2024年12月25日
<<報道資料>
ソフォス株式会社
検出が困難な脅威:最新のソフォスアクティブアドバーサリーレポートが公開され、信頼されているアプリケーションを悪用する攻撃が51%増加したことが明らかに
~LockBitに対する政府機関による捜査とテイクダウンがあったにもかかわらず、2024年上半期のインシデント対応事例ではLockBitが最多となる~
サイバー攻撃を阻止する革新的なセキュリティソリューションのグローバルリーダーであるSophos(日本法人:ソフォス株式会社 東京都港区 代表取締役 足立 達矢)は「内部からの攻撃:ソフォスアクティブアドバーサリーレポート」(https://news.sophos.com/ja-jp/2024/12/12/active-adversary-report-2024-12-jp/)を公開し、2024年上半期に攻撃者が使用した手法と行動の変化について詳細に分析した結果を伝えています。このデータは、Sophos X-Opsのインシデント対応チームとSophos X-Ops MDR(Managed Detection and Response)チームの両方が実施した約200件のインシデント対応事例から得られています。このデータから、攻撃者がWindowsシステムで信頼されるアプリケーションやツール(一般に環境寄生型攻撃バイナリと呼ばれます) を利用して、システムに関する情報を収集して、常駐化していることが判明しました。2023年と比較して、環境寄生型攻撃バイナリ(LOLbin)の悪用は51%増加しており、2021年以降から83%増加しています。今年上半期にはMicrosoftの187件のユニークなLOLbinが検出されましたが、信頼されるアプリケーションの中で最も多く悪用されたのは、リモートデスクトッププロトコル(RDP)でした。分析対象となった約200件のインシデント対応事例の89%で、攻撃者はRDPを悪用していました。このRDPが広く悪用される傾向は、2023年のアクティブアドバーサリーレポート(https://news.sophos.com/ja-jp/2024/12/12/active-adversary-report-2024-12-jp/)で初めて確認され、調査されたすべてのインシデント対応事例の90%でRDPが悪用されていました。
ソフォスのフィールドCTOであるJohn Shierは次のように述べています。「環境寄生型攻撃は、攻撃者による活動が見えにくくなるだけでなく、暗黙的に認めてしまうことになります。正規のツールが悪用される場合でも、防御側が不審な動作に気が付き、アラートを発行できることもありますが、Microsoftのバイナリが悪用されると防御システムによる検出が回避されやすくなります。悪用されているMicrosoftの多くのツールは、Windowsで必須であり、正当な目的があるために存在しています。自社の環境でこれらのツールがどのように使用されているのか、また、攻撃にどのように転用されているかを把握するのはシステム管理者の責任となります。自社環境における詳細なコンテキストを認識し、ネットワークで発生する新たなイベントや、それらのイベントがどのように展開しているのかを継続的に警戒しなければ、ITチームは、ランサムウェア攻撃へとつながる重要な脅威活動を見逃してしまう恐れがあります。
さらに、2月にLockBitの主要なリークサイトとインフラが政府機関によってテイクダウンされたにもかかわらず、LockBitは最も多く遭遇するランサムウェアグループとなっており、2024年上半期の感染の約21%を占めていました。
■最新のアクティブアドバーサリーレポートのその他の重要な調査結果:
● 攻撃の根本原因:「テクノロジーリーダー向けのアクティブアドバーサリーレポート」で最初に明らかになった傾向は今も続いています。侵害された認証情報は攻撃の主な根本原因であり、対応した事例の39%で確認されています。しかし、この数値は2023年の56%から減少しています。
https://news.sophos.com/ja-jp/2023/08/23/active-adversary-for-tech-leaders-jp/
● MDRで扱った事例の大半を占めたのはネットワーク侵害:Sophos MDRチームによるインシデント対応事例のみを調査したところ、ネットワーク侵害が最も多くなっていました。
● MDRチームが扱った事例では滞留時間が短くなる傾向が見られた:ソフォスのインシデント対応チームが扱った事例では、滞留時間(攻撃が開始されてから検出されるまでの時間)は約8日間で推移しています。しかし、Sophos MDRチームが調査した事例では、すべてのインシデントタイプの滞留時間の中央値はわずか1日、ランサムウェア攻撃ではわずか3日になっています。
● 最も多く侵害されているActive DirectoryサーバーのEOLが近づいている:攻撃者は、Windows Server 2019、2016、2012のActive Directoryを最も多く侵害しています。これら3つのバージョンはすべて、現在Microsoftのメインストリームサポートの対象外になっており、同社の有償サポートを契約しなければパッチを適用できないサポート終了日(EOL)が近づいています。さらに、侵害されたActive Directoryサーバーのバージョンのうち、実に21%がすでにEOLになっていました。
調査で明らかになった攻撃者の行動、ツール、手法の詳細については、Sophos.comにアクセスして、「内部からの攻撃:ソフォスアクティブアドバーサリーレポート」(https://news.sophos.com/ja-jp/2024/12/12/active-adversary-report-2024-12-jp/)をご覧ください。
■ 詳細情報
● 攻撃者によるリモートデスクトッププロトコル(RDP)の悪用
https://news.sophos.com/ja-jp/2024/03/20/remote-desktop-protocol-the-series-jp/
● 過去のアクティブアドバーサリーレポートで解説した攻撃者の戦術、手法、手順(TTP)
https://news.sophos.com/en-us/tag/active-adversary-report/
● Sophos MDRと修復機能
https://www.sophos.com/ja-jp/content/mdr-security-services
● Sophos X-Opsのブログ(https://news.sophos.com/ja-jp/category/threat-research/)を購読し、Sophos X-Ops(https://www.sophos.com/ja-jp/x-ops)と画期的な脅威リサーチ(https://www.sophos.com/ja-jp/x-ops)の詳細をご覧ください。
■ソフォスについて
ソフォスは、組織をサイバー攻撃から守るDetection and Response (MDR) サービスやインシデント・レスポンス・サービスのほか、幅広いエンドポイント、ネットワーク、電子メール、およびクラウドのセキュリティ技術群を含む高度なサイバーセキュリティ・ソリューションを開発・提供する世界的なリーダーです。ソフォスは、サイバーセキュリティに特化した最大級のプロバイダーとして、全世界で60万以上の組織と1億人以上のユーザーを、アクティブアドバーサリー、ランサムウェア、フィッシング、マルウェアなどから保護しています。ソフォスのサービスと製品は、クラウドベースの管理コンソールSophos Centralに接続され、3つのサイバーセキュリティ専門家チームから構成される脅威インテリジェンス組織であるSophos X-Opsの支援を受けています。Sophos X-Opsのインテリジェンスは、ソフォスの適応型サイバーセキュリティエコシステムのあらゆる場所で最適な形で活用できます。このエコシステムには一元的なデータレイクが含まれ、顧客、パートナー、開発者、他のサイバーセキュリティおよび情報テクノロジーベンダーは豊富なオープンAPIセットを活用して、このデータレイクにアクセスできます。ソフォスは、フルマネージドのターンキーセキュリティソリューションを必要としている組織にサービスとしてのサイバーセキュリティを提供しています。企業や組織は、ソフォスのセキュリティオペレーションプラットフォームを使用して直接サイバーセキュリティを管理することも、脅威の検出や修復についてもソフォスのサービスを利用して社内チームの能力を補完するハイブリッドなアプローチを採用することもできます。ソフォスは、世界各国のリセラーパートナーやMSP(マネージドサービスプロバイダー)から製品およびサービスを販売しています。ソフォスの本社は英国オックスフォードにあります。詳細についてはwww.sophos.com(日本語サイト:https://www.sophos.com/ja-jp.aspx)をご覧ください。
■報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com
以上
<<報道資料>
ソフォス株式会社
検出が困難な脅威:最新のソフォスアクティブアドバーサリーレポートが公開され、信頼されているアプリケーションを悪用する攻撃が51%増加したことが明らかに
~LockBitに対する政府機関による捜査とテイクダウンがあったにもかかわらず、2024年上半期のインシデント対応事例ではLockBitが最多となる~
サイバー攻撃を阻止する革新的なセキュリティソリューションのグローバルリーダーであるSophos(日本法人:ソフォス株式会社 東京都港区 代表取締役 足立 達矢)は「内部からの攻撃:ソフォスアクティブアドバーサリーレポート」(https://news.sophos.com/ja-jp/2024/12/12/active-adversary-report-2024-12-jp/)を公開し、2024年上半期に攻撃者が使用した手法と行動の変化について詳細に分析した結果を伝えています。このデータは、Sophos X-Opsのインシデント対応チームとSophos X-Ops MDR(Managed Detection and Response)チームの両方が実施した約200件のインシデント対応事例から得られています。このデータから、攻撃者がWindowsシステムで信頼されるアプリケーションやツール(一般に環境寄生型攻撃バイナリと呼ばれます) を利用して、システムに関する情報を収集して、常駐化していることが判明しました。2023年と比較して、環境寄生型攻撃バイナリ(LOLbin)の悪用は51%増加しており、2021年以降から83%増加しています。今年上半期にはMicrosoftの187件のユニークなLOLbinが検出されましたが、信頼されるアプリケーションの中で最も多く悪用されたのは、リモートデスクトッププロトコル(RDP)でした。分析対象となった約200件のインシデント対応事例の89%で、攻撃者はRDPを悪用していました。このRDPが広く悪用される傾向は、2023年のアクティブアドバーサリーレポート(https://news.sophos.com/ja-jp/2024/12/12/active-adversary-report-2024-12-jp/)で初めて確認され、調査されたすべてのインシデント対応事例の90%でRDPが悪用されていました。
ソフォスのフィールドCTOであるJohn Shierは次のように述べています。「環境寄生型攻撃は、攻撃者による活動が見えにくくなるだけでなく、暗黙的に認めてしまうことになります。正規のツールが悪用される場合でも、防御側が不審な動作に気が付き、アラートを発行できることもありますが、Microsoftのバイナリが悪用されると防御システムによる検出が回避されやすくなります。悪用されているMicrosoftの多くのツールは、Windowsで必須であり、正当な目的があるために存在しています。自社の環境でこれらのツールがどのように使用されているのか、また、攻撃にどのように転用されているかを把握するのはシステム管理者の責任となります。自社環境における詳細なコンテキストを認識し、ネットワークで発生する新たなイベントや、それらのイベントがどのように展開しているのかを継続的に警戒しなければ、ITチームは、ランサムウェア攻撃へとつながる重要な脅威活動を見逃してしまう恐れがあります。
さらに、2月にLockBitの主要なリークサイトとインフラが政府機関によってテイクダウンされたにもかかわらず、LockBitは最も多く遭遇するランサムウェアグループとなっており、2024年上半期の感染の約21%を占めていました。
■最新のアクティブアドバーサリーレポートのその他の重要な調査結果:
● 攻撃の根本原因:「テクノロジーリーダー向けのアクティブアドバーサリーレポート」で最初に明らかになった傾向は今も続いています。侵害された認証情報は攻撃の主な根本原因であり、対応した事例の39%で確認されています。しかし、この数値は2023年の56%から減少しています。
https://news.sophos.com/ja-jp/2023/08/23/active-adversary-for-tech-leaders-jp/
● MDRで扱った事例の大半を占めたのはネットワーク侵害:Sophos MDRチームによるインシデント対応事例のみを調査したところ、ネットワーク侵害が最も多くなっていました。
● MDRチームが扱った事例では滞留時間が短くなる傾向が見られた:ソフォスのインシデント対応チームが扱った事例では、滞留時間(攻撃が開始されてから検出されるまでの時間)は約8日間で推移しています。しかし、Sophos MDRチームが調査した事例では、すべてのインシデントタイプの滞留時間の中央値はわずか1日、ランサムウェア攻撃ではわずか3日になっています。
● 最も多く侵害されているActive DirectoryサーバーのEOLが近づいている:攻撃者は、Windows Server 2019、2016、2012のActive Directoryを最も多く侵害しています。これら3つのバージョンはすべて、現在Microsoftのメインストリームサポートの対象外になっており、同社の有償サポートを契約しなければパッチを適用できないサポート終了日(EOL)が近づいています。さらに、侵害されたActive Directoryサーバーのバージョンのうち、実に21%がすでにEOLになっていました。
調査で明らかになった攻撃者の行動、ツール、手法の詳細については、Sophos.comにアクセスして、「内部からの攻撃:ソフォスアクティブアドバーサリーレポート」(https://news.sophos.com/ja-jp/2024/12/12/active-adversary-report-2024-12-jp/)をご覧ください。
■ 詳細情報
● 攻撃者によるリモートデスクトッププロトコル(RDP)の悪用
https://news.sophos.com/ja-jp/2024/03/20/remote-desktop-protocol-the-series-jp/
● 過去のアクティブアドバーサリーレポートで解説した攻撃者の戦術、手法、手順(TTP)
https://news.sophos.com/en-us/tag/active-adversary-report/
● Sophos MDRと修復機能
https://www.sophos.com/ja-jp/content/mdr-security-services
● Sophos X-Opsのブログ(https://news.sophos.com/ja-jp/category/threat-research/)を購読し、Sophos X-Ops(https://www.sophos.com/ja-jp/x-ops)と画期的な脅威リサーチ(https://www.sophos.com/ja-jp/x-ops)の詳細をご覧ください。
■ソフォスについて
ソフォスは、組織をサイバー攻撃から守るDetection and Response (MDR) サービスやインシデント・レスポンス・サービスのほか、幅広いエンドポイント、ネットワーク、電子メール、およびクラウドのセキュリティ技術群を含む高度なサイバーセキュリティ・ソリューションを開発・提供する世界的なリーダーです。ソフォスは、サイバーセキュリティに特化した最大級のプロバイダーとして、全世界で60万以上の組織と1億人以上のユーザーを、アクティブアドバーサリー、ランサムウェア、フィッシング、マルウェアなどから保護しています。ソフォスのサービスと製品は、クラウドベースの管理コンソールSophos Centralに接続され、3つのサイバーセキュリティ専門家チームから構成される脅威インテリジェンス組織であるSophos X-Opsの支援を受けています。Sophos X-Opsのインテリジェンスは、ソフォスの適応型サイバーセキュリティエコシステムのあらゆる場所で最適な形で活用できます。このエコシステムには一元的なデータレイクが含まれ、顧客、パートナー、開発者、他のサイバーセキュリティおよび情報テクノロジーベンダーは豊富なオープンAPIセットを活用して、このデータレイクにアクセスできます。ソフォスは、フルマネージドのターンキーセキュリティソリューションを必要としている組織にサービスとしてのサイバーセキュリティを提供しています。企業や組織は、ソフォスのセキュリティオペレーションプラットフォームを使用して直接サイバーセキュリティを管理することも、脅威の検出や修復についてもソフォスのサービスを利用して社内チームの能力を補完するハイブリッドなアプローチを採用することもできます。ソフォスは、世界各国のリセラーパートナーやMSP(マネージドサービスプロバイダー)から製品およびサービスを販売しています。ソフォスの本社は英国オックスフォードにあります。詳細についてはwww.sophos.com(日本語サイト:https://www.sophos.com/ja-jp.aspx)をご覧ください。
■報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com
以上
