今年のレポートでは、業界でも有名なCrowdStrike Intelligence(*3)が、CrowdStrike Falconプラットフォーム(*4)で収集した日々の無数のインシデントデータとCrowdStrike Falcon OverWatch(*5)の知見を活用して作成しています。2023年版レポートで注目すべき点は以下のとおりです。
- 2022年は、検知された攻撃のうち71%がマルウェアフリーで(2021年の62%から増加)、対話型の侵害(ハンズオンキーボード攻撃)が50%増加 – 人間による巧妙な攻撃でウイルス対策をかいくぐり、機械頼みの防御を欺こうとする傾向がいかに強まっているかがうかがえます。
- ダークウェブにおけるアクセスブローカー広告が前年比112%増 – 地下経済におけるアイデンティティ情報・アクセス認証情報の価値や需要が高いことがうかがえます。
- クラウド悪用が95%増加し、クラウド重視の攻撃者が関係するインシデント数が前年比で約3倍に – クラウド環境がますます狙われやすくなっていることが改めて裏付けられました。
- 33の撃者が新たに追加 – 1年間の増加数としては過去最大です。この中には最近、通信・BPO・テクノロジー企業を標的にした数々の大規模攻撃(*6)を企て、非常に活発に活動しているサイバー犯罪者グループSCATTERED SPIDER(*7)やSLIPPY SPIDER(*8)も含まれます。
- 攻撃者がパッチ適用済みセキュリティプログラムの脆弱性を再悪用 – 2021年12月に発覚したLog4Shellの余波でネットワーク荒らしが続いたほか、ProxyNotShellやFollina(2022年にMicrosoftがパッチを発行した900以上の脆弱性と30のゼロデイ脆弱性(*9)のうちの2つ)をはじめとする既知と新規の脆弱性が利用され、修正パッチや緩和策が国家主導型の攻撃者やサイバー犯罪者に広く悪用されました。
- サイバー犯罪者が身代金以外の新たな収益源確保に移行 – 2022年は、データ窃盗・強奪作戦を行う攻撃者の数が20%増加しました。
- 中国と関わりのあるスパイ活動が、世界の39の業種および20の地域のすべてで急増(CrowdStrike Intelligence調べ) – 世界各国そして各バーティカル市場の組織は、中国政府の脅威を警戒する必要があると言えます。
- サイバー犯罪での平均ブレイクアウトタイムが84分に – 2021年の98分から短くなり、現在の攻撃者はかなりのスピードで攻撃してくることが明らかになりました。
- ロシア・ウクライナ戦争によるサイバー空間への影響は騒がれていたほどではなかったものの、決して小さくはない – 諜報戦術、さらには偽のランサムウェアを活用するロシアと関わりのある攻撃者が急増しました。破壊工作の標的を政治的なリスクがあると思われる業種や地域にも広げようとするロシア政府の思惑がここから垣間見えます。
- 人間とのやり取りを標的としたソーシャルエンジニアリング戦術の増加 – 多要素認証(MFA)を回避するために、ビッシング(ボイスフィッシング)などの戦術を用いて被害者に対するマルウェアダウンロードの指示や、SIMスワッピングが行われています。
クラウドストライクのインテリジェンス部門責任者、アダム・マイヤーズ(Adam Meyers)は次のように述べています。「セキュリティ業界ではこの1年、珍しい脅威が複合的に躍り出てきました。分裂したサイバー犯罪者グループが巧妙さを増して再登場し、攻撃者はパッチ適用済みや緩和策実施済みの脆弱性を回避して容赦ない攻撃を実行しました。ロシアとウクライナの紛争がもたらす恐ろしい脅威に隠れて中国と関わりのある攻撃者が増え、悪質さの増した工作活動が着々と進んでいます。今の攻撃者はこれまでと比べて賢さや巧妙さが増し、リソースも潤沢になっています。ますます執拗になる攻撃よりも常に一歩先んじるためには、急速に変化する攻撃の手口手法、目的を理解し、最新の脅威インテリジェンスを基にしたテクノロジーを採用する以外にありません」
新しい攻撃者の詳細:
CrowdStrike Intelligenceは新たに33の攻撃者を追跡対象に加え、これにより、追跡対象となる既知の攻撃者の合計は200を超えました。新たに追加された攻撃者のうち20以上はSPIDER(クラウドストライクの命名規則でeCrime攻撃者を意味します)です。ロシア・ウクライナ紛争が始まったこの1年は、新たに追加されたBEAR(ロシアと関わりのある攻撃者)のうちGOSSAMER BEAR(*10)によるクレデンシャル(認証情報)フィッシングが非常に活発になり、政府系研究機関や、軍需企業、物流企業、非政府組織(NGO)が標的になりました。また、DEADEYE HAWK(以前はハクティビスト「DEADEYE JACKAL」として追跡対象になっていたグループ)が、シリアと関わりのある攻撃者として初めて追加されました。
CrowdStrike Intelligenceは、過去に例のないほどの大量のインテリジェンスローデータ(*3)を有しており、日々起きる無数のセキュリティインシデントを活用して、特に広まっている脅威の阻止やCrowdStrike Falcon®プラットフォーム(*4)の強化に役立てています。Falconはセキュリティに関する統合プラットフォームで、エンドポイントおよびアイデンティティ脅威保護テクノロジー、攻撃者主導型インテリジェンス、人間主導型分析という機能を独自に組み合わせることで、最も巧妙な脅威を事前に阻止することができます。
その他のリソース
- 2023年版クラウドストライクグローバル脅威レポートはこちらからダウンロードできます(英語のみ)。 https://www.crowdstrike.com/global-threat-report/
- 攻撃者に関する正確な情報については、クラウドストライクのAdversary Universe(アドバーサリー ユニバース)をご覧ください。 https://www.crowdstrike.com/adversaries/
- 脅威インテリジェンスをクラウドストライクの業界一の攻撃者重視のテクノロジーとともに自社のセキュリティスタックに統合するための詳細については、クラウドストライクのウェブサイトをご覧ください。 https://www.crowdstrike.com/products/threat-intelligence/
*1 2023 CrowdStrike Global Threat Report(英語): https://www.crowdstrike.com/global-threat-report/
*2 Global Threat Landscape(英語): https://www.crowdstrike.com/adversaries/
*3 Threat intelligence products(英語): https://www.crowdstrike.com/products/threat-intelligence/
*4 CrowdStrike Falconプラットフォーム: https://www.crowdstrike.jp/falcon-platform/
*5 CrowdStrike Falcon OverWatch(英語): https://www.crowdstrike.com/services/managed-services/falcon-overwatch-threat-hunting/cloud-threat-hunting/
*6 CrowdStrikeブログ(英語): https://www.crowdstrike.com/blog/scattered-spider-attempts-to-avoid-detection-with-bring-your-own-vulnerable-driver-tactic/
*7 SCATTERED SPIDER(英語): https://www.crowdstrike.com/adversaries/scattered-spider
*8 SLIPPY SPIDER(英語): https://www.crowdstrike.com/adversaries/slippy-spider
*9 CrowdStrikeブログ(英語): https://www.crowdstrike.com/blog/author/falcon-spotlight-team/#page=1
*10 GOSSAMER BEAR(英語): https://www.crowdstrike.com/adversaries/gossamer-bear/
CrowdStrikeについて
CrowdStrike Holdings Inc.(Nasdaq:CRWD)は、サイバーセキュリティのグローバルリーダーであり、エンドポイント、クラウドワークロード、アイデンティティ、データを含む企業におけるリスクを考える上で重要な領域を保護する世界最先端のクラウドネイティブのプラットフォームにより、現代のセキュリティを再定義しています。
CrowdStrike Falcon®プラットフォームは、CrowdStrike Security CloudとワールドクラスのAIを搭載し、リアルタイムの攻撃指標、脅威インテリジェンス、進化する攻撃者の戦術、企業全体からの充実したテレメトリーを活用して、超高精度の検知、自動化された保護と修復、精鋭による脅威ハンティング、優先付けられた脆弱性の可観測性を提供します。
Falconプラットフォームは、軽量なシングルエージェント・アーキテクチャを備え、クラウド上に構築されており、迅速かつスケーラブルな展開、優れた保護とパフォーマンス、複雑さの低減、短期間での価値提供を実現します。
CrowdStrike: We Stop Breaches
詳細はこちら: https://www.crowdstrike.jp/
ソーシャルメディア:
Blog: https://www.crowdstrike.com/blog/
Twitter: https://twitter.com/crowdstrike
LinkedIn: https://www.linkedin.com/company/crowdstrike/
Facebook: https://www.facebook.com/CrowdStrike
Instagram: https://www.instagram.com/crowdstrike/
無料トライアル: https://www.crowdstrike.jp/try-falcon-prevent/
© 2023 CrowdStrike, Inc. All rights reserved. CrowdStrike、Falconのロゴ、CrowdStrike Falcon、CrowdStrike Threat Graphは、CrowdStrike, Inc.が所有するマークであり、米国および各国の特許商標局に登録されています。CrowdStrikeは、その他の商標とサービスマークを所有し、第三者の製品やサービスを識別する目的で各社のブランド名を使用する場合があります。