Bug Exploitation Now Top Ransomware Access Vector
2022/10/04 InfoSecurity — Secureworks の最新調査によると、過去 12ヶ月間に発生した調査したランサムウェア・インシデントのうち、イニシャル・アクセス経路としてナンバーワンになったのは脆弱性の悪用であり、その比率が 52% に達したことが明らかになった。Secureworks の年次レポートである State of the Threat は、同社の Counter Threat Unit が行った、過去1年間の調査をベースに作成されている。
このレポートによると、昨年のワーストワンは、インターネット接続されたシステムの脆弱性悪用であり、RDP 侵害や悪意の電子メールによる認証情報の窃取などを抑えて、ランサムウェア攻撃者に最も好まれたことが判明している。
このような戦術の変化は、脅威アクターとネットワーク防御者との間の、能力のバランスが大きく崩れていることに原因があるだろうと、このレポートは指摘している。
Secureworks は、「脅威アクターたちは、新たな脆弱性を武器化するという、急速な展開をみせている。その一方で、OST (offensive security tools) の開発者たちは、ツールの妥当性を維持するために、新たなエクスプロイト・コード迅速に実装するというプレッシャーを受け続けている。また、責任のある情報開示という議論では、たとえパッチが存在するとしても、エンタープライズ環境における脆弱性のパッチ適用プロセスは、脅威アクターたちが公開済のエクスプロイト・コードを武器化するプロセスと比べて、はるかに複雑で時間がかかるという事実の見落とが多々ある。」と主張しています。
しかし、セキュリティ・チームは、持続的な脅威であるクレデンシャル・ベースの攻撃にも対処する必要がある。Secureworks は、認証情報を不正に取得して、ネットワーク侵害の足がかりとする情報窃盗団が、前年比で 150% 増加していることも指摘している。
2022年6月には、情報窃盗団が220万件以上のクレデンシャルを一日で入手し、アンダーグランド市場で販売している事実が確認されたという。
Secureworks が分析した結果において、サイバー攻撃全体の 4分の1をランサムウェアが占め、グローバル企業にとって最大の脅威であり続けている。また、ほとんどの脅威は、ロシアのサイバー犯罪グループと関連しているとのことだ。
良いニュースとしては、攻撃者の滞留時間の中央値が、2021年の 22日から 2022年の 11日へと減少したことだ。しかし、それでも攻撃者がデータを盗み出し、ランサムウェアのペイロードを展開するための時間は、十分に残されている。
この Secureworks の State of the Threat ですが、文中にあるように、ランサムウェアの攻撃経路については脆弱性の悪用が 52% で、認証情報窃取が 31% という状況を記しています。また、このような脆弱性へと向けた戦術の変化は、脅威アクターとネットワーク防御者との間の、能力のバランスが大きく崩れていることに原因があるという指摘も、とても参考になります。なお、このレポートは、全体で 70ページもある大作で、わかりやすいインフォグラフィックを多用しているので、おすすめです。
IoT OT Security News 
You must be logged in to post a comment.