2023年版グローバル脅威レポート:サイバー攻撃、
エクスプロイト、マルウェアの動向
2022年からスタートした当社の包括的な脅威レポートは「2022年はサイバーセキュリティをめぐる波乱に満ちた一年だった」という洞察から始まりました。ご存じのように、2023年も波乱に満ちた年でした。現在進行形の紛争に加えて、新たな紛争の発生、クリティカルな脆弱性を突いた大規模なエクスプロイトの出現、サイバー犯罪の脅威の拡大などの出来事が見られました。
当社の2023年版グローバル脅威レポートでは、2023年の攻撃と脅威の動向に関する全データを振り返り、戦術をめぐるインサイトや防御態勢を強化するための戦略的な提言を共有します。
当社の主な調査結果とそれに関連する防御側向けのインサイトを以下にまとめました。2023年に確認された攻撃、エクスプロイト、マルウェア、脅威アクターの詳細な分析については、レポートの全文を参照してください。
防御側のための重要な調査結果とインサイト
| 重要な調査結果 | 防御側向けのインサイト |
|---|---|
| 攻撃は212カ国から発信されました。上位10カ国が悪意のあるトラフィックの77%を占め、中国からの攻撃が急増しました。攻撃の48%はISPが管理するIPから、32%は企業や政府などの組織から、10%はホスティングやクラウドのプロバイダーからでした。これは、直接または「レジデンシャルプロキシ」を介して攻撃を開始するために、侵害されたデバイスを使用するケースが増加している状況を反映しています。 | 発信元の国だけで、特定のIPアドレスのリスクを判断することはできませんが、中国からの攻撃は増加しています。このことは、「中国と取引していない、あるいは中国で事業を営んでいない組織は中国のIPレンジをブロックすれば、SOCのノイズ削減に役立つ」という当社の2022年のメッセージを裏付けています。特にリスクの高い自律システムは、常に慎重に扱う必要があります。
レジデンシャルプロキシ、ISP、そして合法的な組織の侵害されたデバイスが使用されるケースが増加しているため、侵害されたIPアドレスを監視し、自社ネットワーク内の侵害を検出する上で役立つ脅威フィードを最新の状態に保つ必要があります。 |
| 最も攻撃されたサービスタイプはWebアプリケーションで、次がリモート管理プロトコルでした。リモート管理サービスではIoTデバイスに関連した特定のユーザー名が標的になることが多く、Webアプリケーションは脆弱性を悪用したエクスプロイトの標的になるケースが多く見られました。 | Web及びネットワークプロトコルを標的とする攻撃の増加は、脅威アクターが認証情報ベースの攻撃から、境界デバイスやアプリケーションに対するエクスプロイトへと軸足を移していることを示しています。
組織は、サーバ、境界デバイス、ITワークステーション上のアプリケーションなど、アタックサーフェス(攻撃対象領域)全体をカバーするリスク管理と脅威検出のためのテクノロジーを採用する必要があります。 |
| Log4jエクスプロイトの減少が一因となり、ソフトウェアライブラリに対するエクスプロイトは減少しました。ネットワークインフラやIoTデバイスに対する攻撃は増加しました。最も標的となったIoTデバイスは、IPカメラ、ビルオートメーション、NAS(ネットワーク接続ストレージ)でした。悪用された脆弱性のうち、CISAのKEVに登録されているのはわずか35%でした。 | パッチを適用する脆弱性とその時期を決定するにあたっては、現在悪用されている脆弱性を考慮してください。CISAは、悪用された既知の脆弱性の最新カタログを管理していますが、このカタログは悪用された脆弱性を全て網羅しているわけではありません。脆弱性リスクの緩和を優先するには、Vedere Labsの脅威フィードなど、追加の脅威インテリジェンスソースが必要です。 |
| 常に標的になっているOTプロトコルは5つあります。Modbus(攻撃の3分の1)、Ethernet/IP、Step 7、DNP3(それぞれ約18%)、IEC10X(攻撃の10%)です。残りの2%は他のさまざまなプロトコルに分散されていますが、その大部分はBACnetです。ほとんどの攻撃は、産業オートメーションや電力セクターで使用されるプロトコルを標的としています。ビルオートメーションプロトコルに対しては、スキャンよりエクスプロイトが多く見られます。 | OTデバイスとの間のトラフィックの監視は、ITトラフィックの監視と同じように重要です。攻撃者はこのような資産の弱点を常に調査していますが、多くの組織ではOTインフラストラクチャを可視化できていないため、その弱点を認識できません。 |
| エクスプロイトのアクションは、永続化(50%、2022年の3%から増加)、探索、実行に重点が置かれていました。観察されたコマンドのほとんどは一般的なLinuxシステム用ですが、一般的なルーターで動作するネットワークオペレーティングシステムに特化したコマンドもありました。 | 永続化アクションの増加は、最初の侵害後のインシデントの封じ込めと根絶が困難になっていることだけでなく、脅威アクターがシステム内に長く留まろうとしていることも意味しています。このことは、「脅威アクターは最初の侵害の後もターゲットに留まり、さらにツールをダウンロードして実行し、永続化するために時間を費やす必要がある」という当社の2022年のメッセージを裏付けています。このようなアクションの多くは、検出と応答の機会を増やします。 |
| 最も一般的なタイプのマルウェアとしては、トロイの木馬(RAT)とインフォスティーラー(情報窃取型マルウェア)が同率1位でした。ボットネットなどのダウンローダーが3位と4位に入り、仮想通貨マイナーが5位、キーロガーやアドウェアなどの多様なマルウェアがそれに続いています。最もよく見られるマルウェアファミリはAgent TeslaのRAT(16%)、Miraiボットネットの亜種(15%)、Redlineのインフォスティーラー(10%)でした。Cobalt Strikeは依然として最も顕著なコマンド&コントロール(C2)サーバ(46%)であり、Metasploit(16%)と新興のSliver C2(13%)がそれに続いています。C2は米国(40%)が最も多く、次いで中国(10%)、ロシア(8%)となっています。 | 個々のマルウェアのサンプルやファミリーは日々進化を続けていますが、マルウェアの基本的な性質は変わりません。RAT、ボットネット、インフォスティーラー、C2サーバの組み合わせは、今や攻撃者と防御者の双方によく知られています。
常に変化するファイルハッシュやC2 IPだけに頼るよりも、防御側がTTPや異常な動作を検出して探す方がはるかに生産的です。 |
| 脅威アクターの標的は163カ国にのぼりました。最も標的となったのは米国で、168のアクターが米国を狙っていました。2位は英国(88)、次いでドイツ(77)、インド(72)、日本(66)でした。脅威アクターが特に多かったのは中国(155)、ロシア(88)、イラン(45)でした。この3カ国の合計が、当社のデータベースの脅威アクターグループの半数近くを占めています。脅威アクターの主な標的となったのは、政府、金融サービス、メディア、エンターテイメント業界でした。 | 脅威アクターの攻撃元と目標を知れば、戦略的なセキュリティ投資の優先順位を付ける上で役立ちます。
特に、標的になりやすい業界の組織は、特定のセクターを狙ったキャンペーンを監視するために、最新の脅威インテリジェンスに注意を払う必要があります。 |
| 当社が観察した攻撃のほとんどは日和見的ですが、特定のネットワークデバイスを標的にして正確な情報を取得し、マルウェアを送り込むエクスプロイトも見られました。この攻撃では、多くの場合、公開されているPoC(概念実証)スクリプトが使用されています。 | 標的型攻撃は攻撃者が求めているものを自覚しているためにより懸念されますが、日和見攻撃では多くの情報が漏れ、その情報を利用して攻撃者が攻撃キャンペーンを拡大する場合もあります。
既知の脆弱なエッジデバイスなどの「容易に攻撃できる標的」がさらなるネットワーク侵害につながらないよう、脆弱なデバイスを絶えず特定してパッチを適用し、ネットワークをセグメント化してください。 |
まとめ
この包括的なレポートでは、2023年を通して観察した攻撃、エクスプロイト、マルウェアに関するデータを詳細に分析しました。個々の重要な調査結果に加えて、防御側向けのインサイトを慎重に盛り込んでいます。戦略レベルでは、組織が3つの基本的な柱を中心に、サイバーセキュリティの強化に注力するよう強く勧めます。
リスクとエクスポージャーの管理
まず、ネットワークに接続されている全ての資産を徹底的に評価し、セキュリティポスチャー、既知の脆弱性、認証情報、およびオープンポーを精査します。容易に推測できるデフォルトの認証情報を、デバイス毎の強力で一意のパスワードに置き換えることで、堅牢なセキュリティ対策を実装します。使用していないサービスを無効にし、脆弱性には迅速にパッチを適用し、リスクベースのアプローチを採用して脅威を緩和します。部門内だけでなく、企業全体を網羅する自動制御を活用します。このアプローチは、従来のITネットワークにとどまらず、オペレーショナルテクノロジー(OT)ネットワークと各種IoTデバイスにも対応します。
ネットワークセキュリティ
管理されていないデバイスをインターネットに直接公開しないでください。ネットワークセグメンテーションを行ってITデバイス、IoTデバイス、OTデバイスを分離し、ネットワーク接続を特定の管理ワークステーションとエンジニアリングワークステーションに限定します。ITとOTの間だけでなく、各ネットワーク内もセグメント化し、水平展開とデータの持ち出しを防ぐ必要があります。特に即時のパッチ適用が困難な場合は、外部通信パスの制限を実施し、脆弱なデバイスの隔離または封じ込めを緩和制御として採用します。
脅威の検出と対応
IoTやOTに対応したDPI(Deep Packet Inspection)対応の監視ソリューションを活用して、悪意のあるインジケーターと動作を検出し、警告します。脆弱性を悪用したエクスプロイト、パスワードの推測、OTプロトコルの不正使用といった既知の敵対的アクションについて、内部システムと通信を監視します。異常なトラフィックや不正な形式のトラフィックをブロックするか、少なくともネットワークオペレータに警告します。XDR(Extended Detection and Response:拡張検出と応答)ソリューションを検討してください。さまざまなソースからテレメトリとログを収集し、攻撃シグナルを関連付けるため、アナリストの調査に役立ちます。このようなソリューションを活用すれば、企業全体で対応策を自動化できます。
要するに、従来のサイバーハイジーン対策を全ネットワーク資産に対して包括的に適用することが重要です。最新の脅威とビジネスインテリジェンスに基づいて、特にクリティカルなアタックサーフェスに優先順位を付け、サイバーセキュリティポスチャーを強化してください。