ソフォス販売代理店 アクシス
このレポートでは、2023年にソフォスのインシデント対応チームが世界各地で業務を通して経験したサイバー攻撃154件の事例についての分析結果を解説します。
例年と同様、2023年もソフォスのインシデント対応チームはランサムウェアに関する攻撃を他のどの種類の攻撃よりも多く体験しました(ランサムウェア事例数108件/総事例数154件、ランサムウェアが占める割合70.1%)。
2位のネットワーク侵害は29件(約19%)でした。
この内5件のネットワーク侵害は、既知のランサムウェアによるネットワーク侵害であることが確認されています。
攻撃による被害は、データ暗号化 (T1486:MITRE ATT&CK) が群を抜いて多く106件(68.8%)でした。
暗号化と同時に攻撃は他の被害をもたらします。
2位のシステム回復の阻害 (T1490)29件とデータ暗号化が組み合わされているのがしばしば確認されます。同じく2位の「影響なし」は29件でした。これはネットワーク侵害による影響を適切に説明するMITREのテクニックの定義が無いため「影響なし」となっています。
4位は「金融資産の窃取」(T1657)で12件です。この種のデータ恐喝が増加したことで、関係するテクニックも増加し、2023年のランキングではリソースの乗っ取りを上回りました。一方で、リソースの乗っ取りが確認された件数は 2022年と比べて3分の1の6件にまで減少しています。
最も明確なのはランサムウェア攻撃から直接取得した帰属情報です。
ほとんどのランサムウェアは攻撃者に販売するサービス(RaaS: Ransomware as a Service) として流通しているため、
攻撃者は複数のランサムウェアを活用しています。
LockBit は、2年連続で最も多く使われたランサムウェアの首位を維持し、ついに Contiを抜いて歴代ランキングのトップに躍り出ました。2023年に調査したランサムウェア攻撃の5分の1以上がLockBitを使用していました。
新規ランサムウェアとして、注目すべきは Akira です。2023年3月に登場したこの新しいランサムウェアは、ALPHV/BlackCat、Royal (2023年にBlackSuitとして再登場したと考えられる)、Black Basta といった他を押しのけて、2 位にランクインしました。(Royal と BlackSuit を同一のものとして扱った場合、4 位にランクインします。) しかし、これは必ずしもランサムウェアが完全であることを意味するわけではありません。ALPHV、Black Basta、Everest、Vice Societyの事例と同様に、失敗したAkira攻撃であることが判明しました。
上位5件のランサムウェア関連の攻撃者は、全ランサムウェア攻撃の半分以上 (55%) を占めていますが、AkiraとRoyalはどちらも、Contiランサムウェアグループとその多くの亜種を生んだ Ryukランサムウェアファミリです。
上位10件まで広げてみると、Contiから派生したとされるBlack Basta (6位)とBlackByte (8位)の2 件が見つかります。データ恐喝グループのうち、Karakurtがこの悪名高いランサムウェアファミリとつながりがある可能性も明らかになりました。
LockBitもある意味では関係しています。というのも、このグループは 2022年のContiのリーク後、コードの一部を使用していることが確認されているからです。
ランサムウェアは、2023年9月中旬に10年目を迎えました。
実際には、これらのグループに属する個人の多くは、長期にわたって活動しており、十分な時間と機会を活用してスキルを磨いてきました。さまざまな理由から、ランサムウェアグループは誕生と消滅を繰り返しています。
しかし、Cuba、LockBit、Phobos、Snatchといった、最初のアクティブアドバーサリーレポート以来調査され続けているグループもいくつか観測されています。データ恐喝グループとしては BianLianがトップであり、Cl0p、Hunters International、Karakurtが続きます。
Hunters Internationalによる攻撃はランサムウェア攻撃としては失敗しましたが、データの窃取には成功したため、盗んだデータの公開と引き換えに支払いを要求するデータ恐喝に方針を転換しました。
ランキング上位のツールは前年とほぼ同じです。違いはCobalt Strikeが、過去3年間で着実にシェアを落としていることです。絶対数では依然として歴代ランキングの首位を維持しているものの、Cobalt Strikeを使用した攻撃の割合が大幅に減少しており、2021年の48%から2023年は27%に低下しています。
今年の総合トップは、SoftPerfectのNetwork Scannerでした。このツールは、攻撃者がネットワークをマッピングし、潜在的な標的を発見するために日常的に悪用されています。このツールの悪用は何年も前から確認されています。他にも、正規ソフトでありながら悪用されることの多いツールとして、エンドポイント管理用の一般的なツールであるAnyDeskがあります。
注目すべきは、ベスト10ツールの50%がデータの窃取に用いられていることです。7zipとWinRARは、データの窃取を補助、あるいは難読化するためのアーカイブの作成に日常的に使用されており、他のツールはこのアーカイブの収集と転送に使われています。
多くの組織は自社のネットワークからの大規模なデータ転送を見逃しています。たとえば、MEGAクラウドストレージサービスは頻繁にデータ窃取のために悪用されています。通常の業務でMEGAを利用していないにもかかわらず、MEGAを出入りするトラフィックがある場合には調査が必要です。
また、ソフォスのデータセットではImpacketというツールが確認できることも注目に値します。Impacket/atexec、Impacket/secretsdump、Impacket/smbproxy など個々のツールをすべて「Impacket」として合計すると6位にランクインします。
いくつかの例外を除いて、ツールの大半は、監視/ ブロック用ツールです。
ランサムウェアに強い!
2023年のデータを振り返ってみると、侵害を受けた組織と受けなかった組織の大きな違いは、次の2点に対する取り組みの違いです。
1) 適切なツールの選択と配置に伴う準備
2) 必要なときに行動するための知識と準備
ランサムウェア攻撃はその流行、使用されるツール、攻撃のタイムラインにおいて停滞していますが、残念なことに、防御者は毎年同じ過ちを犯しているのを目の当たりにしています。
認証情報の侵害やパッチが適用されていないシステムは、過去の遺物であるべきです。無防備なシステム、過剰な権限を持ったユーザー、および管理されていないアプリケーションは、解決できる問題です。不十分なログ機能、あるいはログの未設定は、今すぐ改善すべきです。
コラムでご紹介したのはレポートの一部です。本レポートを閲覧して、過去の失敗から学ぶ機会として今後の業務の参考にしていただければ幸いです。
エンドポイントである、パソコン、スマートフォンやタブレットなどの端末機器を、ウイルスなどの感染から守るためのセキュリティ対策で、ディープラーニング AI、ランサムウェア対策機能、エクスプロイト対策、その他の手法を組み合わせることで、最新のサイバーセキュリティの脅威を阻止するセキュリティソリューションです。
さまざまなサイバー攻撃からネットワークを守るために、複数の機能を統合してネットワークを管理することです。一般的にこのような機能を搭載したボックスタイプのハードウェアをUTMとよびます。
パソコンなどの端末に対する脅威を継続的に監視して、サイバー攻撃を検知し、管理者に通知するソリューションです。管理者はEDRのログを分析することで対策を検討します。
EDRのようにエンドポイントのみを監視するのではなく、複数のセキュリティ製品からの情報を統合して脅威の検出、分析、対応を自動化して迅速に行うEDRの進化型のソリューションです。
社内の管理者に代わって、ネットワーク内に侵入した脅威を検知し、素早く対応をとるための専門家によるマネージドサービスです。