サイバー脅威の滞留時間が短縮化 なぜ1年で企業の検出能力が向上したのか？

Google CloudのMandiantは、企業が脅威を追跡する能力が大幅に改善されたことを確認した。

[David Jones，Cybersecurity Dive]

　Google Cloudのグループ企業であるMandiantが2024年4月11日に発表した年次レポート「M-Trends」によると（注1）、標的の環境でハッカーが検出されずに滞留する時間の中央値は、過去10年間で最も低い水準だという。

脅威の滞留時間が短縮化　なぜ1年で検出能力が向上したのか

　この中央値は2022年は16日だったのに対して、2023年には10日と短縮化した。特に大きな改善がみられたのはアジア太平洋地域で、2022年の滞留時間の中央値は33日だったが、2023年には9日に短縮化した。なぜ、ここまで脅威の検出能力が向上したのだろうか。

　ゼロデイの脆弱（ぜいじゃく）性は、スパイ活動を行う者や経済的な動機を持つ脅威グループにとって格好の標的だ。ゼロデイ脆弱性の利用は、2023年には前年比で50％増となった。

　今回のM-Trendsでは、ネットワーク防御側の侵入者を検知する能力は向上していると示されたが、Mandiantの研究者は組織に対して引き続き警戒を怠らないよう注意を促している。攻撃者は、エッジデバイスを悪用したり、悪意のある活動を隠蔽（いんぺい）するために他の洗練された方法で攻撃したりと、自給自足型の攻撃テクニックを活用している（注2）。

　Mandiantのユルゲン・クッチャー氏（コンサルティング担当バイスプレジデント）は、声明の中で次のように述べる。

　「攻撃者は自らの目的を達成するために戦術や技術、手順を定期的に調整している。これは防御側にとって大きな課題だ。だが、Mandiantのリサーチャーは、2023年に組織がシステムの保護、侵害の検出について、より優れた成果を挙げたことを発見した」

　組織は内部の侵害検出能力を向上させている。レポートによると、2023年に外部からの情報に基づいて侵害を知った組織の割合は54％で、2022年の63％から改善した。

　検知能力は向上しているが、滞留時間の中央値は地域によって大きく異なる。Mandiantのカースティー・フェイリー氏（プリンシパル脅威アナリスト）によると、アジア太平洋地域での改善は、動きの速いランサムウェアによってもたらされた可能性があるという（注3）。

　米国大陸地域の滞留時間の中央値は10日のままで変化がなかった。一方、欧州や中東、アフリカ地域では、2022年の中央値20日から、2023年には22日に上昇した。Mandiantは、これは、2022年にウクライナで実施した作業を受けて、地域データが正常化したためだという。

出典：Enterprises are getting better at detecting security incidents（Cybersecurity Dive）
注1：M-Trends 2024: Our View from the Frontlines（Google Cloud）
注2：CISA, FBI confirm critical infrastructure intrusions by China-linked hackers（Cybersecurity Dive）
注3：Ransomware attack dwell times fall, pressuring companies to quickly respond（Cybersecurity Dive）