サイバー攻撃の侵入成功から侵害開始までは平均62分–クラウドストライク報告書
今回は「サイバー攻撃の侵入成功から侵害開始までは平均62分–クラウドストライク報告書」についてご紹介します。
関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
クラウドストライクは3月25日、2023年のサイバー攻撃動向を分析した「クラウドストライク 2024年版グローバル脅威レポート」を発表した。サイバー攻撃の侵入成功から侵害開始までは平均62分で、この間の検知や対応が被害抑止では重要になるとしている。
同レポートによると、同社は新たに23のサイバー攻撃組織を特定し、現在は232組織を追跡している。また、クラウド環境の侵害が2022年から75%増加し、クラウドを標的にする攻撃も110%増加した。クラウドを狙う攻撃の84%は金銭目的などのサイバー犯罪だったとする。攻撃者によって窃取された情報が闇サイトなどで暴露される被害に遭った組織も76%増加した。
この日に同社が行った報道機関向けの説明会でプロフェッショナルサービス部 マネージャの加藤義登氏は、2023年の攻撃傾向として、マルウェアなどの不正プログラムを使わない攻撃者の侵入手口がより高度化していることや、攻撃者が標的の組織への侵入に成功して本格的に侵入範囲を広げる(ラテラルムーブメント)まで平均62分であるといった特徴を報告した。
加藤氏によると、攻撃者は初期侵入を図る上で、相手をだますソーシャルエンジニアリングや、システムの脆弱(ぜいじゃく)性の悪用といったさまざまな手口を用いる。これによる攻撃の割合は、2022年の71%から2023年は75%に増加した。地域別では北米が61%、欧州が11%を占め、業界別ではテクノロジーが23%、電気通信が15%、金融が13%を占めていた。
また、加藤氏は、攻撃者の初期侵入からラテラルムーブメント開始までの平均62分の間に、攻撃者の活動の検知と活動を封じ込める対応をできるだけ早く実施することが、被害を抑止する上で鍵になると解説した。なお同社の観測では、最短で2分7秒というケースがあったという。
加藤氏によれば、攻撃者は初期侵入を図るために、まずアイデンティティーや認証関連の情報を狙う。IDとパスワードの組み合わせを総当たりで試行して認証システムを突破する「ブルートフォース攻撃」などが知られるが、現在では突破に成功した組み合わせや、既に盗まれている正規ユーザーの認証情報を攻撃者や犯罪者に売りさばく不正な「アクセスブローカー」も暗躍しているとのこと。同社が2023年に発見した不正な「アクセスブローカー」による広告の掲載は、前年比22%増の2992件だった。
攻撃者は、IDとパスワード以外にもAPIキーやAPIシークレット、セッションCookie、セッショントークン、ワンタイムパスワード、Kerberosチケットといった情報も標的にしているという。2023年には、「Microsoft Teams」のメッセージ機能を悪用して「Microsoft 365」アカウントの多要素認証のトークンを要求する攻撃を実行した「COZY BEAR」や、電話などを使った⾼度なソーシャルエンジニアリング攻撃を展開した「SCATTERED SPIDER」の動きが注目された。
このほかにも、ビジネスでつながりのあるサードバーティーとの信頼関係を悪用する攻撃も目立った。加藤氏によれば、攻撃者は1つの組織で侵入に成功すれば、ビジネスやネットワークでつながるさまざまな組織にも侵入先を拡大できるため、攻撃者にとって効率的であるという。2023年の攻撃では、サプライチェーンに介在して多用は攻撃活動を行う「PANDA」や、ベンダーとユーザーの信頼関係に介在して金銭の要求や諜報活動を行う「LABYRINTH CHOLLIMA」などに動きが見られた。
脆弱なVPN装置などのネットワーク機器やメーカーサポートが終了した製品などを侵入口として狙う「Under the Radar攻撃」も横行したとする。イスラエルとハマスの衝突に便乗したさまざまなサイバー活動も観測したとしている。
2024年の脅威予測については、攻撃者が生成AIなどの先進的なテクノロジーを駆使してより高度な攻撃手法を開発したり、こうしたテクノロジーが一般でも身近に利用できることから、攻撃者の悪用によって攻撃件数が増加したりする状況が懸念されるという。また、2024年は55カ国で大統領選挙や議会選挙などが実施されるため、各国で政治などの醸成に便乗する脅威が拡大する恐れもあるとした。
加藤氏は、こうした脅威や攻撃に対して、あらゆるアイデンティティーの保護を強化することや、クラウド環境で効果的なセキュリティ対策を講じること、マルチクラウド環境などさまざまな領域にまたがる可視性を高めること、AIなどを活用して攻撃者の活動スピードを上回る対応をできるようにすること、組織や人への継続的なセキュリティ教育を実施していくことが重要だと説いた。