~2020年から公開している過去のアクティブアドバーサリーレポートと比較して、2023年におけるRDPの不正使用は前例のない水準で増加。攻撃者が最初にネットワークを侵害するために最も多く利用した方法は外部リモートサービス~

4月 23, 2024 —

サイバー攻撃から企業を守る革新的なセキュリティソリューションを開発・提供するグローバルリーダーであるソフォス(日本法人:ソフォス株式会社(東京都港区代表取締役中西智行)は本日、高度なスキルを有し手動で攻撃を実行するアクティブアドバーサリーについて分析した「2024年上半期ソフォスアクティブアドバーサリーレポート」を公開しました。このレポートは、Sophos X-OpsのIncident Responseチームが2023年に対応した150件以上のインシデント対応(IR)ケースを分析し結果をまとめたものであり、サイバー犯罪者が、Windowsシステムでリモートアクセスを確立する一般的な方法であるリモートデスクトッププロトコル(RDP)を悪用する攻撃が90%を占めたことを明らかにしています。ソフォスが2021年にアクティブアドバーサリーレポートの公開を開始して以来、RDPを悪用するケースが最も多く発生しました

RDPのような外部リモートサービスは、攻撃者が最初にネットワークに侵入するために利用する最も一般的な方法であり、2023年のインシデント対応の65%において、初期アクセスの方法として悪用されていました。2020年にアクティブアドバーサリーレポートの公開を開始してから、外部リモートサービスはサイバー犯罪者による初期アクセスの方法として、最も多く利用されています。防御側の企業は、これらのリモートサービスの管理に優先的に取り組んで、サイバー攻撃のリスクを軽減しなければなりません。

ソフォスのフィールドCTOであるJohn Shierは、RDPなどのリモートサービスのリスクについて次のように述べています。「外部リモートサービスは、多くの企業にとって必要なものですが、大きなリスクがつきまといます。攻撃者は、これらのサービスが脆弱であることを把握しており、ネットワークに侵入するために積極的にこれらのサービスを悪用しています。このリスクを十分に検討して軽減策を講ずることなくサービスを利用していると、必然的にセキュリティが侵害されることになります。攻撃者が、インターネットに直接接続されているRDPサーバーを発見して侵入するまでには時間はかかりません。また、適切な対策を講じていなければ、社内のActive Directoryサーバーにも簡単にアクセスされてしまいます」

Sophos X-Opsが対応したある顧客のケースでは、攻撃者は6か月間で4回もその企業を攻撃することに成功しています。これらの攻撃の起点はすべて、インターネットに接続しているRDPポートになっていました。この攻撃者はネットワークに侵入した後にラテラルムーブメントを行い、悪意のあるバイナリをダウンロードし、エンドポイントプロテクションを無効にし、リモートアクセスを確立していました。

認証情報の侵害と脆弱性の悪用は、依然として最も一般的な攻撃の根本原因となっています。しかし、昨年8月に公開された「テクノロジーリーダー向けのアクティブアドバーサリーレポート」によると、同年の上半期には、認証情報が侵害されるケースが初めて脆弱性を上回り、最も多く発生した攻撃の根本原因となりました。この傾向は2023年の下半期も継続し、認証情報の侵害が一年を通じたインシデント対応ケースの50%以上の根本原因となりました。2020年から2023年までのアクティブアドバーサリーのデータを累積してみると、認証情報の侵害は、一貫して最も多い攻撃の根本原因であり、全インシデント対応ケースの約3分の1に関連しています。長年にわたって、侵害された認証情報がサイバー攻撃に頻繁に使用されているにもかかわらず、2023年にソフォスのインシデント対応チームが対応したケースの43%で多要素認証が構成されていませんでした。

脆弱性の攻撃は、2023年の単年および2020年から2023年までの累積データを分析した結果の両方で、攻撃の根本原因として2番目に多くなっており、インシデント対応ケースの16%と30%をそれぞれ占めていました。

John Shierは、次のように述べています。「リスク管理は攻撃を受ける前に積極的に実施すべきプロセスです。リスクを適切に管理している組織は、適切に管理していない組織よりも、執念深い攻撃者からの絶え間ない脅威に直面した場合でも、サイバー攻撃の被害を軽減しています。セキュリティリスクを管理する上で重要なのは、リスクを特定し、優先順位を付けるだけでなく、情報に基づいて行動することです。しかし、インターネットに直接接続しているRDPなどの特定のリスクは、あまりにも長い間放置されており、組織を悩ませ続けており、攻撃による組織への侵入を簡単に許しています。インターネットに直接接続している脆弱なサービスを減らし、認証を強化することによってネットワークを保護すれば、組織の安全性を全体的に高めることができ、サイバー攻撃を防ぐことが可能になります」

2024年上半期のアクティブアドバーサリーレポートは、世界各国の26の業界における150件以上のインシデント対応の調査に基づいて作成されています。米国、カナダ、メキシコ、コロンビア、英国、スウェーデン、スイス、スペイン、ドイツ、ポーランド、イタリア、オーストリア、ベルギー、フィリピン、シンガポール、マレーシア、インド、オーストラリア、クウェート、アラブ首長国連邦、サウジアラビア、南アフリカ、ボツワナの23カ国にある組織が調査の対象となりました。

現在のサイバー攻撃者の状況についての詳細については、Sophos.comにアクセスして、「2024年上半期ソフォスアクティブアドバーサリーレポート」をご覧ください。

ソフォスについて

ソフォスは、MDR (Managed Detection and Response) サービス、インシデント対応サービス、およびエンドポイント、ネットワーク、メール、クラウド セキュリティ テクノロジーの幅広いポートフォリオなど、サイバー攻撃を阻止する高度なセキュリティソリューションを提供する世界的なリーダーであり、革新的な企業です。ソフォスは、最大手のサイバーセキュリティ専門プロバイダーの 1つであり、全世界で 60万以上の組織と 1億人以上のユーザーを、アクティブな攻撃者、ランサムウェア、フィッシング、マルウェアなどから保護しています。ソフォスのサービスと製品は、Sophos Central 管理コンソールを介して接続され、企業のクロスドメイン脅威インテリジェンスユニットである Sophos X-Ops を利用しています。Sophos X-Ops のインテリジェンスは、Sophos ACE (Adaptive Cybersecurity Ecosystem) 全体を最適化します。このエコシステムには、お客様、パートナー、開発者、その他のサイバーセキュリティおよび情報技術ベンダーが利用できる豊富なオープン API セットを活用する一元化されたデータレイクが含まれます。ソフォスは、フルマネージド型のソリューションを必要とする組織に、Cyber​​security-as-a-Service を提供します。お客様は、ソフォスのセキュリティ運用プラットフォームを使用してサイバーセキュリティを直接管理することも、脅威ハンティングや修復などソフォスのサービスを使用して社内チームを補完するハイブリッドアプローチを採用することもできます。ソフォスは、リセラーパートナー、MSP (マネージド サービス プロバイダ) を通じて販売しています。ソフォス本社は英国オックスフォードにあります。詳細については www.sophos.com をご覧ください。