ここ数年、脆弱性を突くサイバー攻撃が一段と身近なものになっています。サイバー犯罪者が新型コロナウイルス(COVID-19)感染症のパンデミックに乗じて、クラウドを標的にしたランサムウエア、マルウエアなどの新たな攻撃を仕掛けており、企業は増え続ける様々な脅威に直面しています。
アクセンチュアの脅威インテリジェンスアナリストとインシデント対応担当者は、非常に巧妙なサイバー攻撃者が使用している戦術、技術、手順(TTP)を把握することに成功しました。アクセンチュアの2021年後半の分析結果を、今回のレポートにまとめています。
2021年後半の主なトレンド
アクセンチュアのサイバー脅威インテリジェンスチームが2021年後半に行った分析によると、次の5つのトレンドがサイバーセキュリティ環境に影響を与えていることが分かりました。
- ランサムウエア攻撃集団とアフィリエイトの対立:ランサムウエアグループの元関係者が機密情報を開示し、強力なランサムウエア攻撃ツールや手法が拡散されてしまいました。
- クラウド・インフラが標的に:2021年、クラウドに関連したマルウエア攻撃は、従来型の攻撃よりも早く進化し、ランサムウエア攻撃を仕掛ける犯罪集団がカスタムツールを開発していることで、クラウド・インフラストラクチャを標的とした攻撃が増加しています。
企業は、堅牢なオフサイトバックアップ体制の構築、トレーニング、認証の強化、パッチ適用、対応計画の策定に注力する必要があります。
企業は、次の4つの取り組みに重点を置く必要があります。
- DevOpsサイクルに監査を統合する。
- セキュリティのフレームワークを更新する。
- サプライヤーに対する脅威をモデル化する。
- サプライチェーンのソフトウェアプログラムを進化させる。
- 情報窃取型マルウエアの取り引きは活発:入手可能な情報によると、2021年11月時点で、闇市場で最も取り引きされている情報窃取型マルウエアは、Redline (53%)、Vidar (35%)、Taurus (4%), Racoon (4%) 、Azorult (2%)でした。
- 情報窃取型マルウエアの人気にばらつき:実際の攻撃で使用されている情報窃取型マルウエアは、闇市場で活発に取り引きされている情報窃取型マルウエアとは異なります。このことは、経験豊富なサイバー攻撃集団が効果の実証されている情報窃取型マルウエアを使用している一方で、闇市場では新しい情報窃取型マルウエアが人気を集めていることを示しています。
- Redlineが急成長:Redlineが実際のマルウエア攻撃に占める割合は4%にすぎないものの、2021年7月に発生した東京オリンピックのチケットのデータ漏えいへの関与が判明した後、他の情報窃取型マルウエアよりも急成長しています。
企業は、ブラウザのプラグインを介して窃取したデータを容易に使用することを可能にする「ボット」の売買が闇市場で急増していることを認識したうえで、自社環境の保護をより強化することに重点を置く必要があります。
- クラウドの急成長が攻撃の機会を提供:新型コロナウイルス(COVID-19)感染症のパンデミックにより、クラウドへの移行が加速した一方で、新たな攻撃領域も生まれました。いまやサイバー攻撃者にとって、クラウド・インフラは絶好の標的です。
- インフラの拡張により、新たな脆弱性が生まれる:サイバー攻撃者はクラウド・サービスを乗っ取り、クラウド・インフラの利点に乗じて機密情報を窃取し、ランサムウエア攻撃を仕掛けます。クラウド・インフラを拡張すると、サイバー攻撃者によって、拡張可能で強力なコマンド&コントロールのインフラとボットネットが構築される恐れも生じます。
- クラウドを標的にした攻撃ツールが高度化:ドイツ語圏のサイバー犯罪集団TeamTNTが、クラウドを標的にした非常に高度な攻撃ツールを提供しています。この集団はクリプトジャッキングと呼ばれる、クラウドのリソースを悪用した暗号通貨のマイニングで知られています。また、「Tsunami」と呼ばれるボットを標的のシステムにインストールして、Google CloudやAWSなどのクラウド・プラットフォームを悪用しています。
企業は、クラウドの設定ミスの監査・テストに重点を置き、アイデンティティとアクセス管理のフレームワークを導入し、多要素認証を構築する必要があります。
- サイバー攻撃者はCVEを活発に売買:アクセンチュアの分析により、サイバー攻撃者が闇市場で共通脆弱性識別子 (CVE)を取り引きしようとする事例が45件、確認されました。
- サイバー攻撃者が取り引きする脆弱性のトップ3:サイバー攻撃者に最も人気のある脆弱性として、CVE-2021-34473、CVE-2021-20016、CVE-2021-31206が挙げられます。これらの脆弱性を悪用することで、サイバー攻撃者は標的のネットワークにリモートで不正アクセス攻撃を仕掛け、標的のホスト上で任意のコードを実行することができます。
- Log4jの使用が増加:2021年12月に、Log4jの保守管理者が、リモートコード実行の脆弱性CVE-2021-44228 (Log4Shell)の詳細を公表しました。サイバー攻撃者はこれらの脆弱性を悪用することで、標的のホスト上で任意のコードを実行することができます。
企業は、ネットワークへのアクセスの防御を強化することに重点を置き、定期的なパッチ適用管理や予防テストなどのセキュリティの基本に立ち返り、実行環境がJava 8の場合はバージョン2.17.0に、Java 7の場合はバージョン2.12.2に、Log4jをアップデートする必要があります。