Skip to Main ContentSkip to Footer
プレス リリース

Secureworksの「2022年度サイバー脅威の実態」:ここ1年のランサムウェアインシデントの52%は、パッチを適用していないリモートサービスの悪用から開始

January 19, 2023

Secureworksの「2022年度サイバー脅威の実態」:ここ1年のランサムウェアインシデントの52%は、 パッチを適用していないリモートサービスの悪用から開始

Secureworks®のカウンター・スレット・ユニットTMのサイバー脅威現況分析が示す 世界中の攻撃者のツールと行動に見られる主要な変化

※本リリースは2022年10月4日、Secureworks Inc.で発表された「SECUREWORKS STATE OF THE THREAT REPORT 2022: 52% OF RANSOMWARE INCIDENTS OVER THE PAST YEAR STARTED WITH COMPROMISE OF UNPATCHED REMOTE SERVICES」の抄訳となります。

2022年10月11日、東京発 - サイバーセキュリティのグローバルリーダーである Secureworks®(セキュアワークス、NASDAQ: SCWX)は、本日、「2022年度サイバー脅威の実態(The State of the Threat)」レポートを発表し、リモートサービスの脆弱性悪用が過去1年のランサムウェア攻撃での主要な侵入方法(IAV)となっており、同期間中にSecureworks が分析したランサムウェアインシデントの52%を占めることを明らかにしました。これは、2021年からの認証情報ベースの攻撃を上回る数字です。これに加え、情報窃取マルウェアの使用も150%増加し、ランサムウェアの重要な前兆となっています。このどちらも、新たな脆弱性の優先順位付けやパッチ適用の必要性に追いつけるよう全力で取り組まなければならない組織にとって、ランサムウェアが主要な脅威となる要因と言えます。

Secureworksの「2022年度サイバー脅威の実態」レポートは、Secureworks カウンター・スレット・ユニット™(CTU)が、攻撃者のツールと行動に関して直接確認した結果を中心に、世界のサイバーセキュリティ脅威動向が過去12カ月でどのように変化したのかを解説しています。

Secureworksのチーフ・スレット・インテリジェンス・オフィサーのバリー・ヘンズリーは、次のように述べています。「当社は、毎年何千ものインシデント対応に取り組んでいます。ランサムウェアがビジネスにとって最も顕著な脅威であり続ける中、当社は、攻撃者の行動やキャンペーンへのアプローチに見られる著しい変化を追跡しています。Ransomware as a Service(RaaS)の動きが鈍化していると主張するのは、あまりにも早計に過ぎます。調査によれば、情報窃取マルウェアの使用が増加していて、ツールおよび攻撃者が進化していることは明らかです。脅威は変化していても、なくなったわけではないのです。組織にとっては、最新のインテリジェンスに基づいた効果的なリスク優先順位付けソリューションを使って、攻撃者に先んじることが欠かせません。脅威の特性を把握できれば、ビジネスは、よりスマートにリソースに集中し、レスポンスの最適化に向けてすばやく動くことができます」

レポートのハイライトは、次のとおりです:

  • 主要な侵入方法(IAV)は、認証情報ベースの攻撃から脆弱性の悪用へと変化
  • ランサムウェア実行を可能にする手段として、情報窃取マルウェアの使用が増加
  • 主要な脅威であり続けているランサムウェアに関連する攻撃グループや攻撃手法の変化
  • ローダーの変化と新たなローダーの出現
  • 世界各地の政府支援の攻撃グループが用いるツールと戦略

進撃するランサムウェア

ランサムウェアは、組織が直面する主要な脅威であり、現在もすべての攻撃の4分の1以上を占めています。一連の注目を集めた法執行機関の介入や公開リーク、そして夏には減少傾向が見られたものの、ランサムウェア運営組織は、引き続き活発に活動しています。

2022年の検知期間の中央値は2021年の5日に対し、4.5日でした。2021年の平均滞留時間は22日間でしたが、2022年では11日に減少しています。企業では被害の軽減や対応に費やせるのは事実上 1 週間のみとなります。

「暴露(name-and-shame)」サイトで掲載されている被害組織の数は、引き続き高い傾向を示していて、前年比の減少も見られません。月ごとの変動があるものの、2022年上半期に名指しされた被害組織数は1,307件で、前年同期の1,170件よりも微増しています。

Secureworksが対応したインシデントに基づく今年活発だった攻撃グループは、GOLD MYSTICGOLD BLAZERGOLD MATADORGOLD HAWTHORNEです。特筆すべきなのは、これらのグループが、すべてロシアに関係していることです。

一部の事例では、攻撃者がランサムウェアの恐怖感を利用して、より次元の低い技術による犯罪を企てようとしています。ランサムウェアを使用せずデータ窃取と身代金要求を行うハックアンドリーク攻撃は、2022年にも引き続き発生し、とりわけGOLD TOMAHAWKGOLD RAINFORESTによる攻撃が最も多く見られました。

リモートサービスの脆弱性が最大の問題に

Secureworksの「2022年度サイバー脅威の実態」レポートでは、インターネット公開システムの脆弱性の悪用が最も多く観測された侵入方法(IAV)になったことも強調されています。これは、窃取または推測された認証情報の悪用が多かった2021年からの変化となっています。

新たな脆弱性が発見されると、攻撃者も使用する公開オフェンシブセキュリティツール(OST)の開発者は、ツールにすばやく組み込みます。これは多くの場合、高度な技術を持たない攻撃者でも、セキュリティチームがパッチを適用する前に新しい脆弱性を悪用できるということです。

情報窃取マルウェアの台頭

CTUリサーチャーは、情報窃取マルウェアにより収集された認証情報をソースとするネットワークアクセスの販売が増加していることを確認しました。2022年6月某日、CTUリサーチャーは、情報窃取マルウェアによって入手された220万件以上の認証情報が、あるアンダーグラウンドマーケットで販売されていることを確認しました。一方、昨年に同じ市場、同じマルウェアによって盗まれ販売された認証情報は878,429件で、前年同期比としては150%増です。

情報窃取マルウェアの主な市場は、Genesis Market、Russian Market、2easyの3つです。アンダーグラウンドフォーラムでは、数多くのマルウェアが販売されていますが、主なものとして、Redline、Vidar、Raccoon、Taurus、AZORultなどがあります。

情報窃取マルウェアは、侵入するための認証情報を迅速かつ簡単に取得する手段を提供することで、ランサムウェア攻撃を可能にする主な要因となっています。情報窃取マルウェアの革新的な配布方法には、クローンWebサイトや、Signalなどのメッセージングアプリの偽インストーラーがありました。

ローダーの傾向に見られる変化

2021年7月から2022年6月にかけて、有名な2つのローダー(Trickbot、IceID)が姿を消し、Emotet、Quakbotの2つが復活しました。これらのローダーを運営するグループは、初期のバンキングマルウェアから発展した複雑で機能豊富なボットネットから、開発や保守が簡単なより軽量なローダーへと移行している可能性があります。このような変化が可能になったのは、Cobalt Strikeのような、機能豊富で積極的に保守が行われるペネトレーションテストツールの使用が増加したためだと思われます。

国家支援の脅威への理解

Secureworks CTUは、国家支援を受ける攻撃グループによる数件の重大な攻撃活動に加え、その動機や行動、戦術を追跡しました。

  • 中国:中国政府が支援するグループは、サイバーセキュリティの世界で最も多発的でリソースが豊富な脅威の1つです。ロシア・ウクライナ戦争の発生中、中国政府が支援するグループはロシアとウクライナの両方を標的に攻撃活動を行っています。こうした攻撃グループの行動の特徴は、ランサムウェアを身代金目的ではなく知的財産の窃取とサイバースパイの偽装行為として利用することです。
  • ロシア:ウクライナ侵攻は、ロシアのサイバー能力を露呈させました。戦争初期の段階では、破壊攻撃に加えて 2017年のNotPetyaのような大規模な破壊的な攻撃が発生するのではないかと世界中で危惧されました。しかし、ウクライナの標的に向けられたサイバー活動が着実に進行しているにも関わらず(一部はロシア政府の支援する攻撃者とみなされていた)、広範囲における破壊攻撃の成功は観察されませんでした。CTUが過去 1年間で追跡した中で最も顕著だったロシアの攻撃グループは、IRON TILDENです。同グループは主にウクライナを標的としたスピアフィッシング攻撃で有名ですが、4月にはラトビア議会に対しても攻撃を行っています。
  • イラン:イランの攻撃グループと政府のつながりは、この1年でさらに明確になりました。攻撃の目的は金銭的利益ではなく混乱を招くことにあるようですが、ランサムウェアは依然としてイランの攻撃グループの1テーマとして進化中です。セキュアワークスのインシデント対応コンサルタントはこの1年、イスラエル、米国、欧州、オーストラリアの組織に対するCOBALT MIRAGEランサムウェア攻撃を調査したところ、グループの背後にいる人物も特定することができました。
  • 北朝鮮:過去12カ月にわたって、TFlower、VHD Locker、PXJ、BEAF、ZZZZ、ChiChiなど複数のランサムウェアファミリーが北朝鮮に関連しています。こうしたランサムウェアグループが次々と登場して進化することは、同地域で攻撃者たちが追い続ける収入源の1つとなっていることを強く示唆しています。暗号通貨と分散型金融(DeFi)組織が活動の大きな焦点です。北朝鮮の攻撃グループは、2018年以降、暗号通貨取引所から年間2億米ドル以上を盗み出したと報告されています。
  • イラン:イランの攻撃グループと政府のつながりは、この1年でさらに明確になりました。攻撃の目的は金銭的利益ではなく混乱を招くことにあるようですが、ランサムウェアは依然としてイランの攻撃グループの1テーマとして進化中です。セキュアワークスのインシデント対応コンサルタントはこの1年、イスラエル、米国、欧州、オーストラリアの組織に対するCOBALT MIRAGEランサムウェア攻撃を調査したところ、グループの背後にいる人物も特定することができました。
  • 北朝鮮:過去12カ月にわたって、TFlower、VHD Locker、PXJ、BEAF、ZZZZ、ChiChiなど複数のランサムウェアファミリーが北朝鮮に関連しています。こうしたランサムウェアグループが次々と登場して進化することは、同地域で攻撃者たちが追い続ける収入源の1つとなっていることを強く示唆しています。暗号通貨と分散型金融(DeFi)組織が活動の大きな焦点です。北朝鮮の攻撃グループは、2018年以降、暗号通貨取引所から年間2億米ドル以上を盗み出したと報告されています。

2022年度サイバー脅威の実態

Secureworks CTUによる「2022年度サイバー脅威の実態」レポートは、こちらからすべてお読みいただけます。

また、2022年10月20日に開催した、Secureworks Connectでも、本レポートに関する講演を行いました。本日から2023年2月28日まで、こちらのオンデマンド配信で、講演概要をご覧いただけます。

Secureworks について

Secureworks(セキュアワークス、NASDAQ: SCWX)は、Secureworks® Taegis™を通じてお客様のビジネス進捗を保護するサイバーセキュリティのグローバルリーダーです。Taegisはクラウドネイティブなセキュリティ分析プラットフォームであり、20年以上にわたる実業務を通して蓄積された脅威インテリジェンスとリサーチに基づき構築されています。お客様は、高度な脅威を効果的に検知し、合理的な調査と関係チーム間のコラボレーションを行い、そして適切な対応アクションを自動化することが可能となります。

本件に関するお問い合わせ先
セキュアワークス株式会社
担当/電話:寺下(03-4400-9373)
E-mail: [email protected]

共同PR株式会社
担当/電話:正木(090-7739-1083)、田村(070-4303-7254)、児玉(070-4303-7256)
E-mail: [email protected]

Secureworksについて

Secureworks (NASDAQ: SCWX) は、サイバーセキュリティのグローバル リーダーです。20 年以上にわたる脅威インテリジェンスとリサーチの現場経験に基づいたクラウドネイティブ型セキュリティ分析プラットフォーム、Secureworks®Taegis™ を存分にご活用いただくことで、お客様の対応力 (高度な脅威の検出、インシデント調査の効率化とコラボレーション、適切なアクションの自動実行) を強化し、お客様の環境を保護します。

今すぐ Taegis をお試しください

ご確認ください:Taegis がリスクを軽減し、既存のセキュリティ投資を最適化し、人材不足を解消することがどのようにできるかをデモでご覧ください。