最短7分でシステムに侵入 攻撃者のトレンドは“自動化”から“手動”に?:Cybersecurity Dive
CrowdStrikeの調査によると、サイバー攻撃者はシステム侵入時、攻撃手段を自動化するのではなく手動の戦術を利用するようになってきたという。
セキュリティ企業のCrowdStrikeが2023年8月8日(現地時間、以下同)に発表した「2023 Threat Hunting Report」によると(注1)、サイバー攻撃者は攻撃手段の自動化を避け、手動の戦術を利用して組織のネットワークに侵入し、機密データに迅速にアクセスしているという。
最短7分でシステムに侵入 CrowdStrikeの調査から見えた攻撃者の新たな傾向
CrowdStrikeが「インタラクティブな侵入」と呼ぶ、手動による攻撃は2022年7月1日から2023年6月30日の間に40%増加したことが、調査で明らかになった。サイバー攻撃者はこれらの攻撃の5件に3件以上の割合で、正当なアカウントの認証情報を使用している。
手動による攻撃の標的になりやすい業種は、6年連続でテクノロジー業界だった。CrowdStrikeによると、金融サービス業界を標的とした攻撃は80%増加しており、同業界は2番目に狙われる業界となった。3番目以降には小売業界やヘルスケア業界、通信業界が続いた。
この調査はサイバー攻撃の入り口において、正当な認証情報の役割が非常に大きく、また正当な認証情報を利用した侵入の普及度が高いことを示している。
2023年6月30日までの1年間にCrowdStrikeが調査した侵害のうち、5件に4件の割合で、サイバー攻撃者は流出した正当なアイデンティティー情報を使用していた。また、インタラクティブな侵入の3分の1以上が、ドメインアカウントまたはデフォルトアカウントを使用していることも調査から判明した。
セキュリティベンダーとインシデント対応企業は、報告書で「サイバー犯罪者は正当なアカウントを使用してシステムに侵入し、権限を昇格させ、検出を回避している」と述べている。
CrowdStrikeは「サイバー攻撃者は情報を購入するだけで、最初のアクセス権を簡単に得られるため、正当なユーザーと攻撃者の区別が難しくなっている」と述べている。
サイバー攻撃者は正当なアカウントの認証情報を使用して、重要インフラや州、地方機関への攻撃を実行している(注2)。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の年次リスクおよび脆弱(ぜいじゃく)性評価によると、調査された全ての攻撃の54%が正当なアカウントを利用したものだった。
これらの手動によるサイバー攻撃はますます高速化しており、侵入に要する時間は平均79分という過去最高のスピードに達し、2022年の84分という記録を更新した。CrowdStrikeによると最短の侵入時間はわずか7分だった。
サイバー攻撃者は、アイデンティティーベースの攻撃において、流出した正当な認証情報を使用するだけでなく、他の形式のアイデンティティーと認証情報も活用しており、フィッシングの手口やソーシャルエンジニアリングの技術を改良して、より多くの潜在的な被害者を狙っている。
CrowdStrikeによると、クラウドインスタンスのメタデータAPIを介して秘密鍵やその他の認証情報にアクセスしようとする攻撃者の試みは、年間160%増加しているという。
CrowdStrikeのCounter Adversary Operations部門の責任者であるアダム・マイヤーズ氏は「侵害の阻止について語るとき、サイバー攻撃者による攻撃がより高速化しており、従来の検出方法を意図的に回避するように設計された戦術が採用されているという事実を無視することはできない」と述べた。
(注1)2023 TREAT HUNTING REPORT(CROWDSTRIKE)
(注2)Valid account credentials are behind most cyber intrusions, CISA finds(Cybersecurity Dive)
関連記事
- “地味に嫌な”サイバー攻撃の手口が流行の兆し まずは知ることから始めよう
サイバー攻撃は日々高度化、複雑化しており、想像もつかないような手口で私たちをだまそうとしてきます。今回はJPCERT/CCが注意喚起している奇妙な攻撃について紹介します。 - インシデント対応時間は短縮も…… Log4jの教訓を生かしきれていない企業たち
サイバー攻撃への対応時間は2021年から2022年の間に29日から19日に改善された。これはLog4jの脆弱性の影響が大きいという。 - GRIPS発の「インシデント報告書」は赤裸々に語られた“生きた事例”の宝庫だった
政策研究大学院大学(GRIPS)が不正アクセス被害に関する調査報告書を公開しました。侵害の経緯から原因、対策までを生々しくかつ非常に詳細にまとめています。セキュリティ担当者“必読の書”のポイントをまとめました。 - 「セキュリティ理解ゼロ」の経営層から予算を引き出すには? エンドポイント対策の現在地
企業規模の大小を問わずサイバー攻撃の標的となる可能性が増す一方で、経営層のセキュリティ対策への理解が十分とはいえない企業が多いのが実態だ。予算を確保するために「セキュリティ理解ゼロ」の経営層をいかに説得すべきか。現在押さえるべきエンドポイント対策と併せて、サイバーディフェンス研究所の名和利男氏の提言を紹介する。
© Industry Dive. All rights reserved.