パロアルトネットワークスは6月19日、ビジネスアプリケーションの脆弱性をつく手法に関する調査「アプリケーションの使用および脅威分析レポート(Application Usage and Threat Report)2014年版」(英語版)を発表した。日本語は今後公開する予定となっている。
調査によると、海外と日本国内ともに、メールやソーシャルメディア、動画共有のような一般的な共有アプリケーションは使用頻度が高く、脅威の量は多いが、脅威の種類は少ない。共有アプリケーションは依然として攻撃者が好む配信手段だが、ターゲットとしてではなく、多くの場合多段階的な攻撃の開始点となっている。
国外の全マルウェアログの99%はUDPによる単一の脅威で生成されている。攻撃者は活動を隠蔽するためにFTPやEDP、SSL、NetBIOSといったアプリケーションも使用していることが判明。対照的に国内のマルウェアログではUDPはほとんど発見されていない。マルウェア活動の92%はブラウザ、SSL、DNS、Google Analyticsの4つのアプリケーションで検出されている。
国内のエクスプロイト活動はビジネスアプリケーションが攻撃のターゲットとなっている。全エクスプロイトログの96%は10個のアプリケーションで検出。DNS、SMB、SIPへのブルートフォース攻撃が主な手法となっている。
国内で確認されたアプリケーションの36%はSSL暗号を使用。ネットワーク管理者の多くは自社ネットワーク上のアプリケーションが「Heartbleed」のようなパッチを適用していない脆弱性にさらされたままのOpenSSLのバージョンを使用していることに気づいていないと説明する。
報告書にはセキュリティチームが自社ネットワークの防御を改善する際の参考となるような情報も含まれている。主な内容は以下の通り。
- よく使われる共有アプリケーションに対するバランスのとれた安全有効化ポリシーの導入:ポリシーの文書化、ユーザーの教育、テクノロジで強化、ポリシーの定期的な更新を行う
- 未知のアプリケーションの効果的な制御:何のアプリケーションがネットワーク内で使用されているのか、通信の行き先はどこか特定し分離する。未知のアプリケーションに対して厳格なポリシーを適用する
- 組織内のビジネスアプリケーションとSSLを監視する:トラフィック量と関連リスクを低減する。社内アプリケーションを特定し、分離する。SSLを使用するアプリケーションを特定し、Heartbleedのリスクを評価する
調査は、12カ月以上の期間における全世界5500以上の組織(うち日本地域は404組織)のネットワークから収集されたトラフィックデータと数十億件の脅威ログをもとに高度なサイバー脅威と世界中の企業ネットワーク上で利用されているアプリケーションとの関係を分析した。
