2024年4月23日
<<報道資料>>
ソフォス株式会社
ソフォス、最新のアクティブアドバーサリーレポートを公開:2023年にSophos Incident Responseチームが対処した攻撃でリモートデスクトッププロトコル(RDP)が悪用された割合は90%に達する
~2020年から公開している過去のアクティブアドバーサリーレポートと比較して、2023年におけるRDPの不正使用は前例のない水準で増加。攻撃者が最初にネットワークを侵害するために最も多く利用した方法は外部リモートサービス~
サイバー攻撃から企業を守る革新的なセキュリティソリューションを開発・提供するグローバルリーダーであるソフォス(日本法人:ソフォス株式会社(東京都港区 代表取締役 中西 智行)は本日、高度なスキルを有し手動で攻撃を実行するアクティブアドバーサリーについて分析した「2024年上半期ソフォスアクティブアドバーサリーレポート」を公開しました。このレポートは、Sophos X-OpsのIncident Responseチームが2023年に対応した150件以上のインシデント対応(IR)ケースを分析し結果をまとめたものであり、サイバー犯罪者が、Windowsシステムでリモートアクセスを確立する一般的な方法であるリモートデスクトッププロトコル(RDP)を悪用する攻撃が90%を占めたことを明らかにしています。ソフォスが2021年にアクティブアドバーサリーレポートの公開を開始して以来、RDPを悪用するケースが最も多く発生しました。
RDPのような外部リモートサービスは、攻撃者が最初にネットワークに侵入するために利用する最も一般的な方法であり、2023年のインシデント対応の65%において、初期アクセスの方法として悪用されていました。2020年にアクティブアドバーサリーレポートの公開を開始してから、外部リモートサービスはサイバー犯罪者による初期アクセスの方法として、最も多く利用されています。防御側の企業は、これらのリモートサービスの管理に優先的に取り組んで、サイバー攻撃のリスクを軽減しなければなりません。
ソフォスのフィールドCTOであるJohn Shierは、RDPなどのリモートサービスのリスクについて次のように述べています。「外部リモートサービスは、多くの企業にとって必要なものですが、大きなリスクがつきまといます。攻撃者は、これらのサービスが脆弱であることを把握しており、ネットワークに侵入するために積極的にこれらのサービスを悪用しています。このリスクを十分に検討して軽減策を講ずることなくサービスを利用していると、必然的にセキュリティが侵害されることになります。攻撃者が、インターネットに直接接続されているRDPサーバーを発見して侵入するまでには時間はかかりません。また、適切な対策を講じていなければ、社内のActive Directoryサーバーにも簡単にアクセスされてしまいます」
Sophos X-Opsが対応したある顧客のケースでは、攻撃者は6か月間で4回もその企業を攻撃することに成功しています。これらの攻撃の起点はすべて、インターネットに接続しているRDPポートになっていました。この攻撃者はネットワークに侵入した後にラテラルムーブメントを行い、悪意のあるバイナリをダウンロードし、エンドポイントプロテクションを無効にし、リモートアクセスを確立していました。
認証情報の侵害と脆弱性の悪用は、依然として最も一般的な攻撃の根本原因となっています。しかし、昨年8月に公開された「テクノロジーリーダー向けのアクティブアドバーサリーレポート」によると、同年の上半期には、認証情報が侵害されるケースが初めて脆弱性を上回り、最も多く発生した攻撃の根本原因となりました。この傾向は2023年の下半期も継続し、認証情報の侵害が一年を通じたインシデント対応ケースの50%以上の根本原因となりました。2020年から2023年までのアクティブアドバーサリーのデータを累積してみると、認証情報の侵害は、一貫して最も多い攻撃の根本原因であり、全インシデント対応ケースの約3分の1に関連しています。長年にわたって、侵害された認証情報がサイバー攻撃に頻繁に使用されているにもかかわらず、2023年にソフォスのインシデント対応チームが対応したケースの43%で多要素認証が構成されていませんでした。
脆弱性の攻撃は、2023年の単年および2020年から2023年までの累積データを分析した結果の両方で、攻撃の根本原因として2番目に多くなっており、インシデント対応ケースの16%と30%をそれぞれ占めていました。
John Shierは、次のように述べています。「リスク管理は攻撃を受ける前に積極的に実施すべきプロセスです。リスクを適切に管理している組織は、適切に管理していない組織よりも、執念深い攻撃者からの絶え間ない脅威に直面した場合でも、サイバー攻撃の被害を軽減しています。セキュリティリスクを管理する上で重要なのは、リスクを特定し、優先順位を付けるだけでなく、情報に基づいて行動することです。しかし、インターネットに直接接続しているRDPなどの特定のリスクは、あまりにも長い間放置されており、組織を悩ませ続けており、攻撃による組織への侵入を簡単に許しています。インターネットに直接接続している脆弱なサービスを減らし、認証を強化することによってネットワークを保護すれば、組織の安全性を全体的に高めることができ、サイバー攻撃を防ぐことが可能になります」
2024年上半期のアクティブアドバーサリーレポートは、世界各国の26の業界における150件以上のインシデント対応の調査に基づいて作成されています。米国、カナダ、メキシコ、コロンビア、英国、スウェーデン、スイス、スペイン、ドイツ、ポーランド、イタリア、オーストリア、ベルギー、フィリピン、シンガポール、マレーシア、インド、オーストラリア、クウェート、アラブ首長国連邦、サウジアラビア、南アフリカ、ボツワナの23カ国にある組織が調査の対象となりました。
現在のサイバー攻撃者の状況についての詳細については、Sophos.comにアクセスして、「2024年上半期ソフォスアクティブアドバーサリーレポート」(https://news.sophos.com/ja-jp/2024/04/03/active-adversary-report-1h-2024-jp/)をご覧ください。
●詳細情報
* パッチが適用されていない脆弱性のランサムウェア攻撃における役割
https://news.sophos.com/ja-jp/2024/04/03/unpatched-vulnerabilities-the-most-brutal-ransomware-attack-vector-jp/
* 防御側の企業にとってRDPが大きな問題である理由とRDPの問題への対策
https://www.youtube.com/watch?v=dmzfBSs02lA&list=PLW9m2f_dtUOVVita1zUhzv4T-VSzxUAUZ
* 「ソフォス脅威レポート2024年版:現在主流のサイバー犯罪」で解説している中小企業が直面する最大のサイバー犯罪の脅威
https://news.sophos.com/ja-jp/2024/03/12/2024-sophos-threat-report-jp/
* 急速に変化する脅威環境の中で、防御側の組織がサイバー攻撃に対抗する方法(「セキュリティ担当者向けのアクティブアドバーサリーレポート2023年版」)
https://news.sophos.com/ja-jp/2023/11/14/active-adversary-for-security-practitioners-jp/
* 攻撃者の滞留時間の減少、攻撃者の行動と手法の変化(テクノロジーリーダーのための2023年版アクティブアドバーサリーレポート」
https://news.sophos.com/ja-jp/2023/08/23/active-adversary-for-tech-leaders-jp/
* 150件以上のソフォスのインシデント対応事例を分析し、変化を続ける攻撃者の行動、手法、戦術を明らかにした「ビジネスリーダーのためのアクティブアドバーサリーレポート2023年版」
https://news.sophos.com/ja-jp/2023/04/25/2023-active-adversary-report-for-business-leaders-jp/
* Sophos X-Opsのブログ(https://news.sophos.com/ja-jp/category/threat-research/)をご覧いただき、Sophos X-Ops(https://www.sophos.com/ja-jp/x-ops)と画期的な脅威リサーチ(https://www.sophos.com/ja-jp/x-ops)の詳細をチェックしてください。
●ソフォスについて
ソフォスは、組織をサイバー攻撃から守るDetection and Response (MDR) サービスやインシデント・レスポンス・サービスのほか、幅広いエンドポイント、ネットワーク、電子メール、およびクラウドのセキュリティ技術群を含む高度なサイバーセキュリティ・ソリューションを開発・提供する世界的なリーダーです。ソフォスは、サイバーセキュリティに特化した最大級のプロバイダーとして、全世界で50万以上の組織と1億人以上のユーザーを、アクティブアドバーサリー、ランサムウェア、フィッシング、マルウェアなどから保護しています。ソフォスのサービスと製品は、クラウドベースの管理コンソールSophos Centralに接続され、3つのサイバーセキュリティ専門家チームから構成される脅威インテリジェンス組織であるSophos X-Opsの支援を受けています。Sophos X-Opsのインテリジェンスは、ソフォスの適応型サイバーセキュリティエコシステムのあらゆる場所で最適な形で活用できます。このエコシステムには一元的なデータレイクが含まれ、顧客、パートナー、開発者、他のサイバーセキュリティおよび情報テクノロジーベンダーは豊富なオープンAPIセットを活用して、このデータレイクにアクセスできます。ソフォスは、フルマネージドのターンキーセキュリティソリューションを必要としている組織にサービスとしてのサイバーセキュリティを提供しています。企業や組織は、ソフォスのセキュリティオペレーションプラットフォームを使用して直接サイバーセキュリティを管理することも、脅威の検出や修復についてもソフォスのサービスを利用して社内チームの能力を補完するハイブリッドなアプローチを採用することもできます。ソフォスは、世界各国のリセラーパートナーやMSP(マネージドサービスプロバイダー)から製品およびサービスを販売しています。ソフォスの本社は英国オックスフォードにあります。詳細についてはwww.sophos.com(日本語サイト:https://www.sophos.com/ja-jp.aspx)をご覧ください。
●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com
以上
<<報道資料>>
ソフォス株式会社
ソフォス、最新のアクティブアドバーサリーレポートを公開:2023年にSophos Incident Responseチームが対処した攻撃でリモートデスクトッププロトコル(RDP)が悪用された割合は90%に達する
~2020年から公開している過去のアクティブアドバーサリーレポートと比較して、2023年におけるRDPの不正使用は前例のない水準で増加。攻撃者が最初にネットワークを侵害するために最も多く利用した方法は外部リモートサービス~
サイバー攻撃から企業を守る革新的なセキュリティソリューションを開発・提供するグローバルリーダーであるソフォス(日本法人:ソフォス株式会社(東京都港区 代表取締役 中西 智行)は本日、高度なスキルを有し手動で攻撃を実行するアクティブアドバーサリーについて分析した「2024年上半期ソフォスアクティブアドバーサリーレポート」を公開しました。このレポートは、Sophos X-OpsのIncident Responseチームが2023年に対応した150件以上のインシデント対応(IR)ケースを分析し結果をまとめたものであり、サイバー犯罪者が、Windowsシステムでリモートアクセスを確立する一般的な方法であるリモートデスクトッププロトコル(RDP)を悪用する攻撃が90%を占めたことを明らかにしています。ソフォスが2021年にアクティブアドバーサリーレポートの公開を開始して以来、RDPを悪用するケースが最も多く発生しました。
RDPのような外部リモートサービスは、攻撃者が最初にネットワークに侵入するために利用する最も一般的な方法であり、2023年のインシデント対応の65%において、初期アクセスの方法として悪用されていました。2020年にアクティブアドバーサリーレポートの公開を開始してから、外部リモートサービスはサイバー犯罪者による初期アクセスの方法として、最も多く利用されています。防御側の企業は、これらのリモートサービスの管理に優先的に取り組んで、サイバー攻撃のリスクを軽減しなければなりません。
ソフォスのフィールドCTOであるJohn Shierは、RDPなどのリモートサービスのリスクについて次のように述べています。「外部リモートサービスは、多くの企業にとって必要なものですが、大きなリスクがつきまといます。攻撃者は、これらのサービスが脆弱であることを把握しており、ネットワークに侵入するために積極的にこれらのサービスを悪用しています。このリスクを十分に検討して軽減策を講ずることなくサービスを利用していると、必然的にセキュリティが侵害されることになります。攻撃者が、インターネットに直接接続されているRDPサーバーを発見して侵入するまでには時間はかかりません。また、適切な対策を講じていなければ、社内のActive Directoryサーバーにも簡単にアクセスされてしまいます」
Sophos X-Opsが対応したある顧客のケースでは、攻撃者は6か月間で4回もその企業を攻撃することに成功しています。これらの攻撃の起点はすべて、インターネットに接続しているRDPポートになっていました。この攻撃者はネットワークに侵入した後にラテラルムーブメントを行い、悪意のあるバイナリをダウンロードし、エンドポイントプロテクションを無効にし、リモートアクセスを確立していました。
認証情報の侵害と脆弱性の悪用は、依然として最も一般的な攻撃の根本原因となっています。しかし、昨年8月に公開された「テクノロジーリーダー向けのアクティブアドバーサリーレポート」によると、同年の上半期には、認証情報が侵害されるケースが初めて脆弱性を上回り、最も多く発生した攻撃の根本原因となりました。この傾向は2023年の下半期も継続し、認証情報の侵害が一年を通じたインシデント対応ケースの50%以上の根本原因となりました。2020年から2023年までのアクティブアドバーサリーのデータを累積してみると、認証情報の侵害は、一貫して最も多い攻撃の根本原因であり、全インシデント対応ケースの約3分の1に関連しています。長年にわたって、侵害された認証情報がサイバー攻撃に頻繁に使用されているにもかかわらず、2023年にソフォスのインシデント対応チームが対応したケースの43%で多要素認証が構成されていませんでした。
脆弱性の攻撃は、2023年の単年および2020年から2023年までの累積データを分析した結果の両方で、攻撃の根本原因として2番目に多くなっており、インシデント対応ケースの16%と30%をそれぞれ占めていました。
John Shierは、次のように述べています。「リスク管理は攻撃を受ける前に積極的に実施すべきプロセスです。リスクを適切に管理している組織は、適切に管理していない組織よりも、執念深い攻撃者からの絶え間ない脅威に直面した場合でも、サイバー攻撃の被害を軽減しています。セキュリティリスクを管理する上で重要なのは、リスクを特定し、優先順位を付けるだけでなく、情報に基づいて行動することです。しかし、インターネットに直接接続しているRDPなどの特定のリスクは、あまりにも長い間放置されており、組織を悩ませ続けており、攻撃による組織への侵入を簡単に許しています。インターネットに直接接続している脆弱なサービスを減らし、認証を強化することによってネットワークを保護すれば、組織の安全性を全体的に高めることができ、サイバー攻撃を防ぐことが可能になります」
2024年上半期のアクティブアドバーサリーレポートは、世界各国の26の業界における150件以上のインシデント対応の調査に基づいて作成されています。米国、カナダ、メキシコ、コロンビア、英国、スウェーデン、スイス、スペイン、ドイツ、ポーランド、イタリア、オーストリア、ベルギー、フィリピン、シンガポール、マレーシア、インド、オーストラリア、クウェート、アラブ首長国連邦、サウジアラビア、南アフリカ、ボツワナの23カ国にある組織が調査の対象となりました。
現在のサイバー攻撃者の状況についての詳細については、Sophos.comにアクセスして、「2024年上半期ソフォスアクティブアドバーサリーレポート」(https://news.sophos.com/ja-jp/2024/04/03/active-adversary-report-1h-2024-jp/)をご覧ください。
●詳細情報
* パッチが適用されていない脆弱性のランサムウェア攻撃における役割
https://news.sophos.com/ja-jp/2024/04/03/unpatched-vulnerabilities-the-most-brutal-ransomware-attack-vector-jp/
* 防御側の企業にとってRDPが大きな問題である理由とRDPの問題への対策
https://www.youtube.com/watch?v=dmzfBSs02lA&list=PLW9m2f_dtUOVVita1zUhzv4T-VSzxUAUZ
* 「ソフォス脅威レポート2024年版:現在主流のサイバー犯罪」で解説している中小企業が直面する最大のサイバー犯罪の脅威
https://news.sophos.com/ja-jp/2024/03/12/2024-sophos-threat-report-jp/
* 急速に変化する脅威環境の中で、防御側の組織がサイバー攻撃に対抗する方法(「セキュリティ担当者向けのアクティブアドバーサリーレポート2023年版」)
https://news.sophos.com/ja-jp/2023/11/14/active-adversary-for-security-practitioners-jp/
* 攻撃者の滞留時間の減少、攻撃者の行動と手法の変化(テクノロジーリーダーのための2023年版アクティブアドバーサリーレポート」
https://news.sophos.com/ja-jp/2023/08/23/active-adversary-for-tech-leaders-jp/
* 150件以上のソフォスのインシデント対応事例を分析し、変化を続ける攻撃者の行動、手法、戦術を明らかにした「ビジネスリーダーのためのアクティブアドバーサリーレポート2023年版」
https://news.sophos.com/ja-jp/2023/04/25/2023-active-adversary-report-for-business-leaders-jp/
* Sophos X-Opsのブログ(https://news.sophos.com/ja-jp/category/threat-research/)をご覧いただき、Sophos X-Ops(https://www.sophos.com/ja-jp/x-ops)と画期的な脅威リサーチ(https://www.sophos.com/ja-jp/x-ops)の詳細をチェックしてください。
●ソフォスについて
ソフォスは、組織をサイバー攻撃から守るDetection and Response (MDR) サービスやインシデント・レスポンス・サービスのほか、幅広いエンドポイント、ネットワーク、電子メール、およびクラウドのセキュリティ技術群を含む高度なサイバーセキュリティ・ソリューションを開発・提供する世界的なリーダーです。ソフォスは、サイバーセキュリティに特化した最大級のプロバイダーとして、全世界で50万以上の組織と1億人以上のユーザーを、アクティブアドバーサリー、ランサムウェア、フィッシング、マルウェアなどから保護しています。ソフォスのサービスと製品は、クラウドベースの管理コンソールSophos Centralに接続され、3つのサイバーセキュリティ専門家チームから構成される脅威インテリジェンス組織であるSophos X-Opsの支援を受けています。Sophos X-Opsのインテリジェンスは、ソフォスの適応型サイバーセキュリティエコシステムのあらゆる場所で最適な形で活用できます。このエコシステムには一元的なデータレイクが含まれ、顧客、パートナー、開発者、他のサイバーセキュリティおよび情報テクノロジーベンダーは豊富なオープンAPIセットを活用して、このデータレイクにアクセスできます。ソフォスは、フルマネージドのターンキーセキュリティソリューションを必要としている組織にサービスとしてのサイバーセキュリティを提供しています。企業や組織は、ソフォスのセキュリティオペレーションプラットフォームを使用して直接サイバーセキュリティを管理することも、脅威の検出や修復についてもソフォスのサービスを利用して社内チームの能力を補完するハイブリッドなアプローチを採用することもできます。ソフォスは、世界各国のリセラーパートナーやMSP(マネージドサービスプロバイダー)から製品およびサービスを販売しています。ソフォスの本社は英国オックスフォードにあります。詳細についてはwww.sophos.com(日本語サイト:https://www.sophos.com/ja-jp.aspx)をご覧ください。
●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com
以上