CrowdStrikeの2024年レポートのハイライト
|
|---|
CrowdStrike の新しい 2024 年グローバル脅威レポートでは、サイバー攻撃の最新傾向が明らかにされ、企業が関心を持つ主要なトピックが取り上げられています。
サイバー攻撃のエコシステムは拡大を続けており、CrowdStrikeは2023年に34の新たな脅威アクターの存在を確認しています。攻撃者はクラウド環境を標的とするケースが増えており、その主な目的は金銭的なものです。しかし、場合によっては、クラウド環境がオンプレミスサーバーへのアクセスを可能にすることもあります。
サプライチェーン攻撃は、脅威アクターが複数の標的を容易に攻撃できるため、頻繁に利用されます。テクノロジー分野の組織は、こうした攻撃による特有のリスクにさらされています。なぜなら、信頼関係の侵害は、商用ソフトウェアを提供する組織への侵入に起因するケースがほとんどだからです。サポート終了製品やネットワーク周辺にある管理されていないデバイスも標的となります。
1. アイデンティティベースの攻撃とソーシャルエンジニアリング攻撃が依然として中心的な位置を占めています。
フィッシングは標的組織の従業員から認証情報を取得する有効な手段であり続けていますが、他の認証データも攻撃に利用されています。サイバーセキュリティ攻撃の動機が何であれ、IDベースの攻撃やソーシャルエンジニアリング攻撃は依然として中心的な存在となっています。
例えば、FANCY BEARという脅威アクターは2023年にフィッシングキャンペーンを実施し、Yahoo!メールとukr.netウェブメールのユーザーから認証情報を収集するためのカスタムツールキットを開発しました。このツールキットは、Browser-in-the-Browser技術を活用し、多要素認証の傍受機能を追加することで、認証で使用されるワンタイムパスワードを収集していました。
SCATTERED SPIDERは、SMSフィッシング(スミッシング)と音声フィッシング(ヴィッシング)を用いて認証情報を取得しました。また、脅威アクターは通信事業者への過去の侵入事例を悪用し、標的の従業員に対してSIMスワップ攻撃を実行しました。SIMスワップが有効化されると、脅威アクターはOTPコードを含むSMSメッセージを直接受信できるようになります。さらに、脅威アクターは標的の物理的な位置情報に基づく検知を回避するために、住宅用プロキシを頻繁に利用していました。
APIキーとシークレットも攻撃者の標的となります。これらを所有することで、サイバー犯罪者はAPIキーやシークレットが変更されない限り、無期限にアクセスを維持できます。2023年には、Cookieセッションとトークンの盗難も脅威アクターによって利用されました。
さらに、攻撃者はKerberosチケットを盗んだり偽造したりして、オフラインで解読可能な暗号化された認証情報にアクセスします。CrowdStrikeは、Kerberosロースティング攻撃が583%も増加したことを観測しています。
2. クラウド環境への侵入が 75% 増加しました。
CrowdStrikeは、クラウド環境への侵入が2022年から2023年にかけて世界全体で75%増加したと指摘しています(図A)。
CrowdStrike の分析では、チームはクラウドを意識したケース (つまり、攻撃者がクラウド環境を認識し、それを利用するケース) とクラウドに依存しないケース (つまり、攻撃者がクラウド環境に気付かない、または使用しないケース) を区別しています。
2022 年から 2023 年にかけて、クラウドを重視した事例は 110% 増加し、クラウドに非依存の事例は 60% 増加しました。
金銭目的のサイバー犯罪者はクラウド環境を標的とする攻撃で最も積極的であり、クラウドを狙った侵入全体の 84% を占めています。一方、標的型侵入はわずか 16% に過ぎません。
攻撃者は、クラウド環境への侵入を悪用して企業ネットワークを標的とする可能性があります。例えば、SCATTERED SPIDER の脅威アクターは、標的の組織の内部ネットワークにアクセスし、内部ネットワーク内で水平移動を行う前に、被害者のMicrosoft 365 環境を利用してVPN の指示を検索することがよくあります。
3. サードパーティの関係を悪用することで、攻撃者は数百のターゲットを攻撃しやすくなります。
CrowdStrike のレポートによると、標的型侵入攻撃者は 2023 年に一貫して信頼関係を悪用して、複数の業種および地域の組織にアクセスしようとしました。
これらの攻撃は、攻撃者にとって興味深い投資収益率をもたらします。ITサービスを提供するサードパーティやソフトウェアサプライチェーンの一部であるサードパーティを侵害することで、数百、数千もの標的が次々と出現する可能性があります。また、これらの攻撃は、セキュリティ強化された組織を狙う攻撃者にとって、より効果的な攻撃手段となります。
たとえば、JACKPOT PANDA は、ギャンブルコミュニティでよく使用される中国発の人気チャットアプリケーション CloudChat 用のトロイの木馬化されたインストーラーを使用し、最終的にユーザーを XShade というマルウェアに感染させました。
別のケースでは、正体不明の脅威アクターがインドに拠点を置く情報セキュリティ ソフトウェア ベンダーを侵害し、正規のソフトウェア更新プロセスを介してマルウェアを配布しました。
CrowdStrikeによると、信頼関係を悪用した攻撃は、近い将来も標的型侵入者を惹きつけ続けるだろう。テクノロジー分野で事業を展開する組織は、世界中の多くの組織にサービスを提供しているため、より高いリスクにさらされている。
4. CrowdStrike は 2023 年に 34 人の新たな脅威アクターを追加しました。
CrowdStrikeは2023年を通して、232のアクターリストに34の新たな脅威アクター(同社では攻撃者とも呼んでいます)を追加しました。これらの既知の攻撃者に加え、CrowdStrikeは130を超えるアクティブかつ悪意のある活動クラスターを追跡しています。
データ漏洩専門サイトにおける被害者数は2022年比で76%増加し、2023年の被害者総数は4,615人に達しました。既存の攻撃活動や、複数のGraceful Spider脅威アクターによる大規模キャンペーンの増加に加え、新たに出現したBig Game Hunting(ビッグゲームハンティング)のプレイヤーも被害者数増加の要因の一つとなっています。この脅威アクターは、3つのゼロデイ脆弱性を悪用し、世界中の数百人の被害者からデータを収集しました。
5. 攻撃者によるネットワークへの侵入速度が速まっています。
通常、標的のネットワークに最初の足場を築くことは、攻撃の第一段階に過ぎません。侵入したら、攻撃者は最初の侵害を受けたデバイスから抜け出し、ネットワークの他の部分に横方向に移動して目的を達成する必要があります。
インタラクティブな電子犯罪侵入活動の平均ブレイクアウト時間は、2022年から2023年の間に84分から62分に短縮され、最速のブレイクアウト時間は2分7秒でした。
CrowdStrikeが提供した例では、ログイン侵入開始から31秒後に攻撃者が正規のツールをドロップし、ネットワーク上で偵察活動を実行してシステム情報を取得しました。その後、攻撃者は追加のファイルをドロップし、3分以内にランサムウェアを含むツールを追加しました(図B)。
報告書によると、攻撃者はマルウェアの使用を減らし、盗んだ認証情報や信頼関係の脆弱性を悪用するなど、より効果的な手段を使うことで時間を稼いでいます。マルウェアを使用しない活動は、2023年には全検出数の75%を占めており、2022年には71%、2021年以前は62%未満でした。このマルウェア使用減少の傾向は、ID攻撃の成功と初期アクセス・ブローカーからの有効な認証情報の購入によって説明できます。
6. 攻撃者は周辺ネットワークを標的にしています。
エンドポイント検出および対応センサーの使用が増えたため、脅威の攻撃者は、ネットワーク周辺を標的にして、初期アクセスと横方向の移動のための悪用戦術を適応させています (図 C )。
企業ネットワーク内の一部のデバイスは、必ずしもセキュリティソリューションによって監視されているとは限りません。特に、エッジゲートウェイデバイスは、時代遅れのアーキテクチャに基づいていることが多く、攻撃者に悪用される可能性のある複数の脆弱性に対して脆弱です。
たとえば、ファイアウォールや VPN プラットフォームの脆弱性は、2023 年に Cisco、Citrix、F5 に影響を及ぼしました。ルーター、携帯電話、NAS/バックアップ ストレージも影響を受ける可能性があります。
CrowdStrikeは、2023年に観察されたもう一つの傾向として、攻撃者がサポート終了製品の悪用に重点を置いていることを指摘しました。パッチが適用されなくなり、多くの場合最新のセキュリティソリューションを導入できないこれらの製品は、攻撃者の標的となり、積極的にエクスプロイトを開発して製品を悪用しようとします。
参照:ボットネット攻撃の標的はルーター:リモート従業員のハードウェアのセキュリティ確保への警鐘
これらのサイバーセキュリティリスクを軽減するための推奨事項
CrowdStrike によれば、ソーシャル エンジニアリングについてチームを教育することに加えて、フィッシング耐性のある MFA を実装し、それをレガシーおよびプロトコルに拡張することが不可欠です。
フィッシングやソーシャル エンジニアリングの手法を理解して対抗するために、ユーザー認識プログラムを開始する必要があります。
ID、エンドポイント、クラウド環境全体にわたって脅威を検出し、相関関係を分析できるテクノロジを実装する必要があります。
実行前保護、実行時保護、エージェントレス テクノロジーを備えたクラウド ネイティブ アプリケーション保護プラットフォームは、潜在的な脅威や脆弱性を監視および検出するための統合プラットフォームを提供しない孤立したクラウド セキュリティ ツールよりも優先されるべきです。
攻撃者はマルウェアの使用を減らし、有効な認証情報と正規のツールを使用する傾向があるため、防御側が通常のユーザーと攻撃者の活動を区別することは困難です。そのため、アイデンティティ、クラウド、エンドポイント、データ保護テレメトリの関係を理解することが不可欠です。包括的な可視性を一元的に提供する統合セキュリティプラットフォームを導入する必要があります。
さらに、防御者は、危険にさらされている製品にパッチを適用し、EOL 製品を廃棄することを優先する必要があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
