本日発表された最新のIBM X-Force脅威インテリジェンス・インデックスによると、システムへのリモートアクセスを可能にするバックドア型マルウェアの展開が、昨年のサイバー攻撃者による主な攻撃手段として浮上しました。これらのバックドア型マルウェアの約67%は、防御側によって検知されたランサムウェア攻撃に関連していました。
IBMのレポートによると、ランサムウェアは2021年から2022年にかけて4パーセントポイント減少し、防御側はランサムウェア攻撃の検知と防御においてより優れた成果を上げています。しかし、サイバー攻撃者は境界への侵入速度を大幅に向上させており、ランサムウェア攻撃を完了するまでの平均時間は2か月から4日未満に短縮されています。
ジャンプ先:
- レガシーエクスプロイトは依然として存在し、アクティブである
- バックドアアクセスの需要がプレミアム価格に反映
- 産業、エネルギー、電子メールの脅威ハイジャックが目立っている
- セキュリティ管理者のための3つのヒント
レガシーエクスプロイトは依然として存在し、アクティブである
IBMの調査によると、何年も前に話題になったマルウェアは、忘れ去られたとはいえ、いまだに根絶やしには程遠い状況にある。例えば、WannaCryやConfickerといったマルウェア感染は依然として拡大を続けており、2022年には脆弱性が過去最高を記録し、サイバー犯罪者は7万8000件以上の既知のエクスプロイトにアクセスした。IBM X-Forceの戦略責任者であるジョン・ヘンドリー氏によると、こうした状況はハッカーにとって、パッチが適用されていない古いアクセスポイントを利用することを容易にしているという。
「サイバー犯罪者は数千ものエクスプロイトにアクセスできるため、新しいエクスプロイトを見つけるのに多くの時間や費用を費やす必要がなく、古いエクスプロイトは問題なく機能しています」とヘンドリー氏は述べた。「WannaCryはその好例です。5年が経過した今でも、WannaCry感染につながる脆弱性は依然として大きな脅威となっています。」
参照:ランサムウェア攻撃の共通点を認識して回避する(TechRepublic)
X-Forceは、2022年4月以降、WannaCryランサムウェアのトラフィックが800%増加したことを観測しているが、Confickerという迷惑ワームは、その歴史を考えるとさらに驚くべき存在かもしれない、と彼は述べた。「Confickerは非常に古く、もし人間だったら今年中に車を運転できるでしょう。しかし、私たちはまだそれを目撃しています」と彼は述べた。「これらのレガシーエクスプロイトの活動は、まだ道のりが長いことを物語っています。」
バックドアアクセスの需要がプレミアム価格に反映
ネットワークやエンドポイントデバイス、インシデント対応活動、その他の情報源から収集されたデータから傾向と攻撃パターンを追跡するX-Force脅威インテリジェンスインデックスは、バックドアの導入増加の一因として、その高い市場価値を挙げています。X-Forceは、脅威アクターが既存のバックドアアクセスを1万ドルもの価格で販売しているのに対し、盗難されたクレジットカードデータは10ドル未満で販売されているケースもあることを観察しました。
ヘンドリー氏は、ランサムウェアが展開される前に防御側がバックドアを破壊したおかげで、バックドア攻撃の約70%が失敗したという事実は、検知と対応へのシフトが成果を上げていることを示していると述べた。
「しかし、これには注意点があります。それは一時的なものです。攻撃と防御は猫とネズミの追いかけっこであり、攻撃者が検知を回避するために戦術や手順を革新し、調整すれば、失敗率は低下するはずです。彼らは常に革新を続けています」と彼は付け加え、攻撃者は3年足らずで攻撃速度を95%向上させたと指摘した。「彼らは、かつて1回のランサムウェア攻撃に要した時間で、今では15回のランサムウェア攻撃を実行できるのです」
業界、エネルギー、電子メールスレッドのハイジャックが目立つ
IBM の調査では、ヨーロッパの政情不安が同国の産業への攻撃を促進していることや、世界中の攻撃者が電子メールのスレッドを攻撃対象として利用しようとする動きを強めていることなど、さまざまな注目すべき傾向が挙げられています。
- 2022年のサイバー攻撃の大半は、ビジネス・メール・エクスチェンジ(BEC)とランサムウェアによる恐喝を目的としており、最も標的となった地域はヨーロッパで、IBMが観測した恐喝事例の44%を占めました。製造業は2年連続で恐喝被害が最も多かった業界となりました。
- スレッドハイジャック:メールスレッドの乗っ取りは昨年倍増しました。攻撃者は侵害したメールアカウントを使用し、元の参加者を装って進行中の会話に返信します。X-Forceは、過去1年間で攻撃者がこの戦術を用いて、ランサムウェア感染につながることが多い悪意のあるソフトウェアであるEmotet、Qakbot、IcedIDを拡散していたことを発見しました。
- エクスプロイト研究が脆弱性に遅れをとる: 既知のエクスプロイトと脆弱性の比率はここ数年減少傾向にあり、2018 年以降 10 パーセント ポイント低下しています。
- クレジットカード データの消失:クレジットカード情報を狙ったフィッシング攻撃の件数は 1 年で 52% 減少しました。これは、攻撃者が名前、電子メール、自宅住所などの個人を特定できる情報を優先していることを示しています。これらの情報は、ダーク ウェブで高値で販売したり、さらなる攻撃に使用したりできます。
- エネルギー攻撃が北米を襲う: エネルギー業界は昨年、攻撃を受けた業界で4番目に多い地位を維持し、北米のエネルギー組織がエネルギー攻撃全体の46%を占め、2021年から25%増加しました。
- 2022 年に IBM X-Force が対応した攻撃全体の約 3 分の 1 がアジアで発生しました。
ヘンドリー氏は、電子メールスレッドの乗っ取りは特に悪質な攻撃であり、昨年はリモートワークを支持する傾向によってさらに増加した可能性が高いと述べた。
「2021年と比べて、毎月の脅威のハイジャックの試みが100%増加していることを確認しました」と彼は述べ、これらは詐欺師が複製されたプロファイルを作成し、それを欺瞞の目的で利用するなりすまし攻撃とほぼ同様であると指摘した。
しかし、脅威ハイジャックが特に危険なのは、攻撃者が人々の防御が崩れた時に攻撃を仕掛けるという点です。なぜなら、人々の間にはすでに最初のレベルの信頼関係が築かれているため、脅威の担い手がアクセスに成功すると、攻撃はドミノ効果によって潜在的な被害者を生み出す可能性があるからです。
セキュリティ管理者のための3つのヒント
ヘンドリー氏は、企業の防衛者向けに 3 つの一般原則を提案しました。
- 侵害を想定する:積極的に調査を行い、侵害の兆候を探します。脅威アクターが既に環境内で活動していると想定することで、発見が容易になります。
- 最小権限を有効にする: 職務上明示的に IT 管理アクセスを必要とするユーザーのみに IT 管理アクセスを制限します。
- ネットワーク内に誰がいるか、何があるのかを常に明示的に確認します。
同氏はさらに、組織がこれらの一般原則に従うと、脅威の主体が初期アクセスを取得するのがはるかに困難になり、仮にアクセスできたとしても、目的を達成するために横方向に移動するのがさらに困難になると付け加えた。
参照:新たなサイバーセキュリティデータにより、ソーシャルエンジニアリングの脆弱性が根強く残ることが明らかに(TechRepublic)
「そして、もしその過程で彼らがより長い時間を要すれば、守備側は彼らが損害を与える前に彼らを見つけやすくなります」とヘンドリー氏は述べた。「これは考え方の転換です。『全員を締め出し、誰も侵入させない』と言うのではなく、『では、彼らが既に侵入していると仮定し、もし侵入していたらどう対処するか?』と言うのです。」
