ニューヨーク・メトロポリタン・オペラハウスのチケットを買わなくても、このフレーズは耳にすることができます。DDoS攻撃、ランサムウェア、ボットネット、その他の攻撃が増加している、と。実は、ニューヨーク・メトロポリタン・オペラハウスで最近発生したマルウェア被害は、この増加傾向を象徴するものであり、チケットを買っておくことは役に立つかもしれません。
NCCグループのグローバル脅威インテリジェンスチームによると、11月のランサムウェア攻撃は188件から265件へと41%増加しました。同グループの最新の月次脅威パルス(ダウンロード可能なレポートはこちらから購読できます)では、この月は今年4月以来最もランサムウェア攻撃が活発だったと報告されています。
ジャンプ先:
- 研究から得られた主な知見
- サイバー攻撃による最大の被害を受けるのは産業部門
- 消費者とテクノロジー分野でサイバー攻撃が増加
- 脅威アクターRoyalとCubaがLockBitを上回る活動を展開
- 新興のランサムウェアによる深刻な頭痛
- NCC、DDoS攻撃の増加を報告
- 防御こそが最善の防御
研究から得られた主な知見
- ランサムウェア攻撃は11月に41%増加した。
- 脅威グループRoyal(16%)が最も活発で、2021年9月以来初めてLockBitに代わって最悪の犯罪者となった。
- 工業(32%)と循環型消費財(44%)は依然として最もターゲットとなる上位2つのセクターですが、テクノロジーセクターは先月比で75%という大幅な増加を記録しました。
- 地域別のデータは先月と変わらず、北米(45%)、ヨーロッパ(25%)、アジア(14%)となっている。
- DDoS攻撃は増加し続けています。
サービス分野における最近の例としては、PlayランサムウェアグループがドイツのH-Hotelsチェーンを攻撃し、通信障害を引き起こしたという事例が挙げられます。この攻撃は、Microsoft Exchangeの「ProxyNotShell」と呼ばれる脆弱性を悪用していると報じられています。この脆弱性は、その名の通り、2021年に明らかになったProxyShellゼロデイ脆弱性と類似点があります。
また、TrueBotマルウェアダウンローダー(別名silence.downloader)が再び姿を現し、ますます多くのデバイスで確認されています。ロシア語圏のハッカー集団「Silence」が開発したTrueBot Windowsマルウェアは、2019年に初めて出現したRansom.Clopを伴って再び姿を現しました。Clopランサムウェアはシステムを暗号化し、身代金を支払わない場合はデータを流出させると脅迫してデータを盗み出します。
サイバー攻撃による最大の被害を受けるのは産業部門
NCCによると、コンサルタント会社から大手メーカーまで、産業部門は11月のランサムウェア被害者全体の31%を占め、11月には63~83件のインシデントが発生し、攻撃者にとって最も好まれるターゲットとなっている。
直近では、12月21日水曜日、ドイツの多国籍鉄鋼大手ティッセンクルップAGが、本社と材料科学部門の両方が攻撃を受けたと発表しました。これは、この鉄鋼大手に対する最新の攻撃に過ぎません。同社は、少なくとも2014年にロシアのサイバースパイ攻撃によって高炉が被害を受けたときから、データ窃盗、ランサムウェア、その他のエクスプロイトの標的となってきました。
参照: 3 社に 1 社が毎週ランサムウェア攻撃を受けている (TechRepublic)
最も標的となった産業分野は、専門・商業サービス、機械、工具、大型車両、鉄道・船舶、建設・エンジニアリングでした。特に、専門・商業サービス部門では攻撃が50%増加しました。
調査では、この増加は、作戦妨害よりもデータの窃盗や恐喝に重点が置かれた戦術を反映している可能性があると推測している。
消費者とテクノロジー分野でサイバー攻撃が増加
自動車、住宅、エンターテインメントなどの分野を含む循環型消費財セクターは、10月と比較して攻撃件数が44%増加し、2番目に多く標的となった産業セクターとなりました。また、テクノロジーセクターは3番目に多く標的となった業種で、10月と比較して攻撃件数が75%増加しました。ソフトウェアとITセクターの被害者は最も多く、前月比で186%増加しました。
「ソフトウェアとIT分野への攻撃が目立っているのは、これらの組織がサプライチェーンへの侵入の機会を提供しているためだと考えられる」と調査報告書は述べている。「さらに、多くのソフトウェアおよびITサービス組織が保有する知的財産は、データの窃取や恐喝にとって魅力的な標的となり得る。」
この論文は、ハッカーがこの分野に引き続き注目すると予測した。
脅威アクターRoyalとCubaがLockBitを上回る活動を展開
RoyalランサムウェアとCubaランサムウェアは、サイバー攻撃全体の16%と15%を占め、ハッカー集団の首位に立っています。前月はLockBit 3.0に代わり、最悪の脅威アクターとなりました。LockBit 3.0は今月の攻撃の12%を占めています。Cubaは11月だけで40件の攻撃を行い、6,000万ドル以上の身代金を要求しています。その他の主要なアクターは、Medusa、BlackCat、LV、Bianlian、Onyx、Vicesociety、Hiveです。
新興のランサムウェアによる深刻な頭痛
調査によると、2022年1月に出現したRoyalランサムウェアは、11月に記録された265件のハッキングおよび情報漏洩事件のうち43件に関与していたことが報告されています。このランサムウェアは、C++で記述された64ビット実行ファイルを持つWindowsシステムを標的としています。ファイルはAES標準で暗号化され、.royal拡張子が付与されます。
参照:医療システムが新たなハッカー集団による「王室」サイバーセキュリティの脅威に直面(TechRepublic)
DEV-0569グループによって拡散されているRoyal亜種は、初期アクセスにマルバタイジングとフィッシングを利用し、ペイロードはBatloaderバックドアマルウェアへと誘導します。NCCの調査では、このマルウェアが特定の企業ウェブサイトの問い合わせフォームを利用してフィッシングリンクを配信していることを指摘したMicrosoftのレポートが引用されています。
マイクロソフトの報告書では、ランサムウェア集団がすでにRoyalの亜種を使用していることから、Royalが侵入手段として利用される可能性についても警告している。
NCC、DDoS攻撃の増加を報告
NCCの報告書によると、DDoS攻撃は2021年に減少したものの、再び増加傾向にあることが示されています。NCCはこの傾向が今後も続くと予測しています。実際、今年の第1四半期には攻撃数が過去最高を記録しました。
「すべての組織は、防御インフラに精通し、DDoS攻撃対策ツールが役立つかどうかを評価することを推奨する」と報告書は述べている。
調査によると、11月には合計3,648件のDDoS攻撃が発生し、米国が最も多くの攻撃対象国となり、1,543件の攻撃が発生しました。これは観測されたDDoS攻撃全体の42%に相当します。NCCは、米国が一般的に最も多くの攻撃対象国となっていることに加え、脅威の規模の大きさ、そして依然として緩和されていない地政学的緊張に加え、米国の中間選挙が攻撃の急増を引き起こした可能性があると推測しています。
参照: 分散型サービス拒否 (DDoS) 攻撃: チートシート (TechRepublic)
調査によると、中国はDDoS攻撃の標的として2番目に多い被害者国から7番目に転落し、10月の150件から104件に減少した。調査では、フランスとドイツがトップ3にランクインし、それぞれ10月の136件の攻撃から11月には212件と183件の攻撃に増加し、それぞれ6%と5%を占めたと報告されている。
NCCによると、11月の攻撃のほとんどは2分から5分程度で続きました。しかし、少数の攻撃が数日間続いたため、攻撃の平均継続時間は705分とやや長めに見積もられました。
11月に最も長く続いた攻撃のうち4つは、米国の組織を標的としていました。
| 国 | 攻撃時間 |
|---|---|
| 私たち | 5.79日 |
| 私たち | 4.17日 |
| ドイツ | 2.92日 |
| 私たち | 1.46日 |
| 英国 | 1.04日 |
| 私たち | 24時間 |
| オランダ | 24時間 |
| オーストラリア | 24時間 |
| オランダ | 24時間 |
防御こそが最善の防御
Immersive Labsが35,000人のサイバーセキュリティ専門家を対象に行った調査によると、企業は攻撃から身を守るために、少なくとも人材を中心とした対策を講じる必要があることが分かりました。具体的には以下のとおりです。
- ITチームを編成し、対応を効率化し、全員が同じ認識を持つようにします。
- 分析と対応時間の短縮など、チームが変化する脅威に迅速に適応できるようにします。
- チームが関連する運用プログラミング言語を理解していることを確認する
- 新しい才能を取り入れる
サイバーセキュリティスキルを向上させるための、シンプルで低コストのコースをお探しですか?このビデオでDDoS攻撃の詳細と、それらから身を守る方法や対処法を学びましょう。さらに、50ドルでITキャリアにサイバーセキュリティスキルをプラスする方法も学べます。
