Ciscoが見つけたサイバー攻撃の大変化 アレが危ない
ランサムウェア攻撃やフィッシング攻撃の広がりはとどまるところを知らない。2025年に入り、Cisco Systemsの研究チームが35%の攻撃に共通する特徴を見つけ出した。
Cisco Systemsが運営する脅威インテリジェンス/サイバーセキュリティ研究チーム「Cisco Talos」の報告書によると(注1)、2024年第4四半期に発生したインシデントの35%に「ある特徴」が見つかった。
Ciscoが見つけたサイバー攻撃の大変化 アレが危ない
これは過去の攻撃の特徴を一新するものだという。どのような特徴だろうか。
その特徴とは攻撃グループが「WebShell」を使っていたことだ。脆弱(ぜいじゃく)性があったり、修正が施されていなかったりするWebアプリケーションに対して、さまざまなWebShellを展開していたという。前四半期と比較すると、WebShellの利用が大幅に増加した。前四半期にはわずか10%にとどまっていたからだ。
WebShellとは何か どうやって防ぐのか
WebShellは攻撃者がリモートからサーバにアクセスして、制御するために使う悪意のあるスクリプトやプログラムだ。ファイルやデータベース、ネットワークに対してコマンドをリモートから実行できるため、攻撃を進める足掛かりになる。設置後にしばらく放置しておいて、ほとぼりが冷めたころに利用するなど、持続的なアクセスを提供するバックドアとしても有用だ。
多くのWebShellでは検出を回避するために難読化や暗号化が施されており、手作業で見つけることは難しい。そこでWebShellを検出する方法は幾つか紹介しよう。
・Webアプリケーションファイアウォール(WAF)
HTTPトラフィックを監視して、悪意のあるリクエストをブロックすることで、Webシェルのインジェクションを防止できる。
・侵入防止システム(IPS)
既知の攻撃パターンや悪意のあるコードのシグネチャを使用して、トラフィックを監視できる他、通常のトラフィックパターンからの逸脱を監視する異常検出技術を利用してWebShellを検知する。
・ファイル整合性監視
サーバ内のファイルの変更を監視することで、WebShellの設置を早期に検出できる。
・最小権限の原則の適用
Webアプリケーションの権限を設定する際に、ユーザーには必要最低限の権限のみを付与する。こうすれば攻撃者がWebShellをアップロードしにくくなる(キーマンズネット編集部)。
Splashtopの悪用も急増
攻撃者グループが使う手段はもちろん、WebShellだけではない。初期アクセスが可能でなければそもそも目標のサーバにWebShellを展開できないからだ。
これまで、初期アクセスを得る主な手段は(盗用した)正規アカウントの利用だった。だが、2024年第4四半期はこれが変化した。アクセス手段が特定できたインシデントの40%が外部に公開されているアプリケーションを悪用して、初期アクセスを獲得していた。
Cisco Talosの報告書によると、今四半期に発生したランサムウェアの全事例でリモートアクセスツールが使われており(注2)、前四半期の13%から大幅に増加した。中でもリモートデスクトップソフトウェア「Splashtop」は、今四半期のランサムウェアの事例の75%で確認された。
攻撃戦術やツールの展開で重要な変化あり
Cisco Talosの研究者によると、WebShellの使用頻度は一定ではなく、増減を繰り返していたという。これは、WebShellを展開する攻撃グループの種類や、新たに発見された脆弱性を狙った不正プログラムの開発状況に依存するからだ。
Cisco Talosのケイトリン・ヒューイ氏(脅威リサーチャー)は攻撃者の戦略の変化について次のように述べた。
「2023年の第3四半期に最も多く観測された攻撃は、Webアプリケーションに対するものであり(注3)、全体の30%を占めていた。攻撃者は初期アクセスを獲得した後、システムへのアクセスを維持するために、Webインジェクション攻撃の実行やWebShellの展開、市販のフレームワークを利用したWebShellの展開などの手法を活用していた」
Cisco Talosの研究者は直近の変化についても警告した。2024年12月に始まったパスワードスプレー攻撃の急増だ。これによってアカウントのロックやVPNアクセスの拒否が発生しているという。あるケースにおいて、既知のアカウントに対して24時間で1300万回の攻撃を受けたと報告している組織があり、これは攻撃が自動化されていた可能性を示唆している。
出典:Hackers deployed web shells, exploited public-facing applications in Q4(Cybersecurity Dive)
注1:Talos IR trends Q4 2024: Web shell usage and exploitation of public-facing applications spike(Cisco Talos Blog)
注2:Network security tool defects are endemic, eroding enterprise defense(Cybersecurity Dive)
注3:Quarterly Report: Incident Response Trends in Q1 2023(Cisco Talos Blog)
© Industry Dive. All rights reserved.
関連記事
Palo Alto Networks製品にゼロデイ脆弱性 数千以上の組織が危険に
Palo Alto Networksは同社のファイアウォールに脆弱性があると発表した。どの程度のユーザーが危険にさらされているのだろうか。
マイクロソフトが解説――攻撃者は脆弱性をどのように“活用”するのか?
脆弱性を狙ったサイバー攻撃に対して、われわれは何をどのように対策すればいいのだろうか。日本マイクロソフトは、2023年3月に開催したオンラインセミナーでこの疑問に答えた。
「Microsoft 365」で必ず確認しておきたい初期設定3選
IT部門のあずかり知らないところで従業員が許可なく「Microsoft Teams」で社外関係者とのチームを作り、社外秘のファイルをやりとりしていた……。そうしたヒヤリハットを防ぐために、確認しておきたい「Microsoft 365」の初期設定を紹介する。
パスワードを盗み出す犯罪者 道具は「スプレー缶」
パスワードはサイバー攻撃に弱い。とはいえ、パスワードを使うしか方法がないアプリケーションやサービスはまだまだ多い。パスワードを盗み出す「パスワードスプレー攻撃」の特徴をつかみ、安全にパスワードを使う方法を紹介する。