Japan Association for Medical Informatics

[2-B-2-05] COVID-19の攻撃事例から考えるセキュリティ情報共有の重要性

*Kaoru Hayashi1 (1. パロアルトネットワークス株式会社)

Threat Intelligence, Collaboration, Threat Hunting, Security Operation


新型コロナウイルス感染症(COVID-19)が世界規模で流行するなか、多くの人々が現状に向き合い、生活の変化を強いられています。それは犯罪者としても同じ事で、彼らは世界中が注目するこのパンデミックに便乗することを選択してサイバー攻撃を開始しています。そのため、COVID-19をテーマにしたフィッシングやマルウェアの配布、ドメインの悪用による詐欺行為などが世界中で行われています。また、感染症の対応に追われる医療機関を狙った攻撃の増加も確認しています。

攻撃者の視点から見た場合、サイバー攻撃に必要なツールや手法は容易に入手できものばかりであり必要なコストはゼロに近づいています。そのため、年間約1億以上の新しいマルウェアを確認するようになっています。また以前は単独で活動していた攻撃側は組織化することで攻撃を高度化し、成功率を高めています。このようにサイバー攻撃の数や質が変化してきた現在、攻撃が発生してから対応するといったリアクティブな対応では後手に回ってしまいます。プロアクティブに対応するためには、脅威インテリジェンスと呼ばれる情報を活用することが重要となってきます。

Gartnerによる脅威インテリジェンスの定義は「すでに存在する、もしくは今後現れる脅威や危険要素への対応にかかわる意思決定の材料となる、背景、構造、痕跡、影響、実行可能な助言を含む、証拠に基づく知識」となっています。ここで説明されている痕跡(IoC)や影響、そしてそれらに対処するために実行可能な対策について平時から準備する必要があります。こうした情報を活用する際には手作業ではなく、可能な限り自動化を行うことでかかる作業量や人員の増大を抑制することが重要です。さらに脅威情報を組織の枠を超えて同じ業界等で共有することで繰り返されるサイバー攻撃に効果的に対処することができるようになります。