クラウドストライクは3月29日、「2023年版グローバル脅威レポート(2023 CrowdStrike Global Threat Report)」を公開した。
同レポートは、世界中で特に脅威度の高い国家主導型攻撃者やサイバー犯罪者(eCrime)、ハクティビストの行動や傾向、戦術の変化を分析したもので、今回が9回目。CrowdStrike Intelligenceが「CrowdStrike Falcon」プラットフォームで収集した日々のインシデントデータとCrowdStrike Falcon OverWatchの知見を活用して作成している。
クラウドストライクでプリンシパルコンサルタントを務める鵜沢裕ー氏は、脅威の状況について、ブレイクアウトタイムの短縮化を最初の課題として挙げた。ブレイクアウトタイムは、攻撃者が初めに侵害したホストから、環境内の別のホストに横方向に移動するまでの時間を表す。eCrimeおける侵入の平均ブレイクアウトタイムは、2021年には98分だったのが2022年には84分へと短縮された。
2022年の新たな課題であるアクセスブローカーは、インフォスティーラーなどの利用により認証情報を獲得し、ランサムウェアオペレーターなどのサイバー犯罪者に提供・販売する脅威アクター。アクセスブローカーによる広告は2500以上確認されており、前年比で112%増加した。全侵害の80%が侵害された認証情報を使用し、組織の50%が過去2年間に「Active Directory(AD)」攻撃を経験しているという。
攻撃者のマルウェアの依存度は低下しており、マルウェアフリーのアクティビティーは2022年に検知全体の71%を占め、2021年の62%から増加。これは、被害者の環境でのアクセスと永続化を容易にするために、攻撃者が正規の認証情報を多用したことに関連するという。また、新しい脆弱性が開示された割合と攻撃者がエクスプロイトを運用する速度も要因としてあると鵜沢氏。
対話型の侵害(ハンズオンキーボード攻撃)が増加しており、前年比50%増だった。2022年に対話型攻撃による侵入活動が発見された業種の中で、テクノロジーセクターが最も頻繁に標的にされたという。
脅威の状況を示すこれら4つの課題は、防御側が不利になるような状況を示していると鵜沢氏は注意を促し、「攻撃は、時間の経過とともに検知が難しくなり、より巧妙になっていく。セキュリティチームにとって大きな課題」と述べた。
続けて鵜沢氏は、2022年のテーマ(下図)について言及。脅威アクターは、国家主導の攻撃者グループ、金銭を目的としたサイバー犯罪者グループ、自らの主義主張のために攻撃を仕掛けるハクティビストの3つに分類できるとし、同社は現在、200以上の攻撃者グループを追跡していると語った。そのうちイラン、中国、ロシア、北朝鮮が支援している攻撃者グループは、非常に執拗に攻撃を仕掛け、技術力も高いという。