ネットスコープ、ヘルスケア業界に関する最新の脅威調査レポートを発表
[24/03/26]
提供元:PRTIMES
提供元:PRTIMES
ヘルスケアが2023年にインフォスティーラーの攻撃による「メガブリーチ」の被害を最も多く受けた業界であることがNetskope Threat Labsの調査で明らかに
セキュアアクセスサービスエッジ(SASE)のリーディングカンパニーであるNetskope(以下、ネットスコープ)の調査研究部門でありクラウド関連の脅威を中心に独自のリサーチを行うNetskope Threat Labsは、米国時間2024年3月6日 最新の調査レポートを発表しました。
本レポートでは、ヘルスケア業界をターゲットにしたマルウェアおよびランサムウェアのファミリーにおいて、インフォスティーラー(情報窃取型マルウェア)が主要だったことが明らかになりました。ヘルスケア業界は2023年、攻撃1件で100万件以上の記録が窃取されたメガブリーチ(大規模情報漏洩)による被害の影響を最も多く受けたセクターのひとつです。 また、ヘルスケア業界におけるクラウドアプリ導入の継続的な増加や、同業界におけるマルウェアの動向を調査しています。
主な調査結果は以下の通りです。
- インフォスティーラー攻撃の主要ターゲット:インフォスティーラーはヘルスケア業界を狙うマルウェアファミリーの中で顕著な存在となっており、攻撃者は恐喝や窃取したデータに対する身代金要求を目的とし、組織や患者から貴重なデータの窃取を試みています。
- - 特に、ランサムウェアグループのClopは、MOVEitの脆弱性CVE-2023-34362を悪用し、医療機関や医療保険組織を標的に活発に活動しています。
- - ヘルスケア業界は、2023年、攻撃1件で100万件以上の記録が窃取された大規模な情報漏洩事、いわゆる「メガブリーチ」によって最も被害を受けたセクターのひとつとなっています。
- マルウェアのダウンロードは増加、ただし下半期には横ばいに:ヘルスケア業界におけるマルウェアのダウンロード件数にクラウド配信型マルウェアの占める割合は2023年6月にピークとなる50%に達し、下半期にはやや減少して2023年末に約40%となりました。ヘルスケア業界におけるマルウェアのダウンロード件数は他の業界をやや下回る傾向にあるものの、クラウド配信型マルウェアの割合は前年の30%から大幅な増加を示しています。
- - 注目すべきは、ヘルスケア業界が過去12カ月間において、クラウドを配信源とするマルウェア感染の割合が最も少ないセクターであった点です。マルウェアのダウンロード件数全体のうちクラウドからのダウンロードは約40%を占め、電気通信、金融サービス、製造業、小売業、テクノロジー、州および地方自治体と教育機関などの業界に次ぐ6位となっています。
- - クラウドアプリは、ドメインブロックリストやウェブトラフィックの監視といったツールに依存する通常のセキュリティ制御の回避能力を攻撃者にもたらすため、より多くマルウェアのターゲットとされています。こうした攻撃は、ゼロトラスト原則を適用してクラウドトラフィックを定期的に検査していない企業に影響を与えています。
- Microsoft OneDriveを利用するマルウェアのトレンドと相反: Microsoft OneDriveが最も多く使用されているクラウドアプリであることはヘルスケア業界でも同じであるものの、他の業界に比べ著しく低い利用率にとどまっています。その結果、OneDriveを介したマルウェアダウンロードの割合は、他の業界との比較で12%下回っています。
- - OneDriveを感染源とするマルウェア攻撃の一般的な普及は、OneDrive自体の広範な普及と相まって、攻撃者の戦術(マルウェア配信へのOneDriveの悪用)と被害者の行動(リンクをクリックしマルウェアをダウンロードする可能性)とが一体となった状況を反映しています。
- ヘルスケア業界におけるSlack人気:ヘルスケア業界におけるSlackアプリの使用は他のセクターを大きく上回り、アップロードでの使用はOneDriveに次ぐ2位、ダウンロードでは5位となりました。しかしこの利用傾向はアプリからのマルウェアのダウンロード件数とは相関せず、Slackはマルウェア感染源の上位10位にすら入っていません。
- - 企業向けの堅牢なアプリであるSlackでは、ユーザーは外部チャンネルへの招待を共有や承認する必要があります。そのため攻撃者は、Slackのユーザーを狙う上で異なる戦術やコンテンツを用いる必要があります。このプロセスはWhatsAppなど他の消費者向けメッセージアプリと比較するとより複雑です。攻撃者はその代わり、Slackをコマンド&コントロールサーバーとして利用する可能性があります。その理由は、SlackのAPIがデータをアップロードする(または流出させる)ための柔軟なメカニズムを提供していることにあります。
この調査結果について、ネットスコープのサイバーインテリジェンス プリンシパルであるパオロ・パッセリ(Paolo Passeri)は次のように述べています。
「インフォスティーラーは、ヘルスケア業界における最大の脅威のひとつです。これは、2023年に多くの医療機関がメガブリーチのターゲットにされ、さらに脆弱性CVE-2023-34362を悪用したClopの大規模キャンペーンの主要ターゲットにされたという事実に反映されています」
「当然ながら、ヘルスケア業界の組織が管理する個人情報の種類からすれば、こうしたやり口は驚くにはあたりません。しかし、ランサムウェア型の攻撃においては、攻撃者が必ずしもデータを暗号化する必要がないことから、この手口は特に効果的です。代わりに攻撃者は盗んだ情報を流出させ、被害者(またはその顧客や患者)を脅迫するために利用します」
「ヘルスケア業界にとっての懸念は、マルウェアやインフォスティーラーに限りません。サプライチェーンの脆弱性も考慮すべきであり、自らの組織に適用するのと同じゼロトラスト戦略を、サプライチェーンのサードパーティーにも適用することが必要です」
本レポートは、ネットスコープの2,500以上のお客様におけるヘルスケア業界のサブセットについて収集された匿名の使用データに基づいており、本調査の趣旨に沿ったデータの分析については、すべてのお客様から事前の承認をいただいています。
本レポートの完全版はこちらからご覧ください。
Netskope Threat Labsについて
業界屈指のクラウド脅威およびマルウェア研究者が在籍するNetskope Threat Labsは、企業に悪影響を及ぼす最新のクラウド脅威に対する発見、分析および防御策の設計を行なっています。クラウドフィッシング、詐欺、マルウェア配信、コマンド&コントロール、データの抜き出しやデータの暴露など、クラウド関連の脅威に関する独自のリサーチと詳細な分析を用いることで、同ラボは、ネットスコープのお客様を悪意ある脅威アクターから守り、研究、助言、ベストプラクティスを通じてセキュリティの世界的コミュニティに貢献しています。同ラボはシリコンバレーを始めとする世界各地で企業の設立・経営に携わった経験を持つセキュリティ研究者やエンジニアによって率いられており、本社を拠点に世界中に展開しています。同ラボの研究者は、DefCon、BlackHat、RSAなどを含む最も権威あるセキュリティ会議に定期的に参加し、登壇者およびボランティアとして尽力しています。
ネットスコープについて
グローバルなSASEのリーダー企業であるネットスコープは、クラウド、データ、ネットワークセキュリティを再定義することによって、ゼロトラストの原則を適用してデータを保護できるように企業を支援しています。Netskopeプラットフォームは、場所に関わらず、人、デバイス、データに最適なアクセスとリアルタイムのセキュリティを提供します。ネットスコープは、お客様がリスクを軽減し、パフォーマンスを加速させ、あらゆるクラウド、Web、プライベートアプリケーションのアクティビティを比類のない方法で可視化させることをサポートします。フォーチュン100社のうちの25社以上を含む数千社のお客様がネットスコープやその強力なNewEdgeネットワークを利用し、進化しつつある脅威、新しいリスク、テクノロジーの移り変わり、組織やネットワークの変化、新しい規制要件への対処に取り組んでいます。ネットスコープによるお客様のSASE導入サポートについては、netskope.com/jpをご覧ください。
本件に関する報道関係者からのお問い合わせ先
Netskope 広報事務局 (合同会社NEXT PR内)
TEL: 03-4405-9537 FAX: 03-6739-3934
E-mail: netskopePR@next-pr.co.jp
セキュアアクセスサービスエッジ(SASE)のリーディングカンパニーであるNetskope(以下、ネットスコープ)の調査研究部門でありクラウド関連の脅威を中心に独自のリサーチを行うNetskope Threat Labsは、米国時間2024年3月6日 最新の調査レポートを発表しました。
本レポートでは、ヘルスケア業界をターゲットにしたマルウェアおよびランサムウェアのファミリーにおいて、インフォスティーラー(情報窃取型マルウェア)が主要だったことが明らかになりました。ヘルスケア業界は2023年、攻撃1件で100万件以上の記録が窃取されたメガブリーチ(大規模情報漏洩)による被害の影響を最も多く受けたセクターのひとつです。 また、ヘルスケア業界におけるクラウドアプリ導入の継続的な増加や、同業界におけるマルウェアの動向を調査しています。
主な調査結果は以下の通りです。
- インフォスティーラー攻撃の主要ターゲット:インフォスティーラーはヘルスケア業界を狙うマルウェアファミリーの中で顕著な存在となっており、攻撃者は恐喝や窃取したデータに対する身代金要求を目的とし、組織や患者から貴重なデータの窃取を試みています。
- - 特に、ランサムウェアグループのClopは、MOVEitの脆弱性CVE-2023-34362を悪用し、医療機関や医療保険組織を標的に活発に活動しています。
- - ヘルスケア業界は、2023年、攻撃1件で100万件以上の記録が窃取された大規模な情報漏洩事、いわゆる「メガブリーチ」によって最も被害を受けたセクターのひとつとなっています。
- マルウェアのダウンロードは増加、ただし下半期には横ばいに:ヘルスケア業界におけるマルウェアのダウンロード件数にクラウド配信型マルウェアの占める割合は2023年6月にピークとなる50%に達し、下半期にはやや減少して2023年末に約40%となりました。ヘルスケア業界におけるマルウェアのダウンロード件数は他の業界をやや下回る傾向にあるものの、クラウド配信型マルウェアの割合は前年の30%から大幅な増加を示しています。
- - 注目すべきは、ヘルスケア業界が過去12カ月間において、クラウドを配信源とするマルウェア感染の割合が最も少ないセクターであった点です。マルウェアのダウンロード件数全体のうちクラウドからのダウンロードは約40%を占め、電気通信、金融サービス、製造業、小売業、テクノロジー、州および地方自治体と教育機関などの業界に次ぐ6位となっています。
- - クラウドアプリは、ドメインブロックリストやウェブトラフィックの監視といったツールに依存する通常のセキュリティ制御の回避能力を攻撃者にもたらすため、より多くマルウェアのターゲットとされています。こうした攻撃は、ゼロトラスト原則を適用してクラウドトラフィックを定期的に検査していない企業に影響を与えています。
- Microsoft OneDriveを利用するマルウェアのトレンドと相反: Microsoft OneDriveが最も多く使用されているクラウドアプリであることはヘルスケア業界でも同じであるものの、他の業界に比べ著しく低い利用率にとどまっています。その結果、OneDriveを介したマルウェアダウンロードの割合は、他の業界との比較で12%下回っています。
- - OneDriveを感染源とするマルウェア攻撃の一般的な普及は、OneDrive自体の広範な普及と相まって、攻撃者の戦術(マルウェア配信へのOneDriveの悪用)と被害者の行動(リンクをクリックしマルウェアをダウンロードする可能性)とが一体となった状況を反映しています。
- ヘルスケア業界におけるSlack人気:ヘルスケア業界におけるSlackアプリの使用は他のセクターを大きく上回り、アップロードでの使用はOneDriveに次ぐ2位、ダウンロードでは5位となりました。しかしこの利用傾向はアプリからのマルウェアのダウンロード件数とは相関せず、Slackはマルウェア感染源の上位10位にすら入っていません。
- - 企業向けの堅牢なアプリであるSlackでは、ユーザーは外部チャンネルへの招待を共有や承認する必要があります。そのため攻撃者は、Slackのユーザーを狙う上で異なる戦術やコンテンツを用いる必要があります。このプロセスはWhatsAppなど他の消費者向けメッセージアプリと比較するとより複雑です。攻撃者はその代わり、Slackをコマンド&コントロールサーバーとして利用する可能性があります。その理由は、SlackのAPIがデータをアップロードする(または流出させる)ための柔軟なメカニズムを提供していることにあります。
この調査結果について、ネットスコープのサイバーインテリジェンス プリンシパルであるパオロ・パッセリ(Paolo Passeri)は次のように述べています。
「インフォスティーラーは、ヘルスケア業界における最大の脅威のひとつです。これは、2023年に多くの医療機関がメガブリーチのターゲットにされ、さらに脆弱性CVE-2023-34362を悪用したClopの大規模キャンペーンの主要ターゲットにされたという事実に反映されています」
「当然ながら、ヘルスケア業界の組織が管理する個人情報の種類からすれば、こうしたやり口は驚くにはあたりません。しかし、ランサムウェア型の攻撃においては、攻撃者が必ずしもデータを暗号化する必要がないことから、この手口は特に効果的です。代わりに攻撃者は盗んだ情報を流出させ、被害者(またはその顧客や患者)を脅迫するために利用します」
「ヘルスケア業界にとっての懸念は、マルウェアやインフォスティーラーに限りません。サプライチェーンの脆弱性も考慮すべきであり、自らの組織に適用するのと同じゼロトラスト戦略を、サプライチェーンのサードパーティーにも適用することが必要です」
本レポートは、ネットスコープの2,500以上のお客様におけるヘルスケア業界のサブセットについて収集された匿名の使用データに基づいており、本調査の趣旨に沿ったデータの分析については、すべてのお客様から事前の承認をいただいています。
本レポートの完全版はこちらからご覧ください。
Netskope Threat Labsについて
業界屈指のクラウド脅威およびマルウェア研究者が在籍するNetskope Threat Labsは、企業に悪影響を及ぼす最新のクラウド脅威に対する発見、分析および防御策の設計を行なっています。クラウドフィッシング、詐欺、マルウェア配信、コマンド&コントロール、データの抜き出しやデータの暴露など、クラウド関連の脅威に関する独自のリサーチと詳細な分析を用いることで、同ラボは、ネットスコープのお客様を悪意ある脅威アクターから守り、研究、助言、ベストプラクティスを通じてセキュリティの世界的コミュニティに貢献しています。同ラボはシリコンバレーを始めとする世界各地で企業の設立・経営に携わった経験を持つセキュリティ研究者やエンジニアによって率いられており、本社を拠点に世界中に展開しています。同ラボの研究者は、DefCon、BlackHat、RSAなどを含む最も権威あるセキュリティ会議に定期的に参加し、登壇者およびボランティアとして尽力しています。
ネットスコープについて
グローバルなSASEのリーダー企業であるネットスコープは、クラウド、データ、ネットワークセキュリティを再定義することによって、ゼロトラストの原則を適用してデータを保護できるように企業を支援しています。Netskopeプラットフォームは、場所に関わらず、人、デバイス、データに最適なアクセスとリアルタイムのセキュリティを提供します。ネットスコープは、お客様がリスクを軽減し、パフォーマンスを加速させ、あらゆるクラウド、Web、プライベートアプリケーションのアクティビティを比類のない方法で可視化させることをサポートします。フォーチュン100社のうちの25社以上を含む数千社のお客様がネットスコープやその強力なNewEdgeネットワークを利用し、進化しつつある脅威、新しいリスク、テクノロジーの移り変わり、組織やネットワークの変化、新しい規制要件への対処に取り組んでいます。ネットスコープによるお客様のSASE導入サポートについては、netskope.com/jpをご覧ください。
本件に関する報道関係者からのお問い合わせ先
Netskope 広報事務局 (合同会社NEXT PR内)
TEL: 03-4405-9537 FAX: 03-6739-3934
E-mail: netskopePR@next-pr.co.jp