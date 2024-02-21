毎年、IBM X-Force® のアナリストは、すべてのセキュリティ分野にわたり収集されたデータを評価し、X-Force Threat Intelligence Indexを作成しています。これは、サイバー脅威におけるランドスケープの変化を描き出し、トレンドを明らかにし、クライアントが積極的にセキュリティ対策を講じるのを支援する年次報告書です。2024年版のX-Forceレポートでは、多くの注目すべき調査結果の中でも、セキュリティー専門家やCISOに観察することを促すべき、3つの主要なトレンドが浮かび上がりました。
サイバー犯罪者は、目的を達成するために最も抵抗のない道を通ることを好みます。したがって、私たちの研究で初めて、有効なアカウントの侵害が、サイバー犯罪者にとって被害者の環境への都合の良いアクセス手段となったことが懸念されています。有効なアカウントにアクセスするために盗まれた認証情報を使用するケースは、前年比で71%急増し、X-Force® が 2023年に対応したすべてのインシデントの30%を占め、フィッシングと並んで感染経路のトップとなりました。
防御側が検知および防御機能を強化する中、攻撃者は有効な認証情報を取得することが、自分たちの昨年の目標達成のために「より簡単な」手段であることに気づいたのです。大量の有効な認証情報がダークウェブ上で簡単にアクセスできることを考えると、このこと全てが驚くべきこととは言えません。しかし、攻撃者にとってこの「簡単な侵入」は検知するのが困難であり、ネットワーク上の正当なユーザー活動と悪意のあるユーザー活動を区別するために、組織は複雑な対応を必要とします。
添付ファイル、リンク、サービスを介したフィッシングは、2023年にX-Force® によって修復されたインシデント全体の30％を占めましたが、フィッシングの量は2022年から44％減少しました。フィッシングを通じた侵害の観測数が大幅に減少したことは、フィッシング緩和技術の継続的な採用と、攻撃者が有効な認証情報の使用に移行したことの両方を反映していると考えられます。
さらにX-Forceでは、インシデント対応活動中に「Kerberoasting」が100％増加したことにも気づきました。Kerberoastingとは、Kerberosチケットを通してMicrosoft Windows Active Directoryの認証情報を侵害することを目的とした技術です。これは、攻撃者が活動を行うためにアイデンティティーを取得する方法の技術が変化したことを示しています。
これらの変化は、攻撃者が信頼性が高く優先すべき初期アクセス経路として認証情報を評価し直していることを示唆しています。
最大のアクセス手法としての有効なアカウントの悪用に伴って、情報を盗み、認証情報を取得するように設計された、インフォスティーラーとして知られるマルウェアが急増しました。以前はランサムウェアを専門としていたグループがインフォスティーラーに移行したことが観察され、情報窃取マルウェアが266％急増したことがわかりました。
ランサムウェア攻撃は、依然として最も共通する（20％）アクションの対象ではありますが、X-Force® では、企業においてのこの事象が、11.5％減少したことを確認しました。これは、大規模な組織がランサムウェアがデプロイされる前に攻撃を阻止しており、もしランサムウェアが仕掛けられた場合にも、再構築を優先して身代金を支払わない選択をした結果と考えられます。（ランサムウェアの恐喝サイトの分析によると、2023年にはランサムウェアの活動が世界的に実際に増加したというのは、認識しておくべきことです。これは、X-Force® クライアントがランサムウェアイベントの前兆を検知して対応する機能を引き続き改善していることを示していると考えられます。）
X-Force® では、ランサムウェア攻撃の減少を観測していましたが、恐喝を用いた攻撃はここ1年のサイバー犯罪の中心であり続け、これを上回るのは、X-Force® のインシデントで観察された最も一般的な影響であるデータの盗難と漏洩のみでした。例えば、X-Force® は、一般的に使用されているマネージドファイル転送（MFT）ツールであるMOVEitの未知の脆弱性を悪用する、CL0Pランサムウェア・グループの広範なデータ恐喝攻撃に関連する、複数のインシデントに対応しました。
このようなゼロデイ脆弱性は悪名を集めていますが、実際には、ゼロデイ脆弱性が攻撃対象領域に占める割合は非常にわずかで、X-Force® によって追跡された脆弱性全体のわずか3％に過ぎません。2023年には、2022年と比較してゼロデイ脆弱性の数が72％減少し、新たなゼロデイ脆弱性は172件のみでした。ゼロデイ脆弱性の総数は減少しましたが、組織は依然として攻撃対象領域の把握や環境内の脆弱性の特定とパッチ適用を重視し、多くの攻撃を防ぐ必要があります。
昨年は、生成AIが一気に浸透した年として、歴史に残るでしょう。政策立案者、企業幹部、サイバーセキュリティー専門家は皆、オペレーションにAIを導入するプレッシャーを感じています。そして現在、生成AIが急速に導入されており、そのペースは業界がこれらの新しい機能に伴うセキュリティー・リスクを理解する能力を超えています。しかし、AIの導入がクリティカルな量に達すれば、AI全体に共通する攻撃対象領域が現実のものとなり、組織はAI脅威に対して大規模に適応できるようなセキュリティー防御を優先せざるを得なくなります。
この結論に至るため、X-Force® は、過去のサイバー犯罪活動を促進した技術的要因とマイルストーンを反映し、AIの攻撃対象領域の成熟度が示される時期を予測しました。X-Force® は、単一のAIテクノロジーの市場シェアが50％に近づいた場合、あるいは市場が3つ以下のテクノロジーに統合された場合に発生すると予測しています。
また、サイバー犯罪者の間では生成AIを攻撃に利用することの関心の兆候があるにもかかわらず、X-Force® はこれまでに生成AIを利用したサイバー攻撃の具体的な証拠を観察してはいません。フィッシングは、サイバー犯罪者が投資する最初の悪意のあるAIのユースケースの1つになると予想されており、説得力のあるメッセージを作成する時間を数日から数分に短縮するでしょう。直近で、AIを利用した攻撃が報告される可能性は低くく、X-Force® は、エンタープライズ向けAIの導入ペースが成熟するまで、活動の急増は確認されないだろうと考えています。
インフォスティーラーの増加と、初期アクセスを得るために有効なアカウントの認証情報が悪用されることにより、防御側のIDおよびアクセス管理の課題はさらに困難になっています。サイバー犯罪者がアイデンティティーに再び焦点を当てることは、組織の目が届かない場所にあるデバイスにあるリスクを浮き彫りにしており、従業員の優れたセキュリティー習慣を重視し続ける必要があります。認証情報の使い回しやブラウザーの認証情報保存、または個人のデバイスから企業のアカウントに直接アクセスすることによって、侵害されたデバイスから企業の認証情報が盗まれる可能性があります。
「セキュリティーの基本」は「AIを活用した攻撃」ほど注目を集めることはありませんが、企業の最大のセキュリティー問題は、目新しく知られていないものではなく、基本的で既知のプロセスに集約されることに変わりはありません。IDは企業に対して繰り返し使用されており、攻撃者が戦略を最適化するためにAIに投資するにつれて、この問題はさらに悪化します。
X-Force Threat Intelligence Indexは、IBMのクライアント、セキュリティ業界の研究者、政策立案者、メディア、そして広範なセキュリティ専門家やビジネスリーダーのコミュニティに対して、独自の洞察を提供します。
脅威ランドスケープとサイバーセキュリティーの最新傾向に関するレポートの詳細をご覧ください。
IBM X-Force® のアソシエート・パートナーであるKevin Albanoと、FBIサイバー課の監督特別捜査官であるRyan Leszczynskiによるパネルディスカッションについては、レポートをダウンロードしWebセミナーの概要をお読みください。ここでは、調査結果と、進化している脅威に対抗し防御する組織にとって、それが何を意味するのかについて詳しく説明しています。