レポート McAfee Labs 脅威レポート 2016年9月 1つの企業で1日あた り平均で17件のデー タ流出が発生してい ます。 McAfee Labs について はじめに McAfee Labsは、世界各地に配備した数百万台のセンサーか らデータを収集して、 ファイル、Web、 メール、ネットワークなど に対する脅威を研究・調査し、脆弱性の報告を行っています。 McAfee Labsは、 リアルタイムで脅威情報、重要な分析結果、専 門的な情報を提供し、保護対策の向上とリスクの軽減に貢献し ています。 夏の休暇シーズンから戻ってきました。 まだ休暇中という方も多 いと思いますが、私たちは多忙な毎日に戻っています。 マカフィーはIntel Securityとなりました。 www.mcafee.com/jp/mcafee-labs.aspx McAfee Labsのリンク Intel Securityのシニア バイスプレジデント兼ゼネラル マネー ジャーであるChris Youngが米国土安全保障省の国家安全保障 通信諮問委員会の委員に任命されました。 この委員会は、国家の 安全保障と緊急対応通信に関する政策について大統領と行政部 門に提言を行っています。 7月に開催されたAspen Security Forumの前に、Intel Securityは 『人材不足の解消: サイバーセキュリティの世界的な人材不足 に関する調査』を発表しました。 このレポートは、Intel Securityの RSAでの基調講演に続くもので、サイバーセキュリティの人材不 足について解説しています。戦略国際問題研究所(CSIS)の研究 者がセキュリティ業界の人材不足に関する調査を8か国で実施し ました。公共部門と民間企業のIT部門の責任者を対象に、セキュ リティに対する支出、教育プログラム、経営側の対応、政策の4点 について調査しました。調査報告書では、世界的なサイバーセ キュリティ業界の人材不足を解消するための提言がまとめられ ています。 McAfee Labs脅威レポート 2016年9月 | 2 7月の終わり、Intel Securityの研究者と各国の捜査機関が協 力し、Shadeランサムウェアの指令サーバーを閉鎖しました。 Shadeが最初に確認されたのは2014年の終わりです。 このラ ンサムウェアは、不正なWebサイトや感染ファイルが添付され たメールを介して東ヨーロッパと中央ヨーロッパのユーザー に感染しました。Intel Securityは、 このランサムウェアによって 暗号化されたファイルを復号する無料のツールを開発し、公開 しています。Shadeランサムウェアの詳細と回復方法について は、 こちらをご覧ください。 また、ユーロポール、オランダ国家 警察、Kaspersky Labとともにランサムウェア対策のイニシアチ ブ「No More Ransom」を開始しました。 これは、民間企業と捜 査当局が協力してランサムウェアを阻止する取り組みです。No More Ransomのオンライン ポータルにはランサムウェアの危 険性と身代金を支払わずにデータを回復する方法が掲載され ています。 『McAfee Labs脅威レポート 2016年9月』 では、次の3つのト ピックを選びました。 ■ ■ ■ Intel Security では、データ窃盗に関与している人 物、狙われるデータの種類、外部への送信方法な どを詳しく分析するため、調査を行いました。 この キートピックでは、 この調査データの詳しい分析結 果を報告します。 病院には固有の問題が存在します。古いシステム やセキュリティに問題がある医療機器が使用さ れ、治療に関する情報に迅速にアクセスしなけれ ばなりません。第1四半期には病院を狙ったランサ ムウェア攻撃が多発しました。 これらの攻撃は、そ れほど洗練されたものではありませんが、成功し ています。 最後に、サイバーセキュリティへの機械学習の応 用について解説します。機械学習、 コグニティブ コ ンピューティング、ニューラル ネットワークの違い についても説明します。 また、機械学習の利点と欠 点、機械学習に対する誤解について詳しく解説し、 脅威検出の向上に機械学習を応用する方法につ いて説明します。 この3つのキートピックの後に、通常どおり、四半期ごとの統計 情報をまとめています。 さらに... 11月1日から3日にかけてラスベガスでIntel Security FOCUS 16セキュリティカンファレンスを開催します。現在、 この準備を 全力で進めています。McAfee Labsでは今年も様々な形でカ ンファレンスに参加します。個別のセッションやディスカッショ ンだけでなく、Intel SecurityのFoundstoneプロフェッショナル サービスがハンズオンのセキュリティ研修を行います。ぜひご 参加ください。 四半期ごとに、McAfee Global Threat Intelligenceに送信され る利用統計情報から新たな事実が見つかっています。弊社で は、McAfee GTI Cloudのダッシュボードで攻撃パターンを確認 し、顧客の保護対策の改善に利用しています。Intel Security製 品がMcAfee GTIに送信するクエリーの数は季節ごとに変化し ています。 また、製品機能の向上に合わせて変化しています。私 たちは、 このような変化をより正確に分析・予測できるように努 力しています。 ■ ■ ■ ■ McAfee GTIが1日に受信したクエリーは平均で 486億件でした。 McAfee GTIで阻止した不正なファイルで大き な変化が確認されました。2015年第2四半期に McAfee GTIで阻止した不正なファイルの数は1日 平均4億6,200万個でしたが、2016年第2四半期は 1億400万個に激減しました。 同様に、McAfee GTIで阻止した不審なプログラム も2015年第2四半期から激減しています。2015年 第2四半期は1日あたり1億7,400万個でしたが、 2016年第2四半期は3000万個に減少しています。 McAfee GTIで阻止した危険なIPアドレスは過去2 年間で最高になりました。2015年第2四半期は1日 あたり2,100万個でしたが、2016年第2四半期は 2,900万個に増加し、前の四半期と比べると2倍に なっています。 弊社では、脅威レポートに関するアンケートを実施しています。 皆様からの貴重なご意見は今後の参考とさせていただきます。 この脅威レポートに関するご意見をお寄せください。5分程度 で終わりますので、 ここをクリックしてアンケートにご協力くだ さい。 − Vincent Weafer、バイスプレジデント/McAfee Labs このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 3 目次 McAfee Labs脅威レポート 2016年9月 執筆者: Christiaan Beek Joseph Fiorella Celeste Fralick Douglas Frosst Paula Greve Andrew Marwan François Paget Ted Pan Eric Peterson Craig Schmugar Rick Simon Dan Sommer Bing Sun エグゼクティブ サマリー 5 キートピック 6 情報の窃盗: データ流出の現状 医療機関の危機: 病院を狙うランサムウェア 7 19 セキュリティに必要なデータサイエンス、分析、機械学習 28 統計情報 38 エグゼクティブ サマリー 情報の窃盗: データ流出の現状 Intel Securityでは、 データ流出の方 法と原因について調査しました。 ま た、現在のデータ損失対策はデータ の流出方法に合致していません。 多くの組織からデータが流出しています。内部の人間から情報が漏れることもありま すが、大半は外部からの攻撃で盗まれています。流出の方法や経路は1つではありま せん。多くの組織が情報の漏えいを阻止しようとしていますが、その理由は様々で、対 策の成功度にも差があります。Intel Security では、 このような情報窃盗に関与してい る人物、盗まれるデータの種類、外部への送信方法などを詳しく分析するため、 『Intel Security 2016 Data Protection Benchmark Study』 (2016年データ保護ベンチマーク 調査)を実施しました。 このキートピックでは、 この調査データの詳しい分析結果を報 告します。主な発見は次のとおりです。 ■ データの流出から侵害検出までにかかる時間が長くなっている ■ 医療機関や製造業が標的になっている ■ 現在狙われている標的に対して、従来のデータ損失防止は効力を失って いる ■ データの流出で2番目に多い手法に対して大半の組織は警戒していない ■ 可視化が重要である ■ データ損失防止対策は正当な理由で実装されている また、データ流出を減らす推奨のポリシーと手順についても説明します。 医療機関の危機: 病院を狙うランサムウェア 病院がランサムウェアの標的になって います。第1四半期に起きた病院に対 するランサムウェア攻撃は洗練された ものではありません。 しかし、攻撃に は成功しています。 この数年間、セキュリティ担当者にとってランサムウェアは厄介な存在となっています。 サイバー犯罪者にとって、 ランサムウェアは簡単に金銭を稼げる便利な攻撃ツールに なっています。攻撃の標的も変化しています。 これまでは個人を狙っていましたが、 より 多くの身代金が期待できる企業にシフトしています。最近では、病院がランサムウェア の標的になっています。 このキートピックでは、第1四半期に発生した病院を狙ったラ ンサムウェア攻撃について詳しく分析します。それほど洗練されていないにもかからわ ず、攻撃に成功しているのはなぜでしょうか。 また、病院には固有の問題が存在します。 古いシステムやセキュリティに問題がある医療機器が使用され、治療に関する情報に 迅速にアクセスしなければなりません。 セキュリティに必要なデータサイエンス、分析、機械学習 インターネットに接続するデバイスと データ量が増加しています。攻撃を防 ぐために分析は不可欠な要素となり ます。 セキュリティ担当者にもデータ サイエンス、分析、機械学習に関する 基礎的な知識は必要です。 機械学習とは、複数のコンピューターを使用して、継続的な分析を自動的に実行するこ とです。 データサイエンティストは機械学習を利用して問題を解決しています。ITセキュ リティ固有の問題も同様です。すでに起きた事象とその原因を分析するアナリストも いますが、将来の予測を行い、 その対策を提示するアナリストもいます。 このキートピッ クでは、サイバーセキュリティへの機械学習の応用について解説します。機械学習、 コ グニティブ コンピューティング、ニューラル ネットワークの違いについても説明しま す。 また、機械学習の利点と欠点、機械学習に対する誤解について詳しく解説し、脅威 検出の向上に機械学習を応用する方法について説明します。 このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 5 キートピック 情報の窃盗: データ流出の現状 医療機関の危機: 病院を狙うランサ ムウェア セキュリティに必要なデータサイエ ンス、分析、機械学習 フィードバックを共有 キートピック 情報の窃盗: データ流出の現状 ̶Douglas Frosst、Rick Simon 多くの組織からデータが流出しています。内部の人間から情報が漏れることもありま すが、大半は外部からの攻撃で盗まれています。流出の方法や経路は1つではありま せん。多くの組織が情報の漏えいを阻止しようとしていますが、その理由は様々で、対 策の成功度にも差があります。 この問題を調査するため、Intel Security は2016 Data Protection Benchmark Study(2016年データ保護ベンチマーク調査)を実施し、情報 漏えいに関与している人物、流出しているデータの種類、外部への送信方法を詳細に 分析しました。 また、データ損失防止機能の改善に必要な対策も検討しました。 Intel Security では、詳細な調査を行 い、情報漏えいに関与している人物、 流出しているデータの種類、外部への 送信方法を分析しました。 また、 デー タ損失防止機能の改善に必要な対 策も検討しました。 分析の精度を上げるため、関連する2つの調査結果を参考にしています。本稿では、 こ れらの情報ソースを明記しました。 DPB: Intel Security 2016 Data Protection Benchmark Study (Intel Security 2016年データ保護ベンチマーク調査) ■ DX: Grand Theft Data: 2015 Intel Security data exfiltration study (データの窃盗: Intel Security 2015年データ侵害に関する調査) ■ DBIR: Verizon 2016 Data Breach Investigations Report (Verizon 2016年データ漏洩/侵害調査報告書) ■ 今回の調査分析では、今年の春に公開された『Verizon 2016 Data Breach Investigations Report』 (2016年データ漏洩/侵害調査報告書) で定義されている次の 3つの用語を使用しています。 ■ ■ ■ イベント: 情報資産に対する予期しない変更。セキュリティ ポリシーに対 する違反が起きている可能性がある。 インシデント: 情報資産の整合性、機密性、可用性を侵害するセキュリティ イベント 侵害: 許可されていない人物へのデータ流出が発生するインシデント 「Intel Security 2016 Data Protection Benchmark Study」 (2016年データ保護ベンチ マーク調査) では、5つの業種について、世界中の企業(中小企業から大企業まで)のセ キュリティ担当者を対象に調査を行いました。調査でいくつかの問題が明らかになり ましたが、多くの企業はそれに気づいていないようです。主な発見は次のとおりです。 ■ データの流出から侵害検出までにかかる時間が長くなっている ■ 医療機関や製造業が標的になっている ■ 現在狙われている標的に対して、従来のデータ損失防止は効力を失って いる ■ データ流出で2番目に多い手法に対して大半の組織は警戒していない ■ 可視化が重要である ■ データ損失防止が正当な理由で実装されている このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 7 キートピック 金になるデータが狙われる 侵害の68%で、報告義務のある情報 漏えいが発生しています。 データ侵害の件数が増加し、その動機も変化しています。DBIRによると、データ侵害の 89%は金 けやスパイ目的で行われています。2013年以降は、金銭目当ての侵害が 増加しています。通常、 このような攻撃を実行するのは金銭を狙う犯罪者や国家の諜 報機関です。 クレジットカード情報や個人情報、医療情報など、価値のある情報を持つ 企業が狙われても不思議はありません。 これらの情報や知的財産の価値が闇市場で 高まっているため、 どの組織も攻撃を受ける可能性があります。 この状況を裏付けるよ うに、 プライバシー保護に関する法律が増加し、情報公開法で報告義務のある情報流 出が侵害事件の68%で発生しています[DX]。 データ保護規制への対応は継ぎ接ぎ的で、 自国あるいは地域内に限定される傾向が 見られます。インドとシンガポールの企業は例外で、国際的な取引が多いためか、質 問した17の規制についてすべて、あるいは殆ど対応していると答えています。多くの企 業が法規制を遵守するために体制を整備しているため、監視範囲も広がり、精度も向 上していますが、 これだけでセキュリティや情報漏えい対策が強化されるわけではあ りません[DPB]。 データが流出するだけでなく、社内のセキュリティ チームが侵害自体に気づかないこ とも少なくありません。2005年以降、捜査当局や第三者が侵害を発見するケースが増 加しています。企業が侵害に気づいたときにはすでに手遅れで、流出した情報が悪用 されたり、転売されている可能性があります。内部で侵害を検出し、被害を未然に防ぐ には、 このような攻撃の動機と狙われる対象、流出の経路をよく理解し、データ損失防 止システムとプロセスを改善する有効な手段を講じる必要があります。 誰がデータを流出させるのか データ窃盗の多くは、犯罪組織や諜 報機関など、外部からの攻撃によって 発生しています。 侵害の半数以上は、侵害を受けた組 織ではなく、外部の組織によって発見 されています。 データ窃盗の多くは、犯罪組織や諜報機関など、外部からの攻撃によって発生してい ます(60% [DX]、80% [DBIR])。逆にみると、20%から40%は従業員、契約社員、パート ナーなど内部から発生していることになります。内訳を見ると、不注意によるものと故 意によるものが半々になっています。全員を疑う、 というのは行き過ぎかもしれません が、機密データに関わる人物とその窃盗あるいは誤使用で得をする人物には注意し なければなりません。 さらに重大な問題は、侵害が内部ではなく、外部によって発見されている点です。DX の調査によると、侵害の53%はホワイトハット ハッカー、 カード会社、捜査当局など の外部組織によって発見されています。外部のインシデント報告を利用しているDBIR では、外部組織によって検出された侵害は80%と報告されています。内部組織による 検出件数はこの10年間減少を続け、昨年検出された侵害事件の中で社内のセキュリ ティ チームが発見したものは10%に過ぎません[DBIR]。 このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 8 キートピック 狙われる対象 感染数(インシデント数)は、特定のグループのデータに対する関心度と潜在的な損失 の大きさに比例すると考えられますが、結果はこの予想どおりでした[DPB]。 データ流出インシデントの1日あたりの平均発生数 35% 30% 25% 20% 15% 10% 5% 0 1–5 6–10 従業員数: 1,000–3,000 11–20 21–30 従業員数: 3,001–5,000 31–50 51–75 75以上 従業員数: 5,000 以上 出典: Intel Security 2016 Data Protection Benchmark Study (Intel Security 2016年データ保護ベンチマーク調査) 小規模事業者(従業員数1,000人∼3,000人)から報告されたインシデント数は少な く、中央値で見ると、1日あたり11件から20件です。中堅企業(従業員数3,001人から 5,000人)のインシデント数は若干多く、中央値は1日あたり21件から30件です。大企業 (従業員数5,000人以上)のインシデント数はさらに多く、中央値は1日あたり31件か ら50件です。 このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 9 キートピック データ流出インシデントの1日あたりの平均発生数 35% 30% 25% 20% 15% 10% 5% 0 1–5 6–10 アジア太平洋 11–20 インド 21–30 31–50 北米 51–75 75以上 英国 出典: Intel Security 2016 Data Protection Benchmark Study. (Intel Security 2016年データ保護ベンチマーク調査) 地域別にみると、 アジア太平洋地域(オーストラリア、ニュージーランド、 シンガポール) の企業は比較的少なく、中央値が1日あたり11件から20件です。北米と英国の組織の 中央値は1日あたり21件から30件です。最も多かったのはインドの企業で、中央値は 1日あたり31件から50件です。 データ流出インシデントの1日あたりの平均発生数 30 25 20 15 10 5 0 金融機関 すべて 小売業 政府機関 医療 製造業 最大手の企業 出典: Intel Security 2016 Data Protection Benchmark Study. (Intel Security 2016年データ保護ベンチマーク調査) このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 10 キートピック 業種別にみると、最も狙われた業種は小売業と金融機関でした。 これらの業種には、 ク レジットカードの情報や価値の高い個人情報が集まっています。政府機関、医療、製造 業などの他の業種と比べても、不審な活動は平均で20%も多く、各業種の大手企業と 比較した場合でも、 これらの業種で発生している不審な活動は50%も多くなっていま す。 不審な活動の数は、業界ごとのデータ損失防止対策の相対的な成熟度によっても変 わります。すべての要件を満たしている可能性が最も高いのは小売業で、その後に、 金融機関と医療機関、 さらに政府機関が続きます。最も低かったのが製造業で、損失 防止対策が部分的にしか配備されていないと答えた回答者は25%に達しています [DPB]。残念ながら攻撃はさらに高速化し、検出・防止との差が広がっています。侵害ま での時間は分または時間単位で測定されていますが、実際は数日単位になっていま す。発生してから数日以内で検出された侵害は25%未満です[DBIR]。 狙われるデータの種類 顧客や従業員の個人情報は、侵害が 報告された情報の大半を占めていま す。 個人情報、医療記録、知的財産の価値は高まっていますが、盗まれたクレジットカード 情報の価値は低下しています。インシデント数の業界ごとの差は無くなっていくと思 います。侵害が報告された情報の大半は顧客や従業員の個人情報です。次に多く盗ま れているのがクレジットカード情報ですが、最初の2つとは大きな差があります[DX]。 この変化は盗まれる文書の形式にも見られ、Microsoft Officeファイル、PDF、テキスト ファイルなどの非構造化データが狙われる危険性が高くなっています。侵入検知シス テムやデータ損失防止システムはこのような侵害の検出と阻止に役立ちます。 利用しているデータ損失防止対策 多くの組織は、構造化データに対応し たデータ損失対策を導入しています が、外部に流出する非構造化データ の量が増えています。 データ損失防止ツールは、正規表現、辞書、非構造化データのマッピング、データの分 類など、様々な機能を使用して潜在的な侵害を監視し、阻止しています。最も簡単なも のは正規表現で、 クレジットカード番号、社会保障番号などの構造化データの検索を 簡単に行うことができます。個人情報や非構造化データの価値が高まっているため、 正規表現だけで対応するのは不可能ですが、 このような対策しか講じていない企業が 20%も存在します[DPB]。 このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 11 キートピック DLP の設定数 40% 35% 30% 25% 20% 15% 10% 5% 0 1 従業員数: 1,000–3,000 2 3 従業員数: 3,001–5,000 4 従業員数: 5,000 以上 出典: Intel Security 2016 Data Protection Benchmark Study. (Intel Security 2016年データ保護ベンチマーク調査) 小規模事業者や、データの大半が構造化されている金融機関がこのような状態でも 不思議はありません。 しかし、正規表現に依存している企業が米国では27%、英国では 35%存在しています。狙われる可能性が高い国にしては、 この値は高すぎるように思 います。実装の期間が短いほど基本な設定を使用しているというわけではありません。 非常に多くの企業が最初に設定したままの状態で使い続けています。サイバー攻撃者 の状況適応能力を考えると、 これは危険な状態といえます。回答者の5%は、データ損 失防止技術の機能を知らないと答えていることにも不安を感じます[DPB]。 従業員に対するセキュリティ研修の実施 大半の企業は、ユーザーにデータの価値を認識させ、損失防止対策を実施させる必要 があると考えているようです。85%以上の企業が、価値認識とセキュリティの意識向上 をプロセスに組み込み、ポップアップなどの通知で注意を促しています。業界ごとの差 はいつもどおりで、金融機関、小売業、医療業界の企業は約90%がユーザーに通知を 行っていますが、製造業は75%に過ぎません。政府機関は一歩先を進んでいるようで、 約40%がユーザーの上司に自動的に通知を行っています[DPB]。 Intel Securityでは、セキュリティ意識向上トレーニングについて調査を行っていません が、他の調査ではこの点が調査されています。PricewaterhouseCoopersの『2014 US State of Cybercrime Survey』 (米国サイバー犯罪調査2014年)によると、新規採用者 に対するセキュリティ研修は潜在的な脅威の阻止に重要な役割を果たし、サイバーセ キュリティ インシデントによる年間の平均損失額が大幅に減少しています。 このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 12 キートピック データの流出方法 データ流出の約40%は物理的なメ ディアが原因で発生しています。 しか し、 エンドポイントでのユーザーの操 作やメディアの使用状況を監視して いる企業はわずか37%です。 窃盗の対象は変化していますが、方法に変わりはありません。サイバー攻撃者の技術 レベルは向上し、攻撃の確度を高めるため、 ソーシャル メディアの情報を活用するよ うになっています。 しかし、攻撃の手段は何年も変わっていません。侵入手段に使わ れるのはハッキング、マルウェア、 ソーシャル エンジニアリングで、そのレベルは急速 に向上しています[DBIR]。物理的なメディアが原因で発生する流出も意外に多く、イ ンシデントの40%は、 ノートPCやUSBドライブの紛失・盗難が原因となっています。電 子的な流出経路としてよく利用されるのはWebプロトコル、 ファイル転送、 メールです [DX]。 データの移動に対する監視 多くの組織は、データの移動を適切に監視していません。データ流出の約40%は物理 的なメディアが原因で発生しています[DX]。 しかし、エンドポイントでのユーザーの操 作や使用状況を監視している企業はわずか37%です[DPB]。44%の企業は信頼され たネットワーク内と境界でデータの移動を監視しています。 この値から考えると、 メー ル、Webプロトコル、 ファイル転送などによるデータ流出の60%は検出できるはずで す。 回答者の約60%は、 クラウドベースのアプリケーションを利用し[DX]、約90%はクラウ ド上のストレージやプロセスに対して何らかの保護対策を行っていると答えています が、 クラウド上でのデータ アクティビティに対して可視化を実現しているのは12%に 過ぎません[DPB]。 この数字を見ると、 クラウド プロバイダーのセキュリティ サービス に対する誤解があるようです。 クラウド セキュリティによってデータ保護が実現される わけではありません。 プロアクティブなデータ検出を行い、 どのような情報がどこに保存されているのかを把 握している組織は7%しか存在しません。個人情報や知的財産の価値が高まり、構造化 されていない文書の流出が増加しています。情報の流出を検出し、未然に防ぐには、 自 動化されたデータ分類機能が不可欠になります。 監視するアクション メールの不審な利用 (競合他社とのメールの送受信) 従業員の PII/PHI データ (個人情報/個人の医療情報) の共有またはアクセス 財務データの不適切な使用 (メールによる財務報告書の送信) 顧客の PII/PHI データの共有またはアクセス PCI データ (個人信用情報) の 共有またはアクセス 会社の知的財産 (事業計画、 デザイン、CAD デザイン、顧客リストなど) の共有またはアクセス 0 20% 40% 60% 出典: Intel Security 2016 Data Protection Benchmark Study. (Intel Security 2016年データ保護ベンチマーク調査) このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 13 キートピック 不審な活動や異常な動作は情報漏えいの兆候となります。 このようなアクティビティ を識別するには、価値のあるデータをよく調べる必要があります。全体として、流出す るデータの種類と流出経路が重視されているようです。約70%は不審なメールを監視 し、50%以上は財務データ、従業員情報、顧客情報の共有や不正アクセスを監視して います[DPB]。 従業員情報と顧客情報の共有やアク セスを監視していない企業が25%以 上も存在しています。大企業でこの 両方の使用状況を監視しているのは 37%に過ぎません。 しかし、従業員情報と顧客情報の共有やアクセスを監視していない企業が25%以上も 存在しています。大企業でこの両方の使用状況を監視しているのは37%から50%に 過ぎません。個人情報の監視状況とデータ損失防止ソリューションの実装状況は比例 しています。設定も非常に重要です。全体の65%は、 この技術が個人情報の利用状況 をどのように監視しているのか理解していません。 しかし、すべての機能を有効にして いると答えた90%は、従業員情報や顧客情報、あるいはその両方を監視しています。 現在最も狙われているのが個人情報と医療情報です。侵害を検出して未然に防ぐに は、 このようなデータの監視は不可欠です[DPB]。 その他の問題 新しいプロジェクトや組織の再編成で データ流出が発生する確率が高くな ります。 窃盗者は価値の高いデータを常に狙っています。組織内の活動が流出の原因となる ことがあります。セキュリティ インシデントの主な増加要因として、新しいプロジェクト や新製品の導入、組織の再編、戦略的計画の活動が上位を占めていますが、 この状況 を理解し、適切なトレーニングを行うことで増加率を10%以下に抑えることができま す。未発表の財務内容の開示(四半期ごとの業績など)や従業員によるソーシャルメ ディアの利用などは下位になっていますが、 これらが原因で増加率が10%から20%増 加する可能性があります[DPB]。 ソーシャル メディアは特に問題です。攻撃者は、 ソー シャル メディアから非公開の情報を入手し、 フィッシング詐欺や資格情報の窃盗に利 用しています。 このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 14 キートピック セキュリティ インシデントの増加要因となる活動 新規プロジェクト (マーケティング キャンペーン、特価提供など) 内部組織の再編 新製品の導入 (ハードウェア、 ソフトウェアなど) 戦略的計画の活動 (広報など) 需要のピーク時 M&A、分割 財務内容の開示 (年間/四半期の収益報告など) 従業員によるソーシャル メディアの利用 特になし 0 10% 20% 30% 40% 出典: Intel Security 2016 Data Protection Benchmark Study. (Intel Security 2016年データ保護ベンチマーク調査) 興味深い相関関係があります。大企業や1日にあたりのインシデントの報告件数が最 も多い企業は、 これらの活動の後にインシデントが最も多く発生しています。 これは、 イベントの前に十分な計画、セキュリティトレーニング、設定の更新が行われていない ことが原因と考えられます。活動で新たに使用されたデータは適切な対策が行われる まで流出を続けます。 データ流出インシデントの1日あたりの発生数 35% 30% 25% 20% 15% 10% 5% 0 1–5 6–10 11–20 21–30 31–40 41–75 75以上 DLP の設定数 1 このレポートを共有 2 3 4 出典: Intel Security 2016 Data Protection Benchmark Study. (Intel Security 2016年データ保護ベンチマーク調査) McAfee Labs脅威レポート 2016年9月 | 15 キートピック 防止には調査が不可欠 逆説的ですが、 データ損失防止を 適切に利用すれば、 データ侵害が止 まっていないことを認識できるように なります。 情報漏えいで最も難しいことは非検知の識別でしょう。 この状況を判別する最も効果 的な質問があります。データ損失防止ソリューションを導入した後も重要な情報の流 出が止まらないかどうか質問すると、有効なツールを使用しているのか、ベストプラク ティスを実践しているのか、インシデントの発生を認識しているのかどうか確認できま す。 侵害の大半は外部の組織によって発見されています。 この結果は驚くべきことではあ りません。データ損失防止を適切に利用すれば、情報流出が止まっていないことを認 識できるようになります。 この技術の機能を理解していないと答えた回答者の23%は、 重要なデータの流出が続いていることに気づいていません。 このグループの残りの 77%は、データ流出が発生していないと考えています。 この場合、 どうすれば非検知に 気づくのでしょうか。 これは非常に危険な状態です。監視範囲が狭ければ、報告される インシデントも少なくなります。 この状況は、データ流出の検出と防止に必要な可視化 が行われていないと言わざるを得ません[DPB]。 結論 データの流出から侵害検出までにかかる時間が長くなっている 情報の流出は現実の問題です。非常に多くの企業で侵害が発生しています。検出から 修復までにかかる時間が長くなっているため、社内のセキュリティ チームに発見され る前に被害が発生しています。社内で侵害が検出されなければ、被害を未然に防ぐこ とはできません。 医療機関や製造業が標的になっている 大量のカード情報を扱っている業種は、最先端のデータ損失防止システムを導入し、 ベストプラクティスを実施しています。 しかし、窃盗者の狙いが個人情報や医療情報、 知的財産にシフトしています。 このため、高度なシステムを導入していない医療機関や 製造業が狙われるようになりました。 現在狙われている標的に対して、従来のデータ損失防止は効力を失っている 非構造化データの価値が高まっています。構造化データに有効な正規表現でこのよう な非構造化データを監視することは困難です。データ損失防止をデフォルトの設定で 使用している企業は、保護機能の能力を正しく認識していない可能性があります。 データ流出で2番目に多い手法に対して大半の組織は警戒していない データの流出経路で2番目に多い物理的なメディアを監視していると回答した企業は 全体の3分の1に過ぎません。 データ損失防止は正当な理由で実装されている データ損失防止ソリューションの導入理由として、多くの企業が法規制への対応では なく、データの保護を挙げています。データのライフサイクル全体が考慮されるように なり、非常に良い傾向といえます。 このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 16 キートピック 可視化が重要である 可視化により、適切な対策に必要な情報を得ることができます。ベストプラクティスと データ流出に関する報告を比較すると、データ分類ツール、 自動通知、データの価値認 識などの高度なソリューションを利用している企業は、社内で侵害を検出できるため、 データ侵害が継続していると報告する可能性が高くなります。データ損失防止製品は 様々な検出機能を搭載しています。 これらの機能をできるだけ多く使用するべきです。 初期段階では、毎日報告されるインシデントの件数が増加しますが、誤検知をフィルタ リングするルールを慎重に作成することで、 この件数を減らすことができます。非検知 を放置するよりも、 ここから始めたほうが確実です。 有効なデータ損失防止を行うための推奨ポリシーと手順 故意か不注意かを問わず、重要なデータの流出を防ぐには、データ損失防止のポリ シーと手順を作成することが重要です。データ損失防止対策に成功するには、ビジネ ス要件を定義する段階で対策を計画する必要があります。たとえば、 プライバシー ポ リシーやデータ共有の基準を定義するときに、データ分類とデータ漏えい対策のポリ シーを組み込みます。明確なビジネス要件を設定することで、データ損失対策の活動 を混乱なく推進することができます。 次に重要な点は、組織内で重要なデータを識別することです。サーバーやエンドポイ ントのスキャン技術を使用すると、正規表現、辞書、非構造化データなどに基づいて ファイルを分類できます。多くのデータ損失防止対策製品には、 クレジットカード情報 や医療情報などの標準的なデータを分類し、検出プロセスを加速化する機能が搭載 されています。 このような分類機能をカスタマイズすることで、組織固有のデータ タイ プも識別できます。 IT部門が認定していないアプリケーションの利用や、 クラウドへのデータ保管により、 問題はさらに複雑になっています。IT部門が承認したデータをクラウドに保管する場 合、 クラウド サービス購入時のプロセスで重要なデータを識別できます。 この場合、重 要なデータの分類は比較的簡単になります。 しかし、組織内のグループが事業目標を達成するため、IT部門の承認を得ずに独自に クラウド サービスを購入することも少なくありません。IT部門がこのようなサービスや データに気づかなければ、データ流出の可能性は増大します。組織内のグループが協 力してクラウド上でのデータの存在場所を特定し、 このようなデータを事前に分類して おくことが重要です。 重要データの検出プロセスを完了した後で、信頼されたネットワーク内とすべてのエ ンドポイントにデータ損失防止製品を導入することで、データの可視化を実現し、保存 中や移動中のデータを制御することができます。ポリシーは、重要なデータに対する 予期しないアクセスや移動を検出するように実装する必要があります。通常のビジネ ス プロセスとして、USBデバイスやネットワーク経由で重要なデータを外部に送信し ている場合もありますが、故意か不注意かに関係なく、 このような操作はデータ流出 につながる危険性があります。 セキュリティ意識向上のためのトレーニングによって、 データ流出の可能性を減らす ことは可能です。不正な理由を示すことで、重要データの転送に関する適切な行為を ユーザーに指示できます。 また、通常の業務時間中にデータ保護ポリシーに関する教 育を行うことができます。たとえば、重要なデータを転送しようとするユーザーにポリ シー違反を通知し、転送前に重要なデータを編集するなど、別の転送方法を提示でき ます。 McAfee Labs脅威レポート 2016年9月 | 17 キートピック 通常、データの所有者は、組織内の他のグループよりもデータの使用方法をよく理解 しています。 したがって、インシデントの優先度を判定する権限をデータの所有者に与 える必要があります。データの所有者とセキュリティ チームの役割を分担することで、 ポリシー違反の可能性を減らすことができます。 Intel Securityの製品は、 データ窃盗 を阻止する有効な手段となります。詳 細については、 ここをクリックしてご覧 ください。 承認するデータ移動を定義し、 これらの移動を制御するポリシーをデータ損失防止製 品に組み込むことで、重要データの未承認転送をブロックするポリシーを使用できま す。ポリシーを有効にすると、それに違反する操作はできなくなります。ポリシーを使 用することで、ビジネス要件に合わせて柔軟な対応が可能になり、ユーザーは安全に 業務を行うことができます。 ポリシーは、一定の間隔で見直し、調整する必要があります。ポリシーが厳し過ぎると 生産性に阻害し、緩すぎると、セキュリティ リスクが高まります。 Intel Securityの製品は、データ窃盗を阻止する有効な手段となります。詳細について は、 ここをクリックしてご覧ください。 このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 18 キートピック 医療機関の危機: 病院を狙うランサムウェ ア ̶Joseph Fiorella、Christiaan Beek この数年間、セキュリティ担当者にとってランサムウェアは厄介な存在となっていま す。簡単に金銭を獲得し、業務を妨害できるので、サイバー攻撃者にとってランサム ウェアは便利なツールとなっています。 攻撃者はより多くの金額を得るため、 ランサムウェアの標的を個人から企業に変えて きています。当初は、ITインフラが整備されず、攻撃からの回復も遅い中小企業が狙わ れました。 このような企業が身代金を払う可能性が高いことをランサムウェアの攻撃 者は知っています。 2016年に入り、医療業界、特に病院 を狙ったランサムウェアが増加してい ます。 しかし、今年に入り、病院に対する攻撃が増加しています。 ここ数年、医療業界はデー タ侵害の被害に苦しんでいますが、攻撃者の手口が変化してきました。最近の攻撃者 は、ツールキットで簡単に作成できるランサムウェアを使用し、被害者にデータの復元 費用を払わせようとしています。 これまでの攻撃者は、複雑な技術を駆使して情報を盗 み出し、闇市場に流して利益を得ていましたが、最近はランサムウェアを使って被害者 から直接金銭を巻き上げようとしています。 この攻撃方法では、データを盗み出す必 要がありません。 第1四半期には、ロサンゼルス地域の複数の病院にこのような攻撃が実行されまし た。Intel Securityが一連の攻撃を分析した結果、高度な攻撃にはない特徴がいくつか 見つかりました。 では、 この調査結果から病院が狙われるようになった理由を分析して みましょう。 ランサムウェアが病院を狙う理由 ランサムウェアに狙われる理由は、病 院では古いシステムやセキュリティが 脆弱な医療機器が使用され、情報に 対する迅速なアクセスを必要としてい るためです。 病院のITシステムとネットワークを運用する管理者は、いくつかの課題を抱えていま す。多くの病院では、古い航空官制システムのように、時代遅れのインフラを常時稼働 させなければなりません。 このような重要システムを管理するIT担当者が解決しなけ ればならない主な問題は次の3つです。 ■ 治療に支障をきたさない ■ データ侵害を未然に防ぎ、病院の信用を落とさないようにする ■ 時代遅れのオペレーティング システムが稼働している古い機器を管理す る 残念ながら、 この課題を解決する特効薬はありません。 ランサムウェアによる治療の 妨害は重大な問題です。最近、 メリーランド州コロンビアの医療機関が攻撃を受けま した。攻撃を受けたときに、身代金をビットコインで支払うように指示するポップアッ プ メッセージが職員の画面に表示されました。 これに対して病院のネットワークの一 部を遮断したため、診察の予約ができなかったり、重要な医療記録を参照できないな ど、重要な機能が停止してしまいました。 また、診療所と病院の間のサービスも停止し ました。 このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 19 キートピック データ侵害による被害は長期にわたる可能性があります。多くの患者は、サービスレ ベルと評判を調べて、治療を受ける病院を選択します。 ランサムウェアの攻撃を受けて 評判が下がれば、患者は別の病院を選択するかもしれません。 また、医師が別の病院 に移ってしまう可能性もあります。結果的に、金銭的な影響は相当な額になります。短 期的には復旧にコストがかかり、長期的には患者離れで収益が減少する恐れがありま す。 多くの病院は、古いバックエンド システムに新しい技術を統合しようとしています。患 者の命を預かる手術室では古いオペレーティング システムが稼働しています。ハード ウェア ベンダーやソフトウェア プロバイダーが廃業しているか、新しい技術に対応し ていないため、医療機器の一部はWindows XPでしか動作しません。ハッカーはこの 事実を知っているので、 このような医療機器はランサムウェアの格好の標的となって います。 Ponemon Instituteが最近行った調査では、医療機関で発生したデータ侵害の大半は 犯罪者による攻撃が原因となっています。 医療機関で発生したデータ侵害の原因 (複数回答可) 犯罪者による攻撃 第三者による妨害 コンピューター機器の盗難 職員の不用意な行為 技術システムの欠如 内部で悪意のあるの人物 悪意のない職員による行為 0 10% 2016年 20% 30% 40% 50% 2015年 出典: Sixth Annual Benchmark Study on Privacy & Security of Healthcare Data, May 2016 (第6回 医療データのプライバシー/セキュリティに関する年次ベンチマーク調査 2016年5月)、Ponemon Institute. この調査では、医療機関が最も懸念しているセキュリティ問題も明らかにしています。 この懸念は私たちが確認している現状と一致しています。 ランサムウェアによる攻撃 の多くは、 リンクをクリックしたり、添付ファイルを開くなど、職員の不用意な行為が原 因で発生しています。 このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 20 キートピック 医療機関が最も懸念しているセキュリティ問題 (3個まで回答可) 職員の不注意 サイバー攻撃者 保護されていない モバイル機器 パブリック クラウド サービスの使用 不正な侵入者 職員所有のモバイル機器 または BYOD 個人情報の窃盗 保護されていない モバイル アプリ (eHealth) プロセス エラー システム障害 保護されていない 医療機器 その他 0 15% 2016年 30% 45% 60% 75% 2015年 出典: Sixth Annual Benchmark Study on Privacy & Security of Healthcare Data, May 2016 (第6回 医療データのプライバシー/セキュリティに関する年次ベンチマーク調査 2016年5月)、Ponemon Institute. セキュリティが脆弱な古いシステムが稼働しているだけでなく、職員のセキュリティ意 識が低く、職場環境も分断され、情報に対する迅速なアクセスを必要とする環境を犯 罪者が見逃すはずがありません。 このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 21 キートピック 医療機関を狙うランサムウェアの攻撃 警戒心の低いユーザーにWord文書が 添付されたメールを送信し、マクロを 有効にするように指示します。マクロを 有効にすると、 ダウンローダーがペイ ロードを取得します。ペイロードがダウ ンロードされると、 ランサムウェアを感 染させるための一連の攻撃が開始し ます。 この段階で、マルウェアが他のシ ステムにも拡散し、 ファイルの暗号化 を行います。 最近の病院を狙ったランサムウェアの攻撃では、 ランサムウェアに感染させる添付 ファイルやリンクを含むメールを警戒心の低い職員が開いたことで攻撃が開始してい ます。一例として、Lockyの亜種を利用した攻撃を見てみましょう。Lockyは、ボリューム スナップショット サービスで作成されたファイルのシャドウ コピーを削除し、管理者 がバックアップからローカル システムの設定を復元できないようにします。 このようなマルウェアが被害を及ぼすのは従来のコンピューティング デバイスだけで はありません。がん治療やMRIで使用されている医療機器にも感染する可能性があり ます。 これは病院にとって重大な問題です。標準的なワークステーションやサーバーに 比べると、 このような医療機器の保護とクリーンアップは難しくなります。大半の医療 機器は古いオペレーティング システムを実行しています。高度なランサムウェアの阻 止に必要なセキュリティ技術に対応していないものもあります。 これらの機器の多くは 治療に欠かせないものであり、稼働時間の維持は重要な課題となります。 病院を狙ったランサムウェアの攻撃 2016年2月、 カリフォルニア州の病院 がランサムウェアの攻撃を受けまし た。 この病院は、 ファイルとシステムを 復元するために17,000ドルを支払い ましたが、5営業日もシステムが停止 しました。 2016年2月、 カリフォルニア州の病院がランサムウェアの攻撃を受け、9,000ビットコ イン(約577万ドル)の身代金が要求されました。 この病院は、 ファイルとシステムを復 元するため、身代金として17,000ドルを支払いましたが、5営業日もシステムが停止し ました。 同じ時期に他の病院にも攻撃が実行されましたが、病院を狙った標的型攻撃は珍し いものでした。 第1四半期に発生した標的型攻撃の手口 多くの場合、 ランサムウェアはフィッシング詐欺メールで配布されます。 このようなメー ルでは「Failed delivery」 (配信失敗)、 「My resume」 (履歴書)などの件名が使用され、 ランサムウェアをダウンロードするファイルが添付されています。エクスプロイト キッ トで配布されることもよくありますが、第1四半期に発生した病院への標的型攻撃で は、 どちらの方法も使用されていません。 この四半期の攻撃では、JBoss Webサーバー の脆弱性が狙われています。 この攻撃では、オープンソース ツールのJexBossを使用して脆弱なJBoss Webサー バーをスキャンし、脆弱なホストにエクスプロイトを送信してシェルを起動します。 ランサムウェアの攻撃者は、オープンソースのツールを使用して脆弱性を検出している。 このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 22 キートピック サーバーへの感染に成功すると、様々なツールを利用して、信頼されたネットワークを マッピングし、バッチ スクリプトを使用して複数のコマンドを実行します。 コマンドの1 つがすべてのボリューム シャドウ コピーを削除し、 ファイルを復元不能にします。 このバッチ スクリプトがすべてのボリューム シャドウ コピーを削除し、 ファイルを復元不能にす る。 この攻撃で特徴的な点は、 コマンド コードがバッチ ファイルに記述されていることで す。 ランサムウェア ファミリの大半は、実行ファイルのコードにコマンドを組み込んで います。 では、 コマンドと実行コードを分けたのはなぜでしょうか。多くのセキュリティ 対策は、実行ファイルの中で暗号化されていないコマンドを検出し、その動作に基づ いてシグネチャを作成しています。セキュリティ対策の検出を回避するために、 このよ うな手法が利用された可能性があります。 Intel Securityの高度脅威研究チーム が病院を狙ったsamsam攻撃を詳し く分析しました。調査結果はこちらで ご覧ください。 先行するスクリプトを見ると、samsam.exeというファイルを標的のサーバーにある list.txtの中にコピーしています。 このランサムウェアには、サンプルの進化に合わせて samsam、samsa、Samas、Mokoponiという名前が付いています。 他の攻撃者の評価 カリフォルニアの病院に対する攻撃が報じられた直後に、地下フォーラムの攻撃者 がこの攻撃に反応しました。たとえば、有名なハッカー フォーラムで、ロシア語を使う ハッカーがこの攻撃を実行したハッカーに対して不満を漏らしました。ロシアの地下 フォーラムでは、サイバー攻撃でよく狙われる国にあっても、病院には攻撃を実行しな い、 という決まり事があります。 ビットコインでの取引に特化している別の犯罪フォーラムでは、同様の議論が行わ れ、病院に対する攻撃に関するコメントが掲載されました。 この議論は7ページにも及 びます。一部を紹介します。 Dumbest hackers ever , like they couldn t hack anything else .This kind of things will kill Bitcoin if they continue to do this shit Yes, this is pretty sad and a new low.These ransom attacks are bad enough, but if someone were to die or be injured because of this it is just plain wrong. The hospital should have backups that they can recover from, so even if they need to wipe the system clean it would result in only a few days of lost data, or data that would later need to be manually input, but the immediate damage and risk is patient safety. コードを分析した結果、第1四半期の病院に対する攻撃は、 ランサムウェアの攻撃や侵 害でよく見る攻撃者が実行したものではないようです。 コードや攻撃は効果的でした が、洗練されたものではありません。 このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 23 キートピック 2016年前半に発生した病院を狙った攻撃 日付 被害者 脅威 地域 2016年1月6日 テキサス州の病院 ランサムウェア 米国 2016年1月6日 マサチューセッツ州の 病院 ランサムウェア 米国 2016年1月6日 ノルトライン・ヴェスト ファーレン州の複数の 病院 ランサムウェア ドイツ 2016年1月6日 2つの病院 ランサムウェア オーストラリア 2016年1月19日 メルボルンの病院 ランサムウェア オーストラリア 2016年2月3日 病院 ランサムウェア 英国 2016年2月3日 病院 ランサムウェア 韓国 2016年2月3日 病院 ランサムウェア 米国 2016年2月12日 病院 ランサムウェア 英国 2016年2月12日 病院 ランサムウェア 米国 2016年2月27日 カリフォルニア州保険局 ランサムウェア 米国 2016年3月5日 オタワの病院 ランサムウェア カナダ 2016年3月16日 ケンタッキー州の病院 ランサムウェア 米国 2016年3月18日 カリフォルニア州の病院 ランサムウェア 米国 2016年3月21日 ジョージア州の歯科医院 ランサムウェア 米国 2016年3月22日 メリーランド州の病院 ランサムウェア 米国 2016年3月23日 病院 悪意のある広告 米国 2016年3月25日 アイオワ州の病院 マルウェア 米国 2016年3月28日 メリーランド州の病院 ランサムウェア 米国 2016年3月29日 インディアナ州の病院 ランサムウェア 米国 2016年3月31日 カリフォルニア州の病院 ランサムウェア 米国 2016年5月9日 インディアナ州の病院 マルウェア 米国 McAfee Labs脅威レポート 2016年9月 | 24 キートピック 日付 被害者 脅威 地域 2016年5月16日 コロラド州の病院 ランサムウェア 米国 2016年5月18日 カンザス州の病院 マルウェア 米国 2016年の前半に発生した病院に対する攻撃。Intel Securityの高度脅威研究チームが収集した公 開情報と内部データから既知のインシデントを選択。 このデータから見ると、病院に対する攻撃の殆どはランサムウェアが関係しています。 また、一部は標的型攻撃です。 ランサムウェアの効果 Intel Securityが確認したところ、第1 四半期、病院への標的型攻撃に関与 したグループは100,000ドルの身代 金を受け取っています。 第1四半期の病院に対する標的型攻撃(samsam) では、身代金の支払い通貨にビット コイン(BTC)が指定されています。取引を詳細に調査した結果、身代金とした支払わ れた金額は約100,000ドルでした。 ある地下フォーラムでは、 ランサムウェアの購入者が受け取った身代金の金額が公開 されています。 ランサムウェアの開発者は、 コードがまだ検出されていない証拠とし て、身代金の取引額の合計を示すスクリーンショットを提供しています。 ランサムウェアの開発者がランサムウェアの配布を管理・追跡するポータルのスクリーンショット を提供している。 評価を上げるため、 この開発者は既知のブロックチェーン プロバイダーのリンクを共有し、 ウォ レットの詳細と取引の履歴を示している。 このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 25 キートピック Intel Securityが確認したところ、 このランサムウェアの作成者と配布者は189,813ビッ トコインを受け取っています。 これは約1億2,100万ドルに相当します。当然のことなが ら、ボットネットのレンタル代やエクスプロイト キットの購入代などのコストもあるは ずですが、現在の残高は約9,400万ドルで、開発者はこの金額を6か月で稼いだことに なります。 これを見ると、 ランサムウェアによる攻撃は短期間で稼げることが分かります。 ビットコインによる取引の分析例 前の表にあるランサムウェア攻撃に関して公開された情報を見る限り、多くの被害者 は身代金の支払いに応じていません。 しかし、samsamに狙われた病院は支払いを 行ったようです。 病院を狙ったランサムウェアによ る金銭的な被害の分析結果が Dark Readingの記事「Healthcare Organizations Must Consider the Financial Impact of Ransomware Attacks」 (ランサムウェアによって医 療機関が被る金銭的な影響)に記載 されています。 身代金の額は様々です。最も大きな費用はダウンタイム(機会逸失)、インシデント対 応、 システム回復、監査サービス、 クリーンアップにかかったコストでした。確認した報 告書によると、医療機関のシステムは少なくとも5日から10日間部分的に停止していま す。 ポリシーと手順 ランサムウェアからシステムを保護するには、問題点と拡散方法をよく理解する必要 があります。以下に、 ランサムウェアによる被害を最小限に抑えるために、病院が行う べき手順とポリシーを示します。 ■ ■ ■ 攻撃発生時の行動計画を作成しておく。重要なデータのある場所と侵入 経路の存在を確認しておく必要があります。緊急管理チームと協力して、 業務継続と障害時復旧の訓練を行い、目標復旧地点と時間を検証する必 要があります。 これらの訓練により、通常のバックアップ テストでは表面化 しない、見えない影響を確認することができます。緊急時の対応計画がな いため、多くの病院が身代金を払う結果になっています。 最新のパッチをシステムに常に適用する。 ランサムウェアが悪用する脆 弱性の多くはパッチの適用で解決できます。オペレーティング システム、 Java、Adobe Reader、Flash、 アプリケーションにパッチを適用し、最新の 状態を維持しましょう。パッチ適用の手順を決め、パッチが正常にインス トールされていることを確認してください。 古いシステムや医療機器にパッチが適用できない場合には、 アプリケー ション ホワイトリストを利用してリスクを回避しましょう。 これにより、 シ ステムをロックし、未承認のプログラムの実行を阻止できます。 ファイア ウォールや侵入防止システムを使用して、 これらのシステムとデバイスを ネットワークの他の部分から分離しましょう。 これらのシステムで不要な サービスやポートを無効にすると、侵入の可能性があるポイントの露出 を減らすことができます。 このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 26 キートピック ■ ■ Intel Securityの製品は、医療機関を ランサムウェアから保護する有効な 手段となります。詳細については、 ここ をクリックしてご覧ください。 ■ ■ ■ ■ ■ ■ エンドポイントを保護する。エンドポイント保護と高度な保護機能を使 用しましょう。多くの場合、 クライアントではデフォルトの機能しか有効に なっていません。高度な機能(一時フォルダーからの実行ファイルの実行 を阻止する、など)を実行すると、 より多くのマルウェアを検出し、 ブロック することができます。 可能であれば、ローカル ディスクへの重要データの保存を禁止する。デー タを安全なネットワーク ドライブに保存する必要があります。感染システ ムの復旧が簡単になるため、 ダウンタイムを短縮することができます。 スパム対策を実施する。大半のランサムウェアは、 リンクや特定の種類の 添付ファイルを含むフィッシング詐欺メールで攻撃を開始します。.scrファ イルまたは他の不明なファイル形式にランサムウェアが組み込まれてい る場合、 これらの添付ファイルをブロックするスパム ルールを簡単に設定 できます。.zipファイルを許可している場合には、.zipファイルを2つ以上の レベルでスキャンし、不正なコンテンツが存在するかどうか確認しましょ う。 不要なプログラムとトラフィックをブロックする。Torの必要がなければ、 ネットワーク上でTorアプリケーションとトラフィックをブロックしてくださ い。Torをブロックすれば、 ランサムウェアが指令サーバーからRSA公開 を取得できなくなり、 ランサムウェアによる暗号化を防ぐことができます。 治療に必要な重要デバイスのネットワークを分離する。 バックアップを安全な場所に隔離する。本稼働ネットワークのシステムか らアクセスできない場所に、バックアップ システム、 ストレージ、テープを 保管してください。 ランサムウェアの感染が広がると、バックアップ データ にも感染する可能性があります。 重要な電子カルテシステムに仮想インフラを利用し、本稼働ネットワーク の残りの部分から隔離する。 ユーザーの意識向上に継続的に取り組む。大半のランサムウェアはフィッ シング詐欺メールで攻撃を開始します。ユーザーのセキュリティ意識を高 めることは非常に重要です。統計によると、攻撃者が送信した詐欺メール の10通に1通は攻撃に成功しています。未確認の送信元や不明な送信元 から受信したメールと添付ファイルを開いてはなりません。 Intel Securityの製品は、医療機関をランサムウェアから保護する有効な手段となりま す。詳細については、 ここをクリックしてご覧ください。 このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 27 キートピック セキュリティに必要なデータサイエンス、 分析、機械学習 ̶Celeste Fralick 攻撃者は悪質さを増しています。セキュリティを侵害するため新しい攻撃方法を常に 考えています。ITシステムやネットワークの保護に携わるものは、データサイエンスの 基礎的な知識を身に付けておくべきです。データサイエンスは今後のITセキュリティ に欠かせない要素となります。 アナリティクス、ビッグデータ、機械学習といった言葉を 耳にしたことがあると思います。データサイエンスや統計学の専門家でなくても、 これ らの言葉の意味を理解しておくことは重要です。接続されるデバイスの数は増え続け、 データ量も増加しています。攻撃を阻止するには分析作業が欠かせません。 ヨタバイト (10²⁴バイト)のデータを分析するには自動化が必要です。データサイエンスはセキュ リティに欠かせない要素となります。データサイエンスの基礎知識がなければ、脅威を 未然に防ぎ、脆弱性を予測することはできません。 データサイエンスとは データサイエンスでは、数学、統計 学、ハードウェア、 ソフトウェア、 ドメイン (マーケットセグメント)、 データ管理 などの知識が必要になります。 データサイエンスでは、数学、統計学、ハードウェア、 ソフトウェア、 ドメイン(マーケット セグメント)、データ管理などの知識が必要になります。データ管理とは一般的な用語 で、 ソフトウェアやハードウェア アーキテクチャが取得したデータの移動を把握し、数 理的な境界条件を設定したり、 プライバシー要件などのポリシーを適用し、データの保 管と保護を行うことです。データ管理はアルゴリズムと同様に重要です。 では、数学関数、 アルゴリズム、モデルの定義から始めましょう。数学関数とは、小学校 で習ったa + b = cというような数式です。 アルゴリズムとは標準偏差や平均など、デー タから何らかの発見を行うための数式です。モデルは、データサイエンティスが調査 する特性(特徴)を表します。モデルを使用すると、 プロセスや他の変数との関係を理 解することができます。 また、今後起こりうることを予測することもできます。気象予報 士はモデルを使用して天気を予測しています。 『Signal and the Noise: Why So Many Predictions Fail and Some Don t』 (シグナル&ノイズ)の著者であるネイト・シルバー は、大統領選でのバラク・オバマの勝利をモデルを使って予測しました。 データサイエンティストは、数学的アルゴリズムとモデルを応用して問題を解決してい ます(たとえば、攻撃が発生する前に検出したり、ネットワークに侵入する前にランサ ムウェアを阻止する、など)。大半のデータサイエンティストは、画像処理、 自然言語処 理、統計的工程管理、予測アルゴリズム、実験計画法、テキスト解析、視覚化、データ管 理、 プロセス制御など、特定の領域に特化しています(次のグラフを参照)。統計学の基 礎を学んだデータサイエンティストは、作成したアルゴリズムを他の領域にも応用で きます。 このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 28 キートピック では、統計学者とデータサイエンティストの違いは何でしょうか。データサイエンティ ストが統計学の基礎を習得すれば統計学者の出番はなくなるかもしれません。ビック データやモノのインターネットが登場し、常時接続が当たり前の状況になり、製品開 発では統計学者に代わりデータサイエンティストが中心的な役割を果たしています。 ユースケース ベースの独自の分析を行うことで(科学的方法でデータをビジネス イン サイトに変換することで)、ビジネスのやり方に大きな影響を及ぼすことができます。 こ の影響は特に、セキュリティ製品の開発で顕著になります。 知っておくべき用語 データサイエンティスト に必要な知識 数学 統計学 ソフトウェア/ ハードウェア データ管理 ドメイン 分析の定義 的確な意思決定を行うためにデータを有益な情報に変換する科学的な プロセス 分析が利用されている領域 データマイニング ■ ■ 予測 最適化 ■ データ モニタリング ■ ■ 複雑なイベント処理 ■ 経営分析 ■ 画像処理(MRIなど) ■ 自然言語処理 ■ 機械学習 ■ コグニティブ コンピューティング ■ テキスト処理(ソーシャルメディア など) ■ 実験計画法 ■ 可視化(グラフ化) 一般的な定義、応用分野、データサイエンティストに必要な知識 データサイエンスの進化 分析の手法は、記述的分析から始まり、診断的分析、予測分析、処方的分析と進化して います。記述的分析と診断的分析は、 「何が起きたのか」 と 「なぜ起きたのか」に答える 分析手法です。記述的分析と診断的分析から発展した予測分析は「今後何が起きるの か」に答えるもので、処方的分析は起こりうる事象に推奨される対処を提示します。 記述的分析と診断的分析はリアクティブまたはプロアクティブになります(プロアク ティブではあるが予測的ではない)。 プロアクティブの利点は、すでに発生していること に対して対処方法が分かっている点です。 このプロアクティブな決定木は処方的分析 の段階でも役に立ちます。記述的分析と診断的分析は単に報告を行うものです。多く のセキュリティ ベンダーは、 システムが攻撃されたときのプロアクティブな対応に記述 的分析と診断的分析を利用しています。 このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 29 キートピック 分析手法の変遷を見ると、Analytics 1.0ではまだ受け身的な対応でした。記述的分析 と診断的分析も広まりましたが、ビジネスに不可欠な要素ではありませんでした。セ キュリティ業界は全体として記述的分析と診断的分析を重視し、ルールに基づいて処 理を決定していました。多層的なアプローチで効果的なセキュリティを提供するため、 この手法も引き続き継続する必要があります。 インターネットへの接続数が増え、マイクロプロセッサーの処理能力が進化した結果、 2010年ごろにビッグデータが登場し、分析もAnalytics 2.0に移行しました。 この段階 では、様々な情報源から収集した膨大なデータの処理がソフトウェア アーキテクチャ の課題となり、データサイエンティストの肩書も広く認知されるようになりました。セ キュリティ ソリューションの進化に伴い、Analytics 1.0で登場した予測分析と処方的分 析が利用されるようになりましたが、記述的分析と診断的分析も引き続き採用されて います。 現在、大半のセキュリティ会社がAnalytics 3.0への移行を進めています。予測分析によ る研究や応用事例が数多く発表されています。次の図は、セキュリティ業界での分析 手法の変遷(Analytics 1.0から3.0)を表しています。 Analytics 3.0では予測分析と処方的 分析に移行しています。2020年まで にはセキュリティ ベンダーの大半が Analytics 3.0に達しているでしょう。 Analytics 3.0では、予測分析と処方的分析に移行しています。記述的や診断的を含め、 これらの分析手法はビジネスに不可欠な要素となっています。大半のセキュリティ企 業はまだAnalytics 3.0の段階に達していませんが、マルウェア、 ランサムウェアン、悪 質なボットネットを阻止するため、予測分析を応用したソリューションの提供を進めて います。2020年までにはセキュリティ ベンダーの大半がAnalytics 3.0に達しているで しょう。 分析の進化 セキュリティ - 2016年 1.0 2.0 最先端 - 現在 3.0 Analytics 1.0 Analytics 2.0 Analytics 3.0 • 内部の構造化されたデー タセット • ビッグデータ複雑で構造化さ れていない膨大なデータ • ビッグデータの利用、 ディープ ラーニング、 コグニティブ コ ンピューティング • 記述と診断 • 受け身的だが有益 • 内部と外部の情報源からデー タを収集 • 迅速でプロアクティブな検出 分析手法の進化 − 技術的分析、診断的分析、予測分析、処方的分析(Tom Davenport博士の許 諾を得て使用) International Institute for Analyticsより。 このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 30 キートピック 機械学習 機械学習とは、複数のコンピューター を使用して、継続的な分析を自動的 に実行することです。機械学習は記述 的分析や診断的分析でも利用できま すが主に予測分析と処方的分析のア ルゴリズムで使用されています。 機械学習とは、複数のコンピューターを使用して、継続的な分析を自動的に実行するこ とです。機械学習は記述的分析や診断的分析でも利用できますが主に予測分析と処 方的分析のアルゴリズムで使用されています。 クラスター化または分類のアルゴリズ ムで受信データを学習すると、 これらのアルゴリズムは診断的になります。予測分析の アルゴリズムを受信データに応用した場合(ARIMA、 自己回帰和分移動平均モデル、 SVM、サポート ベクター マシンなど)、 このアルゴリズムは、特定のクラスターまたはク ラスにデータを割り当てたり、将来の値やクラスター、 クラスを予測するために学習を 継続します。 割り当てや予測は、 アルゴリズムに学習方法を教えていることを前提としていますが、 ここに最初の問題があります。 どの分析手法でも、問題のフレーミングが重要になり ます。分析結果が問題解決やビジネスの成長にどのように役立つのか(プロセスの変 数、入力、出力)を事前に知っておく必要があります。 また、すべてのデータを適切にク リーニングして処理する作業に分析全体の80%の時間が費やされます。多くの時間が かかりますが、異常値や不適切な計測値を識別し、データの傾向を把握するには重要 な作業となります。 しかし、特定分野の専門家でも、 クリーニングと処理にかかる時間 を軽視していることが少なくありません。 問題のフレーミングとデータのクリーニング処理が完了して統計分析の準備が整いま す。統計分析では、分布、標準偏差、歪度、尖度などを調査し、線形データか非線形デー タかを特定し、正規化や変換を行うかどうか判断します。データサイエンティストは、特 定のモデルに合わせるため、 これらの方法でデータやスケールを変更しています。数 学の場合は、 より複雑なプロセスになります。 これらの手順を完了すると、データサイエンティストは分類モデルやシステム評価モデ ルを作成します。使用可能なデータのタイプや解決する問題は、モデルを選択する場 合の判断材料となりますが、モデルの選択はデータサイエンティストにとって最も難し い問題となります。データによって選択するモデルが代わるのですが、データサイエン ティストは最低でも3つから5つのモデルを試して最適なものを選びます。結論を急ぎ たくなるものですが、顧客の要件を満たし、モデルにデータを正確に適合させる上で、 モデルの選択は非常に重要な作業となります。 この段階でデータはトレーニングセットと検証セットに分離されます。 トレーニング セット (全体の約80%)は、データの関連性を予測し、検証セットまたはテストセット (約20%)はデータの強度を検証します。 この2つの関係を理解しておくことは重要で す。 トレーニングモデルが検証モデルよりも適合している場合、過剰適合(データを不 合理にモデルに適合させること)が起きる可能性があります。 この場合、R値、二乗平均 平方根エラーなどの分析計算が含まれている場合があります。最適なモデル適合を行 うには、多くのモデルを試すだけでなく、 これらのモデルで使用する変数を調整するこ とも重要です(変換の種類など)。 このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 31 キートピック 分析の一般的なプロセス 報告 分析の進化 リアクティブ プロアクティブ 予想 処方的 一般的な分析プロセス 特徴の生成 特徴の抽出 デザインの分類 システム評価 デザイン 実験 分析 アルゴリズム 最高の結果を得るため 試行錯誤を繰り返す 実装 • 理解、 フィルタ リング、 クリーニ ング、前準備 • データの基本 統計 • データの分類 • 特徴の把握 • 変換/正規化 • 予測計算 • トレーニング、検 証、 テスト 説明 分析の全般的なプロセス。分析技術の進化、試行錯誤の繰り返し、説明、 アルゴリズムとアクショ ンの例が示されている。 プロセスの説明にある矢印が示しているように、 プロセスは反復的で、直 線的とは限らない。 機械学習関連の用語 機械学習は、関連性を自動的に学習 する処理で、特に予測分析や処方的 分析で使用されています。機械学習 を正しく実装することで、新しいデー タに対しても継続的な分析が可能に なります。 ビッグデータという用語は2010年頃から広まりましたが、現在は機械学習という言葉 が使われています。機械学習は、関連性を自動的に学習する処理で、特に予測分析や 処方的分析で使用されています。機械学習を正しく実装することで、新しいデータに対 しても継続的な分析が可能になります。最近、機械学習に関連する用語は数多く存在 しますが(34ページの表を参照)、 まず、ニューラル ネットワーク、ディープ ラーニング、 コグニティブ コンピューティングの3つについて説明しましょう。 このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 32 キートピック ニューラル ネットワーク (ニューラルネット)は機械学習の1つの技法で、ディープラー ニングのアルゴリズムとしても使用されます。ニューラルネットにはいくつかの種類 がありますが、いずれも、隠れ層、変換、 ノードなど、脳機能の特性を模倣しています。 ニューラルネットの多くは、ホールドアウト検証を繰り返し行うため、交差検証アルゴリ ズムが組み込まれています。検証後、対数変換、 ガウス変換または双曲線正接変換が 実行され、真陰性、真陽性、偽陰性、偽陽性に分類されます。以前は、ニューラルネット は多くの時間と処理能力を必要としていましたが、CPU、GPU、FPGA、 メモリーの進化 で、強力な機械学習の分析ツールとして再び注目を集めています。 ニューラルネットは、ディープラーニングのアルゴリズムの一つとみられ、人工知能の 分野でよく利用されています。 また、 自動車の自動運転、画像認識、 自然言語処理によ るテキスト解釈などの分野でも応用されています。 アンサンブル アルゴリズム(結論 を導くために併用されるアルゴリズム)などの複雑なアルゴリズムはディープラーニン グに組み込まれています。ディープラーニングでは、現在のデータと予測データに対し て、記憶(以前に何が起きたが)、推論(その場合、 どうなったか)、対応を行います。 コグニティブ コンピューティング(ニューロモーフィック コンピューティング) も機械学 習やディープラーニングの一種です。 コグニティブ コンピューティングはかなり複雑 で、相当な計算量が必要になります。 コグニティブ コンピューティングでは、脳や人の 行動、推論を模倣した自己学習分析を行います。皮質アルゴリズム(n次元のフィード フォワードとフィードバックを行う分析)は、人間の脳神経で行われるプロセスと類似 しているため、神経形態学的とも言われています。 これらの機械学習の応用を考える場合、次の点に注意する必要があります。 ■ データが収集され、計算される場所 ■ 必要とされる生データとサンプリングの方法 ■ 帯域幅のコストと待機時間(要員、ハードウェア、 ソフトウェアを含むリソー スの待機時間) ■ 定期的または継続的に学習する対象 ■ データの保存場所、方法、 タイミング ■ 顧客のプロセス、 メタデータ、法規制の変更に伴い、モデルを再計算する 頻度 McAfee Labs脅威レポート 2016年9月 | 33 キートピック 基本用語 用語 機械学習 定義 継続的な学習を行う自動分析。 より複雑なアルゴリズム (予測分析、処方的分析)に適用されることが多い。 ニューラル ネットワーク 脳神経の働きを模倣し、数値変換を多層的に行い、適切 なデータと不適切なデータを学習する。 ディープ ラーニング 人工知能(AI)、 自動車の自動運転、画像認識、 自然言語処 理などに関連するアルゴリズム。通常、ニューラル ネット ワークなど、複雑なアルゴリズムを使用する。重要な属性 に対して記憶、推論、判断を行う。 コグニティブ コンピューティング 脳のプロセスを模倣して複雑なアルゴリズムを組み合わ せた自己学習システム 分析、機械学習に対する誤解 分析と機械学習ですべて問題が解決できるわけではありません。機械学習のアルゴリ ズムを作成するには、多くの時間と労力がかかります。機械学習のアルゴリズムはメン テナンスが必要です。機械学習による分析を長期間行うには、開発後も定期的にアル ゴリズムを見直す必要があります。 分析と機械学習にはどのような誤解があるのでしょうか。 誤解の中には何度もその誤りを指摘しなければならないものもあります。繰り返しま すが、分析は短時間で行うことも、1 つのモデルで実行できるものではありません。 データのクリーニングには時間がかかります。顧客の事例に対する適切性を検証し、正 しいモデルを適合するには、3つから5つのモデルを試さなければなりません。 分析は万能薬ではありません。ロジスティックに関する多くの課題は解決できますが、 解決できない問題も数多く存在します。 「嘘、大嘘、統計」 という言葉がありますが、統 計的に重要な変数を見落とせば問題を解決することはできません。 この意味で、デー タサイエンティストは統計学の基礎知識を身に付けておく必要があります。 アナリスト が「xとyは相関関係にある」 といったときに、 どのような相関係数を使用しているのか、 データは正規化されているのか確認する必要があります。その答えに驚かされること もあります。データサイエンティストは基礎的な統計学を勉強を怠ってはなりません。 このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 34 キートピック 分析に対する誤解 誤解 事実 迅速に実行できる 問題のフレーミングとデータのクリー ニング/準備にはかなりの時間と洞察 力が必要です。 分析ですべての問題が解決できる ロジスティックに関する問題は解決で きますが、放漫な経営は解決できませ ん。 分析結果は常に正しい ネイト・シルバーの『シグナル&ノイ ズ』を読んでみてください。 分析に統計学の知識は必要ない データを正しく準備し、解釈するには、 統計学的な洞察力が必要になります。 クリーニングなどの準備作業は簡単で、 異常値や誤ったデータが含まれてい このような作業が不要なこともある ると、正しい結果が得られません。 分析ツールは分析を自動的に行うの で、数学の知識は要らない 多くのツールでは、適用するアルゴリ ズムについて推測を行います。数学の 知識は不可欠です。 データサイエンティストは、 自動化の背景にあるもの、特に数学とその制限を理解する ことなく、 自動化ツール(JMP、RapidMiner、Hadoop、Sparkなど)を使用するべきでは ありません。データサイエンスは簡単ではありません。 このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 35 キートピック 機械学習に関する誤解 誤解 事実 機械学習では、手動による操作は必要 ない データセットの準備、 クリーニング、モ デリング、評価は人間が行います。 機械学習は、 どのような状況のデータ からでも正しい結果を出す データが構造化されていないと、間 違った結果を導くことがあります。 機械学習はどのようなケースにも応用 できる 大規模なデータセットに適した機械 学習のアルゴリズムもありますが、そ うでないアルゴリズムもあります。 機械学習はすぐに使える 機械学習には多くのアルゴリズムがあ ります。それぞれのモデルを検証しな ければなりません。適切なデータセッ トとモデルを選択するには、時間と洞 察力が必要です。 機械学習は常に予測を行う 機械学習のアルゴリズムの中には、分 類を行うだけで、予測を行わないもの もあります。 機械学習はハッキングされない ハッカーも機械学習システムを構築 できます。 より優れたシステムを開発 する可能性もあります。追加学習と複 雑なアルゴリズムが必要です。 分析と同様に機械学習にも多くの誤解があります。機械学習は万能型ではありませ ん。 自動化を行う前に、 クリーニング、準備、モデリングが必要です。データ量に応じて モデルを拡張できるとは限りません。小規模なデータには適さなくても、ビッグデータ には適している場合もあります。サイズによって異なるモデルが必要になります。新し い問題は次々に発生します。機械学習もそれに対応しなければなりません。 プロセス の変更、機能の違い、データの整合性(再起動、新しい接続など)は機械学習アルゴリ ズムの正確性に影響を及ぼす可能性があります。 したがって、モデルが正しい学習を 行い、データの入出力が適切に行われるように、実装後も見直しを続ける必要があり ます。 このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 36 キートピック セキュリティに必要なデータサイエンス、分析、機械学習 どの業種も問題解決に分析と機械学習を応用できます。 これらの作業を正確かつ継続 的に実行できるかどうかが問題です。たとえば、セキュリティ製品には非常に高度な正 確性が求められます。誤検知や非検知で企業や消費者に迷惑をかけることはできませ ん。製品に関わるデータサイエンティストは、豊富な知識を駆使し、最適化を行ってい かなければなりません。最適はモデルの構築や機械学習のアプリケーションに限定さ れません。使用するハードウェアの最適化も必要です。Intel Integrated Performance Primitives、Math Kernel Library、Data Analytics Acceleration Libraryは、データ分析 でハードウェアとソフトウェアの両方を最適化する重要な要素となります。 クラウドに対応したエンドポイント検 出管理では、機械学習と予測分析ア ルゴリズムを最大限に活用していま す。 クラウドに対応したエンドポイント検出管理では、ユーザーの帯域幅の制約を考慮し、 機械学習と予測分析アルゴリズムを最大限に活用しています。データ モデルを定期的 に更新するだけでなく、最先端の分析アプリケーションの導入も検討する必要があり ます。たとえば、 ランサムウェアは2015年1月から現在までに200%も増加しています。 このような脅威を阻止するため、 コグニティブ コンピューティングや新しい人工知能 を利用したセキュリティ技術が開発されています。 分析と機械学習の基礎だけでなく、データサイエンティストの作業を理解することは、 ビジネス リスクの把握とビジネス全体の健全性(ROI、顧客満足度、成長、速度など)の 向上に役立ちます。データサイエンスのリソースと革新的な調査を行うソリューション を見つけましょう。現状だけでなく将来的な要件にも対応できるセキュリティを選択す る必要があります。 この記事の内容は概要に過ぎません。データサイエンスについてよ り深く理解する必要があります。進化を続ける高度な脅威を検出・阻止するには、最先 端の分析技術と最適化されたハードウェアを使用するセキュリティ ソリューションが 欠かせません。 このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 37 統計情報 マルウェア Web脅威 フィードバックを共有 統計情報 マルウェア 新しいマルウェア 新しいマルウェア 60,000,000 新しいマルウェアは4四半期連続で増 加しています。第2四半期に見つかっ た新しいマルウェアのサンプル数は 過去2番目に多い数となっています。 50,000,000 40,000,000 30,000,000 20,000,000 10,000,000 0 第3 四半期 第4 四半期 2014年 第1 四半期 第2 四半期 第3 四半期 2015年 第4 四半期 第1 四半期 第2 四半期 2016年 出典: McAfee Labs, 2016 マルウェアの合計 マルウェアの合計 700,000,000 McAfee Labsのデータベースに登録 されたマルウェアのサンプル数はこの 1年で32%増加し、6億を超えました。 600,000,000 500,000,000 400,000,000 300,000,000 200,000,000 100,000,000 0 第3 四半期 第4 四半期 2014年 第1 四半期 第2 四半期 2015年 第3 四半期 第4 四半期 第1 四半期 第2 四半期 2016年 出典: McAfee Labs, 2016 このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 39 統計情報 新しいモバイル マルウェア 新しいモバイル マルウェア 2,000,000 第2四半期に見つかった新しいモバ イル マルウェアのサンプル数は過去 最高を記録しました。 1,750,000 1,500,000 1,250,000 1,000,000 750,000 500,000 250,000 0 第3 四半期 第4 四半期 第1 四半期 2014年 第2 四半期 第3 四半期 第4 四半期 2015年 第1 四半期 第2 四半期 2016年 出典: McAfee Labs, 2016 モバイル モバイル マルウェアの合計 マルウェアの合計 12,000,000 モバイル マルウェアの合計数は、 この 1年で151%増加しています。 10,500,000 9,000,000 7,500,000 6,000,000 4,500,000 3,000,000 1,500,000 0 第3 四半期 第4 四半期 2014年 第1 四半期 第2 四半期 2015年 第3 四半期 第4 四半期 第1 四半期 第2 四半期 2016年 出典: McAfee Labs, 2016 このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 40 統計情報 地域別のモバイルマルウェアの感染率 マルウェアの感染率 (2016年第2四半期) 地域別のモバイル (2016年第2四半期) (感染を報告したモバイル ユーザーの割合) (感染を報告したモバイル ユーザーの割合) 14% 12% 10% 8% 6% 4% 2% 0% アフリカ アジア オーストアリア ヨーロッパ 北米 南米 出典: McAfee Labs, 2016 世界のモバイル マルウェアの感染率 (感染を報告したモバイル ユーザーの割合) 世界のモバイル マルウェアの感染率 16% 14% 12% 10% 8% 6% 4% 2% 0 第3 四半期 2014年 第4 四半期 第1 四半期 第2 四半期 第3 四半期 2015年 第4 四半期 第1 四半期 第2 四半期 2016年 出典: McAfee Labs, 2016 このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 41 統計情報 Mac MacOSを攻撃する新しいマルウェア OSを攻撃する新しいマルウェア 30,000 OSX.Trojan.Genアドウェアの活動が 沈静化したため、Mac OSを狙う新し いマルウェアは70%減少しています。 25,000 20,000 15,000 10,000 5,000 0 第3 四半期 第4 四半期 第1 四半期 第2 四半期 2014年 第3 四半期 第4 四半期 2015年 第1 四半期 第2 四半期 2016年 出典: McAfee Labs, 2016 Mac MacOSを攻撃するマルウェアの合計 OSを攻撃するマルウェアの合計 90,000 80,000 70,000 60,000 50,000 40,000 30,000 20,000 10,000 0 第3 四半期 第4 四半期 2014年 第1 四半期 第2 四半期 第3 四半期 2015年 第4 四半期 第1 四半期 第2 四半期 2016年 出典: McAfee Labs, 2016 このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 42 統計情報 新しいランサムウェア 新しいランサムウェア 1,400,000 新しいランサムウェアの増加は引き続 き加速しています。第2四半期に見つ かった新しいランサムウェアのサンプ ル数は過去最高を記録しました。 1,200,000 1,000,000 800,000 600,000 400,000 200,000 0 第3 四半期 第4 四半期 第1 四半期 2014年 第2 四半期 第3 四半期 第4 四半期 2015年 第1 四半期 第2 四半期 2016年 出典: McAfee Labs, 2016 ランサムウェアの合計 ランサムウェアの合計 8,000,000 ランサムウェアの合計数はこの1年で 128%増加しています。 7,000,000 6,000,000 5,000,000 4,000,000 3,000,000 2,000,000 1,000,000 0 第3 四半期 第4 四半期 2014年 第1 四半期 第2 四半期 第3 四半期 2015年 第4 四半期 第1 四半期 第2 四半期 2016年 出典: McAfee Labs, 2016 このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 43 統計情報 署名付きの新しい不正なバイナリ 署名付きの新しい不正なバイナリ 2,000,000 署名付きの新しい不正なバイナリの 数は、4四半期連続で減少していまし たが、再び増加傾向に転じています。 1,800,000 1,600,000 1,400,000 1,200,000 1,000,000 800,000 600,000 400,000 200,000 0 第3 四半期 第4 四半期 第1 四半期 2014年 第2 四半期 第3 四半期 第4 四半期 2015年 第1 四半期 第2 四半期 2016年 出典: McAfee Labs, 2016 署名付きの不正なバイナリの合計 署名付きの不正なバイナリの合計 22,500,000 20,000,000 17,500,000 15,000,000 12,500,000 10,000,000 7,500,000 5,000,000 2,500,000 0 第3 四半期 第4 四半期 2014年 第1 四半期 第2 四半期 第3 四半期 2015年 第4 四半期 第1 四半期 第2 四半期 2016年 出典: McAfee Labs, 2016 このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 44 統計情報 新しいマクロ ウイルス 新しいマクロ ウイルス 180,000 新しいダウンローダー型トロイの木 馬が原因で、前四半期よりも200%以 上も増加しました。 これらの脅威は、 Necursボットネットなどのスパム配信 で使用されています。マクロ ウイルス の復活については、 『McAfee Labs脅 威レポート 2015年11月』 をご覧くだ さい。 160,000 140,000 120,000 100,000 80,000 60,000 40,000 20,000 0 第3 四半期 第4 四半期 第1 四半期 2014年 第2 四半期 第3 四半期 第4 四半期 2015年 第1 四半期 第2 四半期 2016年 出典: McAfee Labs, 2016 マクロ マクロ ウイルスの合計 ウイルスの合計 700,000 マクロ マルウェアの合計は前四半期 より39%増加しています。 600,000 500,000 400,000 300,000 200,000 100,000 0 第3 四半期 第4 四半期 2014年 第1 四半期 第2 四半期 第3 四半期 2015年 第4 四半期 第1 四半期 第2 四半期 2016年 出典: McAfee Labs, 2016 このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 45 統計情報 Web脅威 新しい不審なURL 新しい不審な URL 35,000,000 新しい不審なURLの数は5四半期連 続で減少しています。 30,000,000 25,000,000 20,000,000 15,000,000 10,000,000 5,000,000 0 第3 四半期 第4 四半期 第1 四半期 第2 四半期 2014年 第3 四半期 第4 四半期 2015年 第1 四半期 第2 四半期 2016年 関連ドメイン URL 出典: McAfee Labs, 2016 新しいフィッシング詐欺URL 新しいフィッシング詐欺 URL 2,500,000 2,000,000 1,500,000 1,000,000 500,000 0 第3 四半期 第4 四半期 第1 四半期 2014年 URL 第2 四半期 第3 四半期 2015年 第4 四半期 第1 四半期 第2 四半期 2016年 関連ドメイン 出典: McAfee Labs, 2016 このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 46 統計情報 新しいスパムURL 新しいスパム URL 2,500,000 2,000,000 1,500,000 1,000,000 500,000 0 第3 四半期 第4 四半期 第1 四半期 第2 四半期 2014年 第3 四半期 第4 四半期 2015年 第1 四半期 第2 四半期 2016年 関連ドメイン URL 出典: McAfee Labs, 2016 世界で発生したスパムとメールの量 (1兆通単位) 世界で発生したスパムとメールの量 11 10 9 8 7 6 5 4 3 2 1 0 第3 四半期 第4 四半期 第1 四半期 2014年 URL 第2 四半期 第3 四半期 2015年 第4 四半期 第1 四半期 第2 四半期 2016年 関連ドメイン 出典: McAfee Labs, 2016 このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 47 統計情報 スパム メールを送信するボットネットの上位10 (100万通単位) スパム メールを送信するボッ トネットの上位10 1,400 この四半期は、 スパム メールのボット ネットのトップ10リストに新しいボッ トネットが入りました。Necursはスパ ム ボットネットでもあり、マルウェア のファミリ名でもあります。Necursは 世界中にある数百万台の感染マシン を利用して、Lockyランサムウェアと Dridexを散布しました。6月初めに一 時的に活動が低下しましたが、再び 活発な動きを見せています。第3四半 期もランサムウェアを配布するスパム が大量に配信される可能性がありま す。ボットネット全体で見ると、第2四 半期は約30%増加しています。 1,200 1,000 800 600 400 200 0 第3 四半期 第4 四半期 第1 四半期 2014年 第2 四半期 第3 四半期 第4 四半期 第1 四半期 2015年 Kelihos Lethic Cutwail Gamut Slenfbot その他 Necurs Darkmailer KelihosC 第2 四半期 2016年 Sendsafe 出典: McAfee Labs, 2016 世界のボットネットの分布 世界のボットネットの分布 Wapomi ワームとダウンローダーを配布する Wapomiは第2四半期8%増加しまし た。 エクスプロイトに対するバックドア を開くMuieblackcatは、前四半期に2 位でしたが、11%減少しています。 China Chopper Webshell OnionDuke 18% 3% Ramnit 3% 45% 4% Sality Maazben 4% Muieblackcat 4% 5% 6% 8% Nitol H-Worm その他 出典: McAfee Labs, 2016 このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 48 統計情報 ボッ トネット制御サーバーが最も多く存在する国 ボットネッ ト制御サーバーが最も多く存在する国 米国 ドイツ ロシア オランダ 30% 37% フランス チェコ共和国 中国 2% 2% 2% 2% 2% 韓国 4% 4% 12% オーストラリア カナダ 3% その他 出典: McAfee Labs, 2016 ネットワーク攻撃の上位 ネットワーク攻撃の上位 第2四半期は、サービス拒否攻撃が 11%増加し、1位になりました。 ブラウ ザー攻撃は第1四半期から8%低下し ています。 2% 3% サービス拒否 9% ブラウザー 4% 33% 6% 総当たり攻撃 SSL DNS 18% スキャン 25% バックドア その他 出典: McAfee Labs, 2016 このレポートを共有 McAfee Labs脅威レポート 2016年9月 | 49 Intel Securityについて フィードバックをお願いします。今後 の参考にするため、皆様からのフィー ドバックをお待ちしています。5分程 度で終わりますので、 ここをクリックし て脅威レポートに関するアンケートに ご協力ください。 マカフィーはIntel Securityとなりました。Intel Securityは、Security Connected戦略、セ キュリティにハードウェアを活用した革新的なアプロ―チ、 また独自のGlobal Threat Intelligenceにより、世界中のシステム、ネットワーク、モバイル デバイスを守るプロア クティブで定評あるセキュリティ ソリューションやサービスを提供しています。Intel Securityは、マカフィーの優れたセキュリティ技術とインテルの革新性と信頼性の融合 により、すべてのアーキテクチャとコンピューティング プラットフォームにセキュリティ を統合します。Intel Securityは、すべてのユーザーが日々の生活でも職場でも、デジタ ル世界を安心して利用できるようにすることを目指しています。 www.intelsecurity.com McAfee Labsのリンク McAfee. Part of Intel Security. マカフィー株式会社 東京本社 〒 150-0043 東京都渋谷区道玄坂 1- 12- 1 渋谷マークシティウェスト 20F TEL 03-5428-1100(代)FAX 03-5428-1480 〒 530- 0003 大阪府大阪市北区堂島 2-2-2 近鉄堂島ビル 18F TEL 06-6344-1511(代)FAX 06-6344-1517 名古屋営業所 〒 450-0002 愛知県名古屋市中村区名駅 4-6-17 名古屋ビルディング 13F TEL 052-551-6233(代)FAX 052-551-6236 福岡営業所 〒 810- 0801 福岡県福岡市博多区中洲 5-3-8 アクア博多 5F TEL 092-287-9674(代) 西日本支店 www.intelsecurity.com 本資料は弊社の顧客に対する情報提供を目的としています。本資料の内容は予告なしに変更される場合があります。本資料は 「現状のまま」提供するものであり、特定の状況あるいは環境に対する正確性および適合性を保証するものではありません。 Intel、Intelのロゴ、McAfeeのロゴは、米国法人Intel CorporationまたはMcAfee, Inc.もしくは米国またはその他の国の関係会社に おける商標です。その他すべての登録商標および商標はそれぞれの所有者に帰属します。 Copyright © 2016 Intel Corporation. 908_0816_rp_sept-2016-quarterly-threats
© Copyright 2024 ExpyDoc
