攻撃者は何曜日にランサムウェアを仕掛けるのか？ 2023年上半期Sophosレポートが公開：セキュリティニュースアラート

Sophosは2023年上半期のサイバーセキュリティ分析レポートを発表した。サイバー侵害の根本原因やサイバー攻撃が活発化する時間帯、ランサムウェア攻撃の最新動向などが明らかにされた。

[後藤大地，有限会社オングス]

　Sophosは2023年8月23日（現地時間）、2023年上半期に発生したサイバー攻撃の分析結果を「Active Adversary Report」として公開した。

　組織のセキュリティ戦略を運用する担当者を対象としたレポートで、担当者が最適なセキュリティ戦略を立案して展開するために役立つ情報を提供することを目的としている。

Sophosは2023年上半期に発生したサイバー攻撃の分析結果を「Active Adversary Report」として公開した（出典：SophosのWebサイト）

ランサムウェア攻撃が急増している曜日も判明

　報告されている主な内容は以下の通りだ。

• 初期アクセスリストのトップは外部リモートサービスおよび有効なアカウントの悪用だった。次に公開アプリケーションの悪用が続いている。これまでは脆弱（ぜいじゃく）性の悪用がサイバー攻撃の根本原因の首位になることが多かったが、今回はその動向が逆転して資格情報の窃取が1位となった
• 資格情報の侵害は多要素認証（MFA）の欠如によって簡単に発生するようになる。業界としてMFAを導入することで問題を低減できることは知られているが、実際にはこれを優先する組織が少なすぎるという状況がある
• 今回の調査では資格情報の侵害が初期アクセスリストのトップに入り、エクスプロイトは1位の座を譲ったものの、サイバー攻撃を実行する上で脆弱性が依然として大きな役割を果たしていることに変わりはない。迅速にパッチを適用することの有用性は変わっていない
• ランサムウェア攻撃を仕掛けるサイバー攻撃者は戦術、技術、手順（TTPs）の洗練化を進めており、侵害したサーバに居座る時間をどんどん短くしている。2023年上半期ではランサムウェア攻撃を仕掛けるサイバー攻撃者の滞在時間の中央値は5日間まで減少している。一方、ランサムウェア以外を使うサイバー攻撃者の滞在時間は比較的長く、長く滞留して攻撃のチャンスを探っている
• サイバー攻撃は火曜日や水曜日、木曜日といったように週の半ばに開始される傾向が見られる
• ただしランサムウェアを使ったサイバー攻撃は金曜日に急増しており、会社が休暇に入って技術チームやビジネスリーダーとの連絡が難しいスケジュールを狙ってサイバー攻撃を仕掛けていることがうかがえる
• サイバー攻撃は日中ではなく夜間に実行される
• サイバー攻撃者は積極的に「Active Directory」サーバを侵害している。サイバー攻撃者は「Microsoft Defender」を無効化することに熟練しており、ほとんどのActive DirectoryサーバがMicrosoft Defenderだけで保護されているか全く保護されていないためこの攻撃が有効に機能している。Active Directoryサーバを足場にすることができるとサイバー攻撃者はその能力を大幅に強化できる
• リモートデスクトッププロトコル（RDP）は依然として多くのサイバー攻撃に関与している
• 検出されたサイバー攻撃はランサムウェアを使ったものが最も多く、これにネットワークの侵害やデータ恐喝が続いている。最もアクティブだったランサムウェアグループは上位から順にLockBit、AlphaVM/BlackCat、Royal、Play、CryTOX、Black Basta、Akiraだった
• 最も頻繁に観測されたツールは上位から順に「Netscan」「Cobalt Strike」「Mimikatz」「AnyDesk」「Python」だった
• 最も頻繁に観測された環境寄生バイナリ（LOLBins）は上位から順に「PowerShell」「cmd.exe」「net.exe」「Task Scheduler」「PsExec」だった

　技術リーダーにはセキュリティ戦略を立案し運用するための戦略的な方向性と予算が与えられる。しかし多くの技術リーダーによって予算は決して十分ではなく、限定されたリソースの中で効果的な戦略立案を実施する必要がある。