サイバー攻撃 2024 Q2 調査:BEC 攻撃とランサムウェアがトップの脅威に

Cyberattacks Soar in Q2 2024: BEC and Ransomware Dominate

2024/07/28 SecurityOnline — Cisco Talos Incident Response (TalosIR) のレポートによると、2024年 Q2 はサイバー攻撃が急増し、ビジネス・メール侵害 (BEC:Business email compromise) とランサムウェアが主要な脅威として浮上している。この2種類の攻撃は、記録されたインシデント全体の 60%を占めている。BEC 攻撃の件数は、2024年 Q1 よりも減少してはいるが、依然として大きな脅威であることに変わりはない。その一方で、ランサムウェア攻撃は若干増加し、以前から知られている Black Basta や BlackSuit に加えて、Mallox や Underground Team が出現した。


イニシャル・アクセスの主な方法は、漏洩した認証情報を使用するものであり、インシデントの 60%を占め、2024年 Q1 と比較して25%増加した。

最も標的とされたのはテクノロジー部門の企業であり、インシデント全体の24%を占め、それに続くのがヘルスケア/製薬/小売となった。テクノロジー部門への攻撃は 30%増加したが、その背景として挙げられるのは、これらの企業が広範な業界をサポートし、また、サービスを提供する上で重要な役割を担っており、サイバー犯罪者にとって魅力的な標的となったことである。

また、ネットワーク機器に対する攻撃の増加も顕著であり、全体の 24%を占めた。これらの攻撃には、パスワードの推測/脆弱性のスキャン/搾取などが含まれる。

BEC 攻撃は、引き続き勢いを増している。サイバー犯罪者たちは、ビジネス・メールを悪用してフィッシング・メールを送り、認証情報などの機密情報を入手する。彼らは時折、不正な金銭要求を使って支払いの詳細を改ざんする。場合によっては、SMS フィッシング (スミッシング) が使用され、従業員の携帯端末に偽のメッセージが送信された。

ランサムウェアは全攻撃の 30%を占め、前四半期との比較で 22%増加しており、Mallox/Underground Team/Black Basta/BlackSuit などからの攻撃が顕著であったという。ランサムウェア攻撃の 80%で要因となったのは、重要なシステムで多要素認証 (MFA:multi-factor authentication) が未設定であったことで、それらにより不正アクセスが容易になった。

Mallox ランサムウェア攻撃では、サイバー犯罪者は Microsoft SQL サーバを感染させて暗号化し、データの盗難や横移動を行ったが、その痕跡を残さなかった。Mallox は二重の恐喝テクニックを採用しているため、特に危険である。

また、新たに登場したランサムウェア・グループの Underground Team は、SSH を使用して横移動し、無効化された Active Directory アカウントを再活性化して権限を昇格させ、重要なシステムを暗号化した。

BlackSuit と Black Basta は、侵害した認証情報を悪用してネットワーク内にアクセスし、持続性を確立するという活動を継続した。これらのグループは、攻撃を実行するために正規のツールを頻繁に悪用 (LOLBin) し、検知活動を複雑にしている。

ネットワーク機器に対する攻撃の増加も記録され、脆弱性 CVE-2018-0296/CVE-2020-3259 などを悪用することで、サイバー犯罪者たちは情報への不正アクセスを達成した。イニシャル・アクセスの主な方法は、依然として漏洩した認証情報の悪用であり、前四半期と比較して 25%増加した。

脆弱なシステムや不適切に設定されたシステムに加えて、MFA の欠如などのセキュリティ上の弱点が、攻撃成功の主な要因となっている。ある事例では、サイバー犯罪者が旧式のネットワーク・スイッチを悪用し、障害やサイバー攻撃のリスクを高めていた。

リスクを軽減するために推奨されるのは、すべての重要なシステムに MFA を導入し、ソフトウェアとハードウェアを定期的に更新することだ。加えて、フィッシング攻撃を認識できるように従業員を訓練し、リスクの高いログイン試行の分析に基づいて、アクセス制御を実施することも重要である。

サーバー攻撃者たちの戦術が、どんどんと巧妙化され、さまざまな防御ラインを突破している様子が伝わってきます。昨日の「lr-utils-lib という悪意の PyPI パッケージ:macOS 開発者から Google Cloud の認証情報を窃取」では、LinkedIn を介したソーシャルエンジニアリングの手口が解説されています。なお、文中でイニシャル・ベクターとして指摘されている、脆弱性 CVE-2018-0296 と CVE-2020-3259 は、Cisco Adaptive Security Appliance のものでした。よろしければ、カテゴリ Statistics も、ご利用ください。