検索
ニュース

サイバー攻撃はフィッシングよりも「脆弱性ねらい」「経営幹部ねらい」にシフトか

シスコが報告した最新の攻撃グループの動向によると、ソフトウェアの脆弱性を突いた攻撃や特定の組織や経営層をターゲットにした攻撃が目立つようだ。

[Eric Geller,Cybersecurity Dive] PC用表示
Share
Tweet
LINE
Hatena
Cybersecurity Dive

 Cisco Systemsの脅威インテリジェンスチーム「Talos」の研究者たちは、2026年1月29日(現地時間、以下同)に公開したブログ投稿の中で(注1)、「初期的な侵入手段として脆弱(ぜいじゃく)性の悪用に依存したサイバー攻撃の割合は2025年第4四半期に低下したものの、依然として高い水準にある」と述べた。

大規模攻撃はやや減少も、特定の組織や経営幹部を狙う動きも観測

 第4四半期にCiscoが対応したインシデントのうち、約40%は、公開されているネットワークサービスに関連する脆弱性の悪用から始まっていた。これは第3四半期の62%から低下している。

 また、Ciscoは、第4四半期におけるランサムウェア攻撃の割合が全インシデントの13%となり、第3四半期の20%や、年初の第1四半期および第2四半期(いずれも約50%)と比べて減少したことも確認した。

 特筆すべき点として、Ciscoは「新種のランサムウェアや亜種に対応しなければならない事態は一切なかった」と述べた。

 Ciscoによると、第4四半期も脆弱性の悪用は高水準で推移したものの、活動の大部分を占めるような大規模な悪用キャンペーンは確認されなかったという。これは、第3四半期にToolShellのキャンペーンが一連の攻撃を引き起こした状況とは対照的だ(注2)。それでも、Oracleの「E-Business Suite」の脆弱性や(注3)、「React Server Components」の脆弱性を狙った複数の攻撃が発生していた(注4)。

 ある攻撃者は、Oracleの脆弱性を悪用した攻撃を実行した。攻撃についてCiscoは「経営幹部を標的に金銭を脅し取ることを目的とした大規模なキャンペーンに関連している可能性が高い」としている。

 別の攻撃者は「React」の脆弱性を悪用し、暗号資産のマイニング用マルウェアを設置した。Ciscoは、暗号資産マイニング(クリプトマイニング)について「攻撃者が未修正のシステムを素早く悪用しようと競い合う中で、今後も見られると予想される多くの活動の1つだ」と述べている。

 Ciscoが観測した最も一般的な初期侵入手法の一覧では、フィッシングは脆弱性の悪用に次いで2番目に多かった。同社は、脅威インテリジェンスレポートではほとんど取り上げられることのないコミュニティーを標的にしたキャンペーンにも言及している。それは米国先住民の組織だ。

 ある事例において、Ciscoのアナリストは、侵害された電子メールアカウントやサイトを利用して、信頼できる内容に見せかけたメッセージを使ってマルウェアを配布する攻撃者を確認した。研究者たちは「電子メールアカウントの悪用を超える横方向の移動は確認できなかったものの、被害環境内の追加アカウントや外部の受信者への情報流出が確認されており、より広範な影響が及ぶ可能性がある」と記している。

 また、Ciscoは「先住民の組織を標的にした2件目のフィッシングキャンペーンも確認した」と述べている。この攻撃は、侵害の指標を含め、先に確認された攻撃と共通する特徴を有していた。

 ランサムウェアの動向について、Ciscoは「ランサムウェアグループ『Qilin』が依然として優勢であり、確認されたランサムウェア攻撃の大半で観測された」と述べている。研究者たちはランサムウェア「DragonForce」を使用した攻撃にも対応したようだ。同社によれば、このランサムウェアは活動を開始してから1年以上確認されていなかったものだという。

 Ciscoの第4四半期のインシデント対応案件において、最も標的とされたのは政府機関であり、これは第3四半期から続く傾向だ。これに続いたのは、通信および教育、医療の各分野だ。

 Ciscoは、自社のインシデント対応の結果に基づき、システムの定期的なパッチ適用や強力なログ取得の有効化、迅速な対応体制の構築と訓練の実施を、組織に対して推奨した。さらに、多要素認証(MFA)の悪用を検知する仕組みを導入し、強固なポリシーを策定することも求めている。

出典:Cisco sees vulnerability exploitation top phishing in Q4(Cybersecurity Dive)
注1:IR Trends Q4 2025: Exploitation remains dominant, phishing campaign targets Native American tribal organizations(TALOS BLOG)
注2:Financially motivated cluster a key player in ToolShell exploitation(Cybersecurity Dive)
注3:Oracle E-Business Suite exploitation traced back as early as July(Cybersecurity Dive)
注4:React2Shell attacks expand widely across multiple sectors(Cybersecurity Dive)

© Industry Dive. All rights reserved.

ページトップに戻る