クラウドストライク、最新の「脅威ハンティング報告書」を発表 7分あたり1回の侵害の試みが検出されていることが明らかに
Falcon Overwatch脅威ハンティングチームの調査でサイバー犯罪者のブレイクアウトタイムが短縮され、 CrowdStrike Falconプラットフォームが100万件の悪意あるイベントを阻止したことが判明
クラウドネイティブのエンドポイント、クラウドワークロード、アイデンティティ、データ保護のリーダー、CrowdStrike(NASDAQ: CRWD)の日本法人であるクラウドストライク株式会社(本社:東京都港区、カントリー・マネージャー:尾羽沢 功、以下クラウドストライク)は本日、4回目となる年次CrowdStrike Falcon OverWatch脅威ハンティング報告書、「Nowhere to Hide: 2022 Falcon OverWatch Threat Hunting Report(敵に逃げ場なし:2022 年版Falcon OverWatch脅威ハンティング報告書)」を発表しました。この報告書では、ハンズオンによる侵入の試みが昨年比で50%も増加したことや、攻撃のトレンドやノウハウに顕著な変化が見られたことを明らかにしています。特に注目すべきは、Falcon OverWatch脅威ハンターチームが侵入の試みを77,000回以上検出している点で、これは7分あたり約1回に相当します。これは、たとえ攻撃者が密かに自律型の検知を回避しようと最善を尽くしても、人間主導のプロアクティブな脅威ハンティングによって、攻撃者が攻撃チェーンの様々な段階において活発に悪意ある手法を用いていることを発見したという実例です。 Falcon OverWatchの計算によると、サイバー犯罪者(eCrime)のブレイクアウトタイム(攻撃者グループが最初の侵害から水平移動して被害を受けた環境内の他のホストに移動するまでの平均時間)が、「2022年版 CrowdStrikeグローバル脅威レポート」で報告された1時間38分から1時間24分に縮まったことも判明しました。さらにFalcon OverWatchは、eCrimeによる侵入のうち約3分の1(30%)で、攻撃者グループが30分以内に水平移動を行っていることも明らかにしました。こうした結果は攻撃者がTTP(戦術/技術/手順)を進化させるスピードと規模が増していること、そして非常に高度な技術に基づく防御システムですら迂回して目標を達成できていることを示しています。 CrowdStrikeのFalcon OverWatch担当バイスプレジデント、パラム・シン(Param Singh)は次のように述べています。「過去12カ月の間に世界は経済的圧力と地政学的な緊張状態に直面し、脅威環境がこれまでになく複雑化しました。傍若無人な攻撃者を阻止するため、セキュリティチームは目に見えない高度な攻撃を常にプロアクティブに検索するソリューションを実装する必要があります。CrowdStrike FalconプラットフォームとFalcon OverWatchが行う脅威ハンティングのテレメトリー、ツール群、脅威インテリジェンス、そして人間の知恵を組み合わせることで、世界中の企業や組織を非常に高度な脅威やステルス型の脅威から保護します」 本報告書で明らかにされたその他の結果は以下の通りです。
- eCrimeはインタラクティブ型侵害の脅威としてトップ:インタラクティブな侵入のうち43%をeCrimeが、18%を国家主導型攻撃者グループが占めました。ハクティビストがインタラクティブ型侵害に占める割合は1%で、その他の侵入については詳細不明でした。
- 攻撃者グループのマルウェア離れが進行:CrowdStrike Threat Graphによってインデックス処理した全検知数のうち、マルウェアフリー攻撃の割合が71%を占めました。マルウェアを使用しない攻撃が優勢になったのは、攻撃者グループ有効なクレデンシャルを悪用して被害者環境へのアクセスや永続化を行うことが多いことにも起因しています。また、新たな脆弱性が暴かれ、敵対者がそれを悪用するスピードが増しているという点ももう一つの要因として挙げられます。
- インタラクティブ型侵害の最大の標的はテクノロジー業界:攻撃対象となった上位5つの業界は、テクノロジー(19%)、通信(10%)、製造(7%)、学術(7%)、ヘルスケア(7%)でした。特にテクノロジー業界は、攻撃対象2位の業界に比べてインタラクティブ型侵害の標的になった頻度が90%も高いことがわかりました。
- 国家主導型攻撃者グループの最大の標的は通信業界:攻撃対象となった上位5つの業界は、通信(37%)、テクノロジー(14%)、行政(9%)、学術(5%)、メディア(5%)でした。引き続き通信業界は、国家支援型の偵察、インテリジェンス、カウンターインテリジェンスによる情報収集の標的となっています。特筆すべきは国家主導型攻撃者グループが通信業界を攻撃対象とした侵害は、2位の業界に比べて163%も多かった点です。
- RaaS(Ransomware-as-a-Service)にさらされているヘルスケア業界:ヘルスケア業界に対するインタラクティブ型侵害の試みは昨年に比べて倍増しました。このうち大半がeCrimeによるものです。
本報告書はFalcon OverWatchが2021年7月1日~2022年6月30日の間にグローバルで実施した脅威ハンティングで得られたインサイトを掲載しており、詳細な攻撃データと分析結果、ケーススタディ、実用的な推奨事項が含まれています。 追加のリソース
- 「Nowhere to Hide: 2022 Falcon OverWatch Threat Hunting Report」の全文は、弊社のウェブサイトおよびブログをご覧ください。
- Twitter SpacesにてConのエキスパートが2022 Falcon OverWatch脅威ハンティングレポートのポイントをお伝えします。https://twitter.com/i/spaces/1YpJkgOPADrJj
- CrowdCast(Webキャスト)では、CrowdStrike Falcon OverWatch脅威チームが2022 Falcon OverWatch脅威ハンティングレポートに基づく新たな攻撃トレンドやトレードクラフトについてご紹介します。こちらも是非ご覧ください。ご登録はこちらから:
※同報告書の全文の日本語版は、後日ウェブサイトに掲載する予定です。その他、ブログ記事やCrowdCastといったリソースは英語でのご提供となります。 ※この資料は、米国時間2022年9月13日に発表されたプレスリリースの抄訳です。 CrowdStrikeについて CrowdStrike Holdings Inc.(Nasdaq:CRWD)は、サイバーセキュリティのグローバルリーダーであり、エンドポイント、クラウドワークロード、アイデンティティ、データを含む企業におけるリスクを考える上で重要な領域を保護する世界最先端のクラウドネイティブのプラットフォームにより、現代のセキュリティを再定義しています。 CrowdStrike Falcon®プラットフォームは、CrowdStrike Security CloudとワールドクラスのAIを搭載し、リアルタイムの攻撃指標、脅威インテリジェンス、進化する攻撃者の戦術、企業全体からの充実したテレメトリーを活用して、超高精度の検知、自動化された保護と修復、精鋭による脅威ハンティング、優先付けられた脆弱性の可観測性を提供します。 Falconプラットフォームは、軽量なシングルエージェント・アーキテクチャを備え、クラウド上に構築されており、迅速かつスケーラブルな展開、優れた保護とパフォーマンス、複雑さの低減、短期間での価値提供を実現します。 CrowdStrike: We Stop Breaches 詳細はこちら: https://www.crowdstrike.jp/ ソーシャルメディア: Blog | Twitter | LinkedIn | Facebook | Instagram 無料トライアル: https://www.crowdstrike.jp/try-falcon-prevent/ © 2022 CrowdStrike, Inc. All rights reserved. CrowdStrike、Falconのロゴ、CrowdStrike Falcon、CrowdStrike Threat Graphは、CrowdStrike, Inc.が所有するマークであり、米国および各国の特許商標局に登録されています。CrowdStrikeは、その他の商標とサービスマークを所有し、第三者の製品やサービスを識別する目的で各社のブランド名を使用する場合があります。