フォーティネットジャパンは調査レポートを基に、ランサムウェア攻撃の最新動向と脆弱性対策における新たな判断材料となり得る「EPSS」について解説した。
この記事は会員限定です。会員登録すると全てご覧いただけます。
フォーティネットジャパンは2023年10月12日、脅威インテリジェンスを提供するフォーティネットのリサーチ部門「FortiGuard Labs」がまとめたレポートを解説する「FortiGuard Labsの見た2023年上半期の脅威動向と今後の展開」を解説する記者発表を実施した。
同発表会は、フォーティネットジャパンが定期的に公開している「グローバル脅威レポート2023年上半期版」を基に、グローバルおよび日本でのサイバー攻撃の実態と、2023年上半期のハイライトを紹介するものだ。
フォーティネットジャパンの寺下健一氏(FortiGuard Labs チーフセキュリティストラテジスト)は、グローバル脅威レポート2023年上半期版のハイライトとして6つのポイントを挙げ、この中から特にランサムウェアと脆弱(ぜいじゃく)性についてピックアップした。
FortiGuard Labsが全世界に設置された数百から数千万台のFortinet製品をセンサーとし、マルウェア検知全体に占めるランサムウェアの割合を算出した結果、2023年1〜6月までの間に12.6倍の増加が見られた。直近の5〜6月は若干の減少傾向にあるが、寺下氏はこれについて「より身代金を支払う組織を見極めた“標的型”に推移している」と話す。
その他、盗み出した情報をダークWebなどで暴露する、必ずしも暗号化を伴わないランサムウェア攻撃も増加している。グローバルの暴露件数における日本の割合は必ずしも多くなく、全体の1%以下ではあるが、寺下氏は「海外では100倍以上のケースが暴露され、実被害が出ていることを鑑みると国内でもランサムウェア攻撃における潜在的なリスクは大きく、今後も引き続き警戒が必要だ」と指摘する。
寺下氏は続いて、レポートから明らかになった脆弱性悪用の実態について解説した。脆弱性管理は組織にとって依然として大きな課題であり、全ての脆弱性にセキュリティパッチを適用することが難しいため、どう優先順位を付けていくかが重要になっている。
ただ、実際に悪用された脆弱性は全体のうちほんの一部だ。FortinetのEDR(Endpoint Detection and Response)製品が2023年上半期に観測したところによると、共通脆弱性識別子(CVE)が付与された脆弱性のうち、サイバー攻撃に悪用されたものは8.3%であり、過去半年間では0.6%減少しているという。脆弱性は日々大量に発見され報告されているが、実際に観測されたもの、そして悪用されたものは全体から見ると少ないことが分かる。
だが、開示される脆弱性の数は年々増え続けている。「MITRE ATT&CK」(ATT&CK)から報告されているCVEの数、つまり発見され報告された脆弱性は増加の一途をたどっている。「持続可能な脆弱性管理のため、現状把握とトリアージが重要になる」(寺下氏)
そしてこれを実現するセキュリティ指標として最近注目されているのが「EPSS」(Exploit Prediction Scoring System)だ。EPSSはグローバルなセキュリティフォーラム「FIRST」(Forum of Incident Response and Security Teams)で開発された仕組みで、CVSSやCVE、ベンダー情報、PoCの有無など複数の指標を基に、30日以内に該当脆弱性が悪用される確率を「EPSS Probability」として、1〜100の間で算出する。この算出にはML(機械学習)が利用されている。
今回のレポートでは、過去6年間に公開された約1万件の脆弱性を基に、EPSSスコアが上位1%の脆弱性群と下位50%の脆弱性群において、CVE開示から1週間後を分析した。その結果、上位1%の脆弱性は下位50%の脆弱性に比べて、約300倍悪用されやすいという結果が出た。
寺下氏はこれに加えて注目するポイントとして「下位50%の脆弱性は、CVEが公開された1年後に引き続き悪用される率が低くなっている。そのため、この下位に属する脆弱性については、優先度を下げて対応することに一つの合理性があるのではないか」とトリアージの側面からEPSSの評価・分析の方法を推奨する。
「CVSSは最大10.0のスコアが付けられるが、これだけで優先順位付けをしていいのかどうか悩む組織に対し、EPSSはより悪用される可能性があるといった、新たな判断材料を加える。このスコアリングによって合理的な優先順位付けができるのではないかという提案と、実効性がどの程度あるかという結果をレポートで解説している」(寺下氏)
フォーティネットジャパンのレポートでは、過去5年間の脅威トレンドを振り返り、さまざまな統計数値から3つのポイントを導き出した。
グローバル脅威レポート2023年上半期版の日本語版はこちらのWebサイトからダウンロードできる。
Copyright © ITmedia, Inc. All Rights Reserved.