Netskopeが発表した、サイバー犯罪者が組織を攻撃する際に用いる主な手法を詳述した新たなレポートによると、クラウドアプリは脅威アクターによる利用が増加しており、スピアフィッシングリンクのクリック全体の19%を占めていることが明らかになりました。また、このレポートでは、攻撃者の金銭的または地政学的動機に基づいて、標的がどのようなものかを明らかにしています。
セキュア アクセス サービス エッジを専門とする米国企業である Netskope のこのクラウドと脅威のレポートは、2023 年の最初の 3 四半期を反映しています。
ジャンプ先:
- サイバー攻撃者が使用する主な手法
- 最も一般的な脅威アクターとその動機
- クラウドセキュリティの脅威を軽減する方法
サイバー攻撃者が使用する主な手法
Netskope では、システムを侵害し、悪意のあるコードを実行し、感染したシステムと通信するために攻撃者が使用する最も一般的な戦術と手法を、初期アクセス、悪意のあるペイロードの実行、コマンドと制御、およびデータの引き出しの 4 つのカテゴリに分類しています。
初期アクセス
攻撃者が標的のシステムにアクセスする最も簡単な方法は、そのユーザーを経由することです。特に、標的の組織がインターネットと通信するすべてのシステムにパッチを適用し、一般的な脆弱性を悪用される可能性が低い場合は、これが当てはまります。ソーシャルエンジニアリングは、メール(スピアフィッシング)、音声通話(ヴィッシング)、SMS(スミッシング)、ソーシャルネットワークなど、攻撃者が組織を標的とする最も一般的な手法です。
Netskope は、ユーザーがクリックしたフィッシング リンクを分析し、ユーザーが最も頻繁にクリックしたのはクラウド アプリ関連のフィッシング リンク (19%) であり、次いで Amazon、eBay などの電子商取引 Web サイト (16%) やあまり人気のないショッピング サイト (図 A ) であると結論付けました。
図A
Netskopeによると、クラウドアプリを標的としたフィッシング攻撃の3分の1はMicrosoft製品に集中しています。Netskopeは最近、企業で最も多く利用されているクラウドアプリはMicrosoft OneDriveであると報告しており、攻撃者がMicrosoft Teams、SharePoint、Outlookと並んでOneDriveを頻繁に利用していることは驚くべきことではありません(図B)。
図B
2番目と3番目に標的となるアプリは、Adobe(11%)とGoogle(8.8%)のアプリです。
攻撃者は依然としてメールを標的とすることが多いものの、スピアフィッシングの成功率は低い。まず、組織はフィッシングメールがユーザーに届く前に阻止するために、高度なフィッシング対策フィルターを導入することが多い。次に、組織はこれらの攻撃キャンペーンに関する意識を高め、スピアフィッシングメールを見分けるようユーザーに啓蒙活動を行っている。こうした対策に対抗するため、攻撃者は標的に到達するために様々な代替戦略を展開している。
- 検索エンジン最適化:多くの場合、攻撃者はインターネットでは一般的ではない特定のキーワード セットを中心に構築された Web ページを作成し、SEO テクニックを簡単に展開して、自分のページが検索エンジンの結果の一番上に表示されるようにすることができます。
- ソーシャル メディア プラットフォームとメッセージング アプリ:攻撃者は、人気のソーシャル メディア プラットフォーム (Facebook など) やメッセージング アプリ (WhatsApp など) を活用して、さまざまな餌を使ってターゲットに近づきます。
- ボイスメールとテキストメッセージ:攻撃者は、ボイスメール(ヴィッシング)またはSMS(スミッシング)を使ってユーザーを標的にし、フィッシングリンクを拡散します。この手法は、パソコンよりもセキュリティが弱いことが多い携帯電話を狙うという利点があります。
- 個人用メールボックス:攻撃者はユーザーの個人用メール アカウントを標的にします。これらのアカウントは、被害者が仕事で使用しているのと同じシステムで使用されることが多く、機密情報へのアクセスにつながる可能性があります。
フィッシング攻撃における添付ファイルの利用に関しては、企業で広く使用されているPDFファイルが90%の攻撃で使用されています。Netskope Threat Labsのディレクター、レイ・カンザネーゼ氏は、TechRepublicへのメールで次のように述べています。「PDFは請求書や領収書、その他の重要な文書に広く使用されているため、攻撃者の間で人気があります。攻撃者は偽の請求書を作成し、被害者に送信します。多くの場合、悪意のあるPDFであることが分かるのは、そこに記載されているURLや電話番号だけです。攻撃者は難読化技術を用いて、それらをセキュリティソリューションから隠蔽します。これらのPDFは大量に作成され、その亜種も非常に多いため、現在、一部のセキュリティソリューションでは対応が困難です。他の攻撃者の動向と同様に、セキュリティソリューションはいずれ追いつき、攻撃者は新たなフィッシング手法へと移行するでしょう。」
悪意のあるペイロードの実行
悪意のあるペイロードは、疑いを持たないユーザーによって実行される可能性があり、その結果、攻撃者は組織内のシステムにリモートアクセスして、ランサムウェアの展開や情報の盗難などのより悪質なアクティビティを実行できるようになります。
2023 年の第 1 四半期では、攻撃者は平均して Web ストレージ (45%) よりもクラウド ストレージ アプリ (55%) をわずかに多く使用しています (図 C )。
図C
Microsoft OneDrive は、マルウェアをホストするクラウド ストレージ アプリ全体の使用量の 4 分の 1 以上 (26%) を占め、SharePoint (10%) や GitHub (9.5%) を上回っています。
マルウェア通信とデータ流出
攻撃者は、悪意のあるペイロードとコマンド アンド コントロール サーバー間の通信に、主に HTTP (67%) および HTTPS (52%) プロトコルを使用します。これら 2 つのプロトコルは、インターネットを閲覧するための主なベクトルであり、ファイアウォールによってフィルタリングされないため、通常、ユーザーに対して完全に許可されています。
HTTPやHTTPSに大きく遅れをとり、ドメインネームシステム(DNS)プロトコルはマルウェア通信の5.5%で使用されています。組織内でブロックやフィルタリングされることのないDNSプロトコルは、データ送信においてHTTPやHTTPSほどステルス性が高くありません。また、DNSは攻撃者が組織からの正当なトラフィックに紛れ込むことを困難にし、HTTPやHTTPSよりも一度に送信されるデータ量が少なくなります。
最も一般的な脅威アクターとその動機
WizardSpiderは最も蔓延している脅威アクターである
Netskopeが観測した最も蔓延している脅威アクターはWizard Spiderであり、UNC1878、TEMP.MixMaster、Grim Spiderといった別名でも知られています。Wizard SpiderはTrickBotマルウェアの作成者です。TrickBotは元々バンキング型トロイの木馬でしたが、ランサムウェアなどのサードパーティ製マルウェアも展開する複雑なマルウェアへと進化しました。
関連性の可能性について、カンザネーゼ氏はTechRepublicに対し、「今日ではほぼすべての主要なサイバー犯罪グループがアフィリエイトモデルを採用しており、誰でもアフィリエイトになり、グループのツールを標的に利用できるようになっています。Wizard Spiderも例外ではなく、アフィリエイトはTrickBotマルウェアや複数のランサムウェアファミリーを使用しています」と述べています。
脅威アクターの主な動機と標的
Netskope のレポートによると、金銭的利益を目的とする脅威アクターのほとんどはロシアとウクライナ出身で、それらの脅威アクターは他の種類のマルウェアよりもランサムウェアを拡散することがほとんどです。
地政学的な面では、Netskope は、menuPass (APT10、Stone Panda、Red Apollo とも呼ばれる) と Aquatic Panda を筆頭に、最大の脅威は中国から来ていると観測しました。
最も標的となる業界は、金銭目的の行為者と地政学的な行為者によって異なり、地政学的な行為者によって最も標的とされるのは金融サービスとヘルスケアです。
地政学的な標的と比べて、金融犯罪の標的として最も多いのはオーストラリアと北米です。カンザネーゼ氏にオーストラリアと北米がなぜ標的にされたのか尋ねると、彼はこう答えました。「別の角度から尋ねれば、答えはもっと容易に明らかになるでしょう。なぜ地政学的な敵対グループの活動の割合が世界の他の地域で相対的に高いのか、ということです。こうした活動は、より広範な政治的、経済的、軍事的、あるいは社会的な紛争を反映しています。ですから、世界の他の地域で地政学的な敵対グループの活動の割合が高いのは、これらの地域における紛争の激化と、より広範な地政学的状況の結果であると考えられます。」
クラウドセキュリティの脅威を軽減する方法
企業は、このようなクラウド セキュリティの脅威を軽減するために、次の手順を実行する必要があります。
- 添付ファイルやリンクを分析してフィッシングやマルウェアを検出できる電子メール セキュリティ ソリューションを導入します。
- フィッシングやソーシャルエンジニアリングといった、ユーザー自身や企業を危険にさらす可能性のある詐欺を見抜く方法をユーザーに教育してください。特に、信頼できる連絡先から提供されていないコンテンツは、たとえクラウドアプリに保存されている場合でも、インターネットからダウンロードしないでください。
- 一般的な脆弱性による侵害を回避するために、すべてのソフトウェアとオペレーティング システムを最新の状態に保ち、パッチを適用してください。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
