世界中の脅威アクターの活動を追跡するサイバーセキュリティ企業CrowdStrikeは、過去1年間で観測した攻撃者数の中で最大の増加を記録したと報告しました。33の新たな脅威アクターを特定し、クラウドアーキテクチャへの攻撃は95%増加しました。「クラウド志向」のアクターが関与する事例は、2021年からほぼ3倍に増加しました。
「この増加は、電子犯罪や国家レベルの攻撃者が知識と技術を活用してクラウド環境をますます悪用する傾向が強まっていることを示している」とクラウドストライクは2023年版世界脅威レポートで述べている。
ジャンプ先:
- クラウドセキュリティの見通しは暗い
- 防御側がマルウェアをスキャンすることで、データの抽出が容易になる
- マルウェアフリーの反乱軍への鍵となるゼロトラスト
- ハクティビスト、国家主体、サイバー犯罪者の世界的な増加
- ジャッカル、クマ、その他の敵の悪党のギャラリー
- クラウドの防御者とエンジニアにとって多様性が鍵
クラウドセキュリティの見通しは暗い
CrowdStrike のレポートでは、特定された多数の新たな脅威アクターに加えて、アイデンティティベースの脅威、クラウドの悪用、国家によるスパイ活動、以前に修正された脆弱性を再び武器とする攻撃の急増も特定されています。
また、クラウドストライクのインテリジェンス担当上級副社長アダム・マイヤーズ氏によると、クラウドの悪用は3倍に増加し、脅威アクターはコンテナやクラウド運用の他のコンポーネントへの侵入に重点を置いているという。
「これは大幅な増加だ」とマイヤーズ氏は述べ、昨年は「クラウド志向の攻撃者」が288%増加したこと、そして企業のクラウドネイティブプラットフォームへの構造的な移行がハッカーにとって環境を魅力的なものにしていると指摘した。
「15年前、Macは他のどのコンピュータよりも安全でした。その理由はMacが本質的に安全だったからではなく、市場におけるシェアが小さかったため、攻撃者が優先的に攻撃しなかったからです」とマイヤーズ氏は述べ、クラウドも同様の状況だと付け加えた。「Macは存在していましたが、攻撃者にとって攻撃の利益にはなりませんでした。」
「今日では、クラウド セキュリティはすぐに利用できます。ただし、継続的に監視し、変更やカスタマイズを行う必要があり、組織のクラウド対応のセキュリティ体制が変わります。」
CrowdStrike によると、クラウドを重視する攻撃者は、有効なアカウントを使用したり、パスワードをリセットしたり、システムに永続化するように設計された Web シェルを配置したりして、最初にクラウド アクセスを取得し、その後、資格情報とクラウド プロバイダーのインスタンス メタデータ サービスを介してアクセスを取得しようとします。
多くの場合、脅威アクターはアカウントへのアクセスの削除、サービスの停止、データの破壊、リソースの削除といった悪意のある行為を行っていました。報告書では、以下の点が明らかになりました。
- サイバー攻撃の 80% は、正当な認証情報を侵害し、検出を回避しようとするために、アイデンティティベースの手法を使用しました。
- アクセス ブローカー サービスの広告は、前年比 112% 増加しました。これは、脅威の攻撃者へのアクセス販売に関わる電子犯罪の脅威状況の一部です。
防御側がマルウェアをスキャンすることで、データの抽出が容易になる
CrowdStrikeのサイバーセキュリティ調査では、昨年、マルウェアの使用からの継続的な移行が追跡されており、マルウェアを使用しないアクティビティは2022年に全検出数の71%を占め、2021年の62%から増加しています。これは、攻撃者が被害者の環境へのアクセスと持続性を容易にするために、有効な認証情報を頻繁に悪用していることに一部関連しています。
クラウドネイティブの観測可能性企業クロノスフィアのCEO、マーティン・マオ氏は、エンドポイントのリアルタイム監視が普及したことにより、マルウェアの挿入はそれほど魅力的ではなくなったと述べた。
「マルウェアの監視は今やはるかに容易になっただけでなく、こうした攻撃を解決するための標準化されたソリューションが存在し、攻撃を軽減するためのネットワーク インフラストラクチャも提供されている」とマオ氏は述べた。
先週、2500万人のユーザーを抱えるパスワード管理ソフトLastPassへの攻撃が明らかになったことは、ソーシャルエンジニアリングや、通常はマルウェアが狙わない脆弱性を突いたデータ窃盗犯からの防御の難しさを如実に物語っています。この攻撃は、同じ攻撃者によるLastPassへの2度目の攻撃であり、従業員の自宅パソコンのメディアソフトウェアの脆弱性を狙った攻撃によって、暗号化されていない大量の顧客データが攻撃者に流出したため、可能となりました。
「認証情報の漏洩をどうやって検知するんですか?」とマオ氏は言った。「それを見つける方法はありません。私たちには知る術もありません。攻撃範囲が広大で、監視がほぼ不可能なのも一因です。」
サイバー犯罪者はランサムウェアから恐喝目的のデータ窃盗に移行している
CrowdStrike の計算によると、昨年、データの盗難や恐喝を行う攻撃者の数は 20% 増加しました。
クラウドストライクが「スリッパリー・スパイダー」と名付けた攻撃者は、2022年2月と3月に、Microsoft、Nvidia、Okta、Samsungなどの企業を標的としたデータ窃盗や恐喝を含む、注目を集める攻撃を仕掛けた。このグループは、Telegramの公開チャンネルを利用して、被害者のソースコード、従業員の認証情報、個人情報などのデータを漏洩した。
CrowdStrikeによると、別のグループ「Scattered Spider」は、顧客関係管理(CRM)とビジネスプロセスアウトソーシングを標的としたソーシャルエンジニアリング攻撃を仕掛け、フィッシングページを利用してOkta、VPN、エッジデバイスの認証情報を入手していた。Scattered Spiderは、標的に多要素認証コードを共有させたり、通知疲れを起こさせたりしていた。
「データ脅迫はランサムウェアの展開よりもはるかに簡単です」とマイヤーズ氏は述べた。「マルウェアは定義上、悪意のあるコードですが、検出されるリスクはそれほど高くなく、企業にはそれを検出するためのツールがあります。つまり、その重労働から解放されるのです。」
参照:新たな国家サイバーセキュリティ戦略:回復力、規制、連携、そして攻撃者にとっての課題(TechRepublic)
ゼロトラストはマルウェアフリーの反乱の鍵
脅威の主体がランサムウェアからデータ窃取へと移行しているのは、ハクティビスト、国家機関、サイバー犯罪者の世界におけるバランスの変化を反映している。マイヤーズ氏によると、多くの企業がエンドポイントやその他のインフラの有利な地点に強力なマルウェア対策を講じているため、マルウェア攻撃を仕掛けるよりもデータを奪う方が簡単だ。また、データの強奪はロックされたシステムと同じくらい強力な身代金要求の動機になると付け加えた。
「データ恐喝を行う犯罪者は、ランサムウェアの背後にある計算をまさに変えつつあります」とマイヤーズ氏は述べた。「データは組織にとって最も重要なものです。そのため、例えば組織や国家を混乱させるためにデータを漏洩すると脅迫するなど、情報を武器化する人々がいる世界に対して、これまでとは異なる視点を持つ必要があります。」
マイヤーズ氏は、ゼロトラストこそがこの傾向に対抗する方法だと述べた。アクセスを最小限に抑えることで、インフラセキュリティの「信頼してから検証する」モデルを逆転させ、最も弱いアクセスポイント(認証済みの従業員であっても騙される可能性がある)にチェックポイントを増やすことで、攻撃者による横方向の移動がはるかに困難になるからだ。
ハクティビスト、国家主体、サイバー犯罪者の世界的な増加
マイヤーズ氏によると、CrowdStrikeはシリア、トルコ、コロンビアを既存の攻撃者のホスト国リストに追加した。マイヤーズ氏によると、インタラクティブな侵入は昨年全体で50%増加したという。これは、人間の攻撃者がアンチウイルスやマシン防御を回避しようとする傾向が強まっていることを示唆している。
参照: LastPass が新たなセキュリティインシデントの開示と推奨事項を発表(TechRepublic)
調査結果の中には、Log4Shell などのレガシー脆弱性が、ProxyNotShell や Follina と並んで、国家間のつながりや電子犯罪の敵対者がパッチを回避し、緩和策を回避したことで広く悪用されたことが含まれていた。これは、Microsoft の 28 件のゼロデイ脆弱性と 1,200 件のパッチのうちの 2 件に過ぎない。
注目すべき点:
- 中国関連のスパイ活動は、世界の全39産業分野と20の地理的地域で急増した。
- 脅威アクターの攻撃速度は加速しており、電子犯罪の平均ブレイクアウト時間は現在 84 分で、2021 年の 98 分から短縮されています。CrowdStrike の Falcon チームは、攻撃者が最初に侵害を受けたホストから被害者の環境内の別のホストに横方向に移動するのにかかる時間としてブレイクアウト時間を測定しています。
- CrowdStrike は、被害者にマルウェアをダウンロードさせるフィッシングや、多要素認証を回避するための SIM スワッピングが増加していると指摘した。
- CrowdStrikeは、ロシアと関係のある攻撃者が諜報活動戦術や偽のランサムウェアさえも利用しているのを確認しており、これは破壊的な活動が政治的にリスクが高いと考えられる分野や地域を標的とする範囲を拡大しようとするクレムリンの意図を示唆している。
ジャッカル、クマ、その他の敵の悪党のギャラリー
CrowdStrikeは、新たに追跡対象となった攻撃者を含め、現在200以上のアクターを追跡していると述べています。新たに追加された攻撃者のうち20以上は電子犯罪を手掛ける攻撃者で、中国とロシアの攻撃者も含まれています。CrowdStrikeがBuffalo(ベトナム)、Crane(大韓民国)、Kitten(イラン)、Leopard(パキスタン)、ハクティビスト集団Jackalに加え、トルコ、インド、ジョージア、中国、北朝鮮の攻撃者も含まれています。
CrowdStrikeはまた、ロシア・ウクライナ紛争の最初の年に、Gossamer Bearという攻撃者が、政府の研究機関、軍事供給業者、物流会社、非政府組織を標的にして、認証情報のフィッシング攻撃を実行したと報告した。
クラウドの防御者とエンジニアにとって多様性が鍵
攻撃者は、クラウド環境に侵入し、水平展開するために、様々なTTP(戦術、技術、プロセス、手順)を駆使しています。実際、CrowdStrikeは、最初のクラウドアクセスにおいて、有効なクラウドアカウントと公開アプリケーションの両方が利用されるケースが増加していることを確認しました。また、クラウドインフラストラクチャの検出や有効な高権限アカウントの利用よりも、クラウドアカウントの検出を目的とする攻撃者が増加していることも報告しています。
クラウド インフラストラクチャとアプリケーションに取り組むエンジニアは、セキュリティだけでなく、ビジネスや企業のクラウド システムを管理、計画、設計、監視する方法を理解し、ますます多才になる必要があります。
クラウド エンジニアリングの責任とスキル セットについて詳しくは、TechRepublic Premium のクラウド エンジニア採用キットをダウンロードしてください。
次に読む:従来のセキュリティツールではランサムウェアから企業を保護できない理由(TechRepublic)
