ニュース
攻撃者は何曜日にランサムウェアを仕掛けるのか? 2023年上半期Sophosレポートが公開:セキュリティニュースアラート
Sophosは2023年上半期のサイバーセキュリティ分析レポートを発表した。サイバー侵害の根本原因やサイバー攻撃が活発化する時間帯、ランサムウェア攻撃の最新動向などが明らかにされた。
Sophosは2023年8月23日(現地時間)、2023年上半期に発生したサイバー攻撃の分析結果を「Active Adversary Report」として公開した。
組織のセキュリティ戦略を運用する担当者を対象としたレポートで、担当者が最適なセキュリティ戦略を立案して展開するために役立つ情報を提供することを目的としている。
ランサムウェア攻撃が急増している曜日も判明
報告されている主な内容は以下の通りだ。
- 初期アクセスリストのトップは外部リモートサービスおよび有効なアカウントの悪用だった。次に公開アプリケーションの悪用が続いている。これまでは脆弱(ぜいじゃく)性の悪用がサイバー攻撃の根本原因の首位になることが多かったが、今回はその動向が逆転して資格情報の窃取が1位となった
- 資格情報の侵害は多要素認証(MFA)の欠如によって簡単に発生するようになる。業界としてMFAを導入することで問題を低減できることは知られているが、実際にはこれを優先する組織が少なすぎるという状況がある
- 今回の調査では資格情報の侵害が初期アクセスリストのトップに入り、エクスプロイトは1位の座を譲ったものの、サイバー攻撃を実行する上で脆弱性が依然として大きな役割を果たしていることに変わりはない。迅速にパッチを適用することの有用性は変わっていない
- ランサムウェア攻撃を仕掛けるサイバー攻撃者は戦術、技術、手順(TTPs)の洗練化を進めており、侵害したサーバに居座る時間をどんどん短くしている。2023年上半期ではランサムウェア攻撃を仕掛けるサイバー攻撃者の滞在時間の中央値は5日間まで減少している。一方、ランサムウェア以外を使うサイバー攻撃者の滞在時間は比較的長く、長く滞留して攻撃のチャンスを探っている
- サイバー攻撃は火曜日や水曜日、木曜日といったように週の半ばに開始される傾向が見られる
- ただしランサムウェアを使ったサイバー攻撃は金曜日に急増しており、会社が休暇に入って技術チームやビジネスリーダーとの連絡が難しいスケジュールを狙ってサイバー攻撃を仕掛けていることがうかがえる
- サイバー攻撃は日中ではなく夜間に実行される
- サイバー攻撃者は積極的に「Active Directory」サーバを侵害している。サイバー攻撃者は「Microsoft Defender」を無効化することに熟練しており、ほとんどのActive DirectoryサーバがMicrosoft Defenderだけで保護されているか全く保護されていないためこの攻撃が有効に機能している。Active Directoryサーバを足場にすることができるとサイバー攻撃者はその能力を大幅に強化できる
- リモートデスクトッププロトコル(RDP)は依然として多くのサイバー攻撃に関与している
- 検出されたサイバー攻撃はランサムウェアを使ったものが最も多く、これにネットワークの侵害やデータ恐喝が続いている。最もアクティブだったランサムウェアグループは上位から順にLockBit、AlphaVM/BlackCat、Royal、Play、CryTOX、Black Basta、Akiraだった
- 最も頻繁に観測されたツールは上位から順に「Netscan」「Cobalt Strike」「Mimikatz」「AnyDesk」「Python」だった
- 最も頻繁に観測された環境寄生バイナリ(LOLBins)は上位から順に「PowerShell」「cmd.exe」「net.exe」「Task Scheduler」「PsExec」だった
技術リーダーにはセキュリティ戦略を立案し運用するための戦略的な方向性と予算が与えられる。しかし多くの技術リーダーによって予算は決して十分ではなく、限定されたリソースの中で効果的な戦略立案を実施する必要がある。
関連記事
- ランサムウェアAkiraがCiscoのVPN製品を悪用中 利用者は状況確認を
ランサムウェア「Akira」が初期攻撃ベクトルにCiscoのVPN製品を利用して企業のネットワークに侵入している疑いがある。 - 積水化学の“本気すぎる”セキュリティ対策 リテラシー教育から情報管理体制構築まで
積水化学工業は役員や一般従業員といった非IT従事者に向けて徹底したサイバー演習やリテラシー教育を実施し、強固なリスクマネジメント体制を整えている。同社の事例を紹介しよう。 - 中小企業がゼロから始めるセキュリティ対策 ココだけは死守したい3つのリスク
サプライチェーン攻撃が激化している今、予算やリソースに余裕がない中小企業はこれにどう立ち向かうべきか。中小企業のセキュリティインシデント被害事例と、実態に即した対策を川口設計の川口 洋氏が語った。 - 「身代金を支払った企業の復旧は長引く」ランサムウェア被害の意外な結果
Sophosは最新のランサムウェア攻撃動向をまとめた報告書を公開した。同調査から、企業を取り巻くランサムウェア被害の現状や身代金に関する情報、推奨される対策などが明らかになった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.