マイクロソフトが10月15日に発表したデジタルディフェンスレポートによると、マイクロソフトの顧客に対するランサムウェア攻撃の試みは、昨年世界中で劇的に増加した。しかし、自動攻撃阻止技術の進歩により、こうした攻撃が暗号化段階に達する件数は減少している。
マイクロソフトは、サイバー犯罪者や国家による攻撃が1日あたり6億件発生していると報告しました。ランサムウェア攻撃は2.75倍増加しましたが、データ暗号化や身代金要求を伴う攻撃の成功件数は3分の1に減少しました。
重要な攻撃の種類にはディープフェイク、電子商取引の盗難などがある
マイクロソフトは、「600以上の国家レベルの脅威アクターグループ、300のサイバー犯罪グループ、200の影響力行使グループ、その他数百のグループを含む、1,500以上の固有の脅威グループを追跡している」と述べています。上位5つのランサムウェアファミリー(Akira、Lockbit、Play、Blackcat、Basta)は、記録された攻撃の51%を占めています。
報告書によると、攻撃者はソーシャルエンジニアリング、ID侵害、そして公開アプリケーションやパッチ未適用のオペレーティングシステムの脆弱性を最も頻繁に悪用しています。侵入後は、リモート監視ツールをインストールしたり、セキュリティ製品を改ざんしたりすることがよくあります。注目すべきは、成功した攻撃の70%がリモート暗号化を伴い、92%が管理されていないデバイスを標的としていたことです。
その他の主な攻撃の種類は次のとおりです。
- インフラストラクチャ攻撃。
- サイバーを利用した金融詐欺。
- クレジットカード取引にカードを物理的に提示する必要のない電子商取引スペースに対する攻撃。
- なりすまし。
- ディープフェイク。
- アカウント乗っ取り。
- アイデンティティおよびソーシャル エンジニアリング攻撃 — そのほとんど (99%) はパスワード盗難攻撃でした。
- SIMスワッピング。
- ヘルプデスクのソーシャルエンジニアリングでは、攻撃者が顧客になりすましてパスワードをリセットしたり、新しいデバイスを接続したりします。
- 認証情報フィッシング、特にフィッシング・アズ・ア・サービス(Fishing-as-a-Service)プロジェクトを介したフィッシング。多くの場合、悪意のあるURLを含むHTMLまたはPDF添付ファイルによって実行されます。
- 今年初めに世界的な障害を引き起こした DDoS 攻撃。
ウイルス対策の改ざんも昨年大きな問題でした。2024 年に Microsoft Defender XDR が検出した 176,000 件を超えるインシデントには、セキュリティ設定の改ざんが含まれていました。
参照: ランサムウェアの攻撃者はバックアップ データを標的にして支払いを強制しようとする可能性があります。
国家と金銭を目的とする主体が戦術を共有
マイクロソフトの調査によると、金銭目的の脅威アクターと国家主導のアクターは、どちらも同じ情報窃取ツールとコマンドアンドコントロールフレームワークをますます利用していることがわかりました。興味深いことに、金銭目的のアクターは、以前は国家主導の攻撃者によるものとされていたクラウドID侵害攻撃を仕掛けるようになっています。
「今年、国家と関わりのある脅威主体は、自らの利益を図るために犯罪ツールや戦術、さらには犯罪者自身を利用するケースが増えており、国家が支援する悪意ある活動とサイバー犯罪活動の境界線が曖昧になっている」と報告書は述べている。
マイクロソフトは、ロシア、中国、イラン、北朝鮮の主要な脅威アクターグループを追跡しています。これらの国家は、金銭目的の脅威アクターを利益のために利用したり、自国国内での活動に目をつぶったりする可能性があります。
マイクロソフトのカスタマーセキュリティ&トラスト担当コーポレートバイスプレジデント、トム・バート氏によると、ランサムウェア問題は、国家による活動と金銭目的のサイバー犯罪との関連性を浮き彫りにしています。この問題は、国家がこれらの活動を金銭目的で利用したり、自国国内のサイバー犯罪対策を怠ったりすることで、さらに深刻化しています。
元NSAのサイバーセキュリティ専門家であるエヴァン・ドーンブッシュ氏は、この問題について次のような見解を示している。
「この報告書は、現在あまり注目されていないものの、サイバー空間の未来を決定づける可能性のあるあるトレンド、すなわち犯罪者が稼げる金額を示唆しています」と、彼はTechRepublicへのメールで述べた。「マイクロソフトの報告書によると、政府機関は攻撃者の標的のわずか12%を占めるに過ぎません。被害者の大多数は民間セクターです。」
今年、国家レベルの脅威アクターによって最も標的とされた分野は次のとおりです。
- それ。
- 教育 。
- 政府。
- シンクタンクとNGO。
- 交通機関。
攻撃側と防御側の両方が生成AIを使用する
ジェネレーティブAIは新たな一連の疑問を提起します。マイクロソフトは、ジェネレーティブAIによる機密データへのアクセスを制限し、その利用にデータガバナンスポリシーを適用することを推奨しています。レポートでは、AIがサイバーセキュリティに及ぼす重大な影響について概説しています。
- 攻撃者と防御者の両方が AI ツールをますます使用しています。
- 国家レベルの主体は AI を使って偽の音声やビデオを生成できます。
- AI スピアフィッシング、履歴書スワーミング、ディープフェイクは現在では一般的です。
- 外国の影響活動を制限する従来の方法はもはや機能しないかもしれない。
- AI ポリシーと原則により、AI ツールの使用に関連するリスクの一部を軽減できます。
- 多くの政府は、AI 開発における重要な要素としてセキュリティが必要であることに同意していますが、セキュリティを追求する方法は政府によって異なります。
「効果的な抑止力によって、攻撃の総量を削減する必要があります」とバート氏は説明した。「業界はサイバーセキュリティの向上を通じて攻撃者の攻撃を阻止するためにさらなる努力を払う必要がありますが、同時に、最も有害なサイバー攻撃をさらに抑止するような結果を課すための政府の措置も必要です。」
組織が一般的なサイバー攻撃を防ぐ方法
Microsoftのレポートには、組織が特定の種類の攻撃を防ぐために実行できる対策が記載されています。TechRepublicは、あらゆる分野に適用できる実用的な洞察をいくつかまとめました。
- 技術層で攻撃を阻止します。つまり、多要素認証や攻撃対象領域の縮小などのポリシーを実装します。
- 同様に、多要素認証を必須にする「デフォルトで安全」な設定を使用します。
- 強力なパスワード保護を使用します。
- セキュリティのデフォルトや管理された条件付きアクセス ポリシーなどの事前構成されたセキュリティ設定をレポートのみのモードでテストし、実際の運用前にその潜在的な影響を把握します。
- 機密データを分類してラベル付けし、高リスクのデータと高リスクのユーザーに関する DLP、データ ライフサイクル、条件付きアクセス ポリシーを設定します。
マイクロソフトは、2023年7月に中国がマイクロソフトの政府メールアカウントに侵入したことを受けて、今年、セキュア・フューチャー・イニシアチブを導入した。
