巧妙化するサイバー攻撃 「きっかけ」調査で分かったすごく単純な経路
サイバー攻撃を防衛する場合、脆弱性対策が注目されやすい傾向にある。だが、企業を狙う場合「ある情報」を利用した攻撃が40%を占めるという。どのような情報なのだろうか。
重要インフラなど、企業を狙うサイバー攻撃が悪化している。そもそも攻撃のきっかけは何なのだろうか。OSやアプリケーションの脆弱(ぜいじゃく)性だろうか、それとも別の情報だろうか。
「この情報」が攻撃のきっかけになる
100件以上の攻撃を公的機関が分析したところ、攻撃者はある情報をきっかけに侵入したという。
米国の連邦サイバー当局が2024年9月13日に発表した報告書では、サイバー攻撃のうちもっとも一般的で有効な攻撃パスとして、ある情報の漏えいが挙げられている。その情報とは「有効なアカウントの認証情報」だった。これは米国政府の2023年の会計年度(2023年9月30日に終了)で(電力やガス、鉄道、空港などの)重要インフラ環境への攻撃経路を分析した結果だ(注1)。
いまだに悪用されている正規の認証情報
サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)と米国沿岸警備隊サイバー司令部による年次リスクと脆弱(ぜいじゃく)性の評価によると、2023年にあった重要インフラへの侵入のうち成功したケースの41%において、正規のアカウントへのアクセスが悪用されていた。両機関は、複数の重要インフラ業界において143件のリスクと脆弱性を評価した。
両機関が分析した重要インフラに対する攻撃で2番目に多い侵入経路は「スピアフィッシングリンク」だった。一般消費者を狙うフィッシング攻撃と同様に、企業を狙う場合でも信頼できる送信元を偽った電子メールやリンクを用いて企業内の担当者を欺き、ネットワークやシステムへのアクセスを許可させようとする。4件に1件以上の攻撃で、この手法が使われた。
重要インフラへの攻撃に対する連邦サイバー当局の年次評価では、被害者や攻撃者の動機に関係なく、あらゆる種類の攻撃において最も一般的な侵入経路が依然として有効だという現実が強調されている。
組織が直面する認証情報の課題は、依然として重い(注2)。
サイバーセキュリティ事業を営むMandiantが2023年に観測したランサムウェア攻撃の約40%では(注3)、侵害された正規の認証情報が最初のアクセス経路として使用された。「Google Cloud」は「クラウド環境への侵入の約半数は認証情報が脆弱だったり認証情報が存在しなかったりするシステムに対するものだった」と2024年の上半期に報告している(注4)。
IBM X-Forceが毎年発表しているレポート「Threat Intelligence Index」によると、2023年に世界を対象としたサイバー攻撃の約3分の1は正規のアカウントへの侵害を原因とするものだったという(注5)。これは同年において最も一般的な初期のアクセス経路だった。
重要インフラへの攻撃に関するCISAの最新の評価には明るい兆しもある。2022年にCISAが、重要インフラへの攻撃の半数以上が正規のアカウントへのアクセスを悪用していたとした報告した時点から現在にかけて(注6)、このような手段を用いた侵入は減少しているからだ。
2023年に連邦サイバー当局は、重要インフラへの侵入の10件中1件がブルートフォース攻撃またはパスワードクラッキング攻撃によるものだったと報告した。同年に実行された重要インフラプロバイダーに対する攻撃において、公開されているアプリケーションの脆弱性の悪用が初期のアクセス経路となったケースはわずか6%だった。
出典:Valid accounts remain top access point for critical infrastructure attacks, officials say(Cybersecurity Dive)
注1:CISA Analysis: Fiscal Year 2023 Risk and Vulnerability Assessments(CISA)
注2:Security has an underlying defect: passwords and authentication(Cybersecurity Dive)
注3:CVE exploits, stolen credentials fueled ransomware surge in 2023(Cybersecurity Dive)
注4:Weak credentials behind nearly half of all cloud-based attacks, research finds(Cybersecurity Dive)
注5:IBM marks monumental shift in valid account attacks(Cybersecurity Dive)
注6:Valid account credentials are behind most cyber intrusions, CISA finds(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
- 多要素認証はこうして突破される 5大攻撃手法と防御策
サイバー攻撃を防ぐためにパスワードに加えて多要素認証が広く使われている。だが多要素認証は必ずしも安全ではない。多要素認証を突破する攻撃のテクニックと、攻撃を防ぐ方法について紹介する。 - あなたの職場は大丈夫? 認証情報を狙うサイバー犯罪者の手口とは
IDaaSベンダーが2022年に3回もサイバー攻撃を受けた。なぜこの企業を狙うのだろうか。攻撃が通ると何が起こるのだろうか。 - スピアフィッシング攻撃で認証情報を狙う 攻撃を受けた企業はどう動いたか
認証サービスやAPIサービスを提供する企業がサイバー攻撃を受けるとユーザーの認証情報を奪われてしまうため、非常に危険だ。