クラウドストライク、2023年度版脅威ハンティングレポートを公開、 防御策のバイパスを狙ったアイデンティティベース攻撃とハンズオンキーボード攻撃が増加
アイデンティティ情報を狙ったKerberoasting攻撃が583%増、正規のRMMツールの不正使用が3倍増
という結果が注目を集める一方で、攻撃者のブレイクアウトタイムは最短記録を更新
CrowdStrike(NASDAQ: CRWD)の日本法人であるクラウドストライク合同会社(本社:東京都港区、代表執行役員:尾羽沢 功、以下クラウドストライク)は本日、クラウドストライク2023年度版脅威ハンティングレポートを公開しました。このレポートは1年に一度公開され、今年で6年目となります。本レポートでは攻撃トレンドや、クラウドストライクの精鋭脅威ハンターとインテリジェンスアナリストが検出した攻撃者のスパイ技術などの内容を取り上げるとともに、アイデンティティの不正使用による侵入の急増、クラウドを狙った攻撃者の専門知識のさらなる強化、正規のリモート監視および管理(RMM)ツールの不正使用が3倍に増加したこと、攻撃者のブレイクアウトタイムがこれまでの最短を記録したことなどを明らかにしています。
8月5日〜8月10日に開催されたBlack Hat USA 2023で、クラウドストライクは新たなCounter Adversary Operationsチームの発足を公式に明かしました。2022年7月から2023年6月の攻撃者の活動について解説する本レポートは、発足後に初めてこのチームが発表したものとなります。
レポートの主なポイント
- アイデンティティを狙ったKerberoasting攻撃が583%増となり、アイデンティティの不正使用による侵入の大幅増が明らかに:クラウドストライクはKerberoasting攻撃が前年比でなんと約6倍まで増えたことを発見しました。この攻撃はMicrosoft Active Directory用サービスアカウントで用いられる有効な認証情報を不正に獲得するもので、多くの場合アクターに上位権限を提供するため、被害者の環境で長期間検出されることがありません。また、全体として、対話型攻撃による侵入の62%で有効なアカウントが不正使用されていました。一方、秘密鍵などの認証情報を、クラウドインスタンスメタデータAPIを介して収集する試みも160%増加しました。
- 正規のRMMツールを悪用した攻撃は前年比312%増:CISAのレポートをさらに裏付ける事実として、検知を回避し、社内の活動に紛れ込むためによく知られた正規のリモートIT管理アプリケーションを悪用する攻撃者がますます増加しています。こうした攻撃は、機密データにアクセスしてランサムウェアをデプロイし、標的に合わせてカスタマイズした侵入後戦術を実行することを目的としています。
- 攻撃者のブレイクアウトタイムが過去最短の79分を記録:攻撃者が侵害を開始してから被害者の環境内の他のホストに水平展開するまでにかかる平均時間が、2022年までの最短記録だった84分を更新する79分となりました。さらに、最短ブレイクアウトタイムはわずか7分でした。
- 金融業界では対話型攻撃による侵入が前年比80%増加:対話型攻撃による侵入(ハンズオンキーボード活動による侵入)が全体的に40%増加しました。
- 犯罪組織や地下組織でのアクセスブローカーによる広告が147%増加:有効なアカウントが販売され、容易に入手できるため、サイバー犯罪を気軽に行いやすい状況になっています。さらに、経験豊富な攻撃者にとっては侵入後の戦術に必要な技術向上に集中できるため、さらに効率よく目的を達成できます。
- Linuxの権限昇格ツールを悪用してクラウド環境の不正利用するケースが3倍に増加:クラウドストライクは、Linuxツール「LinPEAS」を悪用するケースが3倍に増加したことを発見しました。攻撃者はLinPEASを悪用して、クラウド環境のメタデータ、ネットワーク属性、さまざまな認証情報のアクセス権を獲得し、エクスプロイトを行います。
- 2023年度版のCrowdStrike脅威ハンティングレポートを、クラウドストライクのウェブサイトからダウンロードしてご覧いただけます。
- クラウドストライクのAdversary Universe(アドバーサリー ユニバース)ポッドキャストでは、攻撃の阻止に関する情報をお届けしています。
- こちらのブログ記事で、脅威ハンティングレポートの概要をご覧いただけます。
