日本IBMは2月18日、記者説明会を開き、セキュリティ専門チーム「IBM X-Force」がまとめた2019年の脅威動向レポートについて解説した。OT（オペレーショナルテクノロジー）への攻撃や、脆弱性を悪用する手口などが増加していると指摘。経営リスクとしてサイバーセキュリティ対策に取り組む必要性があると訴えた。

　X-ForceはIBMが擁するセキュリティの専門組織で、8000人を超えるセキュリティのエキスパートが所属。ペネトレーション（侵入）テストを提供する「X-Force Red」や、インシデントレスポンスを行う「X-Force IRIS」、マルウェアやスパム、ダークウェブを分析する「X-Force R&D」、監視やインテリジェンスの共有を行う「SOC&コマンド・センター」をそろえている。

　X-Forceでは、130カ国以上の国々で、1日当たり700億件のセキュリティインシデントを監視しているという。米国時間2月11日に発表した「IBM X-Force脅威インテリジェンス・インデックス2020」は、セキュリティインシデントの分析を基に、19年の1年間に確認されたセキュリティ脅威の動向をまとめたもの。

　レポートによると、19年の脅威動向として、産業用制御システム（ICS）とOTを標的とした攻撃が多発し、前年比2000％（20倍）の増加。過去3年間で観測した合計よりも多いという。その理由として、日本IBMの小川真毅・セキュリティー事業本部コンサルティング＆システムインテグレーション理事／パートナーは、「OTの領域で脆弱性がたくさん見つかってきていて、それが深刻な攻撃の糸口につながっている」と説明する。加えて、ITとOTの融合も挙げ、「OT環境はインターネットとつながっていないが、IT環境が横でつながっている。IT環境はインターネットとつながっているため、そこから侵入し、IT環境からOT環境へ横滑りして侵入され、結果OTも侵害を受けているということが増えている」と指摘。「19年だけでもOT／ICSにおけるぜい弱性が200件以上公開されており、20年も製造業やICSへの攻撃が続いていく」と予測しているという。

　また、セキュリティインシデント全体のうち、攻撃の手口として脆弱性をスキャンして悪用するケースも増えているという。小川氏はその要因として、17年に流行したWannaCryでは公開から2年以上経過した脆弱性が悪用されていたことから、「対策が取れていないシステムがその中にまだ多く残っていることを攻撃者が再認識した」ことが背景にあると考えられると指摘する。なお、攻撃手口全体では、「フィッシング」が31％、「（脆弱性の）スキャンおよび悪用」が30％、「（ID・パスワードなど）資格情報の不正利用」が29％を占める。

　19年に漏えいしたレコードの数は全体で85億件を超える。小川氏は、アクセス権限の設定ミスなど「不適切な構成による漏えいが前年比で10倍近く増加し、全体の86％を占める」と説明。また、標的となっている業界別では金融が4年連続でトップではあるものの、小売りが4位から2位へと上昇し、標的が金融から他の業界へ移ってきている傾向にあるという。

　こうした結果から小川氏は「経営リスクと捉えてサイバーセキュリティ対策に取り組むことが必要」と指摘。「ビジネスを立ち上げる際に設計段階からセキュリティを組み込んだり、どういう脅威があるか認識し、先手を打つ必要がある」と話し、具体的には脆弱性の管理や多要素認証の導入、特権アカウントの削減、実践的なセキュリティ演習などをIBMの推奨する対策として挙げた。（前田幸慧）