セキュアワークスは1月17日、2024年のセキュリティ脅威動向の分析結果を発表した。サイバー攻撃のステルス化が進んでおり、同社の専門家は各種セキュリティ機関などが提供するさまざまな脅威情報を対策に役立てることが大切だとアドバイスしている。
同日開催の説明会では、同社の「カウンタースレットユニット」(CTU)でセキュリティ脅威の調査や分析を担当するシニアセキュリティリサーチャーの中津留勇氏と玉田清貴氏が、グローバルでの分析結果の中から、日本の組織に大きく影響するという動向を解説。ポイントに、「移り変わる攻撃者と見えなくなる攻撃」「変化する環境とそれに適応する攻撃」の2つを挙げた。
セキュアワークス シニアセキュリティリサーチャーの玉田清貴氏
まず、前者のポイントを解説した玉田氏によると、2024年は中国の国家的な支援を受けている攻撃組織の再編とスパイ活動の高精度化の動きが見られた。かつては、攻撃組織の実態が暴かれるリスクを冒しても目的達成に向けて活動していたが、近年に法執行機関などによる国際的な摘発作戦の成功や攻撃組織の実態解明が進んだことで、攻撃組織のステルス化が進んでいるという。
具体的にステルス化とは、攻撃組織が身元を隠して正規のホスティングサービスなどを利用したり、ドメインフロンティングやトンネリング技術などを利用してネットワーク通信での秘匿性を確保したりするほか、組織の業務で使用されるツールやセキュリティ対策ツールの悪用、組織のIT環境への“寄生”やDLLサイドローディング、サプライチェーン悪用などによるセキュリティ監視/検知の回避、セキュリティ製品の無効化や各種ログデータなどの削除による証拠隠滅などがある。
玉田氏は、中国が2024年4月に実施した人民解放軍の再編でサイバー空間における活動体制が強化され、周辺諸国のスパイ活動を担う各方面組織の担当区域も変更されたと指摘する。こうしたことは、CTUが行った中国の「一帯一路」構想に関係する国々を標的にスパイ活動する攻撃組織が用いるマルウェア「Hemigate」の分析結果からも確認されたとしている。
マルウェア「Hemigate」の分析で確認されたステルス性
また、ランサムウェア攻撃組織の動向からもこのポイントの傾向が示されたとする。毎年著名なランサムウェア攻撃組織が各国の法執行機関によって摘発、解体されているが、それを逃れた攻撃者らが新たな攻撃組織を立ち上げたり、あるいは旧組織の名称などを変更して攻撃活動を再開させたりしている。
ランサムウェア攻撃の方法自体も、かつてはデータを不正に暗号化して金銭を要求していたが、相次ぐ摘発で成功率が低下し、現在では被害組織から機密情報を窃取することに重きが置かれ、機密情報の悪用(ダークウェアでの暴露など)で金銭を要求するようになった。
ランサムウェア攻撃組織の動き
玉田氏は、現在のランサムウェア攻撃手法が従来のスパイ活動などを目的とする標的型サイバー攻撃と同じようになっていると解説。攻撃者の標的も大企業の本社などよりも、セキュリティ対策が不十分な海外などの遠隔拠点、子会社、取引先などが中心になっているとしている。
