ニュース

正規アカウントを悪用するインシデントが増加傾向に――、IBM調査

 日本IBM株式会社は25日、「IBM X-Force脅威インテリジェンス・インデックス2024」の日本語版を公開し、その内容について説明会を開催した。同レポートは、IBMコンサルティングのセキュリティサービス部門であるIBM X-Forceが、過去1年間に世界で発生したサイバー脅威の事例や攻撃パターンを分析し、傾向や特徴をまとめたものだ。

 日本IBM IBMコンサルティング事業本部 Cybersecurity Services X-Forceインシデント・レスポンス日本責任者の窪田豪史氏は、2024年の脅威トレンドのハイライトのひとつとして、正規アカウントを狙った攻撃活動が活発になっていることを挙げた。「正規アカウントを悪用するインシデントが世界で71%増加している。アカウントの認証情報を盗まれたインシデントの割合も23%と、去年の11%から2倍以上増加した」と窪田氏は述べている。

2024年脅威トレンドのハイライト

「脅迫」の手法に変化

 攻撃によって組織に生じた影響を見ると、「データの窃取と漏洩」が32%でトップだった。次に多いのが「脅迫」(24%)、そして「認証情報の窃取」(23%)と続く。

 2位の脅迫について窪田氏は、「ランサムウェアを使用しない脅威の手口も見られるようになり、機密情報の窃取に関心を示す動きがある」と語る。事実、企業へのランサムウェア感染インシデントの数は11.5%減少したものの、情報窃取マルウェアを使用したインシデントは266%も増加しているという。

攻撃により組織に生じた影響

 実際に日本でも「データの暗号化を伴わない脅迫の事例があった」と窪田氏は明かす。そういったケースでは、データの暗号化が伴わないためデータ破壊やシステム停止は避けられるが、「痕跡が残らないためデータがどこから搾取されたのか突き止めるのが困難になる」と窪田氏。また、「日本ではテクニカルサポート詐欺も断続的に発生している」と警告した。

日本IBM IBMコンサルティング事業本部 Cybersecurity Services X-Forceインシデント・レスポンス日本責任者 窪田豪史氏

攻撃者が使う手口は「マルウェア」や「正規ツールの悪用」

 攻撃者が用いた手口としては、マルウェアが43%と、引き続き最も一般的な攻撃手段として使われている。マルウェアのうち20%はランサムウェアで、「ランサムウェアのインシデントそのものは減少傾向だが、使われたツールの割合は今でも高い」と窪田氏。

 ランサムウェアに次いで多かったマルウェアは、バックドアが6%、そして情報窃取マルウェアが4%だ。情報窃取マルウェアは、「割合は少ないが昨年より266%増加しているため注意が必要だ」と窪田氏は述べている。

 攻撃者の手口として2位になったのは、正規ツールを悪用するパターンで32%だった。よく確認されるツールとして窪田氏は、脆弱性スキャンツールやファイル転送ツール、リモートアクセスツールなどを挙げた。

攻撃者が用いた手口

ランサムウェアの脅威動向

 今回のレポートでランサムウェアの感染インシデント自体は減少しているが、「この数字はIBM X-Forceがインシデント対応をした件数がベースになっているため注意が必要だ。当社の顧客はランサムウェア対策が進んでおり、対応が必要なインシデントが起こりづらくなっている」と窪田氏は指摘、「ランサムウェアの活動自体は拡大しているため、引き続き対策を進めてもらいたい」と述べている。

 また、ランサムウェアの初期侵入から暗号化までの平均時間は3.84日(92.2時間)で、「2019年ごろには暗号化まで2ヶ月以上かかっていたが、近年この時間がかなり短くなっている」と窪田氏。特に、侵入後に管理者権限を取得してからデータを持ち出すまでの時間が大きく短縮されており、「検知後の迅速な対応がより重要になる」とした。

ランサムウェアの脅威動向

正規アカウントを不正に利用して侵入

 初期侵入経路については、正規アカウントを不正利用するケースが30%で、昨年の16%から大幅に増加した。その背景について窪田氏は、「企業の対策が強化され、外部から脆弱性を悪用して侵入することが困難になったこともあるが、一方で、ダークウェブなどで正規アカウントが入手しやすくなっているのではないか」と推測している。

 正規アカウントの不正利用と同率の30%だったのが、フィッシングによる侵入だ。昨年はマルウェアEmotetによる大規模感染の影響が大きく、前年比では割合が低くなったが、「今回はそのような大規模攻撃がなかったものの、引き続き30%はフィッシングによるものなので注意が必要だ」(窪田氏)としている。

 侵入経路として次に多かったのが、インターネットに公開されたアプリケーションの脆弱性を悪用するケースで29%だった。グローバルでは、MOVEitやGoAnywhereといったマネージドファイル転送ツールの脆弱性による影響が多かったが、日本ではVPN機器の脆弱性を悪用する事例が目立ったという。

初期侵入経路

AIを利用した脅威は未確認

 明確にAIを利用したと断定できるキャンペーンは、X-Forceでは確認しておらず、「AIにまつわる脅威はまだ本格化していない」と窪田氏。ただし、ダークウェブフォーラムではAIやGPTに関する投稿が80万以上にのぼるなど、「攻撃者がAIに興味を示していることは事実で、攻撃者向けの大規模言語モデルも存在することから、状況には注目し続ける必要がある」と話す。

 X-Forceでは、過去のさまざまな技術の市場状況と攻撃の広がりを分析した結果、「あるテクノロジの市場シェアが50%程度に近づくか、市場が集約されて3つ以下のテクノロジに統合されると、大規模な攻撃が発生する可能性が高まる」としており、「そのタイミングで攻撃が加速するのではないか」と窪田氏は述べている。

攻撃から身を守るには

 最後に窪田氏は、攻撃から身を守るための推奨事項として、以下の6点を挙げた。

1.ツールの導入や強固な認証方式により、認証情報収集のリスクを減らすこと
2.ダークウェブに掲載された自組織の情報を把握し、その対応能力を高めること
3.アカウントの不正利用やデータ侵害といったインシデントの影響を最小限に抑える施策を取ること
4.アプリケーションやネットワーク、ハードウェアなど、あらゆる資産をテストし脆弱性を特定すること
5.組織の環境に合わせたインシデント計画を作成して訓練し、インシデントの発生に備えること
6.AIの基礎とモデルを取り巻くインフラを保護し、ガバナンスを確立して運用上の安全対策をAI戦略の中心に置くこと

 日本IBM 理事 パートナー IBMコンサルティング事業本部 Cybersecurity Servicesの藏本雄一氏は、「インシデントの発生をゼロにすることは困難なため、その確率を低下させ、インシデントが発生しても即座に業務復旧できるよう準備することが重要だ。また、インシデントレスポンスの優先度を高めるとともに、侵入テストを実施しセキュリティレベルをチェックしてもらいたい。さらに、従業員に起因するインシデントを減少させるため、従業員の教育にも注力してほしい」と述べた。

日本IBM 理事 パートナー IBMコンサルティング事業本部 Cybersecurity Services 藏本雄一氏