クラウドストライク、「2023 年版グローバル脅威レポート」を発表、巧妙な攻撃者によるパッチ適用済みセキュリティプログラムの脆弱性の再悪用やランサムウェア離れが明らかに
新たな攻撃者の登場や中国と関わりのあるスパイ活動の増加により、アイデンティティ脅威・クラウド脅威の急増、
ソーシャルエンジニアリングの増加、ブレイクアウトタイムの短縮に拍車
クラウドネイティブのエンドポイント、クラウドワークロード、アイデンティティ、データ保護のリーダーCrowdStrike (NASDAQ: CRWD)の日本法人であるクラウドストライク合同会社(本社:東京都港区、カントリー・マネージャー:尾羽沢 功、以下クラウドストライク)は本日、「2023年版グローバル脅威レポート(2023 CrowdStrike Global Threat Report)」の公開を発表しました。本レポートは、サイバーセキュリティ業界のリーダーであるクラウドストライクが、現在、世界中で特に脅威度の高い国家主導型攻撃者やサイバー犯罪者(eCrime)、ハクティビストの行動や傾向、戦術の変化を分析した重要な年次レポートで、今回が9回目となります。今回のレポートでは、200以上の攻撃者(昨年1年間に新たに発見された33の攻撃者を含む)の活動を追跡した結果、アイデンティティベースの脅威やクラウドの悪用、中国と関わりのあるスパイ活動、パッチ適用済みセキュリティプログラムの脆弱性を再悪用した攻撃が急増したことが分かりました。 今年のレポートでは、業界でも有名なCrowdStrike Intelligenceが、CrowdStrike Falconプラットフォームで収集した日々の無数のインシデントデータとCrowdStrike Falcon OverWatchの知見を活用して作成しています。2023年版レポートで注目すべき点は以下のとおりです。- 2022年は、検知された攻撃のうち71%がマルウェアフリーで(2021年の62%から増加)、対話型の侵害(ハンズオンキーボード攻撃)が50%増加 – 人間による巧妙な攻撃でウイルス対策をかいくぐり、機械頼みの防御を欺こうとする傾向がいかに強まっているかがうかがえます。
- ダークウェブにおけるアクセスブローカー広告が前年比112%増 – 地下経済におけるアイデンティティ情報・アクセス認証情報の価値や需要が高いことがうかがえます。
- クラウド悪用が95%増加し、クラウド重視の攻撃者が関係するインシデント数が前年比で約3倍に – クラウド環境がますます狙われやすくなっていることが改めて裏付けられました。
- 33の撃者が新たに追加 – 1年間の増加数としては過去最大です。この中には最近、通信・BPO・テクノロジー企業を標的にした数々の大規模攻撃を企て、非常に活発に活動しているサイバー犯罪者グループSCATTERED SPIDERやSLIPPY SPIDERも含まれます。
- 攻撃者がパッチ適用済みセキュリティプログラムの脆弱性を再悪用– 2021年12月に発覚したLog4Shellの余波でネットワーク荒らしが続いたほか、ProxyNotShellやFollina(2022年にMicrosoftがパッチを発行した900以上の脆弱性と30のゼロデイ脆弱性のうちの2つ)をはじめとする既知と新規の脆弱性が利用され、修正パッチや緩和策が国家主導型の攻撃者やサイバー犯罪者に広く悪用されました。
- サイバー犯罪者が身代金以外の新たな収益源確保に移行 – 2022年は、データ窃盗・強奪作戦を行う攻撃者の数が20%増加しました。
- 中国と関わりのあるスパイ活動が、世界の39の業種および20の地域のすべてで急増(CrowdStrike Intelligence調べ) – 世界各国そして各バーティカル市場の組織は、中国政府の脅威を警戒する必要があると言えます。
- サイバー犯罪での平均ブレイクアウトタイムが84分に – 2021年の98分から短くなり、現在の攻撃者はかなりのスピードで攻撃してくることが明らかになりました。
- ロシア・ウクライナ戦争によるサイバー空間への影響は騒がれていたほどではなかったものの、決して小さくはない – 諜報戦術、さらには偽のランサムウェアを活用するロシアと関わりのある攻撃者が急増しました。破壊工作の標的を政治的なリスクがあると思われる業種や地域にも広げようとするロシア政府の思惑がここから垣間見えます。
- 人間とのやり取りを標的としたソーシャルエンジニアリング戦術の増加 – 多要素認証(MFA)を回避するために、ビッシング(ボイスフィッシング)などの戦術を用いて被害者に対するマルウェアダウンロードの指示や、SIMスワッピングが行われています。
CrowdStrike Intelligenceは新たに33の攻撃者を追跡対象に加え、これにより、追跡対象となる既知の攻撃者の合計は200を超えました。新た
に追加された攻撃者のうち20以上はSPIDER(クラウドストライクの命名規則でeCrime攻撃者を意味します)です。ロシア・ウクライナ紛争が始まったこの1年は、新たに追加さ
れたBEAR(ロシアと関わりのある攻撃者)のうちGOSSAMER BEARによるクレデンシャル(認証情報)フィッシングが非常に活発になり、政府系研究機関や、軍需企業、物流企
業、非政府組織(NGO)が標的になりました。また、DEADEYE HAWK(以前はハクティビスト「DEADEYE JACKAL」として追跡対象になっていたグループ)が、シリアと関わりのある攻撃者として初めて追加されました。
CrowdStrike Intelligenceは、過去に例のないほどの大量のインテリジェンスローデータを有してお
り、日々起きる無数のセキュリティインシデントを活用して、特に広まっ
ている脅威の阻止やCrowdStrike Falcon®プラットフォームの強化に役立てています。Falconはセキュリティに関する統合プラットフォームで、エンドポイントおよびアイデンティティ脅威保護テクノロジー、攻撃者主導型インテリジェンス、人間主導型分析という機能を独自に組み合わせることで、最も巧妙な脅威を事前に阻止することができます。
その他のリソース
- 2023年版クラウドストライクグローバル脅威レポートはこちらからダウンロードできます(英語のみ)。
- 攻撃者に関する正確な情報については、クラウドストライクのAdversary Universe(アドバーサリー ユニバース)をご覧ください。
- 脅威インテリジェンスをクラウドストライクの業界一の攻撃者重視のテクノロジーとともに自社のセキュリティスタックに統合するための詳細については、クラウドストライクのウェブサイトをご覧ください。
