セキュアワークスは1月19日、「2022年度サイバー脅威の実態(The State of the Threat)」レポートを発表した。米国で2022年10月に発表された報告書の日本語版で、2021年6月~2022年6月の1年間における「Secureworksカウンター・スレット・ユニット(CTU)が攻撃者のツールと行動に関して直接確認した結果を中心に、過去12カ月に世界のサイバーセキュリティ脅威動向がどのように変化したのかを解説した。
セキュアワークス 戦略プログラムディレクター/Director of Strategic Programs, Taegis Japanの三科涼氏
まず概要を説明した戦略プログラムディレクター/Director of Strategic Programs Taegis Japanの三科涼氏は、同レポートについて「(同社のXDRプラットフォームの)『Taegisプラットフォーム』のデータ、インシデント対応(1400件以上)、コンサルティング案件およびCTUによる脅威リサーチを情報源として、ダークウェブ監視、ボットネット追跡、各インテリジェンス機関との連携による情報なども含まれると紹介した。
2022年のグローバルでのサイバー脅威の実態ハイライトとして、「主要な侵入方法が認証情報ベースの攻撃から脆弱性悪用へ変化」「ランサムウェア実行手段で情報窃取マルウェアの使用が増加」「最大の脅威であるランサムウェアに関する攻撃グループや攻撃手法の変化」「ローダーの変化と新たなローダーの出現」「世界各地の政府支援の攻撃グループが用いるツールと戦略」の5点を挙げた。
セキュアワークス カウンター・スレット・ユニット シニアセキュリティリサーチャーの中津留勇氏
続いてCTU シニアセキュリティリサーチャーの中津留勇氏が、「コスパ重視のサイバー犯罪が目立った2022年」という視点で説明した。同氏は、Ransomware as a Service(RaaS)などの形で、攻撃者の分業化/エコシステム構築が進行した現状を「それぞれが得意分野を生かしてコストを減らしながら成功率を上げていく」取り組みだと位置付けた。
また、2020年との比較で変化が見られたポイントには、デバイスの脆弱性悪用の増加を挙げ、2020年までは何らかの手段で搾取または推測した認証情報(IDとパスワードの組み合わせ)」を利用した侵入が主だったのに対し、2021年には脆弱性の悪用が多く見られるようになったという。
侵入手法の主流が個別のアカウント搾取から脆弱性悪用にシフト
この理由について中津留氏は、「1つの認証情報は1つの組織に有効なだけだが、1つの脆弱性は複数組織で流用できる」と指摘。攻撃者側にとって、より効率の良い手法が活用される形での変化だとした。ただし、これはグローバルトレンドであり、日本ではまだ認証情報を悪用した侵入が多かったとのこと。侵入成功後に展開される攻撃手法についても、「既存の商用ツールなどを使用してコストを下げている」という。使われる主要なツールはセキュリティベンダーが開発したベネトレーションツールなどで、「2019年以前と変わらない」とし、「特別な学習・開発コストをかけずに攻撃が成功し続けている」(同氏)のが実態だ。
この点に関して中津留氏は、「従来手法の繰り返しで(攻撃に)成功し続けているのは、守る側として防御策が有効になり切れていないという反省がある」としている。なお、攻撃者側は、攻撃が簡単な防御の薄い標的を狙う傾向にあるものの、一般に強固な対策と考えられる多要素認証(MFA)を導入した組織に対する攻撃手法も出現していると紹介した。
「MFA疲労」(Multi-Factor-Authentication fatigue)の攻撃イメージ
1つは「Adversary in the middle」と呼ばれる手法で、「フィッシングサイトなどに入力された情報をリアルタイムに攻撃者が正規サイトに入力する」という、いわゆる「中間者攻撃」(Man in the middle)の手法だ。もう1つは、やや力任せの「MFA fatigue」(MFA疲労)と呼ばれる手法だ。これは、例えばウェブサイトなどへのログインプロセスの際に、いつもとは違うデバイスからのアクセスだと検知された場合に、スマートフォンなどに正当なログインなのかどうかを確認するメッセージを送る仕様になっている場合に、ユーザーが間違って承認してしまうことを期待してログインを繰り返す、というものだという。
ユーザーが「よく見かけるメッセージ」として適切に確認せず、とりあえず「OK」ボタンなどをクリックしてしまうことがある、という隙を突いた攻撃だと言える。こうした手法でアカウントの搾取に成功した事例も報告されているといい、一部サイトでは、単なるボタンのクリックではなく特別な確認メッセージの入力を求めるなど、ウェブサイト側での対策が施される例も出てきているというが、注意が必要だろう。
セキュアワークス カウンター・スレット・ユニット シニアセキュリティリサーチャーの玉田清貴氏
さらに、CTU シニアセキュリティリサーチャーの玉田清貴氏が、「いつ激化してもおかしくない日本を標的とした国家支援の攻撃」というテーマで説明した。従来の地政学的リスクの認識では、日本は周囲を海に囲まれ攻撃されにくい地域だとされてきたが、「サイバー空間は世界中どこでも地続きであり、地理的優位性は無意味」(玉田氏)と指摘する。むしろ中国、ロシア、北朝鮮など国家支援型の攻撃グループの活発な行動が確認されている国家と地理的に近い関係にあることから、「日本は地政学的リスクの高い環境にある」と警告した。
日本を取り巻く地政学的リスクの現状
一方で、中国の支援下の攻撃グループと見られる攻撃に関しては、「2022年は台湾の優先度が高かったため、日本への攻撃は少なかった」(玉田氏)と推測されている。とはいえ、今後の国際情勢の変化に応じて標的が日本にシフトする可能性も指摘されており、同氏は、「2023年は日本の攻撃優先度が上がる」可能性を考慮すべきだとした。
最後に三科氏は、同レポートで分析されたランサムウェアインシデントにおいて、侵入されてから組織内で重要データなど暗号化されるまでの平均時間が4.5日だったと紹介。サイバー攻撃に対する検知力・対応力の強化が不可欠であり、拡張型脅威検知・対応(XDR)ソリューションが対策として有効だとまとめた。
ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)