Kasperskyのセキュリティ専門チームが、2018年に依頼を受け対処したインシデントレスポンス(対応)について調査、分析。

そのうち約56%において、依頼のあった組織がサイバー攻撃を受け、不正送金、ランサムウェアによるワークステーションの暗号化やサービス提供が不可能な状態など、被害を受けた後に依頼されていたことが明らかとなった。

Incident Response report 2018の調査結果は以下の通り。

  • 81%の組織で内部ネットワークで悪意のある活動の痕跡を発見
  • 34%の組織で高度な標的型攻撃の形跡が見られた
  • 金融機関の54.2%は、APTグループによる攻撃を受けていた

2018年のインシデントレスポンス事案の22%は、ネットワーク内で悪意のある可能性がある活動の検知後に開始され、別の22%は、ネットワーク内で悪意のあるファイルが発見された後に開始。

侵害を示す形跡がない場合、これら両方のケースは、現在攻撃を受けていることを示している可能性があるという。しかし、企業のセキュリティチームでは、自動セキュリティツールが既に悪意のある活動を検知し阻止したのか、それとも、より大規模かつ検知できない悪意のある攻撃がネットワーク内で始まっていて、外部の専門家が必要なのかを判断できない場合があるそうだ。

なお、調査を実施した「依頼が遅い」ケースのうち26%は、暗号化型マルウェアの感染によるもので、そのうち11%は金銭の窃取に至ったという。

また、同ケースのうち19%は、企業のメールアカウントからのスパムを検知したもの、サービス提供不能状態を検知したもの、またはセキュリティ侵害を検知したものだった。