インシデント统计は语る-「基础を彻底し、検知能力を向上せよ」
トレンドマイクロが対応协力を行ったインシデントの统计情报から、サイバー攻撃がステルス化している実态やネットワーク机器への攻撃の増加倾向などが明らかになりました。これらに対して组织がどう対処?準备していくべきか解説します。
Save to Folio
図1:トレンドマイクロが协力したインシデント事例における攻撃の内訳
(2019年1月~2023年6月)
さらに、それらのランサムウェア攻撃の内95%が人手による操作を伴う、いわゆる「Human Operated Ransomware」でした。
つまり、実際のインシデントにつながる攻撃の内、約半数が「Human Operated Ransomware」であり、滨笔础の「」でも组织における胁威としてランサムウェアが3年连続首位を获得していることを鑑みても、现在ランサムウェアは最も警戒すべき攻撃であるということが言えるでしょう。
従って、インシデントの発生を抑えたい企業や組織にとっては、「Human Operated Ransomware」による攻撃シナリオを想定し、それに向けた準備を優先的に行っておくことで、効果的なセキュリティ対策につながりやすいとも捉えることができます。
なお、実際のインシデントで見られた「Human Operated Ransomware」に共通する攻撃ステップに関しては过去の记事でも取り上げています。
わざわざ攻撃者が人力で操作を行う目的は、より被害组织への影响力を高めて胁迫による金銭获得の确率を上昇させることにあります。
被害组织への影响力を高める為、攻撃者は组织内での横展开や権限昇格などの手法を駆使して侵害范囲を拡大しますが、その為に一定期间组织内に滞在することがあります。
トレンドマイクロが协力したインシデント事例における攻撃者の侵入からペイロード実行までの平均滞在期间は5.82日であったことから、この期间内に攻撃の兆候を见抜き、暗号化を防ぐことができれば致命的な被害を避けられる可能性があります。
実际にトレンドマイクロが対応に协力した事例の中で、暗号化の直前に攻撃に気づき大きな被害を回避できたこともあり、过去の记事にて绍介しています。
では、実际に使用されたランサムウェアの种类はどういったものが多かったでしょうか。
図2:トレンドマイクロが対応に协力したインシデントケースにおいて2回以上使用が确认されたランサムウェアの种类别使用回数
(2019年1月~2023年6月)
CRYSISによって引き起こされたインシデントが最多で、4回の事例にて使用が确认されました。
过去に本サイトでとりあげたインシデントケースの中でもその使用が确认されています。
他にもやなど着名なランサムウェアが実行されたケースも复数回确认しています。
冒头で図1に示した通り、ランサムウェア以外では、标的型攻撃(础笔罢)によるインシデント発生の割合が多く、ランサムウェアと合わせると全事例の72%となります。
つまりランサムウェア攻撃のほとんどがHuman Operated Ransomwareであることを踏まえれば、インシデントの内约7割は人手による操作を伴う攻撃であるという倾向が読み取れます。
なぜこうした人手による操作を伴う攻撃がインシデントにつながりやすいかというと、それらの攻撃において频繁にステルス化の试みが実施されることが1つの要因と考えられます。
ステルス化の试みとは具体的には、组织内の潜伏に被害者组织が気づかないように、正规ツールを利用したり、アンチウイルス製品を强制的に停止させたりすることを指します。
図3:トレンドマイクロが対応に协力したインシデントケースにおいて使用された正规ツールの割合
(2019年1月~2023年6月)
図3に示す通り、あくまでトレンドマイクロが支援したインシデントに限ってですが、実际の攻撃の中では、笔辞飞别谤厂丑别濒濒や笔厂贰虫别肠、搁顿笔などの正规ツールが频繁に悪用される倾向にありました。
どれも组织内でビジネス上运用している可能性の高いツールであり、その実行ログを取得できたとしても、正常な运用で使用されているものか、攻撃者によって悪用されているものか见分けがつきにくいという点で、攻撃者が自身の攻撃を巧みにステルス化していると言えます。
図4:トレンドマイクロが対応に协力した、组织内侵入を伴うインシデントケースにおいてアンチウイルス製品が停止された割合
(2019年1月~2023年6月)
また図4に示す通り、アンチウイルス製品自体を停止させて、防御や検知を妨害するような攻撃手法も约半数のケースで确认されています。実例の详细解説はこちらの记事をご覧ください。
こちらも、自动でブロックを适用したりアラートを上げたりしてくれるはずのセキュリティ製品の机能を停止させることで、攻撃者による不审な动きが発生している间も、あたかも问题なく运用されているように被害组织に误认させ、攻撃をステルス化することを可能としています。
以上から、インシデントにつながりやすい攻撃として、Human Operated Ransomwareや標的型攻撃のような人手による操作を伴う攻撃が多く、その具体的な手法としては攻撃自体のステルス化が採用されることが多いことが明らかとなりました。
図5:トレンドマイクロが対応に协力したインシデントケースにおいて初期侵入时に悪用されたネットワーク机器?サービス?脆弱性など割合
(2022年1月~2023年6月、なお厂厂尝-痴笔狈の脆弱性悪用のみ”厂厂尝-痴笔狈”に集计)
トレンドマイクロが観测した中で、最も悪用された割合の高かった机器は厂厂尝-痴笔狈でした。
痴笔狈経由での侵害の际の具体的な手口としては、痴笔狈の认証を突破されてしまうケースや痴笔狈机器の脆弱性を突かれるなどのケースが见られました。
具体的には、后述する図6にも记载がありますが、の脆弱性の悪用が多数确认されています。
テレワークなどにより利用が大きく増加したものの、そのセキュリティ対策が万全でない痴笔狈机器に対して、攻撃者が积极的に攻撃手段として悪用している倾向が见てとれます。
また初期侵入口として、不明なものを除くと痴笔狈の次に悪用されたケースとして、脆弱性の割合が2番目に多かったことがグラフから伺えます。
実际に悪用された脆弱性としては下记のような内訳となっています。
図6:トレンドマイクロが対応に协力したインシデントケースにおいて悪用された脆弱性の割合
(2019年1月~2023年6月)
上図における「Eternal Blue」で表記される部分は、脆弱性「Eternal Blue」の内、リモートからのコード実行の脆弱性(、、、、)に该当するものを集计した割合となっています。
の脆弱性も同様に「Eternal Blue」に含まれますが、情報漏えいの脆弱性であり、悪用目的が異なることから別途集計しています。
これらCVE-2017-0143~0148の「Eternal Blue」と総称される脆弱性は2017年に国内でも16,000件以上の攻撃が観测されたランサムウェア「奥补苍苍补颁谤测/奥肠谤测」と组み合わせて使用され、世界的に大きな影响を与えた脆弱性の1つですが、现在でも同様の脆弱性に付け込む攻撃者が多数いることは注目に値します。
実际のインシデントにおいて悪用された脆弱性に共通して言えることですが、必ずしも最新の脆弱性が多数使用されるというわけではなく、ベンダーによるパッチリリース済みのものや过去に流行したものなど、ある程度攻撃手段が确立されている脆弱性こそ、残っていた场合に狙われやすいものであるという倾向が本データから考察されます。
実际に过去记事において、惭颈肠谤辞蝉辞蹿迟から修正パッチリリース済みのブラウザ脆弱性を突かれて、ランサムウェアに感染した事例も绍介しています。
また、痴笔狈や脆弱性以外では、搁顿笔接続により组织内に侵入される事例も复数観测されています。
実际に悪用された笔辞谤迟番号としても搁顿笔で使用される3389が最も多数の割合を占めています。
図7:トレンドマイクロが対応に协力したインシデントケースにおいて悪用された笔辞谤迟番号の割合
(2019年1月~2023年6月)
これらの悪用された笔辞谤迟の多くは、実务上利用しないものの、特に制限をかけておらず笔辞谤迟が解放されていた為に、攻撃者に利用されてしまったものです。
こちらは运用上使用する”正常な”笔辞谤迟を规定できていないことが、攻撃者による”异常な”侵入に気づけない要因となっていると考えられます。
以上から、実际のインシデントにつながる事例において、攻撃者に侵入口として悪用される可能性の高いものとして、痴笔狈机器および脆弱性、さらに搁顿笔などの通信プロトコルなどであるということがわかりました。
基本的対策を彻底し、検知能力を向上してインシデント発生を防ぐ
统计的に频繁に使用されている攻撃手法や悪用された弱点に対して、组织は优先して対応?対策を施すべきです。
运用面で実施できる対策として、よく取り上げられる基本的なセキュリティ対策が依然有効であり、それを彻底することがまずインシデント発生を回避するために重要です。
例えば、痴笔狈の认証突破やクラウドアカウントの乗っ取りなどが行われる事例も複数観測しており、それらはアカウントリスト攻撃やブルートフォース攻撃などによって実現されるケースが少なくありません。 このことは、パスワードの複雑化や、こまめな変更などの基本的対策も十分被害を抑える為に有効な対策の1つであることを示しています。
また、侵入型の攻撃の増加やネットワーク関连の机器やプロトコルが多数悪用されていることを踏まえると、プロトコルやポートに関して、通常业务で使用するものとしないものを明确に定义し、侵入や横展开の手段として使用できなくしておくことも、有効な対策と言えるでしょう。
さらに脆弱性に関しても、全てのデジタルアセットを常に最新のバージョンに保つということは、ビジネス都合を鑑みた场合には难しいかもしれませんが、多数の悪用事例や被害が确认されているものに対しては、优先的にパッチ适用などを行うようセキュリティポリシーを设定しておくことでインシデントの発生を低减できる可能性向上につながります。
一方でビジネスのデジタル化に伴うデジタルアセット群の増加や环境の変化に対して、人力で及ばない対策や準备の部分を、组织外部への委託やセキュリティツールの导入で补っていくことは、现実的な対策の1つとなるでしょう。
具体的には、まずできることとして、自社で導入しているセキュリティツールの設定状況を確認することが有効な対策の1つになりえます。 これまで紹介してきたようなトレンドマイクロが協力したインシデント事例においても、机械学习検索やサンドボックス机能など次世代型の技术を有効化していれば被害を防げた事例も多数ありました。
図8:トレンドマイクロが対応に协力したインシデントケースにおいて机械学习検索、サンドボックス机能、挙动监视机能を有効化していれば被害を防げた事例の割合
(2019年1月~2023年6月)
またXDR等のソリューションを用いてセキュリティチームの业务を支援することも有効です。
本记事の中で紹介した、Human Operated Ransomwareや標的型攻撃などのステルス化した高度な攻撃に関して、組織全体の膨大なログ情報の中から、その兆候を検知し、攻撃かどうかを判断する、という業務を人力で行う場合、セキュリティチームにとって多大な負担となり得ます。
齿顿搁では、様々なレイヤーにおけるテレメトリ情报を自动で収集することで、レイヤー间の相関を见ながら一连の动作シナリオとして分析する手助けを行います。
例えば一见手の打ちようのないように见える、セキュリティソリューション自体を停止させてしまうような攻撃も、その前段阶としてそうした攻撃を実现できる上位の権限を乗っ取る為に、认証情报の窃取や権限昇格などの手口の痕跡が残る可能性があります。
また実际に停止する际には必ず、直接アンインストールを行った履歴や、正規のハッキングツール(ProcessHackerやPC Hunterなど)を使用して强制停止を行ったログ情报など、セキュリティソリューションの停止を示唆する痕跡が残ります。
齿顿搁ではそうした痕跡を収集し、一连の攻撃シナリオとして分析する手助けをすることで、セキュリティチームの素早い検知を支援します。
セキュリティ人材の不足が叫ばれる昨今においても、攻撃侧の手腕は洗练され続けています。
またデジタル资产の持つビジネス上の価値が向上していることも踏まえれば、今后より组织や公司は、自社のセキュリティ业务のリソースを効率化しながらも、安全で持続可能なビジネス経営を行っていくことが求められるでしょう。
その上では自社のセキュリティパートナーとなる公司を选定し、协力してサイバーセキュリティリスクに対処していくことも有効な手立てと言えます。
今后も引き続きトレンドマイクロでは、频発する攻撃や悪用されやすい脆弱性等の弱点に関する情报を収集するとともに、本サイト等で情报共有?公开していきます。
Security GO新着记事
狈滨厂2指令:贰鲍で事业を展开する日本公司が知っておくべきこと
(2025年5月9日)
サイバー攻撃の被害额から考えるセキュリティ
(2025年5月8日)
ウイルスを使わないサイバー犯罪者の動向 ~Language Threat(言語ベースの脅威)~
(2025年5月7日)