孤立した資産は、時間の経過とともに、組織の攻撃面におけるマイナス材料になる可能性があります。

このような、ファイアウォール外部でのデジタル資産の急速な拡散は、今やあたりまえになっています。RiskIQ の新規顧客は通常、自分達が考えていたよりも約 30% 多くの資産を所有しており、RiskIQ では、毎分 15 個の期限切れのサービス (サブドメインが乗っ取りされやすい) と 143 個のオープン ポートが検出されています。2

合併買収

 

M&A、戦略的パートナーシップ、アウトソーシングなど、日常業務と重要なビジネスのための取り組みが外部の攻撃面を生み出し、拡大します。現在、世界中の取引において、サイバーセキュリティ デュー デリジェンスが含まれるものは 10 % 未満です。

組織がデュー デリジェンス プロセスの中で潜在的なサイバー リスクの全体像を把握できないのには、いくつかの共通する理由があります。まずはじめに、買収する企業のあまりに巨大なデジタル プレゼンスが挙げられます。大規模な組織の場合、数百、場合によっては何万ものアクティブな Web サイトとその他の公開されている資産を所有していることは決して珍しくありません。買収先の企業の IT チームとセキュリティ チームには Web サイトの資産台帳がありますが、それはほぼ間違いなく実際に存在するものの一部しか表していません。組織の IT 活動が分散化されればされるほど、そのギャップが大きくなります。

サプライ チェーン

 

企業は、最新のサプライ チェーンを構成するデジタル連携により依存するようになっています。21 世紀のビジネスにおいてこのような依存は不可欠ですが、同時に煩雑で階層化した、非常に複雑な第三者関係も生み出します。この多くは、セキュリティとリスクのチームが積極的に保護および防御できる範囲にありません。その結果、リスクを示している脆弱なデジタル資産を迅速に特定することは非常に大きなチャレンジとなります。

こうした依存関係の把握と可視性の欠如により、脅威アクターにとって、サードパーティへの攻撃が最も頻繁で効果的なベクトルの 1 つとなっています。現在、相当な量の攻撃がデジタル サプライ チェーン経由で行われています。今日では、IT 専門家の 70 % が、第三、第四、第五の関係者を含む可能性がある外部関係者への、中から高程度の依存を指摘しています。9また同時に、53 % の組織が第三者が原因のデータ漏洩を少なくとも 1 回経験しています。10

大規模なサプライ チェーン攻撃がより一般的になっている一方で、組織は小さな攻撃に日々対処しています。Magecart などのデジタル クレジット カード スキミング マルウェアがサードパーティの eコマース プラグインに影響を与えています。2022 年 2 月に、RiskIQ は Magecart デジタル クレジット カード スキミング マルウェアの影響を受けた 300 を超えるドメインを検出しました。11

平均的な消費者のライフスタイルがよりモバイル中心にシフトするにしたがい、企業は毎年モバイルへの投資を増やしています。現在米国人はテレビ視聴よりも多くの時間をモバイルに費やし、ソーシャル ディスタンスを契機に、買い物や教育といった物理的なニーズのより多くがモバイルへと移行されています。App Annie によれば、2021 年のモバイル消費は驚異的な 1700 億米国ドルに達し、前年比成長率は 19 % でした。12

このモバイル需要により、モバイル アプリが大規模に広がりました。 ユーザーは 2020 年に 2180 億個のアプリをダウンロードしています。その一方で、RiskIQ は利用可能なモバイル アプリが 2020 年に全体で 33 % 増加し、毎分 23 個の新しいアプリが登場していることを検出しました。2

アプリ ストアは拡大する攻撃面

  • モバイル アプリの成長。
  • 毎分登場するモバイル アプリ。
  • 5 分ごとにブロックされるアプリ。2

組織にとって、これらのアプリはビジネス成果を生み出します。ただし、これは諸刃の剣とも言えます。この一連のアプリは、ファイアウォールの外部にある組織の全体的な攻撃面の大部分を占め、セキュリティ チームはその可視性が決定的に欠落していることに苦しみます。脅威アクターはこの可視性の低さを利用して「不正アプリ」を作成することで収入を得ています。これは有名なブランドを模倣したり、実際にはそうでないものであることを偽ったりして、利用者にそのアプリをダウンロードさせることを目的にしています。疑いを持たないユーザーがこれらの悪意のあるアプリをダウンロードすると、脅威アクターは思いのままに機密情報をフィッシングしたり、マルウェアをデバイスにダウンロードしたりできます。RiskIQ は 5 分おきに悪意のあるモバイル アプリをブロックリストに登録しています。

これらの不正アプリはまれに公式ストアに現れることがあり、主要なアプリ ストアの堅牢な防御でさえ突破します。ただし、比較的安全な評判のあるストア外部のうさんくさいモバイル暗黒街を占めるのは数百にのぼるあまり信頼できないアプリ ストアです。これらのストアのアプリは公式アプリ ストアよりも規制がはるかに低く、一部のストアでは安全なオファリングよりも悪意のあるアプリのほうが数で上回る場合さえあります。

グローバルな攻撃面は組織の攻撃面の一部でもある

今日のグローバルなインターネット攻撃面は、私たちすべてがそこに含まれる、ダイナミックで、あらゆるものを包括する、非常に密接に関連したエコシステムへと変換してきています。インターネット上にプレゼンスがあれば、危害を加えようとしている人たちも含む、すべての人と相互接続されています。そのため、脅威インフラストラクチャを追跡することは、自身のインフラストラクチャを追跡するのと同様に重要です。

グローバルな攻撃面は組織の攻撃面の一部である

  • 毎日検出される新しいマルウェアの数。2
  • マルウェアのバリエーションの増加。13
  • 49 分ごとに新しい Cobalt Strike サーバー。2

さまざまな脅威グループがインフラストラクチャ (IP、ドメイン、証明書) をリサイクルして共有しています。またマルウェア、フィッシング キット、C2 コンポーネントなどのオープンソース商品ツールを使用して、それらが簡単に特定されることを回避し、そのニーズに合わせて調整や改善を加えます。

毎分 56 万個を超える新しいマルウェアが検出され、地下組織のサイバー犯罪市場で宣伝されているフィッシング キットの数は、2018 年から 2019 年で倍増しています。2020 年に検出されたマルウェアのバリエーション数は 74 % 増加しました。14 RiskIQ では現在、49 分ごとに Cobalt Strike C2 サーバーが検出されています。

これまで、ほとんどの組織のセキュリティ戦略は、その境界から保護すべき資産までへの層となる、多層防御のアプローチでした。ただし、このような戦略とこのレポートで示した攻撃面の間には断絶があります。今日のデジタル エンゲージメントでは、ユーザーは境界の外部に存在します。これは、公開され続ける大量の企業資産および多くの悪意のあるアクターについても同様です。企業リソース全体にわたってゼロ トラスト原則を適用すると、直面している脅威の場所や規模にかかわらず、人、デバイス、アプリケーション、データを保護して、今日のワークフォースを安全にすることに役立ちます。Microsoft Security では、組織のゼロ トラスト成熟度を評価するのに役立つ各種ターゲット評価ツールをご用意しています。

関連記事

1 分を争うサイバー脅威

サイバー攻撃の進行中は、一秒も無駄にできません。世界的なサイバー犯罪のスケールと範囲を説明するために、1 年分のサイバーセキュリティ調査を 60 秒に凝縮しました。
詳細情報

サービスとしてのランサムウェア

サイバー犯罪の最新のビジネス モデルである人間が操作する攻撃は、さまざまな能力を持つ犯罪者を刺激します。
詳細情報

IoT の拡大、OT のリスク

IoT の広がりに伴って、OT はさまざまな脆弱性のおそれや脅威アクターと直面し、リスクを抱えることになりました。この状況下で皆様の組織を守る方法をご覧ください。
詳細情報