日本IBMは3月25日、「X-Force脅威インテリジェンス・インデックス2024」の日本語版を公開した。調査によると、サイバー犯罪者がユーザーのIDを悪用して世界中の企業への侵害を倍増させており、世界的なIDの課題の高まりが浮き彫りになり、IBMコンサルティングのセキュリティサービス部門であるIBM X-Forceでは、2023年はハッキングと比べて、サイバー犯罪者が正規アカウントを通じて企業ネットワークに侵入する「ログイン」の機会が増加し、この戦術が脅威アクターが優先的に選択する武器となっていると指摘している。

ランサムウェアグループは情報窃盗に重点を置いている

レポートは、130カ国以上において1日あたり1500億件以上のセキュリティイベントを監視して得られた洞察と観察に基づき、IBM X-Force Threat Intelligence、インシデントレスポンス、X-Force Red、マネージドセキュリティサービスなどIBM内の複数のソースからのデータ、および2024年のレポートに貢献したRed Hat InsightsとIntezerから提供されたデータを収集し、分析している。

これによると、重要インフラ分野に対する攻撃の84%において、パッチ適用、多要素認証、または最小権限の原則により、侵害を減少させた可能性があり、セキュリティ業界が歴史的にセキュリティの基本として説明してきたことの実現が難しい可能性があることを示しているという。

企業に対するランサムウェア攻撃は昨年12%近く減少したが、これは大規模な組織がインフラの再構築を優先し、支払いや復号を行わない選択をしているためとのこと。このような反発の高まりが、暗号化を利用した恐喝による収益への攻撃者の期待に影響を与える可能性が高いことから、以前はランサムウェアを専門としていたグループが、情報窃盗に重点を置いていることが確認されている。

また、X-Forceの分析では、単一の生成AIテクノロジーの市場シェアが50%に近づくか、市場が3つ以下のテクノロジーに集約されると、これらのプラットフォームに対する大規模な攻撃が引き起こされる可能性があると予測。

さらに、何十億もの漏洩した認証情報がダークウェブ上でアクセス可能になっており、有効なアカウントを悪用することは、サイバー犯罪者にとって最も容易な方法となっている。

2023年は攻撃者がユーザーのIDを取得するための作戦にますます投資するようになっていることを確認し、その結果としてEメール、ソーシャルメディアやメッセージングアプリの認証情報、銀行の詳細情報、暗号ウォレットのデータなど、個人を特定できる情報を盗むように設計された情報窃取マルウェアが266%増加したという。

このような、攻撃者にとって「容易な侵入」は検出が難しく、企業からコストのかかる対応を引き出すことになると指摘。X-Forceによると、有効なアカウントを使用する攻撃者によって引き起こされた大規模なインシデントは、セキュリティチームによる対応が平均的なインシデントよりも200%近く複雑になっており、防御側はネットワーク上の正当なユーザー活動と悪意のあるユーザー活動を区別する必要があるとのこと。

実際、IBMの「2023年データ侵害のコストに関する調査レポート」によると、盗まれたり漏洩した認証情報によって引き起こされた侵害の検出と復旧にはおよそ11カ月を要し、これは他のどの感染経路よりも長い対応ライフサイクルとなっている。

このようなユーザーのオンライン活動が広範囲に及んでいることは、2023年4月にFBIとヨーロッパの法執行機関が8000万件以上のユーザーアカウントのログイン情報を収集した世界的なサイバー犯罪フォーラムを摘発したことからも明らかだという。

敵対者が生成AIを活用して攻撃を最適化するにつれて、IDベースの脅威は今後も拡大し続ける可能性が高いとみられ、2023年にX-ForceはすでにダークウェブフォーラムでAIとGPTに関する80万件以上の投稿を確認しており、これらの技術革新がサイバー犯罪者の注目と関心を集めていることを再確認している。

X-Forceが対応した攻撃の約70%が重要インフラ組織に対するものであり、これはサイバー犯罪者が目的を達成するために、アップタイム(連続稼働時間)を必要とする高価値のターゲットに賭けていることを浮き彫りにする憂慮すべき結果と指摘している。

X-Forceが対応した分野への攻撃の85%近くは、一般公開アプリケーションの悪用、フィッシングメール、有効なアカウントの使用によるもので、DHS CISAによると2022年に政府機関、重要インフラ組織、州レベルの政府機関で成功した攻撃の大半は、有効なアカウントの使用だったという。これにより、これらの組織が潜在的な漏えいについて頻繁に環境をストレステストし、インシデント対応計画を策定する必要性が明らかになった。

サイバー犯罪者が一連の活動からROIを得るためには、標的とするテクノロジーが世界中の大半の組織に偏在している必要があり、ランサムウェアとWindows Serverの市場支配、BEC(Business Email Compromise:ビジネスメール詐欺)とMicrosoft 365の市場支配、クリプトジャッキング、IaaS(Infrastructure-as-a-Service)の市場統合など、過去の技術的要因がサイバー犯罪活動を助長したように、このパターンはAI全体に拡大する可能性が高いと考えられるという。

X-Forceは、生成AIの市場支配力が確立されれば(単一のテクノロジーの市場シェアが50%に近づいた場合、または市場が3つ以下のテクノロジーに統合された場合)、AIが攻撃対象として成熟するきっかけとなり、サイバー犯罪者の新たなツールへのさらなる投資を促す可能性があると分析。

生成AIは現在、大衆市場化前の黎明期にあるが、サイバー犯罪者が活動を拡大する前に、企業がAIモデルを保護することが最も重要だという。また、企業は既存の基盤インフラストラクチャがAIモデルへのゲートウェイであり、攻撃者が標的とする新たな戦術を必要としないことを認識すべきと指摘。

これは、IBM Framework for Securing Generative AIで説明されているように、生成AIの時代におけるセキュリティへの全体的なアプローチの必要性を強調するものとなる。

日本では製造業が被害の59%を占める

一方、日本ではインシデントの44%をマルウェアが占め、次いで正規ツールの使用(26%)、サーバアクセス(15%)となり、マルウェアの種類ではランサムウェアが19%でトップ、次いでローダーと情報窃取がそれぞれ7%となった。

最も大きな影響が見られたのはブランドの評判で31%、次いで恐喝とデータ盗難がそれぞれ23%となり、初期アクセスの経路は公開アプリケーションの悪用とフィッシングメールが多く、それぞれ攻撃の33%を占めた。最も攻撃を受けた業界は製造業で、被害の59%を占め、次いで運輸業(13%)となった。

グローバルでは、フィッシング攻撃は依然として感染経路のトップであるにもかかわらず、2022年からその件数は44%減少したものの、フィッシング攻撃はAIによって最適化され、AIによって攻撃を2日近く高速化できるため、サイバー犯罪者にとって好ましい選択肢であり続けると考えらるという。

加えて、Red Hat Insightsによるとグローバルでは92%の顧客がスキャン時に既知のエクスプロイトを伴う未対処の共通脆弱性識別子(CVE)を自社環境に少なくとも1つ抱えていることが判明したほか、2023年にシステム全体で検出された上位10位の脆弱性のうち80%が、共通脆弱性評価システム(CVSS)の基本重大度スコアで「高」または「重大」と評価されている。

X-Forceは、攻撃者がユーザーになりすましてMicrosoft Active Directoryのチケットを悪用し、特権昇格を試みるKerberoasting攻撃がグローバルで100%増加したことを確認。さらに、X-Force Red が実施したペネトレーションテストでは、グローバルでセキュリティの構成ミスが特定された脆弱性全体の30%を占め、攻撃者が構成ミスの悪用方法を140種類以上駆使していることが明らかになった。