サイバー攻撃のトレンドが変化 企業のどこを狙ってくるのか

企業が備えなければならないサイバー攻撃の種類が変化した。これまでとは対策の重点を変えなければならない。

[Matt Kapko，Cybersecurity Dive]

　企業に対するサイバー攻撃のトレンドはほぼ変わらないと言われている。例えば情報処理推進機構（IPA）が発表する十大脅威では「ランサムウェアによる被害」や「サプライチェーンの弱点を悪用した攻撃」が常に最上位に挙がる。

　だがIBMが調査した結果、2023年には攻撃者の行動に変化が生じており、ある攻撃が全体のほぼ3分の1を占めるまで成長した。

企業の対策はここが抜けていた

　企業が見落としがちな弱点とは何だろうか。

　IBM X-Forceの全世界を対象としたレポートによると（注1）、2023年は「有効な認証情報に対するクレデンシャル攻撃」がサイバー攻撃のほぼ3分の1を占め、攻撃者の初期アクセスとして最も一般的になった。2022年比で攻撃の数が71％増加した。

　「攻撃者がより巧妙な手法を使うようになったところを調査で観測できた。有効な認証情報に対するクレデンシャル攻撃はなぜ増加したのだろうか。この攻撃が最も簡単な侵入経路だと犯罪者が理解したからだ」（IBM X-Forceのチャールズ・ヘンダーソン氏《ローバルマネージングパートナー兼チーフ》）

　この調査結果は、企業側に2つの落とし穴が残っていることを明らかにした。

・認証情報管理の不備（注2）
・正当な認証と不正な認証を区別できていない

　「多くのサイバーセキュリティ対策製品は、有効な認証情報を攻撃者が使用した場合に、それを検出するようには設計されていない。不正使用の検出について、企業の戦略を巧妙にすり抜けている」（ヘンダーソン氏）

認証情報を再利用してはいけない

　IBMによると、認証情報の再利用の広まりや、数多くの有効な認証情報がダークWebで販売されていることも、攻撃者の行動変化を促しているという。ダークWebで販売されている資産のほぼ90％がクラウドアカウントの認証情報だからだ（注3）。

　ヘンダーソン氏によると、攻撃者は効率的に動いている。一度に多くのアカウントにアクセスするためにシングルサインオン・プロバイダーを狙うという。企業が認証情報を再利用している場合も危ない。

　「認証情報の再利用が多いということは、ユーザーが多くのアカウントで同じ認証情報を使っているということだ。企業がシングルサインオンを導入していなくても、実質的に数多くのサービスがシングルサインオンになっていると言える」（ヘンダーソン氏）

　攻撃者が有効な認証情報に群がる中、攻撃に関連するフィッシングキャンペーンの数は2022年から2023年にかけて44％減少した。X-Forceが2023年に対応したインシデントの約3件に1件はフィッシングによるものであり、有効な認証情報に対するクレデンシャル攻撃はフィッシングに並ぶほど成長したことになる。

　「技術的な変化というよりも、攻撃者側のビジネス戦略の変化だ。攻撃者は低コストで侵入し、投資対効果を最大化している」（ヘンダーソン氏）

　IBMの報告書は、サイバーセキュリティの専門家が警告してきた予測が間違っていたこと、企業が対応策をほとんど修正できていないという事実を明らかにした。ヘンダーソン氏は「業界は今回のような結果ではなく、今頃もっと新しく大きなサイバー攻撃の問題に取り組んでいるだろうと考えていた」と述べた。

　「私たちが取り組まなければならないことは絞られている。報告書から分かる良い面は、問題が克服不可能だと結論付けていないことだ。単に、どの問題に焦点を合わせるかということであり、優先順位付けを変えればよい。ただし、認証情報の問題をもし解決したとしても次の問題が現れる。企業側の対策が改善されていくにつれて犯罪者の投資対効果は低下し、侵害は難しくなる。私たちが目指しているのは、サイバー犯罪というビジネスモデルを覆すことだ」（ヘンダーソン氏）

出典：IBM marks monumental shift in valid account attacks（Cybersecurity Dive）
注1：IBM X-Force Threat Intelligence Index 2024（IBM）
注2：Security has an underlying defect: passwords and authentication（Cybersecurity Dive）
注3：Compromised credential use jumps 300% in cloud intrusions: IBM（Cybersecurity Dive）