クラウドストライク、「2023年版グローバル脅威レポート」を発表、巧妙な攻撃者によるパッチ適用済みセキュリティプログラムの脆弱性の再悪用やランサムウェア離れが明らかに

クラウドストライク合同会社
SHARE:

新たな攻撃者の登場や中国と関わりのあるスパイ活動の増加により、アイデンティティ脅威・クラウド脅威の急増、ソーシャルエンジニアリングの増加、ブレイクアウトタイムの短縮に拍車

クラウドネイティブのエンドポイント、クラウドワークロード、アイデンティティ、データ保護のリーダーCrowdStrike (NASDAQ: CRWD)の日本法人であるクラウドストライク株式会社(本社:東京都港区、カントリー・マネージャー:尾羽沢 功、以下クラウドストライク)は本日、「2023年版グローバル脅威レポート(2023 CrowdStrike Global Threat Report)(*1)」の公開を発表しました。本レポートは、サイバーセキュリティ業界のリーダーであるクラウドストライクが、現在、世界中で特に脅威度の高い国家主導型攻撃者やサイバー犯罪者(eCrime)、ハクティビストの行動や傾向、戦術の変化を分析した重要な年次レポートで、今回が9回目となります。今回のレポートでは、200以上の攻撃者(*2)(昨年1年間に新たに発見された33の攻撃者を含む)の活動を追跡した結果、アイデンティティベースの脅威やクラウドの悪用、中国と関わりのあるスパイ活動、パッチ適用済みセキュリティプログラムの脆弱性を再悪用した攻撃が急増したことが分かりました。

今年のレポートでは、業界でも有名なCrowdStrike Intelligence(*3)が、CrowdStrike Falconプラットフォーム(*4)で収集した日々の無数のインシデントデータとCrowdStrike Falcon OverWatch(*5)の知見を活用して作成しています。2023年版レポートで注目すべき点は以下のとおりです。

2022年は、検知された攻撃のうち71%がマルウェアフリーで(2021年の62%から増加)、対話型の侵害(ハンズオンキーボード攻撃)が50%増加 – 人間による巧妙な攻撃でウイルス対策をかいくぐり、機械頼みの防御を欺こうとする傾向がいかに強まっているかがうかがえます。
ダークウェブにおけるアクセスブローカー広告が前年比112%増 – 地下経済におけるアイデンティティ情報・アクセス認証情報の価値や需要が高いことがうかがえます。
クラウド悪用が95%増加し、クラウド重視の攻撃者が関係するインシデント数が前年比で約3倍に – クラウド環境がますます狙われやすくなっていることが改めて裏付けられました。
33の撃者が新たに追加 – 1年間の増加数としては過去最大です。この中には最近、通信・BPO・テクノロジー企業を標的にした数々の大規模攻撃(*6)を企て、非常に活発に活動しているサイバー犯罪者グループSCATTERED SPIDER(*7)やSLIPPY SPIDER(*8)も含まれます。
攻撃者がパッチ適用済みセキュリティプログラムの脆弱性を再悪用 – 2021年12月に発覚したLog4Shellの余波でネットワーク荒らしが続いたほか、ProxyNotShellやFollina(2022年にMicrosoftがパッチを発行した900以上の脆弱性と30のゼロデイ脆弱性(*9)のうちの2つ)をはじめとする既知と新規の脆弱性が利用され、修正パッチや緩和策が国家主導型の攻撃者やサイバー犯罪者に広く悪用されました。
サイバー犯罪者が身代金以外の新たな収益源確保に移行 – 2022年は、データ窃盗・強奪作戦を行う攻撃者の数が20%増加しました。
中国と関わりのあるスパイ活動が、世界の39の業種および20の地域のすべてで急増(CrowdStrike Intelligence調べ) – 世界各国そして各バーティカル市場の組織は、中国政府の脅威を警戒する必要があると言えます。
サイバー犯罪での平均ブレイクアウトタイムが84分に – 2021年の98分から短くなり、現在の攻撃者はかなりのスピードで攻撃してくることが明らかになりました。
ロシア・ウクライナ戦争によるサイバー空間への影響は騒がれていたほどではなかったものの、決して小さくはない – 諜報戦術、さらには偽のランサムウェアを活用するロシアと関わりのある攻撃者が急増しました。破壊工作の標的を政治的なリスクがあると思われる業種や地域にも広げようとするロシア政府の思惑がここから垣間見えます。
人間とのやり取りを標的としたソーシャルエンジニアリング戦術の増加 – 多要素認証(MFA)を回避するために、ビッシング(ボイスフィッシング)などの戦術を用いて被害者に対するマルウェアダウンロードの指示や、SIMスワッピングが行われています。

クラウドストライクのインテリジェンス部門責任者、アダム・マイヤーズ(Adam Meyers)は次のように述べています。「セキュリティ業界ではこの1年、珍しい脅威が複合的に躍り出てきました。分裂したサイバー犯罪者グループが巧妙さを増して再登場し、攻撃者はパッチ適用済みや緩和策実施済みの脆弱性を回避して容赦ない攻撃を実行しました。ロシアとウクライナの紛争がもたらす恐ろしい脅威に隠れて中国と関わりのある攻撃者が増え、悪質さの増した工作活動が着々と進んでいます。今の攻撃者はこれまでと比べて賢さや巧妙さが増し、リソースも潤沢になっています。ますます執拗になる攻撃よりも常に一歩先んじるためには、急速に変化する攻撃の手口手法、目的を理解し、最新の脅威インテリジェンスを基にしたテクノロジーを採用する以外にありません」

新しい攻撃者の詳細:
CrowdStrike Intelligenceは新たに33の攻撃者を追跡対象に加え、これにより、追跡対象となる既知の攻撃者の合計は200を超えました。新たに追加された攻撃者のうち20以上はSPIDER(クラウドストライクの命名規則でeCrime攻撃者を意味します)です。ロシア・ウクライナ紛争が始まったこの1年は、新たに追加されたBEAR(ロシアと関わりのある攻撃者)のうちGOSSAMER BEAR(*10)によるクレデンシャル(認証情報)フィッシングが非常に活発になり、政府系研究機関や、軍需企業、物流企業、非政府組織(NGO)が標的になりました。また、DEADEYE HAWK(以前はハクティビスト「DEADEYE JACKAL」として追跡対象になっていたグループ)が、シリアと関わりのある攻撃者として初めて追加されました。

PR TIMESで本文を見る