「2013年にインシデント対応した企業の全てが、アンチウイルスソフトを最新の状態で利用していた。アンチウイルスソフトだけでは被害を防げなくなっているのが現状だ」。米ファイア・アイの最高技術責任者(CTO)を務めるデイブ・マーケル氏は2014年5月27日、セキュリティ脅威の現状を解説した(写真)。
マーケル氏は米マンディアントの元CTO。マンディアントは、米国企業などへのサイバー攻撃に中国人民解放軍が関与しているとする詳細な報告書「APT1:Exposing One of China's Cyber Espionage Units」を発表したことで知られる(関連記事1、関連記事2)。「このレポートの発表後、攻撃グループは作戦を中止。拠点を変更して攻撃を再開した」(マーケル氏)。
マンディアントは2014年1月、ファイア・アイに買収された。それに伴い、それまでマンディアントが提供していたインシデント対応のサービスやエンドポイント(PCやサーバーなど)を防御するための製品がファイア・アイのポートフォリオに加わった。後者は「Mandiant for Security Operations」として販売されてきたが、今後は「FireEye HXシリーズ」として提供される。また、既存のFireEye製品と連携する機能などを備えた。
マーケル氏は、マンディアントでのインシデント対応の事例を基に、深刻な被害に遭った企業・組織の特徴を説明した。その一つが、前述した「アンチウイルスの利用率」。被害に遭った企業・組織の100%が、ウイルス定義ファイル(パターンファイル)を常に最新の状態にして、アンチウイルスソフトを利用していたという。「高度な攻撃では、攻撃者は“工夫”を凝らしているので、シグネチャベース(パターンマッチングベース)の対策では対応できない」(マーケル氏)。
被害に気付くまでに時間がかかることも特徴だという。「攻撃を検知するまでの平均日数は229日だった」(マーケル氏)。しかも、自分たちで気付くケースは少なかった。マーケル氏によれば、67%は外部からの指摘により、攻撃を受けていることが分かったという。
