Threat Actors Breach Enterprise Infrastructure Within 18 Minutes of Initial Access
2025/09/23 gbhackers — 攻撃者たちは、企業ネットワーク侵入の足掛かりを加速させている。ReliaQuest が実施した 2025年 6月/7月/8月の調査では、最初の侵入から横方向への移動までの平均時間 (breakout time) はわずか 18 分に短縮されている。ある注目すべきインシデントでは、Akira ランサムウェアのオペレーターが、SonicWall VPN への初期侵入から6分後に横方向への移動を達成していた。この急速なペースアップが浮き彫りにするのは、検知ギャップを埋め、対応プロセスを自動化することが、ユーザー組織にとって急務であることだ。
この記事では、攻撃者の最新の傾向と、それらを普及させてきた原動力について、厳選した MITRE の戦術と手法と照らし合わせながら明らかにしていく。
ドライブバイ攻撃は、活発に活動する Oyster (別名 Broomstick) キャンペーンの影響により、依然としてインシデントの 34% を占め、主要な侵入経路となっている。
Oyster のオペレーターは、SEO ポイズニングとマルバタイジングを駆使して、”puttysystems[.]com” などのトロイの木馬化された IT ツールのダウンロード・サイトへと被害者を誘導していく。
これらのサイトは、悪意の DLL (例: twain_96.dll) を介してバックドアを配布し、”Rundll32.exe” などの信頼できる Windows バイナリを使用して実行することで、ステルス性と永続性を実現する。
依然として、ドライブバイ攻撃が主要な初期アクセス戦術であるが、USB ベースの攻撃も急増しており、Gamarue マルウェアに関連するインシデントも増加している。
SMB を悪用するラテラル・ムーブメントが 29% に急増
この調査期間において、Oyster は真陽性インシデントの 45% を占め、2025年3月/4月/5月の 2.17% から大幅に増加した。このキャンペーンが如実に示すのは、自動化された SEO ポイズニングが、AI および自動化と組み合わされることで、脅威アクターたちが最小限の手作業で攻撃を拡大/洗練できることだ。
依然としてラテラル・ムーブメントが主要な手法であり、RDP 関連では 50% 以上のケースで確認されている一方で、SMB ベースのランサムウェア攻撃では、10% から 29% へと大幅に増加している。
Akira などのランサムウェア・ファミリーは、侵害した認証情報を悪用してネットワーク・ファイル共有にアクセスし、リモートからの暗号化を実行する。この種の攻撃者は SMB を悪用することで、エンドポイント防御を完全に回避し、ファイル・サーバ上のデータを密かに暗号化する。
ある Akira インシデントでは、最初のログインから 19 分以内に、リモート暗号化に到達していることが確認されている。エンドポイント重視のセキュリティにおける深刻な問題点が、これらの戦術により露呈している。エンドポイントを迂回する攻撃に対しては、ネットワーク・レベルの保護とファイル共有アクティビティの継続的な監視が必要である。
KVM over IP (IP-KVM:Keyboard/Video/Mouse over IP) デバイスは、この調査期間中において 328% も増加した。
これらのハードウェア・ツールは、多くの場合において、高度なセキュリティ環境やエアギャップ環境で悪用され、従来の EDR ソリューションを回避する帯域外アクセス・パスを作成している。
国家に支援されるレベルの攻撃者 (事例の 56.7%) は、TinyPilot などの IP-KVM を利用して、エンドポイントの可視性が限られているネットワークに侵入する。
その一方で、悪意のインサイダーのケースでも、ユーザー企業による管理が IP-KVM により回避されるというリスクが生じる。8月の事例では、ワークステーションに JetKVM デバイスが 2 台取り付けられており、外部の攻撃者により、サーバの再起動/バックドアのインストール/データの窃取が可能になっていた。これらすべては、ハードウェア・レベルの監視が作動するまで検知されなかった。
自動化と AI が、脅威の状況を変え始めている。いまの GLOBAL ランサムウェアは、AI 搭載の交渉チャット・ボットとモバイル管理パネルを、アフィリエイト向けに提供している。また、Oyster の SEO ポイズニングは完全に自動化されており、説得力のある偽ページを大規模に作成している。
ランサムウェア活動では、データ漏洩サイトに掲載される被害者数が、2025年 Q2 では4.52% 減少した。Akira/SafePay/Play の成長は鈍化し、それぞれの被害者数も 9.42%/23.14%/35.54% 減少した。
防御側は封じ込めのために、補完的な自動化を導入する必要に迫られているが、いくつかのイノベーションにより、対応時間 (Reaction window) が短縮され、精度が向上している。ReliaQuest GreyMatter の自動化ツールを使用している組織では、封じ込めまでの平均時間 (MTTC) が 11.99 時間から 4.49 分に短縮されているという。
見落とされている脆弱性
Akira は、既知の SonicWall VPN 脆弱性 CVE-2024-40766 を悪用することで、6分間で侵入を成功させている。Qilin は、Fortinet FortiGate の脆弱性 CVE-2024-55591/CVE-2024-21762 を標的とし、2025年 Q2 において公共事業 26 社に侵入した。
数多くの侵入成功事例では、ゼロデイ脆弱性ではなく、パッチ未適用の脆弱性やシステムのミスコンフィグが悪用されている。
2025年5月に Lumma が閉鎖されたことで、インフォスティーラーの活動は全体的に減少したが、クラックされたソフトウェアや ClickFix などのフィッシング・ツールを通じて Lumma が拡散されたことで、再び活発化しているという。
Acreed/Vidar/Stealc といった新たなスティーラーは、認証情報の窃取方法を多様化させており、堅牢な SaaS/Cloud 管理の必要性を浮き彫りにしている。
素早く進化していく攻撃者に打ち勝つために、組織は以下の対策を講じる必要がある。
- USB ポリシーの強化/自動実行の無効化/デバイス・ホワイトリストの適用/エンドポイント監視を導入し、Gamarue のような感染をブロックする。
- RDP/SMB セッションに対して、MFA とネットワーク・レベルの監視を適用し、異常なアクセスやリモート暗号化アクティビティを検出する。
- Armis などのリアルタイムのハードウェア監視ソリューションと、ネットワーク・アクセス制御を導入し、不正な IP-KVM デバイスを検出する。
- ソフトウェアのダウンロードを社内の管理ポータルに制限し、IT ツールの使用状況を監視することで、不正な証明書で署名された、トロイの木馬化されたバイナリをブロックする。
- 検知と対応のワークフローを自動化し、封じ込め時間を数時間単位から数分単位へと短縮する。
最初の侵入からネットワーク全体の侵害へと、脅威の主体が 20 分以内に移行していく時代において、迅速な検出/自動対応/完璧なセキュリティ対策こそが、先手を打つ唯一の方法である。
ReliaQuest のレポートを要約する記事です。相変わらず悪用されるのは、パッチ未適用の脆弱性やミスコンフィグ、そして盗まれた認証情報です。それに加えて、攻撃側の自動化と AI の悪用により、標準的な防御が追いつかなくなっている点が指摘されています。最初の侵入から横方向への移動までの平均時間 (breakout time) が、僅か 18 分に短縮されているようです。また、SMB/RDP といったファイル共有やリモート接続プロトコルの弱点がラテラルムーブメントを助長し、IP-KVM や物理デバイス経由の帯域外アクセスが EDR の可視性を損ねていると、この記事は指摘しています。よろしければ、カテゴリ Statistics も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.