2023年9月13日
<<報道資料>>
ソフォス株式会社
ソフォスの調査によって、2023年上半期に、攻撃開始から検知されるまでの滞留時間の中央値が8日間まで短縮されていることが明らかに
~攻撃者は24時間以内に、企業の最も重要な資産であるActive Directoryに到達しており、ランサムウェア攻撃の多くは通常の営業時間外に発生している~
Cybersecurity-as-a-serviceを開発・提供するグローバルリーダー企業のソフォス(日本法人:ソフォス株式会社(東京都港区 代表取締役 中西 智行)は本日、2023年の上半期におけるサイバー攻撃者の行動や攻撃ツールについて詳しく解説した「テクノロジーリーダーのための2023年版アクティブアドバーサリーレポート」を公開しました。Sophos X-Opsは、2023年1月から7月までのソフォスのインシデント対応(IR)の事例を分析し、攻撃者の滞留時間(攻撃が開始されてから検出されるまでの時間)の中央値が、全攻撃で10日から8日に短縮され、ランサムウェア攻撃単体では5日に短縮されていることを明らかにしました。2022年には、滞在時間の中央値は15日から10日に減少しています。
Sophos X-Opsは、企業の最も重要な資産の1つであるActive Directory(以下、AD)に攻撃者が到達するまでの時間が、平均で1日未満(約16時間)になったことも報告しています。ADは通常、組織全体のIDとリソースへのアクセス権限を管理しています。つまり、攻撃者はADを使用すれば、システムの特権を簡単に昇格でき、ログインするだけで、さまざまな悪意のある活動を実行できるようになります。
ソフォスのフィールドCTOであるJohn Shierは、次のように述べています。「攻撃者の視点では、組織のADインフラストラクチャを攻撃することは理にかなっています。ADは通常、ネットワークで最も強力な特権管理システムであり、攻撃に悪用できるシステム、アプリケーション、リソース、データへの広範なアクセス権限を提供しています。攻撃者がADを乗っ取ることができれば、組織全体を乗っ取ることが可能になります。ADが攻撃を受けると、権限昇格などの影響が広範囲にわたり、修正にかかる負荷も大きいことから、重要な標的となっています。
攻撃チェーンの中でADサーバーにアクセスして制御することができれば、サイバー攻撃者には多くの利点がもたらされます。そして、検出されることなくネットワークに常駐し、次の攻撃対象を決定できます。そして、準備が整うと、制限を受けることなく組織のネットワークを攻撃できます。
ドメインが侵害されると、完全に回復するまでに長期間にわたって膨大な作業が必要となります。このような攻撃は、組織のインフラストラクチャが依存しているセキュリティ基盤そのものに損害を与えます。ADへの攻撃が成功すると、多くの場合、セキュリティチームはゼロから基盤を構築しななければなりません」
ランサムウェア攻撃の滞留時間も短くなっています。ランサムウェア攻撃は、分析したIncident Response(IR)の事例の中で最多(調査事例の69%)となっていますが、これらのランサムウェア攻撃の滞在時間の中央値はわずか5日でした。ランサムウェア攻撃の81%で、最終的なペイロードは通常の勤務時間外に実行され、平日の勤務時間内に実行された攻撃はわずか5件でした。
検出される攻撃の数は週が進むにつれて増加しています。調査対象となったランサムウェア攻撃でこの傾向は特に顕著になっています。ランサムウェア攻撃の半数近く(43%)が金曜日または土曜日に検出されています。
John Shierは、さらに次のように述べています。「これは自らの成功がもたらした結果なのかもしれません。XDRのようなテクノロジーやMDRのようなサービスが広く採用されるにつれて、攻撃をより迅速に検出する能力も向上しています。検出までの時間を短縮できれば、迅速に対応できるようになり、攻撃者が活動する時間も短くなります。同時に、サイバー犯罪者も攻撃の手口を高度化させており、特に豊富な経験があり、十分な資金があるランサムウェアのアフィリエイトは、防御が強化される中でも、攻撃を加速させています。全体的に見ると、安全性が高まっているわけではありません。
これは、ランサムウェア以外の攻撃の滞留時間が横這いになっていることからも明らかです。攻撃者は今も組織のネットワークへの侵入を続けており、攻撃するまでの時間が差し迫っていないときには、長期間常駐する傾向があります。攻撃を適切に監視していなければ、世界のどのようなツールであっても攻撃を阻止することはできません。サイバー犯罪者よりも一歩先を行く防御を確実に講ずるためには、適切なツールと継続的でプロアクティブな監視の両方が必要です。MDRを利用すると、監視をソフォスにアウトソースすることができ、プロアクティブな監視が可能になります」
「ビジネスリーダーのためのアクティブアドバーサリーレポート」(https://news.sophos.com/ja-jp/2023/08/23/active-adversary-for-tech-leaders-jp/)は、世界各国の25の業界で2023年の1月から7月までに実施されたソフォスのインシデント対応の調査に基づいて作成されています。調査対象となった組織は、6大陸33カ国にまたがります。インシデント事例の88%は、従業員1,000人未満の組織のものです。
また、本レポートは、優れたセキュリティ戦略を運用するための実用的な脅威インテリジェンスと知見をセキュリティ専門家に提供するものです。
攻撃者の行動、ツール、手法についての詳細については、「変化を続ける攻撃期間:テクノロジーリーダーのための2023年版アクティブアドバーサリーレポート」(仮題)をSophos.comから入手してご覧ください。
●詳細情報
* 150件以上のソフォスのインシデント対応事例を分析し、変化を続ける攻撃者の行動、手法、戦術を明らかにした「ビジネスリーダーのための2023年版アクティブアドバーサリレポート」
https://news.sophos.com/ja-jp/2023/08/23/active-adversary-for-tech-leaders-jp/
* ITリーダーとサイバーセキュリティリーダーの視点「サイバーセキュリティの現状2023年版:サイバー攻撃者が防御側組織のビジネスに及ぼす影響」
https://assets.sophos.com/X24WTUEQ/at/kspc35wm6rx3g6kw7sxr6/sophos-the-state-of-cybersecurity-2023-wpja.pdf
* 「ソフォス脅威レポート2023年版」では、サイバーセキュリティに影響を与える可能性のある脅威と傾向について解説しています。
https://www.sophos.com/ja-jp/content/security-threat-report
* Sophos X-Opsのブログ(https://news.sophos.com/ja-jp/category/threat-research/)を購読し、Sophos X-Opsと画期的な脅威リサーチ(https://www.sophos.com/ja-jp/x-ops)の詳細をチェックしてください。
* ランサムウェアの現状2023年版
https://assets.sophos.com/X24WTUEQ/at/3wqtkksqhm96h598btmh39m3/sophos-state-of-ransomware-2023-wpja.pdf
* さまざまなランサムウェア攻撃グループ、TTP、ソフォスの最新のランサムウェア調査を参照できるランサムウェア脅威インテリジェンスセンター
https://news.sophos.com/ja-jp/2022/03/17/the-ransomware-threat-intelligence-center-jp/
●ソフォスについて
ソフォスは、組織をサイバー攻撃から守るDetection and Response (MDR) サービスやインシデント・レスポンス・サービスのほか、幅広いエンドポイント、ネットワーク、電子メール、およびクラウドのセキュリティ技術群を含む高度なサイバーセキュリティ・ソリューションを開発・提供する世界的なリーダーです。ソフォスは、サイバーセキュリティに特化した最大級のプロバイダーとして、全世界で50万以上の組織と1億人以上のユーザーを、アクティブアドバーサリ、ランサムウェア、フィッシング、マルウェアなどから保護しています。ソフォスのサービスと製品は、クラウドベースの管理コンソールSophos Centralに接続され、3つのサイバーセキュリティ専門家チームから構成される脅威インテリジェンス組織であるSophos X-Opsの支援を受けています。Sophos X-Opsのインテリジェンスは、ソフォスの適応型サイバーセキュリティエコシステムのあらゆる場所で最適な形で活用できます。このエコシステムには一元的なデータレイクが含まれ、顧客、パートナー、開発者、他のサイバーセキュリティおよび情報テクノロジーベンダーは豊富なオープンAPIセットを活用して、このデータレイクにアクセスできます。ソフォスは、フルマネージドのターンキーセキュリティソリューションを必要としている組織にサービスとしてのサイバーセキュリティを提供しています。企業や組織は、ソフォスのセキュリティオペレーションプラットフォームを使用して直接サイバーセキュリティを管理することも、脅威の検出や修復についてもソフォスのサービスを利用して社内チームの能力を補完するハイブリッドなアプローチを採用することもできます。ソフォスは、世界各国のリセラーパートナーやMSP(マネージドサービスプロバイダー)から製品およびサービスを販売しています。ソフォスの本社は英国オックスフォードにあります。詳細についてはwww.sophos.com(日本語サイト:https://www.sophos.com/ja-jp.aspx)をご覧ください
●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com
以上
<<報道資料>>
ソフォス株式会社
ソフォスの調査によって、2023年上半期に、攻撃開始から検知されるまでの滞留時間の中央値が8日間まで短縮されていることが明らかに
~攻撃者は24時間以内に、企業の最も重要な資産であるActive Directoryに到達しており、ランサムウェア攻撃の多くは通常の営業時間外に発生している~
Cybersecurity-as-a-serviceを開発・提供するグローバルリーダー企業のソフォス(日本法人:ソフォス株式会社(東京都港区 代表取締役 中西 智行)は本日、2023年の上半期におけるサイバー攻撃者の行動や攻撃ツールについて詳しく解説した「テクノロジーリーダーのための2023年版アクティブアドバーサリーレポート」を公開しました。Sophos X-Opsは、2023年1月から7月までのソフォスのインシデント対応(IR)の事例を分析し、攻撃者の滞留時間(攻撃が開始されてから検出されるまでの時間)の中央値が、全攻撃で10日から8日に短縮され、ランサムウェア攻撃単体では5日に短縮されていることを明らかにしました。2022年には、滞在時間の中央値は15日から10日に減少しています。
Sophos X-Opsは、企業の最も重要な資産の1つであるActive Directory(以下、AD)に攻撃者が到達するまでの時間が、平均で1日未満(約16時間)になったことも報告しています。ADは通常、組織全体のIDとリソースへのアクセス権限を管理しています。つまり、攻撃者はADを使用すれば、システムの特権を簡単に昇格でき、ログインするだけで、さまざまな悪意のある活動を実行できるようになります。
ソフォスのフィールドCTOであるJohn Shierは、次のように述べています。「攻撃者の視点では、組織のADインフラストラクチャを攻撃することは理にかなっています。ADは通常、ネットワークで最も強力な特権管理システムであり、攻撃に悪用できるシステム、アプリケーション、リソース、データへの広範なアクセス権限を提供しています。攻撃者がADを乗っ取ることができれば、組織全体を乗っ取ることが可能になります。ADが攻撃を受けると、権限昇格などの影響が広範囲にわたり、修正にかかる負荷も大きいことから、重要な標的となっています。
攻撃チェーンの中でADサーバーにアクセスして制御することができれば、サイバー攻撃者には多くの利点がもたらされます。そして、検出されることなくネットワークに常駐し、次の攻撃対象を決定できます。そして、準備が整うと、制限を受けることなく組織のネットワークを攻撃できます。
ドメインが侵害されると、完全に回復するまでに長期間にわたって膨大な作業が必要となります。このような攻撃は、組織のインフラストラクチャが依存しているセキュリティ基盤そのものに損害を与えます。ADへの攻撃が成功すると、多くの場合、セキュリティチームはゼロから基盤を構築しななければなりません」
ランサムウェア攻撃の滞留時間も短くなっています。ランサムウェア攻撃は、分析したIncident Response(IR)の事例の中で最多(調査事例の69%)となっていますが、これらのランサムウェア攻撃の滞在時間の中央値はわずか5日でした。ランサムウェア攻撃の81%で、最終的なペイロードは通常の勤務時間外に実行され、平日の勤務時間内に実行された攻撃はわずか5件でした。
検出される攻撃の数は週が進むにつれて増加しています。調査対象となったランサムウェア攻撃でこの傾向は特に顕著になっています。ランサムウェア攻撃の半数近く(43%)が金曜日または土曜日に検出されています。
John Shierは、さらに次のように述べています。「これは自らの成功がもたらした結果なのかもしれません。XDRのようなテクノロジーやMDRのようなサービスが広く採用されるにつれて、攻撃をより迅速に検出する能力も向上しています。検出までの時間を短縮できれば、迅速に対応できるようになり、攻撃者が活動する時間も短くなります。同時に、サイバー犯罪者も攻撃の手口を高度化させており、特に豊富な経験があり、十分な資金があるランサムウェアのアフィリエイトは、防御が強化される中でも、攻撃を加速させています。全体的に見ると、安全性が高まっているわけではありません。
これは、ランサムウェア以外の攻撃の滞留時間が横這いになっていることからも明らかです。攻撃者は今も組織のネットワークへの侵入を続けており、攻撃するまでの時間が差し迫っていないときには、長期間常駐する傾向があります。攻撃を適切に監視していなければ、世界のどのようなツールであっても攻撃を阻止することはできません。サイバー犯罪者よりも一歩先を行く防御を確実に講ずるためには、適切なツールと継続的でプロアクティブな監視の両方が必要です。MDRを利用すると、監視をソフォスにアウトソースすることができ、プロアクティブな監視が可能になります」
「ビジネスリーダーのためのアクティブアドバーサリーレポート」(https://news.sophos.com/ja-jp/2023/08/23/active-adversary-for-tech-leaders-jp/)は、世界各国の25の業界で2023年の1月から7月までに実施されたソフォスのインシデント対応の調査に基づいて作成されています。調査対象となった組織は、6大陸33カ国にまたがります。インシデント事例の88%は、従業員1,000人未満の組織のものです。
また、本レポートは、優れたセキュリティ戦略を運用するための実用的な脅威インテリジェンスと知見をセキュリティ専門家に提供するものです。
攻撃者の行動、ツール、手法についての詳細については、「変化を続ける攻撃期間:テクノロジーリーダーのための2023年版アクティブアドバーサリーレポート」(仮題)をSophos.comから入手してご覧ください。
●詳細情報
* 150件以上のソフォスのインシデント対応事例を分析し、変化を続ける攻撃者の行動、手法、戦術を明らかにした「ビジネスリーダーのための2023年版アクティブアドバーサリレポート」
https://news.sophos.com/ja-jp/2023/08/23/active-adversary-for-tech-leaders-jp/
* ITリーダーとサイバーセキュリティリーダーの視点「サイバーセキュリティの現状2023年版:サイバー攻撃者が防御側組織のビジネスに及ぼす影響」
https://assets.sophos.com/X24WTUEQ/at/kspc35wm6rx3g6kw7sxr6/sophos-the-state-of-cybersecurity-2023-wpja.pdf
* 「ソフォス脅威レポート2023年版」では、サイバーセキュリティに影響を与える可能性のある脅威と傾向について解説しています。
https://www.sophos.com/ja-jp/content/security-threat-report
* Sophos X-Opsのブログ(https://news.sophos.com/ja-jp/category/threat-research/)を購読し、Sophos X-Opsと画期的な脅威リサーチ(https://www.sophos.com/ja-jp/x-ops)の詳細をチェックしてください。
* ランサムウェアの現状2023年版
https://assets.sophos.com/X24WTUEQ/at/3wqtkksqhm96h598btmh39m3/sophos-state-of-ransomware-2023-wpja.pdf
* さまざまなランサムウェア攻撃グループ、TTP、ソフォスの最新のランサムウェア調査を参照できるランサムウェア脅威インテリジェンスセンター
https://news.sophos.com/ja-jp/2022/03/17/the-ransomware-threat-intelligence-center-jp/
●ソフォスについて
ソフォスは、組織をサイバー攻撃から守るDetection and Response (MDR) サービスやインシデント・レスポンス・サービスのほか、幅広いエンドポイント、ネットワーク、電子メール、およびクラウドのセキュリティ技術群を含む高度なサイバーセキュリティ・ソリューションを開発・提供する世界的なリーダーです。ソフォスは、サイバーセキュリティに特化した最大級のプロバイダーとして、全世界で50万以上の組織と1億人以上のユーザーを、アクティブアドバーサリ、ランサムウェア、フィッシング、マルウェアなどから保護しています。ソフォスのサービスと製品は、クラウドベースの管理コンソールSophos Centralに接続され、3つのサイバーセキュリティ専門家チームから構成される脅威インテリジェンス組織であるSophos X-Opsの支援を受けています。Sophos X-Opsのインテリジェンスは、ソフォスの適応型サイバーセキュリティエコシステムのあらゆる場所で最適な形で活用できます。このエコシステムには一元的なデータレイクが含まれ、顧客、パートナー、開発者、他のサイバーセキュリティおよび情報テクノロジーベンダーは豊富なオープンAPIセットを活用して、このデータレイクにアクセスできます。ソフォスは、フルマネージドのターンキーセキュリティソリューションを必要としている組織にサービスとしてのサイバーセキュリティを提供しています。企業や組織は、ソフォスのセキュリティオペレーションプラットフォームを使用して直接サイバーセキュリティを管理することも、脅威の検出や修復についてもソフォスのサービスを利用して社内チームの能力を補完するハイブリッドなアプローチを採用することもできます。ソフォスは、世界各国のリセラーパートナーやMSP(マネージドサービスプロバイダー)から製品およびサービスを販売しています。ソフォスの本社は英国オックスフォードにあります。詳細についてはwww.sophos.com(日本語サイト:https://www.sophos.com/ja-jp.aspx)をご覧ください
●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com
以上