最短7分でシステムに侵入 攻撃者のトレンドは“自動化”から“手動”に？：Cybersecurity Dive

CrowdStrikeの調査によると、サイバー攻撃者はシステム侵入時、攻撃手段を自動化するのではなく手動の戦術を利用するようになってきたという。

[Matt Kapko，Cybersecurity Dive]

　セキュリティ企業のCrowdStrikeが2023年8月8日（現地時間、以下同）に発表した「2023 Threat Hunting Report」によると（注1）、サイバー攻撃者は攻撃手段の自動化を避け、手動の戦術を利用して組織のネットワークに侵入し、機密データに迅速にアクセスしているという。

最短7分でシステムに侵入　CrowdStrikeの調査から見えた攻撃者の新たな傾向

　CrowdStrikeが「インタラクティブな侵入」と呼ぶ、手動による攻撃は2022年7月1日から2023年6月30日の間に40％増加したことが、調査で明らかになった。サイバー攻撃者はこれらの攻撃の5件に3件以上の割合で、正当なアカウントの認証情報を使用している。

　手動による攻撃の標的になりやすい業種は、6年連続でテクノロジー業界だった。CrowdStrikeによると、金融サービス業界を標的とした攻撃は80％増加しており、同業界は2番目に狙われる業界となった。3番目以降には小売業界やヘルスケア業界、通信業界が続いた。

　この調査はサイバー攻撃の入り口において、正当な認証情報の役割が非常に大きく、また正当な認証情報を利用した侵入の普及度が高いことを示している。

　2023年6月30日までの1年間にCrowdStrikeが調査した侵害のうち、5件に4件の割合で、サイバー攻撃者は流出した正当なアイデンティティー情報を使用していた。また、インタラクティブな侵入の3分の1以上が、ドメインアカウントまたはデフォルトアカウントを使用していることも調査から判明した。

　セキュリティベンダーとインシデント対応企業は、報告書で「サイバー犯罪者は正当なアカウントを使用してシステムに侵入し、権限を昇格させ、検出を回避している」と述べている。

　CrowdStrikeは「サイバー攻撃者は情報を購入するだけで、最初のアクセス権を簡単に得られるため、正当なユーザーと攻撃者の区別が難しくなっている」と述べている。

　サイバー攻撃者は正当なアカウントの認証情報を使用して、重要インフラや州、地方機関への攻撃を実行している（注2）。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）の年次リスクおよび脆弱（ぜいじゃく）性評価によると、調査された全ての攻撃の54％が正当なアカウントを利用したものだった。

　これらの手動によるサイバー攻撃はますます高速化しており、侵入に要する時間は平均79分という過去最高のスピードに達し、2022年の84分という記録を更新した。CrowdStrikeによると最短の侵入時間はわずか7分だった。

　サイバー攻撃者は、アイデンティティーベースの攻撃において、流出した正当な認証情報を使用するだけでなく、他の形式のアイデンティティーと認証情報も活用しており、フィッシングの手口やソーシャルエンジニアリングの技術を改良して、より多くの潜在的な被害者を狙っている。

　CrowdStrikeによると、クラウドインスタンスのメタデータAPIを介して秘密鍵やその他の認証情報にアクセスしようとする攻撃者の試みは、年間160％増加しているという。

　CrowdStrikeのCounter Adversary Operations部門の責任者であるアダム・マイヤーズ氏は「侵害の阻止について語るとき、サイバー攻撃者による攻撃がより高速化しており、従来の検出方法を意図的に回避するように設計された戦術が採用されているという事実を無視することはできない」と述べた。

（注1）2023 TREAT HUNTING REPORT（CROWDSTRIKE）
（注2）Valid account credentials are behind most cyber intrusions, CISA finds（Cybersecurity Dive）

原文へのリンク