株式会社ディアイティはサイバーセキュリティとネットワークの企業

CyberArk社 2015年 年次レポート

企業内のITインフラの運用管理に利用する認証情報「特権管理アカウント」を搾取するサイバー攻撃が、企業セキュリティの最大のリスクである

Global Advance Threat Landscape Survey

米国CyberArk社は、毎年セキュリティに関する実態調査「Global Survey」を実施している。2015年9月30日に発表された「Global Advance Threat Landscape Survey」と題した第9回レポートでは、673人のITセキュリティ関係者及びエグゼクティブクラスにインタビューを実施し、その結果を報告している。

「特権管理アカウント」を搾取するサイバー攻撃

軽減することが最も難しいサイバー攻撃の段階として、特権アカウントの奪取を挙げている回答者が去年の44%から61%に増加した。また、情報漏えいの原因は、従業員のセキュリティ意識の低さとする回答者が48%、攻撃者の巧妙化とするのが29%であった。

CyberArk社は、損害を与えるサイバーセキュリティ脅威と、自分自身で守ることができるという自信の間に潜在的な乖離があると分析している。最近大きな話題となった情報漏えいにおいて、主要な攻撃ベクトルとして特権アカウントの奪取が関連しているとの意識は高まってはいるが、いまだに多くの組織が境界線防御に注力している。

また、回答者の半数以上が攻撃を数日で検出できると信じており、CyberArk社は、多くのIT管理者及びビジネスリーダがITセキュリティプログラムの全容を把握できていないのではないかと懸念する。境界防御やフィッシング攻撃等は氷山の一角であり、組織としては、Pass-the-HashやKerberosのゴールデンチケット認証攻撃のようなネットワーク内部で発生し、壊滅的な打撃をもたらす攻撃に対する防御をしなくてはならない。

今回のサーベイのハイライトは以下の通りです。

攻撃者は、情報取得だけでなく、ネットワーク全体の乗っ取りを目指している

ソニーピクチャ社やアメリカ合衆国人事管理局等への攻撃で明白となったように、攻撃者は、ひとたび特権アカウントを盗み出すと、ネットワークインフラ全体の乗っ取りや、大量の機密情報の持ち出しを実行する。
特権アカウントが攻撃者に盗用されるということは、攻撃者にネットワーク管理の最高権力者と同等の権利を与えることを意味する。
正当な内部関係者を装うことにより、攻撃者は特権を昇格し続け、ネットワーク上を縦横無尽に動き回り、貴重なデータをこっそり盗み出す。

「被害の軽減が最も困難となるのは、攻撃のどの段階か」という問いに対する回答は以下の通りである
「最も重要課題であると思う攻撃ベクトルは?」という質問に対しは以下の通りである

会社のセキュリティ戦略に対する誤った認識

今回の調査で注目すべき点は、回答者はCEOや役員のセキュリティ戦略に対し、信頼をおいているものの、組織が導入している戦術が最善の方法とは思っていないということである。
また、セキュリティ業界の調査で、ネットワーク上の攻撃者の発見には、平均200日がかかるという報告があるにもかかわらず、回答者の大半は数日あるいは数時間で攻撃者を検出できると思っている。
その上、攻撃が繰り返されるという実証があるにもかかわらず、回答者はネットワークから攻撃者を完全に排除できると信じ続けている。

  • 数日で侵入を検出できる: 55%
  • 数時間で侵入を検知できる: 25%
  • 標的となったネットワークから攻撃者を排除できると考えている: 44%
  • データ漏えいは、従業員のセキュリティ意識/行動の低さが原因: 48%
  • データ漏えいは、攻撃者の巧妙化が原因: 29%
  • CEOや役員が導入したセキュリティ戦略を信頼している: 57%

内部攻撃の危険性への認識欠如

サイバー攻撃者は、組織の重要かつ機密とされている情報にアクセスするための鍵となる特権アカウントに狙いを定め、これを盗み、利用するための戦術を進化させ続けている。
多くの企業がフィッシング等の境界線攻撃の防御に重点を置いている間に、攻撃者は最も被害が大きくなる組織内部に攻撃を仕掛けている。
気がかりとなる攻撃タイプに関する質問の回答は、以下の通り。

  • パスワードの奪取: 72%
  • フィッシング: 70%
  • SSHキー認証: 41%
  • Path-the-Hash攻撃: 36%
  • ゴールデンチケット攻撃: 23%
  • Overpass-the-Hash攻撃: 18%
  • シルバチケット攻撃: 12%

Overpass-the-Hashやシルバチケット、ゴールデンチケットはKerberos攻撃であり、ドメインコントローラを乗っ取ることにより、標的としたネットワークの完全制御を可能となる。ゴールデンチケット攻撃は、その中でも最も危険であり、組織はITインフラを完全に信頼できなくなる状態、つまり「ゲームオーバー」となる。

CyberArk社のCMOであるJohn Worrallは、「組織は、もはやネットワークから攻撃者を排除できるという考えを受け入れるべきではない。特権/管理認証情報が盗まれ、システムを管理する組織内部の者と同等レベルのアクセス権を攻撃者が有した際の被害は、最大となる。組織は、財務、諜報あるいはビジネス面でも攻撃者の「為すがまま」状態となる。
今回の調査で、特権アカウントの奪取が壊滅的な打撃を与えるという認識が高まっているという結果がでた。この認識が市場で高まり続け、組織がフィッシングのような境界線攻撃への注力から脱却し、セキュリティ戦略を拡大すべきであることを認識することに期待する。」と今回の調査を締めくくっている。


この製品に関するお問い合わせ

03-5634-7652電話受付時間/平日9:00-18:00
メールでのお問い合わせ

24時間受付