高度化する初期侵入の手口にどう対応する Mandiantが提案する9つの防御策:セキュリティニュースアラート
Google Cloud傘下のMandiantは、最新の脅威レポート「M-Trends 2025」を発表した。国家支援型の高度な攻撃手法や情報窃取型マルウェアの拡大など、脅威アクターの動向を調査し、組織がやるべき9つの防御策を提示している。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Google Cloudの子会社であるMandiantは2025年4月24日(現地時間、以下同)、サイバー攻撃活動の最新分析レポート「M-Trends 2025」を公開した。Mandiantが毎年発表している同レポートは、2024年1月1日〜12月31日までに実施したインシデント対応を基に脅威動向や攻撃手法の分析、組織向けの実践的な推奨事項を提示している。
脅威アクターの最新動向を踏まえてMandiantが提案する9つの防御策
M-Trends 2025では中国と関連性のあるアクターによる攻撃の高度化が顕著であると指摘されている。これらのアクターは独自のマルウェアエコシステムの構築、ゼロデイ脆弱(ぜいじゃく)性の特定と悪用、botネットのようなプロキシネットワークの活用、エンドポイント検出・対応機能を持たないエッジデバイスやプラットフォームの標的化、カスタム難読化技術の使用など先進的な手法を使い、検知回避や長期間の潜伏を図っている。
レポートでは、高度な攻撃だけでなく、既知の手口を活用したシンプルな侵入も依然として脅威であると報告されている。特に情報窃取型マルウェア(インフォスティーラー)によって盗まれた認証情報を使った初期侵入が増加しており、2024年には初期侵入手法の中で2番目に多い16%を占めた。また、クラウド移行時のセキュリティギャップの悪用や無防備なデータリポジトリーへのアクセスによる認証情報や機密情報の窃取などの手口も確認されている。
その他の主な調査結果は以下の通りだ。
- 2024年に活動していた脅威グループの55%が金銭目的で活動し、年々その数を増やしている。脅威グループの8%はスパイ活動が動機となっている
- エクスプロイト(脆弱性の悪用)では引き続き初期感染ベクトル(33%)が最も多かった。この他、認証情報の窃取が2024年に初めて2番目に多くなった(16%)
- 主な標的対象の業界は金融(17.4%)、ビジネスおよび専門サービス(11.1%)、ハイテク(10.6%)、政府(9.5%)、ヘルスケア(9.3%)などだった
- 2023年の世界全体の平均滞留時間(攻撃者のネットワーク侵入後に、組織によってその存在が検知・対応されるまでの期間)は10日から11日に増加した。外部組織(セキュリティベンダー、顧客など)によって通知された場合の世界全体の平均滞留時間は26日、攻撃者(ランサムウェアのケースなど)から通知された場合は5日、組織内部で不正活動を発見した場合は10日だった
レポートは幾つかの注目すべきトピックについても詳述している。それは以下の通りだ。
- 北朝鮮は偽の身元を使って自国民を遠隔地のIT請負業者として配置し、収益を生み出して国家の資金源としている
- イラン関連の脅威アクターが2024年にサイバー活動を活発化させ、特にイスラエルの組織を標的に多様な手法で侵入の成功率を高めている
- 攻撃者がシングルサインオンポータルのような集中管理型のクラウドベースの権限ストアを狙って広範なアクセス権を取得する動きがある
- 暗号通貨やブロックチェーンなどのWeb3テクノロジーを窃取し、マネーロンダリング、違法行為への資金調達の対象とする攻撃が増加している
M-Trends 2025が示す、企業が今とるべき防御策
M-Trends 2025では推奨策が各所で示されている。組織は次の推奨事項に留意する必要がある。
- 脆弱性管理、最小権限、強化などの基本を重視した階層化セキュリティアプローチを実装する
- 全てのユーザーアカウント(特に特権アカウント)にFIDO2準拠の多要素認証を適用する
- 高度な検出テクノロジーに投資し、堅牢(けんろう)なインシデント対応計画を策定する
- ログ記録と監視を改善し、疑わしい活動を特定して滞在時間を短縮する
- 侵害の兆候を積極的に探索するために脅威ハンティング演習を検討する
- クラウドの移行と展開に強力なセキュリティ管理を導入する
- クラウド環境に脆弱性や誤った構成がないかどうか定期的に評価、監査する
- 従業員(特にテレワーカー)に対する徹底した審査プロセスを実践し、不審な行動を監視し、厳格なアクセス制御を実施することで内部者リスクを軽減する
- 最新の脅威インテリジェンスを常に把握し、それに基づきセキュリティ戦略を調整する。また進化する脅威に対処するためにセキュリティポリシーおよび手順を定期的に確認して更新する
関連記事
Entra IDで大規模なアカウントロックアウトが発生 原因は新機能か?
Microsoft Entra IDで大規模なアカウントロックアウトが発生し、多数の管理者が対応に追われている。原因は新機能「MACE Credential Revocation」によるもので、多要素認証済みのアカウントも被害を受けた。
Fortinet製デバイス1万6000台超がバックドア被害に 急ぎ対策を
Fortinet製デバイス1万6000台以上がシンボリックリンク型バックドアによる侵害を受けたことが分かった。攻撃者は既知の複数の重大な脆弱性を悪用し、SSL-VPNの言語ファイル配信フォルダにリンクを作成して永続的アクセスを得ている。
Fortinet製品群に複数の深刻な脆弱性 急ぎ対応を
Fortinetは、「FortiSwitch」「FortiAnalyzer」「FortiManager」「FortiOS」「FortiProxy」「FortiVoice」「FortiWeb」など同社の製品群に影響を及ぼす複数の重大な脆弱性を修正した。
Appleの悲願がかなう TLS証明書の有効期間が最短47日に短縮へ
Appleが提案したTLS証明書の有効期間短縮案「SC-081v3」が正式に可決した。最大398日だった有効期間は段階的に短縮され、2028年以降は47日となる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
人気記事ランキング
- Excel操作をプロンプトで実行できる「Copilot」の実力
- なぜIT部門は市民開発を嫌うのか? 「“野良化”回避」より重視すべきこと
- マルウェアを呼び込むあるツールとは? 医療業界のセキュリティ実態が判明
- Appleが広範囲にセキュリティ修正を実施 急ぎアップデート対応を
- Zoom Workplace Appsに複数の脆弱性 Windows版を含む全てのバージョンに影響
- NECが仕掛ける“自社ビルSOC”は何がスゴイのか? 新施設をのぞいてみた
- 激化するアイデンティティー狙いの攻撃に対処 CrowdStrikeが新モジュールを提供開始
- なぜ攻撃者は古い脆弱性を好んで狙うのか? 専門家が語る幾つかのワケ
- 生成AIの「PoC地獄」、脱出できない企業の共通点は?
- サイバー攻撃者たちも生成AIが大好き 特に人気のツールとは?
ITmediaはアイティメディア株式会社の登録商標です。