エグゼクティブ サマリー
これまでの脅威環境を一変させている、最新の主な動向を5つご紹介します。
-
1: 脅威アクターは意図的に業務を妨害することを狙った攻撃を用いて、従来のランサムウェアと脅迫を強化しつつあります。2024年にUnit 42が対応したインシデントの86%が業務の妨害に関連するものであり、運用のダウンタイムや評判の悪化、あるいはその両方が発生していました。
-
2: ソフトウェア サプライ チェーン攻撃とクラウド攻撃の件数が増加するとともに、その手口も巧妙化しています。クラウドでは、脆弱なデータがないか広大なネットワークをスキャンしようと、脅威アクターは設定に不備のある環境に潜伏することがよくあります。あるキャンペーンでは、攻撃者は機密情報を得るために2億3,000万以上の固有の標的を調べました。
-
3: 侵入の高速化(自動化および合理化されたハッカー ツールキットによって強化)により、防御側は最小限の時間で検出とレスポンスを行う必要があります。ほぼ5件に1件の割合で、セキュリティ侵害の開始から1時間以内にデータ流出が発生しています。
-
4: 組織は、内部関係者による脅威のリスクの高まりに直面しています。たとえば、北朝鮮のような国家による脅威が組織を標的化して情報を窃取し、国家的な取組みに資金を提供しています。内部関係者による脅威と北朝鮮との結び付きは、2024年に3倍に跳ね上がっています。
-
5: AIを利用した攻撃を早期に観察した結果、侵入の規模拡大と高速化にAIがどのように寄与するのかが明らかになっています。
これらの動向の中にあって、脅威アクターがアタックサーフェスの複数の領域を標的とするように、多面的な攻撃手法も確認されています。実際、Unit 42が対応したインシデントの70%が3つ以上の領域で発生しており、エンドポイント、ネットワーク、クラウド環境、および人的要因を並行して保護する必要性が強調されています。 また、人的要素に関しては、弊社が調査したセキュリティ インシデントの約半数(44%)がフィッシング攻撃、悪意のあるリダイレクト、マルウェアのダウンロードなど、Webブラウザに関連するものでした。
何年にもわたる数千件のインシデント レスポンスの経験を基に、弊社は敵対者による攻撃を成功させる中心的な要因を突き止めました。複雑さ、可視性のギャップ、過剰な信頼の3つです。断片化されたセキュリティ アーキテクチャ、未管理資産、および過剰な権限を付与されたアカウントのすべてが、成功に必要な空間を攻撃者にもたらしています。
こうした課題に立ち向かうために、セキュリティ リーダーはゼロ トラストを促進し、エコシステム全体で絶対的な信頼を排除する必要があります。同様に重要なのが、開発からランタイムまでのアプリケーションおよびクラウド環境の保護です。これにより、設定ミスと脆弱性にすばやく対処できるよう徹底します。最後に、オンプレミス、クラウド、エンドポイントのログにわたる統合された可視性と、自動化を利用した脅威検出と修復を用いて、セキュリティ運用での可視性の向上とレスポンスの高速化を実現することが不可欠です。
1.はじめに
インシデント レスポンダーとしての20年以上にわたるキャリアにおいて、私は脅威環境および攻撃者の戦術の変化を数えきれないほど目撃してきました。
ランサムウェアが初めて発生したとき、サイバー犯罪者の選ぶ戦術はファイル暗号化でした。ファイルにロックをかけ、暗号鍵の対価を得て、次に進むというものです。バックアップが改善されると、二重脅迫が一般的になりました。サイバー犯罪者は「金銭を支払わなければ機密情報を流出させる」と言って企業を脅迫する迷惑行為を強化しました(現在も続いています)。しかし、この戦術でさえもその魅力を失いつつあります。
ほぼ毎月のように、私はデータ侵害の通知を受けます。場合によっては、その通知の中身を読むことがあります(もちろん、通常はゴミ箱へ直行です)。多くの人と同様に、私は個人情報窃取を保護するソフトウェアに投資しており、サイバー ハイジーンのベストプラクティスに従っています。こうした通知の激増を受けることで、一般の人々の考え方が容易に想像できます。つまり「自分のデータがまた流出しているが、それがどうした」という考え方です。この鈍感な態度には不安を感じます。しかも、このような一般の無関心な反応にもかかわらず、企業は依然としてデータ侵害から相当な被害を受ける可能性があります。
昨年は新たな変化として、攻撃者が意図的な業務妨害へと軸足を移しました。金銭を目的としたこの脅迫の新たな段階では、破壊活動が優先されます。攻撃者は意図的にシステムを破壊し、顧客を環境から締め出し、組織に長期間にわたるダウンタイムを強制します。こうした手法により、脅威アクターは攻撃で最大の効果を上げ、組織に金銭の支払いを要求する能力を維持することに成功しています。
2024年にUnit 42が対応した主要なサイバー攻撃は、500件以上に上ります。これらのインシデントの影響を受けたのは、脅迫、ネットワーク侵入、データ窃取、APT攻撃などに対処している大規模な組織でした。これらの攻撃の標的は、すべての主要な産業界および38ヶ国に及びました。
弊社は、かつてないスピードで発生している侵害に対処しています。この侵害は深刻な業務妨害の原因となり、連鎖的な影響を引き起こしています。その影響の範囲は広く、ダウンタイムやサービス停止から始まり、数十億ドルに達するコストの増大にまで及びます。あらゆるケースにおいて状況は次第に悪化し、セキュリティ運用センター(SOC)が支援を要請するほどでした。
Unit 42による支援が要請されると、インシデント レスポンス チームが迅速な対応で脅威を封じ込め、インシデントを調査し、業務を復旧します。危機の後、弊社はクライアントと協力して、将来の攻撃に対抗するためのセキュリティ体制を強化します。
Unit 42の使命は明確です。デジタルの世界をサイバー脅威から保護することです。世界中で24時間365日活動する 弊社のチームは、脅威アクターの阻止、進化する脅威のハンティング、最も巧妙化された攻撃に対する準備とその攻撃からの復旧の支援という目的によって団結しています。
このレポートは、弊社の重要な調査結果および実用的な見識を説明するためにまとめたものです。
-
台頭する脅威と動向: 今後の動向に関する概観です。業務妨害を目的とした脅迫、AIを利用した攻撃、クラウドおよびソフトウェア サプライ チェーンベースの攻撃、国家の支援を受けた内部関係者による脅威、攻撃のスピードなどについて解説します。
-
脅威アクター成功の手口: 初期アクセスから影響まで、最もよく使われる効果的な戦術、手法、手順を分析します。
-
防御側への助言: 経営者、CISO、およびセキュリティ チーム向けに、防御を強化し、回復力を構築し、脅威に先手を打つための実践的な指針を説明します。
読み進めながら、今起きていることだけでなく、今後何が起き、ますます複雑化する脅威環境の難問に対処するために組織がどのような準備をできるのかについても、検討してみてください。
SAM RUBIN
コンサルティング&脅威インテリジェンス担当SVP、Unit 42
2.台頭する脅威と動向
2025年、組織が直面しているのは、金銭目的のサイバー犯罪者、豊富なリソースを持つ国家、内部関係者による陰謀、イデオロギー的な動機を持つハクティビストなどが複雑に絡み合った脅威です。犯罪グループの間では依然として脅迫攻撃が主流ですが、巧妙化された国家ぐるみの敵対者が標的とするのは重要インフラ、サプライ チェーン、および主要産業です。特権アクセスを持つ外部人材や従業員が外部防御を回避できるため、内部関係者によるリスクが増大しています。また、ハクティビストによってソーシャル メディア ネットワークを悪用した大規模な混乱が計画的に引き起こされています。
こうした状況の中で、Unit 42は組織に対して最も重大かつ直接的な影響があると考えられる5つの主要な動向を明確化しました。その5つとは、意図的に混乱を引き起こす脅迫攻撃、ソフトウェア サプライ チェーンおよびクラウドの悪用、攻撃の高速化、北朝鮮による内部脅威、AIを利用した脅威です。
動向1.業務の中断: 脅迫攻撃の第三の波
防御が向上するにつれて、バックアップがさらに一般的になり、サイバー ハイジーンの成熟とともに成功を収めるようになっています。攻撃者は、安定した(さらに高額な)金銭の支払いを確実に要求できるように、アプローチの刷新を余儀なくされています。
過去10年間で、脅迫攻撃は暗号化から始まり、データ窃取および多重脅迫の戦術、意図的な業務妨害へと進化しました。主要な脅威は依然としてランサムウェアですが、攻撃者は単なるデータの暗号化から、利害関係者への嫌がらせや重要業務に対する脅迫など、長期的なダウンタイムを招くさらに破壊的な戦術へと移行しています。
2024年にUnit 42が対応したインシデントの86%に、影響に関連する何らかの損失がありました。以下はその例です。
- 完全なビジネスの中断
- 資産および詐欺関連の損失
- 公表された攻撃の結果として生じるブランドおよび市場の損害
- 運用コスト、法規制コストなどのコスト増加
脅迫攻撃の進化は3つの波の観点から定義できます。
第1の波: 始まりは暗号化
暗号通貨の出現によって、犯罪者にとってリスクの小さい大規模な犯罪が可能になりました。脅威アクターは、儲けの良い攻撃手法としてすぐにランサムウェアを採用しました。重要なファイルにロックをかけ、そのファイルを身代金目当てに保持し、ロックの解除と引き換えに暗号通貨の支払いを要求する手法です。それ以来、暗号通貨はランサムウェア攻撃の目的を達成する重要な手段となり、攻撃者に以下のような利点をもたらしました。
- 攻撃者が特定されるリスクが低下する
- サイバー犯罪への参入障壁が下がる
- 法の執行および国際制裁を逃れやすくなる
初期のランサムウェアのケースでは、プレイブックはシンプルでした。侵入し、ファイルを暗号化し、撤退するというものです。この頃から、Unit 42の調査でデータ窃取の前兆が明らかになることはめったになくなりました。
現在の攻撃者はさらに巧妙化しており、暗号化をデータ窃取や二重脅迫と併用することもよくあります。とはいえ、暗号化は依然としてそれ自体が主力の戦術です。実際に、Unit 42の最新のインシデント レスポンス データが示すとおり、暗号化は依然として脅迫事例で最も一般的に使用されている戦術であり、過去4年間にわたって比較的安定しています。
次第に、組織がデータ バックアップのやり方を改善するにつれて、単独の脅迫戦術としての暗号化は効果的でなくなっています。バックアップのおかげで、多くの組織が迅速に回復できます。2024年には、影響を受けた被害組織の約半数(49.5%)がバックアップから復旧することに成功しています。図1に示すとおり、この数は2022年の約5倍です。2022年にバックアップから復旧できた被害組織の割合はわずか11%でした。
図1: バックアップから暗号化ファイルを復旧できた被害組織の割合が、2022年から2024年の間に360%上昇。
ただし、盗まれたデータが攻撃者によって公開または販売されるリスクには、このような防御策ではほとんど対処できません。
第2の波: データ窃取による身代金の吊り上げ
暗号化だけに注力することが効果的でなくなるにつれて、攻撃者は新しい脅迫戦術であるデータ窃取およびそれに続く嫌がらせへと軸足を移しました。窃取したデータを使用して被害者に脅迫や嫌がらせを行い圧力をかけることに加え、金銭目的のアクターはダークWebマーケットプレイスでのデータ オークションなど、さらなる収益源を獲得しました。
攻撃者が行った脅迫とは、機密情報を公開するというものでした。また多くの場合、被害者とされている組織の情報を売り込むリーク サイトをホストしていました。従業員と顧客を悪意のあるメッセージで攻撃する者もいました。
ただし、データ窃取は依然として人気のある戦術ですが、その効果はいくつかの理由から低下し始めています。データ侵害への慣れにより、被害者に金銭支払いの圧力をかけるという点において、ダークWebへの流出はあまりインパクトがなくなっているのです。
Identity Theft Resource Centerの 2023年データ侵害年次報告書によると、2023年だけで3億5,300万人の被害者のデータが流出しています。さらに、攻撃者はたいてい約束を守りますが、組織は約束が守られなかったときのことについて懸念を強めています。
実際、2024年のデータ窃取の事例において攻撃者がデータ消去の証明を何らかの形で提供した割合は、3分の2未満(わずか58%)に留まっています。また、このような「証明書」と主張されるものが脅威アクターより共有された後にも、依然として少なくともデータの一部が保持されていたことにUnit 42が気付いた事例もあります。3分の2の割合は十分に高確率ですが、何かに料金(多くの場合法外な)を支払うときに多くの人が期待する確実性のレベルからはかけ離れています。
この動向を後押ししているのが、パブリック リーク サイトのデータです。リーク サイトでの被害者数は2022年から2023年の間に50%増加した後、2024年にはわずか2%の上昇にとどまっています。このことから、脅威アクターはリーク サイトでの脅迫が支払いの強要にあまり効果がないと判断していると考えられます。
脅迫戦術の成功は、いかに被害者に恐怖心を植え付け、完全な注意を引き続けられるかにかかっています。これを実現するために、脅威アクターは最前線に立って妨害を維持し続ける方法を進化させ続けることが見込まれています。
これは、攻撃者がデータ窃取を断念しているという意味ではありません。表1に示すように、脅威アクターは半分以上の確率でデータを窃取し続けており、嫌がらせの利用は着実に上昇しています。そして、脅威アクターは身代金を確実に手に入れられるよう、さらなる戦術を積み重ねています。
| 脅迫戦術 | 2021 | 2022 | 2023 | 2024 |
|---|---|---|---|---|
| 暗号化 | 96% | 90% | 89% | 92% |
| データ窃盗 | 53% | 59% | 53% | 60% |
| 嫌がらせ | 5% | 9% | 8% | 13% |
表1: 脅迫関連の事例における脅迫戦術の出現頻度。
脅威アクターは引き続き被害者の注意を引くことに力を入れており、進化する金銭目的の攻撃の次の段階は意図的な妨害です。
第3の波: 意図的な業務妨害
攻撃者は、第3の戦術である意図的な妨害に注力することによって圧力を強めています。2024年にUnit 42が対応したインシデントの86%では、運用や評判、またはそれ以外の面でビジネスを妨害した何らかの損失が発生しています。
Unit 42が確認したところによると、攻撃者は暗号化手法をデータ窃取と併用しており、そして組織を目に見える形で妨害するその他の戦術をさらに強化しています。攻撃者は被害組織のブランドの評判にダメージを与えたり、顧客およびパートナーに嫌がらせをしたりしました。さらに、仮想マシンを抹消し、データを破壊しています(セクション5.1で攻撃者がこのタイプの影響に使用したMITRE ATT&CKのテクニックの詳細な内訳を記述)。
これまで弊社は、業務遂行のために密接なパートナー ネットワークを利用している被害組織を攻撃者が混乱に陥れるのを目にしてきました。ある組織が自社のネットワークの一部を封鎖して脅威アクターを封じ込め、業務の再開前に攻撃を修正するとき、この組織のパートナーはネットワーク接続の切断を余儀なくされます。オンラインに戻った後、パートナーがネットワークに再接続するときに、再認可プロセスによってさらなる混乱が生じます。
巧妙な攻撃者は、企業だけでなくそのパートナーおよび顧客にも広範囲にわたって混乱を引き起こす目的で、こうした戦術(医療、ホスピタリティ、製造、重要インフラでの戦術を含む)を利用してエンタープライズを標的にしています。
企業がダウンタイムの拡大、パートナーおよび顧客関係の負荷、最終的な収益への影響に取り組むにつれて、脅威アクターはその機会を利用して支払いの増額を要求しています。システムをオンラインに復帰させ、(数百万、場合によっては数十億ドルにまで達する可能性のある)金銭面での影響を最小限に抑えることに目を向けている企業は、もっと多くの金銭を支払うよう脅迫されています。最初の脅迫で要求される金額の中央値が約80%増加し、2023年の695,000ドルから2024年の125万ドルになりました。
弊社は、組織がどれだけの金額を支払うことができると脅威アクターは認識しているか、という観点からも要求額を調査しました(この調査のベースになったのは、ある組織に関する公的な情報源を検索することによって、脅威アクターが何を発見するのかというものです)。2024年における初回要求額の中央値は、脅威アクターによって認識されている、被害組織の年間収益の2%です。また、初回要求額の半分は、被害組織の年間収益の0.5%~5%の範囲に収まりました。ハイエンドでは、攻撃者は認識している被害組織の年間収益よりも多い金額をゆすり取ろうとしていることがわかります。
ただし要求額が増加する一方で、Unit 42は(支払いを行うクライアントのための)最終的な支払額の交渉において成功し続けています。その結果、2024年には身代金の支払額の中央値は3万ドルしか増えず、267,500ドルに落ち着きました。組織が支払いを行うとき、支払額の中央値は収益の1%未満となっています(0.6%)。したがって、Unit 42が交渉した削減率の中央値は初回要求額から50%以上の減少となります。
対策: 増加する妨害に直面して回復力を維持
妨害を目的とする脅威アクターに直面したときに考慮すべき重要な要因は、以下の問いから導かれるオペレーショナル レジリエンスです。重要システムがダウンしたり、機密情報がアクセスできないようロックされたりする場合に、職務を遂行し続けることはできますか? どうしても維持しなければならないのは、どの業務ですか? 災害復旧とバックアップの方法は確立されていますか? 攻撃を目の前にして、重要なパートナーは新しいシステムに移行する準備ができていますか?
それを判断する最良の方法は、定期的なテスト シミュレーションとインシデント シミュレーションを実施することです。こうしたシミュレーションで、技術的な管理策の検証、レスポンス チームのトレーニング、不可欠なサービスを維持する能力の測定が可能です。回復力を重視することによって、攻撃による直接的な経済的影響を緩和するだけでなく、不安定さを増すサイバー環境での重要な資産である長期的な評判および利害関係者の信頼を保護することができます。
脅迫攻撃とそれに付随するすべての脅威(暗号化、データ窃取、嫌がらせ、意図的な妨害)は、一時的な動向ではありません。絶えず変化する攻撃者の技術的戦術に対抗するために、サイバーセキュリティ戦略は継続的に進化する必要があります。またそれと同時に、さらに強力な防御を乗り越えるために脅威アクターは絶えず適応するということを認識する必要もあります。
動向2.ソフトウェア サプライ チェーンとクラウドの攻撃での影響の拡大
クラウド リソースを業務だけでなく、貴重なデータのストレージとして信頼する組織が増加するにつれて、クラウドまたはSaaSアプリケーションに関連するインシデントが最も影響力の強いものになっています。
2024年の事例の3分の1弱(29%)がクラウド関連でした。これは、弊社の調査がクラウド環境からのログおよびイメージの収集を伴うものであったこと、あるいはSaaSアプリケーションなどの外部でホストされる資産に触れていたことを表しています。
こうした事例は、脅威アクターがクラウドの資産に対して損害を与えている状況を必ずしも表しているわけではありません。脅威アクターがクラウド環境または資産に悪影響を及ぼしている状況は、2024年には事例の約5分の1 (21%)で確認されています。
動向3.高速化: 攻撃の高速化と、それによる防御側での応答時間の短縮
キャンペーンを促進するために自動化、サービスとしてのランサムウェア(RaaS)モデル、および生成AI (GenAI)を採用する脅威アクターが増えるにつれて、Unit 42はサイバー攻撃の顕著な高速化を確認しています。攻撃者はこうしたツールを使用することで、脆弱性を迅速に特定し、説得力のあるソーシャル エンジニアリングのルアーを作成し、最終的に高速な攻撃を大規模に実行できます。
攻撃の高速化によって、グローバル組織はレスポンス能力を再評価し、早期検出を優先することを余儀なくされます。多くの事例において、攻撃者によるデータ窃取、暗号化、業務の妨害などのミッション遂行の成否はわずか数時間で決まります。攻撃者が手法を改良し、タイムラインを加速させるにつれて、プロアクティブなセキュリティ対策と迅速なインシデント レスポンスの必要性が重要になっています。
Unit 42が攻撃速度を測る方法の1つは、データ流出までの時間、つまり最初のセキュリティ侵害の後に、攻撃者が盗んだデータをどのくらい速く流出させるのかを測定することです。
2024年に、Unit 42が対応した攻撃における流出までの平均時間は約2日でした。組織がセキュリティ侵害を検出・修復するには数日かかることが多いため、この期間は注目に値します。
流出が最も速く発生した事例の一部を考察すると、流出の速度がさらに懸念されます。
-
事例の4分の1において、セキュリティ侵害からデータ流出までの時間が5時間を下回っていました。
この時間は、事例の最初の4分の1において15時間以内に流出が発生した2021年よりも3倍高速です。
インシデントの大部分で、攻撃者はさらに高速化しています。
- 事例の5分の1 (19%)において、セキュリティ侵害からデータ流出までの時間が1時間を下回っていました。
Unit 42が対応した最近の3つの事例では、攻撃者の迅速な行動が確認されています。
RansomHub (Unit 42では Spoiled Scorpiusという名前で追跡)は、多要素認証の欠如したVPNを利用して地方自治体のネットワークにアクセスしました。足掛かりを得た7時間以内に、脅威アクターはネットワークから500GBのデータを窃取することに成功しています。
脅威アクターはVPNアカウントに対してブルートフォース攻撃を行い、大学へのアクセス権を入手しました。XDR保護なしでシステムを特定した後、攻撃者は18時間以内にランサムウェアを導入し、データ窃取を行っています。
Muddled Libra (別名: Scattered Spider)は、サービス プロバイダのヘルプデスクに対するソーシャル エンジニアリング攻撃に成功して、特権アクセス管理(PAM)アカウントへのアクセス権を獲得しました。攻撃者はこのアクセス権を使用して、保存された認証情報の取得とドメイン特権アカウントのセキュリティ侵害すべてをわずか40分以内で完了しました。ドメインへのアクセスが保護され、脅威アクターはパスワード管理ボールトを侵害し、セキュリティ侵害されたアカウントをクライアントのクラウド環境に追加しました。その結果、権限が昇格し、データ窃取が可能になりました。
防御側はかつてないほど短時間で攻撃を特定し、対応し、封じ込めなければなりません。場合によっては、1時間かけずに対応する必要があります。
ただし、潜伏期間の短縮が向上しています。この潜伏期間は、攻撃者が組織によって発見または検出されずに被害者の環境に留まっている日数として測定されます。2024年の潜伏期間は、2023年の13日間から46%減少して7日間になりました。弊社は2021年から潜伏期間を観察していますが、2021年に26.5日だった潜伏期間は引き続き減少傾向を示しています。
対策: 高速な攻撃に対する防御
かつてないほど高速な攻撃に対する防御を向上させるために、以下の戦術を検討してください。
- 検出とレスポンスの時間の測定: 平均検出時間(MTTD)と平均対応時間(MTTR)の継続的改善の追跡および推進により、SOCを高速化します。
- AIによる分析の活用: データ ソースを一元化し、異常をリアルタイムで特定することにより、手動で操作するよりも速く重要なアラートを明らかにします。
- 自動化されたプレイブックの利用: 封じ込めの対策を事前定義することで、セキュリティ侵害されたエンドポイントの隔離またはユーザー アカウントのロックダウンを数分で行います。
- 継続的なテスト: 机上演習とレッド チーム演習を定期的に実施することで、SecOpsチームが検出からレスポンスへとシームレスに転換できるよう徹底します。
- 高リスク資産の優先: ダウンタイムまたはデータ損失による被害が最も大きくなると考えられる最も重要なシステムに、迅速なレスポンス能力を集中させます。
リアルタイムの可視性、AIの見識、自動化されたワークフローを統合することによって、最も動きの速い敵対者をも上回ることができます。
動向4.内部関係者による脅威のリスク:
北朝鮮による内部脅威の暴走
内部関係者による脅威によって、特権アクセス、および事業の運営を左右する信頼関係が悪用されるといった、あらゆる組織にとって最も捉えにくいリスクがいくつかもたらされています。その性質上多くの外部防御を回避できることから、これらの脅威の検出は極めて困難とされています。
最近では、北朝鮮の国家による支援を受けた脅威グループが、国際組織内の技術的なポジションに工作員を配置することによってさらに破壊的な内部脅威攻撃を行っています。弊社が Wagemole (別名: IT Workers)として追跡しているキャンペーンでは、エンジニアリングのロール自体が別のアタックサーフェスに変化しています。これによって、その過程で北朝鮮の 体制 に対する数億米ドルおよびその他の決済通貨が生み出されています。
北朝鮮の脅威アクターは、盗んだ個人情報や、詳細な技術的ポートフォリオに裏付けられた偽の個人情報を使用して従来の採用プロセスを利用します。このポートフォリオには、基本的な検証を通過した過去の実際の作業履歴やアイデンティティの改ざんを通じて獲得された正当なリファレンスが含まれる可能性があります。
2024年における弊社のインシデント レスポンス事例の約5%が内部脅威に関連するものであり、そのうち北朝鮮とのつながりがある事例の件数は前年比で3倍でした。脅威に対する認識が高まることで脅威を探すクライアントが増えている可能性がありますが、こうした脅威アクターが活動し続けていることに注目すべきです。
この脅威を免れる分野はありません。2024年、これらの脅威アクターは、金融サービス、メディア、小売、ロジスティクス、エンターテイメント、通信、ITサービス、政府防衛関連企業を含めるために勢力を拡大しました。大規模なテクノロジ企業が、依然として主要な標的となっています。
これらのキャンペーンは一般に、契約に基づく技術的な役割を使用する組織を標的にします。以下の原因により、人材派遣会社は無意識のうちに北朝鮮のITワーカーの仲介役となっています。
- 目まぐるしい人材派遣需要に対応するために、本人確認プロセスが省略される
- 限定的な本人確認メカニズム
- 下請けの人材供給業者の状況を十分に把握できていない
- 競争の激しい市場において、欠員を迅速に埋めなければならないという圧力
北朝鮮の工作員が常勤職の獲得に成功している一方で、外部人材は依然として最も利用されている侵入ベクトルです。
これらの工作員の技術的な精巧さは進化しています。商用のリモート管理ツールへの依存が大きくなっているため、最近はさらに検出困難なアプローチへと移行しています。
最も懸念されるのが、ハードウェアベースの KVM-over-IP ソリューションの利用が増加していることです。これは、標的のシステムのビデオおよびUSBポートに直接接続する小型のデバイスであり、ほとんどのエンドポイント監視ツールを回避できるリモート制御機能を搭載しています。このようなデバイスが標的の組織自らが提供したコンピュータに接続され、脅威アクターの目的を助長しているのです。
本来は正当なリモート開発用に設計されたVisual Studio Codeのトンネリング機能が、現在ではアクセスを維持するための隠れたチャネルとして機能しています。
多くの工作員が本物の技術的スキルを備えているので、これらの操作の性質が検出上の困難をもたらしています。工作員のアクセスは正当に見えますが、それは実際に正当であるからです。工作員は割り当てられた仕事をこなしながら、真の目的を果たします。
このようなITワーカーは一度社内に入り込むと、北朝鮮の現体制を支援する給料を不法に手に入れ、さらにはインサイダーとなって、多くの悪意のある活動に従事します。
-
データ窃取: 機密ビジネス データおよび内部文書の体系的な窃取 - セキュリティ ポリシー、脆弱性レポート、面接ガイドを使用して検出をうまく回避しながら、クライアント データ、ソース コード、および知的財産を標的化します。
-
不正なツールの導入: アクセスの維持やさらなる悪用の準備のために、リモート管理ツールなどの不正なツールを導入します。
-
ソース コードの改変: ソース コード リポジトリへのアクセスを利用して、脅威アクターはバックドア コードを挿入できます。これにより、幅広い組織全体で不正なシステム アクセスを可能にしたり、金融取引を改ざんしたりします。
-
脅迫: 一部の事例では、工作員は盗んだデータを利用して機密情報を流出させると脅迫し、身代金を要求します。こうした脅威を工作員が徹底的に実行した事例もあります。
-
偽の人材紹介: 脅威アクターは仲間を組織に引き合わせ、これがさらなる偽のITワーカーの採用へとつながることがあります。推薦された採用者が元の推薦者の単なるクローンであり、異なる偽の個人情報を使用して複数の個人を装っている事例もあります。
北朝鮮のITワーカーのスキームは、単に収入を得ることから、全世界で幅広い組織を標的とする、さらに回避的な内部脅威戦略へと移行しています。政治体制によるこうした活動への戦略的な投資は、このアプローチへの長期的な関与となります。
こうした脅威からの防御には、従業員管理とセキュリティの両方に対する組織のアプローチの転換が必要です。
内部脅威に対処するには、単なる技術的な管理策以上のものが必要です。組織が育むセキュリティ意識の文化をはじめユーザー アクティビティの(特に権限昇格を行った個人間での)能動的監視が要求されます。
最小権限ポリシーの実装や徹底した身辺調査の結果に基づく行動などの対策により、悪用の可能性を最小限に抑えることができます。さらに、通常とは異なるデータ転送や、出発日間近での従業員による直前のシステム アクセスなどの行動指標に、組織は細心の注意を払う必要があります。この一環として、多様なデータ ソースからの指標をまとめる能力があることが重要です。行動それ自体は無害であると思われる可能性がありますが、他の兆候と組み合わせることで、調査の必要性を示すことがあります。
最終的には、信頼と検証のバランスを取る必要があります。たった1回の内部脅威のインシデントによって、長年にわたる組織の発展を根底から揺るがし、知的財産を脅かし、評判を損ねる可能性があります。社内プロセスを強化し、特権アクセスを監視し、あらゆるレベルでセキュリティを強調することによって、企業は有害な内部脅威のイベントの可能性を大幅に低減できます。
動向5.AIを利用した攻撃の出現
まだ初期段階にもかかわらず、生成AIの悪用によって既にサイバー脅威環境が一変しつつあります。攻撃者はAIを活用した方法を用いて、 より説得力のあるフィッシング キャンペーンを可能にし、マルウェアの開発を自動化し , 攻撃チェーンの進行を加速させます。これによって、サイバー攻撃の検出が困難になるとともに実行が高速化されています。敵対的な生成AIの使用は現時点で革命的というよりも進化的ですが、間違えてはならないのは、生成AIが既に攻撃能力を一変させつつあることです。
生成AIツール(特にLLM)は、国家の支援を受けたAPT攻撃と金銭目的のサイバー犯罪者の両方によって、攻撃の合理化・増強を目的に活用されています。こうしたテクノロジによって、以前は人手による多大な労力を要していた複雑な作業が自動化され、攻撃のライフサイクル全体が加速しています。
たとえば、LLMは正当な企業コミュニケーションをかつてない精度で模倣する、非常に説得力のあるフィッシング メールを作成できます。その結果、フィッシング キャンペーンの成功率が高まり、従来のシグネチャベースの防御では検出が困難になります。悪意のあるグループが、 説得力のあるディープフェイク を作成するツールを既に販売しています(無料のツールから、月あたり最低249ドルでディープフェイクが利用できる「エンタープライズ プラン」まであります)。
マルウェアの開発において、LLMは悪意のあるコードの生成と難読化を支援します。これにより、攻撃者は標準的な検出メカニズムの回避が可能なポリモーフィック型マルウェアを作成できます。エクスプロイト スクリプトの作成を自動化し、マルウェア ペイロードを改良することによって、敵対的なAIはスキルの低い脅威アクターの技術的障壁を下げ、攻撃者の候補となり得る層を拡大します。さらに、AIを活用したツールを使用することで、攻撃者は脆弱性を特定・悪用する能力を強化することができます。
AIを利用した攻撃の最も重大な影響のひとつが、サイバー攻撃の高速化と効率化です。従来は何日、何週間もかかっていた作業を今では数分で仕上げることができます。
このことをテストするために、Unit 42のリサーチャーは攻撃の各段階で生成AIを組み込んだランサムウェア攻撃を再現しました。図3は、(弊社のIR調査で実際に確認された平均時間を基準として評価された)生成AI使用前の攻撃のスピードを生成AI使用時と比較して示したものです。
AI使用後
AI使用前
図3: 再現された攻撃のスピードの違い(AIを利用した手法の使用前と使用後の比較)。
弊社のテストでデータ窃取までにかかった時間は、中央値の2日間から25分まで減少しました(つまり、約100倍高速化)。これらはラボベースの結果ですが、偵察からエクスプロイト攻撃へのこうした急速な進行により、「影響が生じるまでの時間」が大幅に短縮され、組織は被害の軽減に間に合うように対応するのが困難になっています。
以下の手法は、AIを利用した攻撃を防ぐのに役立つものです。
-
AIを活用した検出を導入することによって、複数のソースのデータを関連付け、悪意のあるパターンを機械並みのスピードで発見します。
-
スタッフをトレーニングして、AIで生成されたフィッシング、ディープフェイク、および標的型ソーシャル エンジニアリング攻撃の試みを認識させます。
-
AIベースの戦術を使用する攻撃シミュレーションを机上演習に組み込み、高速の大規模な攻撃に備えます。
-
自動化されたワークフローを開発することで、脅威が転換したりデータを流出させたりする前に、SOCが脅威を封じ込められるようにします。
3.脅威アクター成功の手口: よく使われる効果的な戦術、手法、手順
脅威アクターは、攻撃のスピード、規模、巧妙さを向上させ続けています。これにより、脅威アクターは短時間で広範囲に損害を及ぼすことができ、組織による脅威アクターのアクティビティの検出と効率的な緩和が困難になります。
弊社の事例のデータでは、2つの主要な動向を指摘しました。
脅威アクターは多くの局面で頻繁に組織を攻撃します。
脅威アクターがどのように目的を達成しようと努めたのかを弊社が調査したとき、脅威アクターはソーシャル エンジニアリング攻撃からエンドポイント、クラウド リソースおよびその他の攻撃へと移行しました(表2を参照)。
| 攻撃の局面 | 事例の割合 |
|---|---|
| エンドポイント | 72% |
| 人 | 65% |
| 個人識別情報 | 63% |
| ネットワーク | 58% |
| 電子メール | 28% |
| クラウド | 27% |
| アプリケーション | 21% |
| SecOps | 14% |
| データベース | 1% |
表2: 脅威アクターが活動している攻撃の局面。
インシデントの84%において、脅威アクターは複数の局面にわたって狙った被害者を攻撃しています(期間の70%で、3つ以上の局面にわたる)。弊社が対応したインシデントの中には、脅威アクターが8つもの局面にわたって攻撃を行った例もあります。
攻撃の複雑さが増すにつれて、すべてのデータ ソースにわたる統合されたビューが必要になります。事例の85%において、Unit 42のインシデント レスポンダーは調査を完了するために複数のタイプのデータ ソースにアクセスする必要がありました。防御側は、組織全体にわたってこのような多様なソースからの情報へのアクセスと効率的な処理の準備を進める必要があります。
ブラウザは脅威の主要な経路です。
弊社が調査したセキュリティ インシデントの約半数(44%)が、従業員のブラウザを介して起動または実行された悪意のあるアクティビティに関連するものでした。これには、フィッシング、URLの悪用、リダイレクト、マルウェアのダウンロードなどがあり、それぞれが十分な検出もブロックもないブラウザ セッションを悪用していました。
悪意のあるリンク、ドメイン、またはファイルをユーザーが操作し、さらにセキュリティ対策が不十分だったことにより、セキュリティ侵害が発生しました。こうした脅威が広がる前に検出し、ブロックし、対応するために、組織は可視性を向上させ、ブラウザ レベルでロバストな制御を実装する必要があります。
以降のセクションでは、侵入に関する観察に加え、Unit 42の事例データから収集した一般的な攻撃手法に関する見識について説明します。
3.1.侵入: 広範囲にわたるとともに標的を絞ったソーシャル エンジニアリング攻撃の増加
2024年に、Unit 42の事例での最も一般的な初期アクセス経路としてフィッシングが再び注目されるようになり、その割合は弊社のインシデントの約4分の1 (23%)に相当します(図4を参照)。
図4: Unit 42が長年にわたって対応したインシデントで確認された初期アクセス経路。その他のソーシャル エンジニアリング攻撃には、SEOポイズニング、マルバタイジング、スミッシング、MFA爆撃、ヘルプ デスクのセキュリティ侵害が含まれます。その他の初期アクセス経路には、信頼関係/ツールの悪用、内部関係者による脅威が含まれます。
初期アクセス経路だけでは全体像を把握できません。多くの場合、初期アクセス経路が異なれば、それに対応して脅威アクターのプロファイルおよび目的も変わります。たとえば、脅威アクターがフィッシングを通じてアクセス権を獲得したとき、関連するインシデント タイプはビジネス メール詐欺(事例の76%)がほとんどで、次に大きく差をつけて脅迫、つまりランサムウェア(約9%)が続きます。
国家が関与するアクター(数は少ないが影響力の強いインシデントに相当)は、初期アクセス経路としてソフトウェア/APIの脆弱性を好む傾向があります。
防御側は、過去にセキュリティ侵害を受けた認証情報(多くの場合、初期アクセス ブローカーから購入)が脅威アクターにどのくらい一般的に悪用されているのかを認識する必要があります。ディープWebとダークWebを検索すると、過去にセキュリティ侵害を受けた認証情報が明らかになることがよくあります。
場合によっては、一般的でない初期アクセス経路が重大なセキュリティ侵害をもたらすこともあります。たとえば、Unit 42はサイバー犯罪グループ Muddled Libra を継続的に観察していますが、このグループは、ヘルプ デスクへのソーシャル エンジニアリング攻撃を利用して組織へのアクセスを獲得しています。ただし、その他の脅威アクター(ナイジェリアに拠点を置く金銭目的の脅威アクターなど)も、この手法を利用しています。
このタイプの手法を使用する脅威アクターは、偽造された身分証明書、または標的とする被害者が拠点を置く都市で地理的に特定されたVoIP電話番号を武器に、マルウェアを使用せずに詐欺を継続させます。弊社のデータに占める標的型攻撃の割合は、2022年のインシデントの6%から2024年の13%に上昇しています。
対策: ソーシャル エンジニアリング攻撃に対する防御
防御側は一般的な初期アクセス経路に備えるために多層防御を引き続き使用し、システムへのアクセス権を獲得した脅威アクターによる影響を最小限に抑える必要があります。
セキュリティ トレーニングを実施し、ソーシャル エンジニアリング攻撃に対抗するよう従業員に心構えをさせる必要があります。トレーニングはフィッシングとスピア フィッシングだけでは不十分です。以下のものも含める必要があります。
- 物理セキュリティ向上のための戦略(バッジ利用の不正侵入の防止など)
- デバイス紛失に対するベストプラクティス
- デバイスが盗難にあった場合や置き忘れた場合にすべきこと
- 内部関係者による脅威の兆候
- ヘルプ デスクへの電話において認識しておくべき危険信号
- ディープフェイクの兆候
3.2.Unit 42の事例データから得られる攻撃手法の見識
2024年に弊社が確認した、最も巧妙な攻撃者が使用している戦術および手法に基づき、弊社の脅威インテリジェンスの分析担当者が防御側での3つの主要な見識を明らかにしました。
- 攻撃者はあらゆる種類のアクセスを利用します。ある脅威グループが他の標的に集中しているように見える場合でも、組織を守るよう準備しておくことが引き続き重要です。
- 高度な脅威アクターだからといって、必ずしも複雑な攻撃を使用するわけではありません。単純なアプローチが効果的な場合は、それを使用します。
- 脅迫の出現頻度にもかかわらず、すべての脅威アクターが自らの存在を示すわけではありません。たとえば、国家の支援を受けた脅威アクターは、セキュリティを侵害したネットワーク内に静かにとどまることに特化しています(特に「環境寄生」手法を使用)。
以降のセクションでは、国家の支援を受けた脅威グループおよびその他の動機を持ったアクターが使用する手法について、詳細を説明します。
組織は特定の脅威アクターが他の標的に照準を合わせていると信じ込み、防御を後回しにしがちです。ただし、多くのアクターが繰り返し示しているとおり、永続的なグループは最終目的を達成する過程において多くの組織に影響を及ぼす傾向にあります。
Unit 42は2024年の1年間を通して、国家の支援を受けた脅威アクターに侵害された多くの組織を追跡してきました。これらの脅威アクターが必ずしもスパイ目的を直接満足させているわけではありません。将来の活動をサポートするデバイスを奪い取っていることもあります(T1584 - インフラストラクチャの侵害).
たとえば、Insidious Taurus (別名: Volt Typhoon)は、このように機会をとらえて侵害されたデバイス(多くの場合、インターネットと直接接続されているネットワーク ルーターおよびIoT資産)を悪用して、追加の被害者との間でやり取りされるコマンド アンド コントロールのネットワーク トラフィックをプロキシ経由で転送するボットネットを作成することで知られています。
特定の機密顧客情報を収集するために、あるいは下流の被害者への相互接続されたアクセス (T1199 - 信頼できる関係)を悪用するために、テクノロジ ベンダーを標的化・侵害しているアクターも確認されています。
直接の標的ではなくても、ネットワークが脅威アクターによる侵害のリスクにさらされる可能性は依然としてあります。
「APT攻撃」というと、敵対者のすべてのアクティビティが新しく複雑なものになると錯覚してしまいます。実際は、豊富なリソースを備えたアクターであっても、最も抵抗の少ない経路を悪用することが多々あります。これには、既知の(および古い)脆弱性の悪用(T1190 - 公開アプリケーションの悪用)、正当なリモート アクセス機能の単純な悪用(T1133 - 外部リモート サービス)、人気のある既存のオンライン サービスを使用した情報の盗難(T1567 - Webサービスによる流出)が含まれます。
弊社は、ネットワーク全体でシステム上の問題および誤り(設定ミスや、脅威にさらされているインターネット接続デバイスなど)が一般に繰り返されているのを確認しています。これらは悪意のあるアクターへの障壁を下げるものです。
大多数のインシデントには金銭目的の脅威アクターが関与しており、その脅威アクターの多くがすばやく移動し、脅迫するために自らの存在を示します。ただし、敵対者がアラートの発生を回避し、スパイなどの目的のために防御メカニズムを回避しようとするインシデントも確認しています。
攻撃者は、予想されるユーザー アクティビティの「ノイズ」の中に隠れることで、ネットワークの複雑さをさらに悪用することもあります。それ以外の場合は、セキュリティ侵害した環境の正当な機能を悪用します。この手法を「環境寄生」といいます。攻撃者がこの手法を用いて得られる成功は、防御側が無害のアクティビティと悪意のあるアクティビティを比較して分類する場合に往々にして手に負えない問題があることを強調しています。
非常に一般的な事例として、以下のアクションを観察したとき、管理者なのかAPTなのか即座に見分けがつきますか?
- コマンドの実行
- システム設定の変更
- ログイン
- ネットワーク トラフィック
| 手法 | 2024年の動向 |
|---|---|
| T1078 - 有効なアカウント |
初期アクセス経路として最もよく確認された手法の1つです(戦術に関連して確認された手法グループの種類の40%以上を表す)。IDとアクセスの管理およびアタックサーフェス管理(ASM)の弱点によって有効になると考えられます。
|
| T1059 - コマンドおよびスクリプティング インタープリタ |
最もよく確認された実行手法です(たとえば、実行戦術に関連する事例の61%以上がこの方法でPowerShellを悪用)。その他のよく悪用されるシステム ユーティリティとしては、その他のネイティブなWindows、Unix、ネットワーク デバイス、および各種タスクを実行するためのアプリケーション固有のシェルが含まれます。 |
| T1021 - リモート サービス |
横方向の移動で圧倒的に最もよく確認された手法が、このサービスの悪用です(戦術に関連して確認された手法グループの種類のうち、86%以上がリモート サービスに関係)。これによって、正当な認証情報の再利用を強調する傾向がさらに拡大します。こうした従来の認証情報の使い方の代わりに、ここで確認されるのは、RDP (事例の48%以上)、SMB (事例の27%以上)、SSH (事例の9%以上)などの内部ネットワーク プロトコル経由での認証に使用される認証情報です。 |
表3: Unit 42のIR事例からの最も卓越した環境寄生手法。
環境寄生型攻撃に加えて、弊社は多くのアクター、特にランサムウェアに関連するアクターがEDR無効化ツールを用いて、活動の一環として「環境の変更」を試みていることを確認しています。防御回避に関連して確認された手法グループの種類のうち約30%が、T1562 - 防御の弱体化に関係するものです。これには、以下のようなサブテクニックが含まれます。
攻撃手法は数多くありますが、以前より多く目にするのは、BYOVD (Bring Your Own Vulnerable Driver)トレード クラフトを悪用する脅威アクターが関与したセキュリティ侵害です。このような脅威アクターはこの手法を用いて必要な回避権限を獲得し、EDRなど、セキュリティ侵害したホストにインストールされている防御機能を攻撃します。関連する手法には以下のものがあります。
対策: よく使われる効果的なTTPに対する防御
防御側は、組織内外のアタックサーフェスについて明確な理解を維持する必要があります。どのデータまたはデバイスがアクセス可能であるか、または公衆インターネットに公開されているかを定期的に評価し、危険なリモート アクセスの設定および設定ミスを最小限に抑えます。オペレーティング システム上で動作しているシステムのうち、もはや定期的なセキュリティ更新ではサポートされないシステムを削除します。また、システム(古いシステム、特に、公開されたPoCコードを使用するシステムを含む)の脆弱性に注意します。
アカウント、ソフトウェア/アプリケーション、使用の承認を得たその他のアクティビティなど、環境の実施可能なベースラインを維持します。ロバストなロギングを実施し、複数のデータ ソース間でのすばやい接続の確立に役立つ分析ツールを利用して、通常と異なる行動パターンを検出します。
4.防御側への助言
このセクションでは、攻撃者によって最も頻繁に悪用されるシステム上の問題、および攻撃者に対抗するための目標戦略を詳細に説明します。これらの要因にプロアクティブに対処することによって、組織はサイバー リスクを大幅に低下させ、回復力を強化し、現在および新たな脅威に対する決定的な優位性を維持できます。
4.1.一般的な要因
一般的な要因とは、脅威アクターが何度も攻撃を成功させるシステム上の問題です。こうした問題にプロアクティブに対処することによって、組織はサイバー攻撃の可能性と影響の両方を減らします。
数千件ものインシデントを基に、主要な要因として、複雑さ、可視性のギャップ、過剰な信頼の3つを突き止めました。この3つの要因によって、攻撃者に初期アクセスを許すことになり、脅威が野放しのまま段階的に激化し、全体的な損害が拡大しています。こうした要因に正面から立ち向かうことで、組織の防御力と回復力を大幅に向上させることができます。
現代のITおよびセキュリティ環境は多くの場合において、従来のアプリケーション、後付けのインフラストラクチャ、および不完全な変革の取組みの寄せ集めのようなものとなっています。この結果、多くの組織が、本質的に異なる50個以上のセキュリティ ツールを信頼して使用するようになります。これらのツールは個々の脅威に対処するよう断片的に獲得されたものであるため、一般に統合性が欠けています。そのため、データがサイロ化され、チームは環境の統合ビューを維持できなくなっています。
弊社が調査したインシデントの75%において、初期侵入の重要な証拠がログに記録されていました。しかし、複雑で一貫性のないシステムにより、その情報は容易にアクセス可能ではなく、また効果的に運用化もされず、結果として攻撃者は検出されずにギャップを悪用できます。
それと同時に、効果的な検出とレスポンスのために複数のデータ ソースが必須です。インシデントの約85%で、範囲と影響を十分に理解するために複数のソースからのデータを相関する必要がありました。約半数(46%)で、4つ以上のソースからのデータを相関する必要がありました。これらのシステムが通信しない(またはテレメトリが不完全な)場合、手遅れになるまで重要な手掛かりが見つかりません。
典型的な例:
あるランサムウェア攻撃のケースでは、エンドポイント ディテクション&レスポンス(EDR)システムが横方向の移動を捕捉する一方で、監視されていないネットワーク ログに初期のセキュリティ侵害が埋もれていました。この断片化した可視性により、検出が長期にわたって遅れたため、攻撃者に対してデータを窃取するだけの十分な時間を与えると同時に、ランサムウェアのペイロードをデプロイすることを許してしまうことにつながりました。
効果的なセキュリティ運用の根幹は全社規模の可視性ですが、依然としてギャップがよく見られます。特に、クラウド サービスが重大な課題となっています。Unit 42の調べによると、組織は毎月平均300個の新しいクラウド サービスを立ち上げています。実行時の適切な可視性がなければ、SecOpsチームは露出にも攻撃にも気付きません。未管理および未監視の資産(エンドポイント、アプリケーション、シャドーITかどうかに関係なく)によって、攻撃者は組織の環境に容易に侵入できます。
実際に事例の約40%において、セキュリティ ツールおよび管理の問題が侵害要因でした。これらのギャップにより、攻撃者は検出されることなく足場を築き、横方向に移動し、権限を昇格することができたのです。
典型的な例:
あるインシデントにおいて、Muddled Libraは特権ユーザー アカウントを使用してクライアントのAWS環境での権限を昇格させ、データ窃取の権限を獲得しました。しかしながら、クラウド サービスが組織のSOCまたはSIEMと統合されていないため、こうした疑わしいアクティビティは最初は検出されませんでした。
アクセス権限の過剰付与は重大なリスクです。弊社が対応したインシデントにおいて、攻撃者は過剰な権限を付与されたアカウントと不十分なアクセス制御を一貫して悪用することで、攻撃を段階的に拡大しました。
実際、インシデントの41%で、IDおよびアクセス管理の問題に関連する要因(過剰な権限を付与されたアカウントおよびロールを含む)が最低でも1つはありました。これが横方向の移動、機密情報およびアプリケーションへのアクセスにつながり、そして最終的には攻撃者にその目標の達成を許すことになったのです。
この場合も同様に、クラウド環境が特に脆弱です。Unit 42による調査では、クラウド関連のインシデントの約半数で、IDおよびアクセス管理の問題に関連する要因(過剰な権限を付与されたアカウントおよびロールを含む)が最低でも1つあったことが判明しています。
多くの事例において、攻撃者はセキュリティ侵害したロールのタイプに付与すべきよりも、はるかに多くのアクセス権を獲得しました。初期アクセスが(フィッシング、認証情報盗難、または脆弱性の悪用を通じて)獲得されると、この過剰な信頼によって攻撃者は、権限の昇格、データの窃取、業務の妨害を迅速に実行できます。
典型的な例:
ITサービス企業の事例において、攻撃者は過剰な権限を付与された管理者アカウントを悪用することで、VPNに対するブルートフォース攻撃の後、多要素認証なしで横方向に移動し、権限を昇格させています。この過剰な信頼によって、攻撃者は700 ESXIサーバ全体にランサムウェアを展開することができ、最終的に、この企業の主要な業務を妨害し、9,000以上のシステムに影響を及ぼしました。
4.2.防御側への助言
複雑さ、可視性のギャップ、および過剰な信頼の解消に取り組むことによって、組織はサイバー攻撃のリスクと影響を実質的に低減することができます。これによってダウンタイムの拡大および費用のかかる侵害の修復が回避されるだけでなく、運用の継続性と利害関係者の信頼が維持されます。以下の推奨事項には、こうしたシステム上の問題に正面から対処するための戦略が含まれています。
5.付録: 戦術、調査タイプ、およびその他の事例データ別に見るMITRE ATT&CK® テクニック
5.1 戦術別に確認されたMITRE ATT&CKテクニックの概要
以下の一連のチャート(図5~16)に、特定の戦術に関連して弊社が確認したMITRE ATT&CK®テクニックを示します。なお、ここに示すパーセンテージは、各戦術で特定されたその他の種類のテクニックに対して横断的に比較したときの、各テクニックの出現頻度を表したものです。これらのパーセンテージは、テクニックが事例に出現する頻度を表すものではありません。
- 初期アクセス
- 探索
- 実行
- 永続化
- 権限昇格
- 防御回避
- 認証情報アクセス
- 横方向の移動
- 収集
- コマンド&コントロール
- データ窃取
- 影響
図5: 初期アクセスに関連して確認されたテクニックの出現頻度の比較
5.2.地域および産業ごとのデータ
2024年に実施された最も一般的な調査のタイプはネットワーク侵入(事例の約25%)です。この調査タイプを頻繁に目にするのは望ましいことです。というのも、この分類は、弊社が確認する悪意のあるアクティビティがネットワークへの侵入だけであるときに使用するものだからです。この調査タイプの割合が高いのは、少なくとも一部の事例においては、攻撃チェーンの早期にクライアントから弊社に問合せがあったことを示しています。こうした早期の問い合わせは、攻撃者が他の目的で成功を収める機会が生じる前に侵害を防ぐうえで有益です。
あらゆる産業および地域において防御側は同じ懸念を多数共有していますが、地域および産業ごとにいくつか違いがあります。
北米では、1位のネットワーク侵入に対してビジネス メール詐欺が僅差で2位でした(23%対19%)。欧州中東アフリカ地域(EMEA)では、すべての脅迫タイプを考慮する場合(暗号化の有無)、弊社のデータでは脅迫がネットワーク侵入をわずかに上回ります(30%対31%)。
産業別データを見ると、脅迫がいかに大きな懸念であるか明白です。ハイテク産業でも、暗号化のあるものとないものを含めて脅迫が最上位の調査タイプでした(22%)。これは製造業にも当てはまります。ランサムウェア グループのダークWebのリーク サイトでは製造業が最も頻繁に見られます(25%)。
ビジネス メール詐欺は依然として相当な脅威です。特に、金融サービス(事例の25%)、専門および法的サービス(23%)、小売・卸売(21%)の産業で顕著です。
組織のクラウド サービスに関連するまたは影響のある事例の相当部分とは別に、小規模ながら拡大傾向にある事例が主にクラウドのコントロール プレーンまたはデータプレーンに対するセキュリティ侵害に集中していることがわかります。これには全体の事例の4%が含まれますが、ハイテク、専門および法的サービスなどの産業で高い割合になっています(両方とも事例の9%)。これらの特にクラウドに集中した攻撃は、相当な影響をもたらす可能性があります。クラウドのコントロール プレーンに対する攻撃の場合、攻撃者に対して組織全体のクラウド インフラストラクチャへのアクセス権の窃取を許すことになります。また、クラウドに一般に格納されるデータのタイプと範囲を考慮すると、データプレーンに対する攻撃によって大量の機密データが収集される可能性があります。
地域別の調査タイプ
- 北米
- ヨーロッパ、中東、アフリカ
図17: 地域別の調査タイプ - 北米
産業別の調査タイプ
以下の図19~24は、弊社のインシデント レスポンス データに最も多く見られる6つの産業に関連する上位の調査タイプの内訳を示したものです。
- ハイテク
- 専門・法的サービス
- 製造
- 小売・卸売
- 金融サービス
- 医療
図19: 産業別の調査タイプ - ハイテク
6.データと調査手法
このレポートのデータは、2023年10月から2024年12月の間にUnit 42が対応した500件を超える事例に加え、2021年まで遡ったその他の事例データから取得しています。
弊社のクライアントは、人員数50名足らずの小規模な組織から、100,000名以上の従業員を抱えるFortune 500およびGlobal 2000選出の企業/政府機関までさまざまです。
影響を受けた組織は38ヶ国に及びます。これらの事例で標的となった組織の約80%が米国に本拠を置いており、それ以外の20%を構成するのは欧州、中東、アジア太平洋地域に拠点を置く組織に関連する事例です。往々にして、組織が本拠を置いている場所以外も攻撃の影響を受けます。
弊社はこの事例データを脅威リサーチからの見識(製品テレメトリおよびダークWebのリーク サイトやその他のオープンソース データの観察に基づく)と組み合わせて使用しています。
また、インシデント レスポンダーは、作業ディレクトリに基づく主要な動向の観察をクライアントと共有しています。
より成熟したセキュリティ体制を備えた大規模組織との連携に向かう流れなど、複数の要因が弊社のデータの性質に影響する可能性があります。また、弊社は新たな動向を明らかにすると思われる事例を強調しています。つまり一部のトピックでは、データセットの小さなセグメントに注力したものとなっています。
一部のトピックでは、調査結果をゆがめる可能性のある要因を排除するためにデータにフィルタをかけています。たとえば、弊社はCVE-2024-3400の潜在的影響を顧客が調査できるようにインシデント レスポンス サービスを提供しましたが、これが、弊社のデータセットに脆弱性が過剰に含まれる原因となりました。弊社は、この過剰な箇所を削除するために部分的にデータを修正しました。
弊社が提供するガイドの基本方針は、読者に現在と将来における脅威環境に関する見識を提供することです。必要な見識が提供されることで、組織はその防御力を向上できると考えています。