検出回避を狙う攻撃者の動きは加速、防御者がやるべきことは Mandiantが調査を公開：セキュリティニュースアラート

Mandiantは「M-Trends 2024 Special Report」を公開した。サイバー攻撃者は、検出回避に焦点を当ててネットワークに長くとどまることに重点を置いているという。

[後藤大地，有限会社オングス]

　Mandiantは2024年4月23日（現地時間）、サイバー攻撃活動の最新分析レポート「M-Trends 2024 Special Report」を公開した。レポートによると、サイバー攻撃者はますます防御の回避に焦点を当てるようになっており、ネットワークに可能な限り長く存在する能力を高めているという。

M-Trends 2024から判明した攻撃者の最新動向と防御者が実施すべき対策

　Mandiantは同調査で「サイバー攻撃者の試みに対して、防御者が侵害を特定する能力も向上している」と指摘している。サイバー攻撃者による侵害が実行されてから検出されるまでのグローバルな平均滞在時間は、前年調査での16日間から現在は10日間までに短くなった。

　M-Trends 2024 Special Reportで明らかになったその他のデータは以下の通りだ。

• ソーシャルメディアやSMS、その他の通信技術を使用する攻撃者によって、フィッシングが進化している
• 中間者攻撃など多要素認証（MFA）をバイパスする戦術が盛んになっている
• クラウドインフラのターゲット設定や攻撃者によるクラウドリソースの使用などクラウドを標的にした攻撃が増加傾向にある
• レッドチームやパープルチームによる演習の効果を最大限にするためにAIが活用される傾向がある

　M-Trends 2024 Special Reportは地域別のデータもまとめており、日本を含むアジア太平洋地域（JAPAC）における特徴として以下の結果を挙げている。

• JAPAC地域で最も頻繁に遭遇した脅威グループは中国のサイバースパイクラスタ「UNC4841」だった。UNC4841は少なくとも2022年10月から、公共および民間の組織を対象としたキャンペーンで「Barracuda Email Security Gateway」（ESG）アプライアンスのゼロデイ脆弱（ぜいじゃく）性「CVE-2023 2868」を悪用していた。UNC4841は攻撃によって、中国の政治的または戦略的関心事に関連するデータを探索し、抽出したことが観測されている
• 攻撃者の18％は総当り攻撃（ブルートフォース攻撃）を使用して地域内での初期アクセスを獲得していた

　M-Trends 2024 Special Reportはサイバー攻撃者の平均滞在時間の継続的な減少について、「防御者の努力の証であり前向きな傾向だ」と分析している。しかしサイバー攻撃者はこの状況に甘んじているわけではなく、ゼロデイ脆弱性の使用増加やエッジデバイスやその他の技術を通じて検出回避に取り組んでいるため引き続き警戒を強化すべき状況にある。

　Mandiantは「セキュリティチームの防御力をテストするために、レッドチームやその他のエクササイズを実施することに加えて、法務などの関連チームを定期的なテーブルトップエクササイズに関与させ、インシデント対応計画をテストし、年間を通じてそれらの対応計画を定期的に見直すことが重要だ」と指摘した。