ニュース
セキュアワークス、「年次レビュー2024年 脅威の実態」の重要トピックスについて解説
ステルス性重視に攻撃がシフト、環境変化に適応し多要素認証も突破
2025年1月21日 06:15
セキュアワークス株式会社は、同社カウンター・スレット・ユニット(以下、CTU)リサーチチームがサイバー脅威の実態を調査した年次レポート「年次レビュー2024年 脅威の実態」の重要トピックス、および2025年に求められるセキュリティ対策について解説する説明会を、1月17日に開催した。
「年次レビュー2024年 脅威の実態」は、2023年7月から2024年6月における、サイバー脅威の傾向や実態について取りまとめた年次レポートで、2024年12月に日本語版がリリースされた。同レポートの情報には、セキュリティプラットフォーム「Taegis」のデータ、インシデント対応やコンサルティング案件から収集したデータ、CTUが日々収集している脅威リサーチのデータが含まれている。
セキュアワークス CTU シニアセキュリティリサーチャーの玉田清貴氏は、今回のレポートのトピックスとして、1)勢いが衰えないランサムウェア、2)認証情報の窃取と脆弱性による侵害、3)MFA回避技術の浸透、4)法執行機関による制裁と新たなランサムウェアグループの誕生、5)ハクティビストによる紛争地域に関連する組織への攻撃、6)ステルス化が進む国家支援の攻撃グループ、7)半数以上にのぼる基本的対策が欠如している組織、8)AI技術によるサイバー攻撃の効率化――の8つのポイントを挙げた。
そして、レポートの中から、特に日本に影響を及ぼす動きにフォーカスを当て、「移り変わる攻撃者、見えなくなる攻撃」をテーマに、中国の国家支援グループによる攻撃の変化について解説した。
従来まで、中国の国家支援グループは、検知や身元の特定を無視し、目的達成を重視したSmash-and-Grab攻撃(ショーウィンドウ破りの強盗)を実施していたが、最近ではステルス性の高いサイバー諜報活動にシフトしているという。
この背景について玉田氏は、「中国に対する法執行機関による訴追やセキュリティベンダーによる検知対応に加え、欧米諸国の戦略的な中国系企業や製品の締め出しによって経済的にも影響が出てきたことから、衆目を避けるため、中国政府が傘下のグループにステルス性の重視を呼び掛けた可能性がある」と指摘する。
具体的には、ドメインフロンティングやトンネリング技術を利用した検知・ブロック回避、ホスティングサービスや侵害した正規サーバーを利用したインフラの匿名化など「秘匿性を重視したインフラと通信の活用」。ペネトレーションテストツール、プロキシ・トンネリングツールなど「フリーツール・商用ツールの活用」。環境寄生型(Living-off-the-land)の攻撃やDLLサイドローディング、サプライチェーンの悪用による「セキュリティ製品の検知回避」。セキュリティ製品の無効化やログなどの削除による「証拠隠滅」といった攻撃手法が確認されているという。
代表的な諜報活動の事例としては、高機能マルウェア「Hemigate」を用いた活動を紹介。「Hemigateによる諜報活動では、一帯一路構想に関連する国(台湾、フィリピン、マレーシア、南アフリカ)や主要な経済競争国(ドイツ、米国)など、経済政策に深く関連する国の政府やテクノロジ業界が標的にされている。ステルス性を重視したHemigateには、マルウェア本体の実行前から検知を回避する工夫がちりばめられており、標的に気づかれないように情報窃取、遠隔操作、セキュリティ製品の無効化が行われている」とした。
また、「移り変わる攻撃者、見えなくなる攻撃」に関して、ランサムウェアエコシステムの変化についても説明。「LockBitとALPHV/BlackCatを対象とした法執行機関による制裁が行われた後、リブランディングして活動するランサムウェアグループや新たに活動を始めたランサムウェアグループが増加した。その戦術についても、従来の暗号化による金銭奪取から、ステルス性を重視した情報窃取へと移り変わってきている。一方で、ランサムウェアの被害者は変わらず脆弱な組織・拠点が優先的に狙われている。実際に、当社が対応したインシデントを見ても、その多くは脆弱な海外拠点・グループ会社経由となっている。国内本社のセキュリティ対策は万全でも、海外拠点やグループ会社までは徹底できていないのが実情である」と訴えた。
次に、セキュアワークス CTU シニアセキュリティリサーチャーの中津留勇氏が、「変化する環境、それに適応する攻撃」をテーマに、北朝鮮のサイバー攻撃の現状、および多要素認証を突破する攻撃技術について解説した。
北朝鮮は、独特な戦術・技術・手順で金銭獲得を狙っており、システムの乗っ取りを得意としている。「最近の動きとしては、企業の採用プロセスにおいて転職希望者や雇用主を狙った攻撃がメディアに取り上げられてる。例えば転職希望者に対して、LinkedInでのヘッドハントに見せかけ、スキルチェックの際にマルウェアをダウンロード・実行させている。また、北朝鮮の攻撃グループは、開発者や開発環境を理解し適応・侵害する能力に非常に優れている。暗号通貨のマルチシグの仕組みも完全に把握しており、マルウェア感染を起点に不正な処理を成功させ、暗号通貨を窃取している」という。
「こうした開発環境を侵害するサイバー攻撃では、自社Webサイトに導入している他社サービスや、業務で使用する他社ソフトウェアが改ざんされ、Webサイト訪問者やユーザー組織に影響が及ぶケースも出てきている。そのため、インシデントが発生した際には、自社システムだけでなく、サービス提供者まで巻き込んで調査を行い、責任を追及することが必須になる」との見解を述べた。
多要素認証を突破する攻撃技術については、「近年、サイバー攻撃者にとって、組織内部への侵入起点となる認証情報の価値が高まっており、実際にMicrosoft 365へのアクセスを狙うフィッシング詐欺も増加してきている。フィッシング詐欺への対策としては多要素認証が推奨されているが、最近では多要素認証を突破する攻撃技術が浸透し始めている。具体的には、何度もログイン承認要求を送り、ユーザーが誤って承認するのを待つ『MFA疲労(MFA fatigue)』、フィッシングサイトで多要素認証まで完了させ、そのセッション情報を取得する『Adversary-in-the-Middle(AiTM)』、電話など音声による直接的な誘導で認証させようとする『Vishing』が確認されている」と説明した。
「年次レビュー2024年 脅威の実態」のレポート結果を踏まえ、中津留氏は、2025年に求められるセキュリティ対策として「サイバーセキュリティの越境学習」が重要であると提言。「テイクダウンや政策の変化で移り変わる攻撃者は、攻撃方針をステルス性重視に切り替えている。また、変化する対策や複雑な環境を理解する攻撃者は、それぞれの環境に適応した攻撃を展開しつつある。こうした攻撃者に対しては、自組織だけに閉じないセキュリティ対策の推進が必要だ。関連会社全体でセキュリティ対策を統合し、越境学習によって、脅威インテリジェンスを共有することで攻撃者をあぶり出すことが可能になる。そして、他者から学びながらセキュリティ対策を自組織に適応させることが対策のポイントになる」と述べた。
