ここ数年、脆弱性を突くサイバー攻撃が一段と身近なものになっています。サイバー犯罪者が新型コロナウイルス(COVID-19)感染症のパンデミックに乗じて、クラウドを標的にしたランサムウエア、マルウエアなどの新たな攻撃を仕掛けており、企業は増え続ける様々な脅威に直面しています。

アクセンチュアの脅威インテリジェンスアナリストとインシデント対応担当者は、非常に巧妙なサイバー攻撃者が使用している戦術、技術、手順(TTP)を把握することに成功しました。アクセンチュアの2021年後半の分析結果を、今回のレポートにまとめています。

2021年後半の主なトレンド

アクセンチュアのサイバー脅威インテリジェンスチームが2021年後半に行った分析によると、次の5つのトレンドがサイバーセキュリティ環境に影響を与えていることが分かりました。

1.依然、高収益をあげるランサムウエア攻撃

サイバー攻撃者はテクノロジーを駆使することで、その攻撃手法を一段と巧妙化させています。その一方で、従来型のランサムウエア攻撃も依然、脅威であり続けています。

  • 攻撃の標的となった主な国と業界は前年と変わらず:2021年第3四半期に確認されたランサムウエア攻撃の件数は、同年第2四半期と比べて若干減少しました。ランサムウエア攻撃とデータ漏えいの脅迫の件数が最も多かった国は米国で、全体の約45%を占めています。また、最も標的となった業界は、製造、金融サービス、ヘルスケア、ハイテク業界でした。
業界別ランサムウエアの攻撃件数
  • ランサムウエア攻撃集団とアフィリエイトの対立:ランサムウエアグループの元関係者が機密情報を開示し、強力なランサムウエア攻撃ツールや手法が拡散されてしまいました。
  • クラウド・インフラが標的に:2021年、クラウドに関連したマルウエア攻撃は、従来型の攻撃よりも早く進化し、ランサムウエア攻撃を仕掛ける犯罪集団がカスタムツールを開発していることで、クラウド・インフラストラクチャを標的とした攻撃が増加しています。

企業は、堅牢なオフサイトバックアップ体制の構築、トレーニング、認証の強化、パッチ適用、対応計画の策定に注力する必要があります。

2.サプライチェーンが攻撃の起点に

クラウド移行を進める多くの企業が、サプライチェーンの脆弱性の問題に直面します。

  • 脅威の増加が広く報告される:2021年10月から11月にかけて、サイバーセキュリティに関する様々な出版物で、開発者のライブラリやソフトウェア・プラットフォームのセキュリティ侵害を含むサプライチェーン攻撃がいくつも報告されました。
  • バックドア攻撃がさらに蔓延:アクセンチュアがインシデント対応エンゲージメントから収集した侵入データによると、2021年にアクセンチュアが確認したマルウエア攻撃の30%がバックドア攻撃であり、ランサムウエア攻撃(33%)に次いで2番目に蔓延していることが明らかになりました。
カテゴリー別マルウェア

企業は、次の4つの取り組みに重点を置く必要があります。

  • DevOpsサイクルに監査を統合する。
  • セキュリティのフレームワークを更新する。
  • サプライヤーに対する脅威をモデル化する。
  • サプライチェーンのソフトウェアプログラムを進化させる。

3.情報窃取型マルウエアがマルウエア攻撃をけん引

闇市場では漏えいした認証情報が売買されており、サイバー攻撃者はこうした情報を使って、企業ネットワークに安価に侵入することができます。

  • 情報窃取型マルウエアの取り引きは活発:入手可能な情報によると、2021年11月時点で、闇市場で最も取り引きされている情報窃取型マルウエアは、Redline (53%)、Vidar (35%)、Taurus (4%), Racoon (4%) 、Azorult (2%)でした。
  • 情報窃取型マルウエアの人気にばらつき:実際の攻撃で使用されている情報窃取型マルウエアは、闇市場で活発に取り引きされている情報窃取型マルウエアとは異なります。このことは、経験豊富なサイバー攻撃集団が効果の実証されている情報窃取型マルウエアを使用している一方で、闇市場では新しい情報窃取型マルウエアが人気を集めていることを示しています。
  • Redlineが急成長:Redlineが実際のマルウエア攻撃に占める割合は4%にすぎないものの、2021年7月に発生した東京オリンピックのチケットのデータ漏えいへの関与が判明した後、他の情報窃取型マルウエアよりも急成長しています。

企業は、ブラウザのプラグインを介して窃取したデータを容易に使用することを可能にする「ボット」の売買が闇市場で急増していることを認識したうえで、自社環境の保護をより強化することに重点を置く必要があります。

4.クラウドへの移行が新たな攻撃ベクトルを生み出す

サイバー攻撃者は、パブリッククラウドを悪用して攻撃ツールを展開し、企業内のアクセスポイントを使用してクラウド環境に侵入しています。

  • クラウドの急成長が攻撃の機会を提供新型コロナウイルス(COVID-19)感染症のパンデミックにより、クラウドへの移行が加速した一方で、新たな攻撃領域も生まれました。いまやサイバー攻撃者にとって、クラウド・インフラは絶好の標的です。
  • インフラの拡張により、新たな脆弱性が生まれる:サイバー攻撃者はクラウド・サービスを乗っ取り、クラウド・インフラの利点に乗じて機密情報を窃取し、ランサムウエア攻撃を仕掛けます。クラウド・インフラを拡張すると、サイバー攻撃者によって、拡張可能で強力なコマンド&コントロールのインフラとボットネットが構築される恐れも生じます。
  • クラウドを標的にした攻撃ツールが高度化ドイツ語圏のサイバー犯罪集団TeamTNTが、クラウドを標的にした非常に高度な攻撃ツールを提供しています。この集団はクリプトジャッキングと呼ばれる、クラウドのリソースを悪用した暗号通貨のマイニングで知られています。また、「Tsunami」と呼ばれるボットを標的のシステムにインストールして、Google CloudAWSなどのクラウド・プラットフォームを悪用しています。

企業は、クラウドの設定ミスの監査・テストに重点を置き、アイデンティティとアクセス管理のフレームワークを導入し、多要素認証を構築する必要があります。

5.脆弱性を突く攻撃ツールの売買が活性化

脆弱性を突いてサイバー攻撃を仕掛けるツールの取り引きが行われる闇市場が成長しており、サイバー攻撃者はより容易に、企業ネットワークに未承認でアクセスすることができるようになっています。

  • サイバー攻撃者はCVEを活発に売買:アクセンチュアの分析により、サイバー攻撃者が闇市場で共通脆弱性識別子 (CVE)を取り引きしようとする事例が45件、確認されました。
  • サイバー攻撃者が取り引きする脆弱性のトップ3:サイバー攻撃者に最も人気のある脆弱性として、CVE-2021-34473、CVE-2021-20016、CVE-2021-31206が挙げられます。これらの脆弱性を悪用することで、サイバー攻撃者は標的のネットワークにリモートで不正アクセス攻撃を仕掛け、標的のホスト上で任意のコードを実行することができます。
  • Log4jの使用が増加:2021年12月に、Log4jの保守管理者が、リモートコード実行の脆弱性CVE-2021-44228 (Log4Shell)の詳細を公表しました。サイバー攻撃者はこれらの脆弱性を悪用することで、標的のホスト上で任意のコードを実行することができます。

企業は、ネットワークへのアクセスの防御を強化することに重点を置き、定期的なパッチ適用管理や予防テストなどのセキュリティの基本に立ち返り、実行環境がJava 8の場合はバージョン2.17.0に、Java 7の場合はバージョン2.12.2に、Log4jをアップデートする必要があります。

著者について

Joshua Ray

アクセンチュア セキュリティ グループ マネジング・ディレクター


Howard Marshall

アクセンチュア セキュリティ グループ マネジング・ディレクター


Robert Boyce

Managing Director – Accenture Security, Global Cyber Response and Transformation Services Lead


Christopher Foster

Senior Principal – Security Innovation


Valentino De Sousa

セキュリティイノベーション グループ シニア・プリンシパル


藤井 大翼

テクノロジー コンサルティング本部 セキュリティ日本統括 マネジング・ディレクター


内田 篤宏

テクノロジー コンサルティング本部 セキュリティ グループ シニア・マネジャー 

関連コンテンツはこちら

サイバーレジリエンスの現状 2021
2021年サイバー脅威インテリジェンスレポート
CASE時代の自動車におけるサイバーセキュリティの6つの要諦

ニュースレター
ニュースレターで最新情報を入手(英語) ニュースレターで最新情報を入手(英語)