前例のない不確実性の時代を迎えている今、膨大な数のデバイスがエンタープライズネットワーク全体に散在しており、セキュリティの専門家が要望に応え続けるのは困難と言えるでしょう。

最近のセキュリティ関連のインシデントやランサムウエア攻撃による大規模な混乱と損害の状況を見れば、サイバー脅威活動の企業リスクに及ぼす影響が、あらゆる業界で増大していることは明らかです。IT環境とOT環境双方で、このリスクを制御し、低減することはますます難しくなっています。

クラウドでの仮想化とインターネット接続デバイスの進歩により、産業システムにかかる負荷は軽減されています。しかし一方で、これらのテクノロジーによって、新たな脆弱性やリスクも生まれています。例えば、企業内外のデータの流れは、IoTオブジェクトやスイッチ、ルーターなどのエッジデバイスによって管理されています。IT環境とOT環境双方に接しているこれらのデバイスは、OTセキュリティにおいて極めて重要です。これらが侵害を受けると、ITネットワークを完全に迂回して、OT環境に直接アクセスされる恐れが高まるのです。

セキュリティを担うリーダーは、事業の継続性を確保することと、会社全体で協力して効果的にリスクを管理することの両方が重要であることを、最高レベルの幹部や取締役に示さなければなりません

主なトレンド

アクセンチュアのサイバー脅威インテリジェンスチームが2021年前半に行った分析によると、次の4つのトレンドがIT環境とOT環境に影響を与えています

ランサムウエア攻撃者が新しい脅迫方法をテスト

ランサムウエア攻撃者は、データ漏えいの脅迫を増やしているほか、被害者に圧力をかける新しい方法を編み出しています。これらの脅威に対処する方法は、ますます複雑化しています。

全て見る
  • 標的の変化:2021年の最初の数カ月は、重要なインフラストラクチャや上流のプロバイダー(データが豊富な保険会社など)が標的にされました。
  • 戦術の強化:ランサムウエアのネゴシエーター(交渉人)としての対応も行っているサイバーセキュリティ企業のCovewareは、2020年後半、データを暗号化されるだけでなく、身代金を支払った後も復旧できないようデータを破壊されるケースが多発していると発表しました。
  • 脅迫のパーソナル化:2020年に生まれた新しい暴露戦術が急速に進化したことで、データ漏えいの強迫による損失が拡大し、被害者は風評被害も受けるようになりました。
  • 戦術、技術、手順(TTP)の進歩:アクセンチュアのサイバー脅威インテリジェンスチームは、ランサムウエア攻撃集団Hadesによる注目すべき防御回避戦術を明らかにしました。この戦術では、自動操作と手動操作でエンドポイントの防御が無効化されます。

企業は、準備、予防、事前暗号化による防御に注力する必要があります。

Cobalt Strikeの悪用が増加

現在、Cobalt Strikeを悪用した攻撃が成功していることに注目が集まっており、このツールの人気が高まっています。2021年中は間違いなく、このトレンドが続くでしょう。

全て見る
  • Cobalt Strikeの悪用の急増:最近のバージョンのCobalt Strikeは、過去のバージョンより利用しやすく、カスタマイズ性も高まっています。
  • 攻撃ツールの進化:攻撃者は、自身のカスタムローダーを進化させ、Cobalt Strike Beaconを送り込んでいます。
  • マルウエアの統合:アクセンチュアのサイバー脅威インテリジェンスチームは、情報窃盗マルウエアであるEvilGrabCobalt Strike Beaconが使用するインフラストラクチャが重複していることを、2021年初頭に初めて発見しました

企業は、この増大する脅威に対処できる防御ツールを、極めて重要なプロダクション環境での侵入テストに導入する必要があります。

コモディティマルウエアにより、IT環境からOT環境へ侵入される恐れがある

大量のクライムウェアにより、エンドポイントが危険にさらされるだけでなく、被害者のネットワークがさらに侵害され、ITシステムとOTシステム双方が脅かされる可能性があります。

全て見る
  • 攻撃者はまず、第1段階のコモディティマルウエアによって、エンドポイントにさらにマルウエアを配置できるようにします。
  • 続いて、海賊版のCobalt Strikeインスタンスを悪用するなど、後続のコモディティマルウエアやツールを使用します。これにより、企業のインフラストラクチャ全体、さらにはOTアセットへの感染拡大のリスクが高まります。
  • これまでに、QakbotIcedIDDoppelDridexHancitorを利用した活発なマルウエアキャンペーンが確認されています

企業は、コモディティマルウエアの脅威を最も効果的に防御するために、攻撃への対処ではなく、攻撃の予防を検討する必要があります。

ダークウェブ攻撃者がITネットワークとOTネットワークを侵害

攻撃者は、フォーラムで交流し、圧力をかける戦術を増やし、セキュリティを迂回する方法を学び、マルウエアログを利用した新しい金儲けの方法を考え出しています。

全て見る
  • ランサムウエア攻撃集団であるCLOPHadesの活動により、状況が一変:最近、広く使用されているAccellion File Transfer ApplianceFTA)で脆弱性が発見され、これを悪用したグローバルなデータ侵害が発生しました。2021年前半に公開されたレポートによると、ランサムウエア攻撃集団のCLOPがこれに関わっています。また、同じくランサムウエア攻撃集団であるHadesが、2021年前半に活発に活動し、エンドポイントにおける検知と対応を行うEDRツールを迂回してエッジデバイスを侵害する能力があることを示しました。
  • 情報の購入と利用が簡単に:アクセンチュアのサイバー脅威インテリジェンスチームは、攻撃者によるマルウエアログ、すなわち情報窃盗マルウエアによって得たデータの販売が、わずかではあるものの明らかに増加していることを確認しました。

企業では、防御担当者が情報を共有し、脅威活動の把握、防止、特定、対処に努める必要があります。

著者について

Joshua Ray

アクセンチュア セキュリティ グループ マネジング・ディレクター


Howard Marshall

アクセンチュア セキュリティ グループ マネジング・ディレクター


Valentino De Sousa

セキュリティ グループ シニア・プリンシパル


Christopher Foster

Senior Principal – Security Innovation


Jayson Jean

サイバー脅威インテリジェンス・事業開発リーダー

関連コンテンツはこちら

クラウド・セキュリティ
CASE時代の自動車におけるサイバーセキュリティの6つの要諦
2020 cyber threatscape report

ニュースレター
最新コラム・調査をニュースレターで 最新コラム・調査をニュースレターで