メディア
Microsoft 365
生成AI
クラウドERP
ゼロトラスト
HRTech
PC管理
RPA BANK
課題から探す
カテゴリから探す
記事一覧
ITキャパチャージ

Ciscoが見つけたサイバー攻撃の大変化 アレが危ない

ランサムウェア攻撃やフィッシング攻撃の広がりはとどまるところを知らない。2025年に入り、Cisco Systemsの研究チームが35%の攻撃に共通する特徴を見つけ出した。

» 2025年03月07日 07時00分 公開
[David JonesCybersecurity Dive]
Cybersecurity Dive

 Cisco Systemsが運営する脅威インテリジェンス/サイバーセキュリティ研究チーム「Cisco Talos」の報告書によると(注1)、2024年第4四半期に発生したインシデントの35%に「ある特徴」が見つかった。

Ciscoが見つけたサイバー攻撃の大変化 アレが危ない

 これは過去の攻撃の特徴を一新するものだという。どのような特徴だろうか。

 その特徴とは攻撃グループが「WebShell」を使っていたことだ。脆弱(ぜいじゃく)性があったり、修正が施されていなかったりするWebアプリケーションに対して、さまざまなWebShellを展開していたという。前四半期と比較すると、WebShellの利用が大幅に増加した。前四半期にはわずか10%にとどまっていたからだ。

WebShellとは何か どうやって防ぐのか

 WebShellは攻撃者がリモートからサーバにアクセスして、制御するために使う悪意のあるスクリプトやプログラムだ。ファイルやデータベース、ネットワークに対してコマンドをリモートから実行できるため、攻撃を進める足掛かりになる。設置後にしばらく放置しておいて、ほとぼりが冷めたころに利用するなど、持続的なアクセスを提供するバックドアとしても有用だ。

 多くのWebShellでは検出を回避するために難読化や暗号化が施されており、手作業で見つけることは難しい。そこでWebShellを検出する方法は幾つか紹介しよう。

・Webアプリケーションファイアウォール(WAF)
 HTTPトラフィックを監視して、悪意のあるリクエストをブロックすることで、Webシェルのインジェクションを防止できる。

・侵入防止システム(IPS)
 既知の攻撃パターンや悪意のあるコードのシグネチャを使用して、トラフィックを監視できる他、通常のトラフィックパターンからの逸脱を監視する異常検出技術を利用してWebShellを検知する。

・ファイル整合性監視
 サーバ内のファイルの変更を監視することで、WebShellの設置を早期に検出できる。

・最小権限の原則の適用
 Webアプリケーションの権限を設定する際に、ユーザーには必要最低限の権限のみを付与する。こうすれば攻撃者がWebShellをアップロードしにくくなる(キーマンズネット編集部)。


Splashtopの悪用も急増

 攻撃者グループが使う手段はもちろん、WebShellだけではない。初期アクセスが可能でなければそもそも目標のサーバにWebShellを展開できないからだ。

 これまで、初期アクセスを得る主な手段は(盗用した)正規アカウントの利用だった。だが、2024年第4四半期はこれが変化した。アクセス手段が特定できたインシデントの40%が外部に公開されているアプリケーションを悪用して、初期アクセスを獲得していた。

 Cisco Talosの報告書によると、今四半期に発生したランサムウェアの全事例でリモートアクセスツールが使われており(注2)、前四半期の13%から大幅に増加した。中でもリモートデスクトップソフトウェア「Splashtop」は、今四半期のランサムウェアの事例の75%で確認された。

攻撃戦術やツールの展開で重要な変化あり

 Cisco Talosの研究者によると、WebShellの使用頻度は一定ではなく、増減を繰り返していたという。これは、WebShellを展開する攻撃グループの種類や、新たに発見された脆弱性を狙った不正プログラムの開発状況に依存するからだ。

 Cisco Talosのケイトリン・ヒューイ氏(脅威リサーチャー)は攻撃者の戦略の変化について次のように述べた。

 「2023年の第3四半期に最も多く観測された攻撃は、Webアプリケーションに対するものであり(注3)、全体の30%を占めていた。攻撃者は初期アクセスを獲得した後、システムへのアクセスを維持するために、Webインジェクション攻撃の実行やWebShellの展開、市販のフレームワークを利用したWebShellの展開などの手法を活用していた」

 Cisco Talosの研究者は直近の変化についても警告した。2024年12月に始まったパスワードスプレー攻撃の急増だ。これによってアカウントのロックやVPNアクセスの拒否が発生しているという。あるケースにおいて、既知のアカウントに対して24時間で1300万回の攻撃を受けたと報告している組織があり、これは攻撃が自動化されていた可能性を示唆している。

出典:Hackers deployed web shells, exploited public-facing applications in Q4(Cybersecurity Dive)
注1:Talos IR trends Q4 2024: Web shell usage and exploitation of public-facing applications spike(Cisco Talos Blog)
注2:Network security tool defects are endemic, eroding enterprise defense(Cybersecurity Dive)
注3:Quarterly Report: Incident Response Trends in Q1 2023(Cisco Talos Blog)

© Industry Dive. All rights reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。