マンディアントは年次脅威レポート「M-Trends 2023」の日本語版を公開した。サイバー攻撃者の最新動向から企業が今やるべきセキュリティ対策がみえてきた。
この記事は会員限定です。会員登録すると全てご覧いただけます。
マンディアントは2023年5月30日、年次脅威レポート「M-Trends 2023」の日本語版を公開した。M-Trends 2023は、2022年1〜12月にかけてMandiantが世界各地で実施した侵害調査や修復対応で得た観測事項に基づき、サイバー脅威に関するデータと専門家の分析結果をまとめたものだ。
同調査から、システム侵入後のサイバー攻撃者の動向や新たなサイバー攻撃のリアルな実態が明らかになった。
サイバー攻撃者は標的のシステムに侵入後、ラテラルムーブメントのように環境内部を掌握するオペレーションを実行する。その兆候をつかみ素早く脅威を検知できるかどうかが被害を抑える上では重要だ。今回のレポートで、セキュリティ侵害が発生してから検知までに要した日数について調査したところ、全世界における中央値は年々減少しており、2021年には21日、2022年には16日まで減少した。
グーグル・クラウド・ジャパンの杉山貴裕氏(マンディアントプリンシパルコンサルタント)はこの結果について「一般論として検知日数は短ければ短いほど、組織におけるセキュリティ検知能力の高さを示します。ただ、注目してほしいのは近年ランサムウェア攻撃が急増している点です。ランサムウェア攻撃は企業データを窃取し、暗号化した後、脅迫を実行します。この攻撃では被害企業が脅迫された際に自然と脅威に気が付くので、検知日数が他の攻撃と比べると短くなりがちです」と話す。
マンディアントは、サイバー攻撃全体での侵害が発生してから検知までに要した日数の中央値の他、サイバー攻撃別でもこの数値を調査した。ランサムウェアの滞留時間を調べたところ2022年の中央値は9日で、2021日の5日から4日増加した。「この調査から、ランサムウェア攻撃は9日で暗号化まで実行しているとみていいでしょう」(杉山氏)。
同レポートはマルウェアファミリーについても調査している。マンディアントは2022年には新たに588のマルウェアファミリーを追跡し、サイバー攻撃者がいかに攻撃で使用するツールを拡大し続けているかを明らかにした。
新たに追跡対象となったマルウェアファミリーのうち、上位5つのマルウェアのカテゴリーは、バックドア(34%)、ダウンローダー(14%)、ドロッパー(11%)、ランサムウェア(7%)、ランチャー(5%)だった。これらのマルウェアのカテゴリーは長年にわたって一貫しており、バックドアが新たに追跡されたマルウェアファミリーの3分の1強を占める状態が続いている。
特に頻繁に確認されたマルウェアファミリーは、多機能バックドア「BEACON」だった。マンディアントによると、BEACONは、中国やロシア、イランなどの国家を後ろ盾とする脅威グループをはじめ、金銭目的の脅威グループ、700以上のUNCグループなど、さまざまな脅威グループによって使用されていたという。BEACONが多用される理由としては、高いカスタマイズ性と使いやすさに起因しているようだ。
その他、M-Trends 2023におけるポイントは以下の通りだ。
杉山氏は今回の調査を受け、企業がやるべきこととして以下のように述べた。
「最新の脆弱性情報をキャッチアップして対応することは非常に重要です。サイバー攻撃者はランサムウェア攻撃を仕掛ける際、特定の企業を標的にするというよりは、狙いやすいところから攻撃を実行します。そのため脆弱性管理やパッチ適用、多要素認証の導入など基本的な対策を講じるだけでもランサムウェア攻撃を防げる可能性は上がります。これを十分に講じた上で、フィッシングやゼロデイ脆弱性といった高度な攻撃に向けた対策に注力しましょう」(杉山氏)
Copyright © ITmedia, Inc. All Rights Reserved.