攻撃者の「実態」に関する調査

Palo Alto NetworksとPonemon Instituteは、米英独の「専門家（expert）」304名を対象に、攻撃者の動機をはじめ、攻撃の金銭的インセンティヴを取り除いて有利な立場に立つ方法などについて調査した結果をまとめた報告書「Flipping the Economics of Attacks」を公開しました。

まず、報告書によると、回答者の69％が動機は金銭目的としています。

ところで、昨年、米セキュリティ企業のTrustwaveは、同社の調査報告書の中で、マルウェアの販売など、実際に存在するサイバー犯罪を支援するサービス（ビジネス）を例に挙げ、サイバー犯罪の投資対効果（ROI）が1425％に上ると発表しました。この数字は大きさのインパクトもあり、さまざまな場で引用されているようで、確かに、この数字だけを見ると攻撃者は「大儲け」しているように思えます。これに対し、今回のPalo AltoとPonemonの報告書によれば、平均して攻撃者が稼げる金額は年間で2万8744ドルであり、これはサイバーセキュリティのプロの年間平均賃金の約4分の1であるとしています。また、攻撃に費やしている時間は年間平均で705時間で、時間あたりで比較しても、経験豊富なITセキュリティ専門家の方が38.8％も高い金額になるそうです。

この2万8744ドルという数字は次のような計算に基づいています。まず、成功した攻撃1回あたりの平均収益が1万4711ドル、年間の攻撃の平均回数が8.26なので、12万1512ドル（＝1万4711ドル×8.26）が年間の収益となります。しかし、これを攻撃の成功確率42％と、成功した攻撃のうち実際に収益を上げられる確率59％で補正し、さらに技術レベルの高い攻撃者が攻撃実行のために特殊化したツールキットにかける費用とされる年間平均1367ドルを引くと、以下のようになります。

2万8744ドル＝｛［1万4711ドル×8.26×42％×59％］－1367ドル｝

一方、特定の相手を対象としていない攻撃の場合は、空き巣と同様に、攻撃に時間をかけることを避ける傾向があると言われていますが、実際、40時間を超えてしまうと60％の攻撃者は別のターゲットに移っていくようです。さらに、攻撃者が攻撃をやめる時間を外挿すると209時間となっています。つまり、無差別な攻撃に対しては、9日間耐え切れば逃れることができるというわけです。

また、技術レベルの高い攻撃者が「典型的（typical）」なITセキュリティインフラの組織に対する攻撃の計画と実行にかける平均時間は70時間であるのに対し、「優良（excellent）」なITインフラを持つ企業に対しては倍以上の147時間をかけるそうです。なお、「優良（excellent）」なITセキュリティインフラであることを示すポイントとしては以下の5つが挙げられています（詳細は報告書を参照してください）。

当該ネットワークを「何」や「誰」が使っているかが明確になっている。

不審な動作に対する自動再プログラミング機能を可能な限り導入している。

同様の攻撃による被害を受けないように、常にほぼリアルタイムに攻撃情報を共有できる国際的なエコシステムの一部となっている。

データの置き場所やネットワークの構成によってセキュリティのありようを変えるべきではない（セキュリティの一貫性のなさは脆弱性となる）。

セキュリティを理由に生産性を犠牲にすべきではない。

次に、回答者の53％は、攻撃を成功させるのにかかるコストが下がってきており、計画と実行にかかる時間も短くなっているとしています。その理由として、67％が「既知の攻撃手法や脆弱性の数の増加」、52％が「攻撃者のスキルの向上」、46％が「攻撃用ツールの改善」を挙げています。

また、過去2年間で、63％の回答者が攻撃用ツールの使用が増えてきているとし、64％の回答者がこれらのツールが効果的であるとしています。

これらを踏まえ、攻撃を防ぐための手段として「脅威情報（threat intelligence）の共有」について調べた結果では、平均して39％の攻撃を防ぐことができるとし、また、55％の回答者が最も有効であるとしています。

今回の報告書は、あくまで米英独の「専門家」の意見に基づくものなので、必ずしも日本でもそのまま同じことが言えるとは限りません。それでも、興味深い調査結果が数多く含まれています。セキュリティに関わる方には一読をお勧めします。