IBM 2023 調査：企業における最大の脅威は、依然として基礎的なセキュリティ対策

The old, not the new: Basic security issues still biggest threat to enterprises

2024/02/23 HelpNetSecurity — IBM の 2024 X-Force Index によると、2023年に増加したのは、サイバー犯罪者が不正ログインを行い、有効なアカウントを通じて企業ネットワークに侵入するインデントであるという。

重要インフラへの攻撃で明らかになった業界の失態

重要インフラを狙った攻撃のうちの約 85％において、それらの侵害の軽減は、パッチ適用／MFA／最小特権原則などにより、可能になるものであった。つまり、セキュリティ業界が長らく “基本的なセキュリティ” と称してきた対策が、説明されているよりも実現が難しいものだという、可能性が生じていることが示唆される。

企業に対するランサムウェア攻撃は 、2023年には 12％近く減少した。その背景にあるのは、大規模な組織が身代金の支払いと復号化を拒否し、インフラの再構築を優先しているという現実である。このような、ユーザー組織による反発の高まりは、暗号化を利用した恐喝を行う脅威アクターたちの収益に、影響を与える可能性が高い。それを受けてなのか、以前はランサムウェアを専門としていたグループが、情報窃取に軸足を移していることが確認されている。

生成 AI の市場に関しては、 １つのテクノロジーがシェアの 50%に近づくとき、あるいは、３つ以下のテクノロジーに市場が統合されるとき、これらのプラットフォームに対する大規模な攻撃が引き起こされる可能性があると、X-Force は分析している。

IBM Consulting の Global Managing Partner であり、IBM X-Force の責任者である Charles Henderson は、「AI による攻撃ほど、”セキュリティの基礎” は注目されていない。しかし、企業の最大のセキュリティの問題は、新奇で未知のものではなく、基本的で既知のものに集約されることに変わりはない。この問題は、攻撃者が AI に投資して,、戦術を最適化するにつれて悪化するだろう」と述べている。

悪化の一途をたどる ID と世界的な危機

サイバー犯罪者にとって、有効なアカウントの悪用は、最も容易な手段となっている。さらに、最近では、何十億もの漏洩した認証情報に、ダークウェブ上でアクセスできるようになっている。

X-Force のレポートによると、情報窃取マルウェアの使用が、2023年には 266% も増加した。それらのマルウェアは、電子メール／ソーシャル・メディア／メッセージング・アプリなどにおける、認証情報／バンキング情報／暗号ウォレットのデータなどの、個人を特定できる情報を盗むように設計されたものだ。それが示唆するのは、攻撃者がユーザーの ID を取得するための活動への投資に、ますます熱心になっていることだ。

このような、攻撃者にとっての “容易な侵入” は、企業にとっては発見が難しく、その対応にはコストがかかる。X-Force によると、有効なアカウントを使用した攻撃者による大規模なインシデントでは、セキュリティ・チームによる対応策が、平均的なインシデントよりも 200％近く複雑化したという。

実際に、IBM の 2023 Cost of a Data Breach Report によると、窃取／漏洩した認証情報により引き起こされた侵害の、検出／復旧には約 11カ月を要している。この対応ライフサイクルは、その他の感染経路よりも長期間に及んでいる。

8,000万人以上のユーザー・アカウントのログイン情報を不正に収集した、世界的なサイバー犯罪フォーラムを、2023年4月に FBI と欧州の法執行機関が摘発したことからも、ユーザーのオンライン活動に対する広範な悪意のリーチは、明らかに増大している。

脅威アクターが生成 AI を活用する攻撃を最適化するにつれて、ID ベースの脅威は今後も拡大し続けるだろう。すでに 2023年には、AI と GPT に関する 800,000 件を超える投稿が、ダークウェブのフォーラムで観測されており、サイバー犯罪者の注目と関心を、これらの技術革新が集めていることを、X-Force は再確認している。

重要インフラのネットワークに Login していく攻撃者たち

X-Force が対応した攻撃の 70%近くは、重要インフラ組織を狙うという、憂慮すべき結果が出ている。それにより浮き彫りにされるのは、サイバー犯罪者たちが目的達成のために、アップタイムの維持を必須とする、高価値のターゲットに賭けているという状況である。

この、重要インフラ組織への攻撃経路の 85%近くで、公衆向けアプリケーションの悪用／フィッシング・メール／有効なアカウントの使用などが入口となっていた。国土安全保障省 (DHS) 配下の CISA によると、政府機関／重要インフラ組織／州レベルの政府機関などで、2022年に発生した攻撃の大半は、有効なアカウントの悪用によるものであったという。そこから明らかになるのは、重要インフラ組織にとって必要なことは、潜在的な暴露に対して頻繁にストレス・テストを実施し、インシデント対応計画を策定する点にある。

サイバー犯罪者がキャンペーンから投資収益率 (ROI：Return on Investment) を得るためには、標的とするテクノロジーが、世界中の大半の組織に遍在している必要がある。過去の技術的基盤が、サイバー犯罪活動を助長してきたことは明らかだ。そのカップルの具定例としては、ランサムウェアと Windows Server の市場支配および、BEC 詐欺と Microsoft 365 の市場支配、そして、クリプトジャッキングと IaaS (Infrastructure-as-a-Service) の市場統合などが挙げられる。このパターンは、AI 全体にも拡大する可能性が高い。

前述のとおり、生成 AI の市場支配が確立されるなら、つまり、単一のテクノロジーが 50％ の市場シェアに近づくか、市場が３つ以下のテクノロジーに統合されるなら、AI が攻撃対象として成熟するきっかけになると、X-Force は推測している。つまり、新たなツールに対する新たな投資が、サイバー犯罪者たちにより促進される可能性があると評価している。

現時点において、生成 AI は大規模市場の前段階にある。しかし、サイバー犯罪者が活動を拡大する前に AI モデルを保護することが、組織にとって最も重要な課題となる。また、既存の基盤インフラが AI モデルへのゲートウェイであり、攻撃者が標的とするための、斬新な戦術が不要なことも、組織は認識すべきである。

フィッシングはどこへ消えたのか？

世界で観測されたサイバー攻撃の、約 26%がヨーロッパを標的としており、同地域においては、ランサムウェア攻撃も最も多く発生している。

フィッシング攻撃は、依然として上位の感染経路ではあるが、その量は 2022年から44％減少した。しかし、この攻撃手法を、AI により最適化する態勢が整ってきている。X-Force の調査によると、AI は攻撃開始までの時間を２日近く短縮できるという。したがって、フィッシング攻撃は、サイバー犯罪者にとって有効な手段であり続けるだろう。

また、Red Hat Insights の調査によると、スキャンを実施した顧客の 92％が、既知のエクスプロイトに対して未対応の CVE を、少なくとも１つは抱えているという。また、2023年にシステム全体で検出された脆弱性の Top-10 の 80％ は、CVSS の基本深刻度スコアが “High” または “Critical” であるという。

X-Force は、“kerberoasting 攻撃” が 100％増加していることも報告している。この攻撃は、ユーザーになりすました脅威アクターが、Microsoft Active Directory のチケットを悪用して、権限の昇格を試みるというものだ。

さらに、X-Force Red が実施したペンテストでは、ミスコンフィグを悪用する 140 以上の攻撃方法が確認されている。さらに、セキュリティ関連のミスコンフィグが、特定された暴露の 30%を占めたことが判明している。

重要インフラにおいてパッチ適用／MFA／最小特権の原則などが守られていれば、その攻撃の 85％ を防げたという、かなり残念な結果が出たようです。それを、ユーザー側の怠慢と捉えるのか、難し過ぎるものだと捉えるのかという、視点が示されています。これだけ問題視されても、このような結果が生じるのであれば、何らかの要因が強く作用していると考えるべきなのかもしれません。また、このレポートは、脅威アクターたちの役割が分業化され、大きなエコシステムの中で、それぞれが連携しているとも指摘しています。さまざまな脅威アクターたちがいますが、それらを大きな集合体として考えると、彼らのビジネスの ROI が順調に推移した、2023年だと言えるのでしょう。