「『2日間防御されたら別の標的組織を探す』が6割」など、攻撃者視点での調査結果を公表
サイバー攻撃は儲かるかい?パロアルトが攻撃者を匿名調査
2016年03月03日 06時00分更新
サイバー攻撃という“ビジネス”は、世間のイメージほどには儲からない――? パロアルトネットワークスが「サイバー攻撃に詳しい個人」にアンケート調査した結果から、攻撃者視点に立った「サイバー攻撃のビジネス的価値」の一端が明らかになっている。
この調査は、パロアルトが独立調査期間のポネモン インスティテュートに依頼して実施したもの。米国、英国、ドイツでサイバー攻撃に詳しいとされる匿名の個人379人を対象とし、2015年11月にアンケートを実施した。調査結果の英文レポート「Flipping the Economics of Attacks(攻撃の経済的価値を反転させる)」が、パロアルトのサイトからダウンロードできる。
パロアルトが“サイバー攻撃者視点”で調査したレポート
同調査では、サイバー攻撃を行う動機が主に「金銭的な動機」だと答えた回答者(動機の50%以上が金銭目的とした回答者)が80%に上った。そのため、ビジネス的な観点から攻撃ターゲットを選び、損をするならば攻撃をしない(やめる)という“現金な攻撃者”の姿が浮き彫りになっている。
たとえば、攻撃者は「最も簡単な標的から狙う」。回答者の72%は価値の高い情報がすぐに得られないような攻撃には「無駄な時間を使わない」としているほか、73%が「簡単で “安上がりな”標的をさがす」と回答している。
また、攻撃者は「攻撃成功に時間がかかるならば、攻撃をやめる」。「40時間(約2日間)」以上かかるならば攻撃をやめるとした回答者は60%。技術的に熟練した攻撃者でも、平均で「209時間(約1週間)」以上攻撃に成功しなければ、別のターゲットに移動するという。
さらにパロアルトは「サイバー攻撃者が高額の報酬を得ているというイメージは幻想」だとまとめている。平均で年705時間を費やしている“サイバー攻撃ビジネス”の年間収益は、平均で3万ドルに満たない(2万8744ドル)という。「これはサイバーセキュリティ専門家の年間平均賃金の4分の1」(パロアルト)。
そのほかにも、同調査結果からは「ハッキングを自動化するツールの進化によって、攻撃回数や成功率が高まっている」といった攻撃ビジネスの現状がうかがえ、興味深いものとなっている。
パロアルトは、今回の調査結果に基づいて防御側企業に推奨する対策として、企業を「難しい標的」に変えてなるべく攻撃者を“足止め”すること、シグネチャ型/静的防御に依存しない次世代セキュリティ技術を導入すること、ネットワークセキュリティ製品間を連携させて何が起きているのかを可視化すること、などを挙げている。
