サイバー脅威レポート
サイバー脅威レポート
2023 年11 月
専門家、センサー、テレメトリ、インテリジェンスから成るグローバルネットワークから得られたインサイト
中国につながりを持つスパイ、UNC4841 は、CVE-2023-2868 を悪用して同業者のグローバル ネットワークを侵害しています。
CISO は、SecOps チームに対し、直ちにパッチの適用を開始し、システムへの重大な影響を回避するよう指示します。
しかし、不安を抱く取締役会は CISO から直接話を聞きたいと考え、安心を求めています。取締役会はサイバー セキュリティのことをよく知らないので、CISO がただ、「500 個の脆弱性にパッチを当てました」と答えるだけではおさまりません。
問題はサイバー脅威と共に始まり、CISO の対応はインテリジェンスと共に始まります。知見は無数のセンサーから集められました。
Trellix サイバー脅威レポート 2023 年11 月号へようこそ。
Trellix サイバー脅威レポート
Trellix のAdvanced Research Center による本レポートは、(1) サイバー セキュリティ脅威について、複数のソースの重要なデータから得られたインサイト、インテリジェンス、ガイドラインを紹介し、(2) このデータの専門的、合理的、妥当な解釈を展開して、サイバー防衛のベストプラクティスにつながる情報をお届けします。今回のレポートでは、主に 2023 年 4 月1 日から 2023 年 9 月 30 日までに収集されたデータとインサイトに焦点を当てています。
重要なパートナーシップ
何が流出し、何が侵入したのか?そして、これらに先手を打つには?
これらは、私たちが毎日頭を抱えている問題です。CISO である皆さんとその SecOps チーム、Trellix の Advanced Research Center エキスパート、そして私自身もです。皆さんと同じように、私たちは、CEO や取締役会との勤務時間外の緊急対話と、ランサムウェア攻撃者または悪意のあるペイロードの対策探しに追われる週末を繰り返しています。
私たちのミッションは相互依存の下に成り立っています。
- 皆さんは組織の情報、技術、サイバー セキュリティを監督しています。また、私たちは、皆さんが管理しているサイバー リスクの最新情報を提供します。
- 私たちは同様の認証情報を共有しています。国家安全保障レベルのインテリジェンス、軍事または法務サービス、特殊任務、対テロ活動、スパイ行為、ネットワーク アーキテクチャ設計やシステム管理といった分野における上級管理者レベルの専門知識といった情報です。
個々に、また共に業務に取り組む皆さんのチームと私たちのチームは、世界中すべての組織にとって防御の第一線となっています。
サイバー攻撃の影響は進化し続けています。
こうしたインシデントや影響の防止は、インテリジェンスと共に始まります。脅威環境を理解すること、新しいテレメトリを攻撃者、脆弱性、攻撃の実用的なインサイトに変換することで始まるのです。
皆さんのために Trellix サイバー脅威レポートを用意しました。この2023 年
第4 四半期版レポートでは、脅威環境を形成する(1) 国家支援型の活動とAPT、(2) 進化を続けるランサムウェア、(3) 攻撃者の行動の変化、(4) 生成AI の新たな脅威の4 分野についてのインサイトをご紹介します。
インテリジェンスは戦場を左右します。サイバー セキュリティにおいてはここから始まります。
Trellix Threat Intelligence 責任者
はじめに
地政学的不況: 戦争、混乱、不安定
サイバー セキュリティにおいて世界の状況は常に重要です。戦争や紛争により人々の心は燃え上がり、国の間で緊張が高まれば、不信や悪事が加速します。経済的な不安定さにより、他人に詐欺をはたらく者も増えます。2023 年第 4 四半期の脅威データに影響を与えている要因の例を以下に示します。
- ロシアとウクライナの戦争、戦後ロシアの不確かさ – ロシア人プロハッカー集団は、主に重要なインフラストラクチャ、政府機関の施設、軍事指揮・統制センターを中心に、ウクライナへの攻撃を強めています。ハクティビストの攻撃は、すでに国連、NATO、欧米を標的に拡大していて、これには米国や欧州の重要なインフラストラクチャや金融システムへのサイバー攻撃も含まれています。戦争が終わっても孤立状態で弱体化した国は混乱にみまわれることから、こうした攻撃はより巧妙になることが予想されます。
- 中国とそのサイバースパイの脅威と知的財産窃盗能力 – 中国の高度に組織化された知的財産(IP) 窃盗アプローチは成熟し、「人類の歴史の中でもかつてないほど執拗で、規模が大きく、より巧妙になっている」と、米国FBI 長官、Christopher Ray 氏は述べています。一部のグローバルリーダーは、中国企業が運営するプラットフォーム、TikTok は大量のデータ収集に使用され、攻撃活動に影響を与えている可能性があると懸念しています。一方で、中国は台湾へのサイバー攻撃を継続して強めています。
- ならずもの国家のイランと北朝鮮、巧妙化するサイバー攻撃 – これら2 つの独裁国家は、世界中で民主主義を弱体化させるべく全力で取り組んでいます。先月、米国国家安全保障会議のサイバー・先端技術担当副補佐官、Anne Neuberger 氏は、北朝鮮がAI により強化されたサイバー攻撃を試みていることを指摘しています。同時に、イランの国家支援を受けたグループは、防衛、衛星、製薬関連企業を積極的に攻撃しています。
- イスラエルとハマスの戦争、中東で高まる緊張 – この武装闘争は、本レポートの現行版で取り扱ったデータと分析の締切日である 9 月30 日より後の10 月上旬に始まりましたが、サイバー セキュリティにおける影響を考慮すると、取り上げるべき問題です。激化する戦争により、中東と欧州における、イスラエル・パレスチナ長期紛争の双方の支持派で緊張が高まり、同地域の他の国にも脅威は及んでいます。
- サイバー兵器としてのAI – ここ数か月にわたり、攻撃者は、窃取を行うペイロードに感染したシステムの特定から、より質の高いメールの生成、乗っ取ったチャットボットの複雑な質問への回答、問題の解決、新しいコードの生成にいたるまで、攻撃の仕組みに人工知能(AI) を取り入れ始めています。高度な生成 AI ツールはより簡単に利用できるようになっていることから、サイバー犯罪者は、技術的知識がなくてもより簡単にコスト効率の高い方法で攻撃を仕掛けることができます。
- 政治的緊張、ハクティビズム、誤報 – 2022 年末に予測したとおり、政治的ハクティビズム(活動家による政治的または社会的動機に基づいたハッキング) が増加してます。2024 年の大統領選挙を目前にした米国や、カナダ、スイス、ブラジル、ニュージーランドといった国々に見られる政治的分極化の拡大がこれを大きく加速しています。グループの中には、メッセージの強化、誤報の流布、混乱の誘導のためにサイバー戦術やツールを使用しているものもいます。
方法論: データの収集および分析方法について
Trellix の Advanced Research Center に所属する、世界でもトップクラスの専門家は、本レポートを構成する統計、トレンド、インサイトを、クローズドかオープンかを問わずグローバルな幅広いソースから収集しています。収集されたデータは、弊社のInsights およびATLAS プラットフォームへ送られます。機械学習、自動化、そして人間の鋭敏な感覚を活用して、チームは集中的、統合的、反復的なプロセスをひととおり実施します。つまり、データを正規化して情報を分析し、全世界でサイバー セキュリティの最前線にいるサイバー セキュリティ リーダーやSecOps チームにとって有意義なインサイトを導き出すというプロセスです。当社の手法の詳細については、本レポートの末尾をご覧ください。
用途: 本レポートの情報の使用方法
業界をリードする評価チームとプロセスには、バイアスの影響を把握して認識し、可能であれば緩和することが欠かせません。バイアスとは、事実とその意味を受け入れるか、拒否するか、操作するかを左右する傾向のことであり、自然な場合も、仕組まれた場合も、目に見えない場合もあります。コンテンツの消費者についても同じことが当てはまります。
高度に構造化された制御ベースの数学のテストや実験とは違い、本レポートは本質的に便宜的なサンプルです。つまり医療やヘルスケア、心理学、社会学のテストでよく用いられもので、入手とアクセスが可能なデータを利用した非確率なタイプの調査ということです。
- つまり、本レポートの調査結果は、私たちが観察できたことに基づいており、検出、報告、データ収集を回避した脅威、攻撃、戦術の証拠は含まれていません。
- 「完全な」情報や「完璧な」可視性がない以上、これは本レポートの目的に最も適したタイプの調査です。目的とは、サイバー セキュリティの脅威に関する重要なデータについて既知の情報ソースを明らかにし、このデータの合理的、専門的、倫理的な解釈を展開して、サイバー防衛のベストプラクティスにつながる情報を届けることです
本レポートにおいて分析を理解する方法
本レポートにおいてインサイトとデータを理解するために、以下のガイドラインを簡単にご確認ください。
- 時間上のスナップショット: インターネットに接続されているシステムすべてのログにアクセスできるわけではありませんし、あらゆるセキュリティ インシデントが報告されているわけでもありません。被害者のすべてが侵害を受けてリーク サイトに掲載されることもありません。しかし、追跡できるものを追跡することで、各種の脅威について理解を深めることができ、分析と調査の盲点も減らすことができます。
- 誤検知と非検知: データを収集するためのTrellix の特別な追跡システムとテレメトリ システムの高性能な技術的特性の一部として、誤検知および非検知の結果を緩和・除去するメカニズム、フィルター、戦術があります。これにより、分析レベルと調査結果の質を向上させることができます。
- 感染ではなく検出: テレメトリを話題にするとき、感染ではなく、検出がその焦点になります。検出は、ファイル、URL、IP アドレス、その他の指標を弊社のいずれかの製品が検出し、弊社に報告したときに記録されます。
- データのキャプチャは不均等: なかには、慎重な解釈が必要なデータ セットもあります。たとえば、通信データには、他の多くの産業やセクターで運営されているISP クライアントからのテレメトリが含まれています。
- 国家の関与: 同様に、国家に関与するハッカーやサイバー犯罪者が互いになりすましたり、悪意のある活動を信頼できるソースからのものとして偽装したりする一般的な現状を踏まえると、さまざまなサイバー攻撃や脅威に関する国家の責任を判断するのも、きわめて難しい場合があります。
2023 年第4 四半期のハイライト概要
- 社会経済、国家、APT
- 脅威活動を後押しする地政学: ロシア、ウクライナ、中国、台湾、イスラエルなどの国において地政学的衝突が増加している中で、APT グループやハクティビストの活動も世界中で活発になっています。国が関与するグループによる活動は、6 か月で 50% 超増加しています。
- 標的とされる国と地域: 国家に支援された攻撃者によるデジタル スパイ、虚偽情報作戦、サイバー戦争は増加傾向にあり、中国と米国に加え、最近では、インド、トルコ、ベトナムなどの国が標的となることが増えています。/li>
- エッジ デバイスへの攻撃再燃: APT グループなどの攻撃者がネットワーク エッジに戻ってきたことにより、以前からこの領域にあるデバイスを脅かしていた脅威が再び増加しています。主な攻撃として、最近では Ivanti、MOVEit、Barracuda Networks を巻き込んだ攻撃があります。
- ランサムウェアの状況にみられるわずかな変化
- 小規模グループによる大胆な活動: ランサムウェアは「マルウェアの王」の座を守り続けていますが、Agrius、Bl00dy、FusionCore といったより小規模な敵が頭角を現しています。
- ランサムウェア活動とAPT の動向: インド、トルコ、イスラエル、ウクライナは、大量の攻撃に耐えていますが、これはランサムウェアとAPT の活動が集中している可能性を示唆しています。
- サイバー犯罪の地下活動の進化
- 攻撃者の連携: 主要な攻撃者は、ゼロデイ脆弱性やエクスプロイトの共有または販売といった実益のある目的や政治目的のために、互いに連携し始めています。
- ゼロデイ脆弱性の調整と共有: 最も魅力的な脆弱性の発見を隠すよりも、こうした発見をオープン市場で販売しています。そのため、ゼロデイ エクスプロイトはかつてないほど増加しています。
- 新たなマルウェア言語の登場: Nim、Rust、Golang などの新たなプログラミング言語は、サイバー犯罪者にとって魅力的な機能を提供しています。中でも Golang ベースのマルウェアは広く普及し、主にランサムウェア (32%)、バックドア (26%)、トロイの木馬 (20%) において使用されています。
- 悪意のある AI の誕生
- 「スクリプト キディ」が再び登場: ChatGPT などの生成AI ツールは、攻撃者の規模の大小を問わず、その課題解決を助けています。効率に優れており、急速に拡大し、より的を絞れるようになっています。
- Blackhat LLM の発展: サイバー犯罪者向けに設計されたChatGPT の類似ツールはすでに存在します。近年フィッシング攻撃は急増し、ますます巧妙になっていることから、攻撃者はすでにこうしたツールをすでに使い始めていることが推測されます。
レポート分析、インサイト、データ
国家とAPT (Advanced Persistent Threats)
国に支援された攻撃者によるデジタル スパイ、虚偽情報キャンペーン、サイバー戦争は増加傾向にあり、実際に、ロシアとウクライナ、中国と台湾、イスラエルとハマスなど、さまざまな国家間で対立は深まっており、APT グループやハクティビストによる脅威活動も、2022 年以前と比べて世界中で大幅に増加しています。ここ 6 か月だけでも、国が関与するグループによる活動は、50% 超増加しています。
活発な国とAPT グループ
テレメトリにのみ基づいた情報では、中国、ロシア、北朝鮮が主な国となっています。公開されているイベントのみを見ると、最も割合の多い国家支援型の攻撃者は北朝鮮で、Lazaru、Kimsuky、APT37、BlueNoroff などの関連グループによるイベントが 36 件報告されています。2 番目は中国で、33 件のイベントが報告されており、その多くは Mustang Panda が関与するものです。3 番目はロシアで、29 件のイベントが報告されており、Gamaredon、APT28、APT29 などが関与しています。
主要な攻撃国、第 2~第 3 四半期*
* Trellix のテレメトリおよび業界が報告したイベントにより追跡されたAPT 総検出数の割合。業界イベント別上位攻撃国、第2 ~ 第3 四半期*
テレメトリ検出別上位攻撃国、第2 ~第3 四半期*
1.
中国
75.46%
2.
ロシア / Россия
9.38%
3.
北朝鮮
7.37%
4.
イラン
4.28%
5.
ベトナム
1.17%
第2 四半期および第3 四半期で報告されたイベントにおいて最も頻繁に確認されている APT グループには、中国が支援するMustang Panda、北朝鮮が支援するLazarus、ロシアが関与するGamaredon があります。これは、グローバル テレメトリ データで示されているように、必ずしもこれらのグループが最も活発な攻撃者であることを意味するわけではありませんが、大きな影響力をもつ攻撃や侵害であると考えられます。
多くの中国支援型 APT のように、Mustang Panda は、他の地域の戦略的情報収集を目的としています。そのため、このグループはより方法重視のアプローチを採用し、カスタム ツールやマルウェアを優先的に用い、特定の分野やターゲットに的を絞っています。その結果、Mustang Panda は比較的特定しやすく、報告されやすい傾向にあります。
一方で、北朝鮮関連の多くの APT グループと同様、Lazarus は両方のデータにおいて上位にあがっています。これは、このグループ(サイバー スパイ活動、Operation Dream Job の開発者である可能性が高い) が主に金銭 目的で活動しており、さまざまなツールを活用して、戦略的に優先度の高い標的に加え、たとえば、米国やイスラエル、オーストラリア、ロシアの防衛産業から一流の原子力技術者にいたる軍事基盤を攻撃するなど、広範囲にわたる組織をターゲットにしています。
テレメトリ検出別上位攻撃グループ、第2 ~第3 四半期*
1.
APT40
42.28%
2.
Mustang Panda
15.93%
3.
Lazarus
5.12%
4.
APT1O
2.82%
5.
Gamaredon Group
2.66%
業界イベント別上位攻撃グループ、第2 ~ 第3 四半期*
標的とされる国と地域
グローバル テレメトリと業界レポートを比較することにより、2023 年世界の軍事衝突や社会経済の緊張をいくつか反映した動向が見えてきます。ロシアが支援する APT グループは、ウクライナの組織やエージェンシーに対し計画的なサイバー攻撃を継続して仕掛けています。同時に、中国は台湾海峡で示威行動を繰り返しながら、中国が関与する攻撃者は台湾にサイバー攻撃を仕掛けています。同様に、北朝鮮の APT グループは韓国を標的にしています。
その他の国における脅威データは、世界のイベントを反映しています。明白に大規模な地政学的衝突または展開に至っているということではありませんが、実績ある主要な攻撃者が特定の地域に再び焦点を当てている、または活動を拡大していることが明らかになっています。
- イスラエルとハマスの戦争: 対立は10 月まで表面化しなかったため、本レポートが基づくデータには反映されていませんが、業界レポートやこの地域の検出数には、数か月前より攻撃の顕著な増加が現れていました。とはいえ、こうした活動が後続のインシデントの兆候であるとは限りませんが、パキスタン、イラン、サウジアラビアの APT グループによる活動が、この地域の混乱を招いたことは確かであると言えるでしょう。
- インドとパキスタンの対立軸: たとえば、パキスタンが関与する脅威グループ、APT36 は、インドの防衛組織や政府組織を長く標的にしてきた歴史があります。しかし、直近 2 四半期において、このグループの活動は、教育分野に目を向けており、これはインドの研究技術の進化を監視し、あわよくば侵害を試みるといった戦略的な目的によるものであると考えられます。さらに、さまざまな APT グループがインドを標的にしていますが、これは、インドが 2022 年 12 月に G20 の議長国になったためと考えられます (2023 年 9 月にはインドで G20 サミットが開催されています)。
- トルコと中東: APT による攻撃は、G20 参加国であるトルコでも増加しています。GoldenJackal は、中東諸国への攻撃に利益を見出し、活動を拡大していると考えられます。また、かつてはパキスタンとスリランカを標的にしていた SideWinder は、トルコに目を向けるようになりましたが、その理由はよくわかっていません。
弊社では、これらの新しいパターンを今後数か月にわたって注視していきます。
主要な標的国、第2 ~ 第3 四半期*
* Trellix のテレメトリおよび業界が報告したイベントにより追跡されたランサムウェア総検出数の割合。進化するランサムウェア状況
ランサムウェアは変わらず世界で最も広く見られるサイバー攻撃です。しかし、第 2 四半期では特に、世界各地での検出や業界で報告されたインシデントにおいて、ランサムウェア ファミリーに加え、標的にされた国や業界において変動が確認されました。比較対象として第 1 四半期のデータも掲載します。
2023 年ランサムウェア検出*
* Trellix のテレメトリにより追跡されたランサムウェア検出の総数。2023 年ランサムウェア イベント*
* 業界が報告したイベントにより追跡されたランサムウェア インシデントの総数。活発な国とAPT グループ
第 2 四半期と第 3 四半期の活動分析では、「常連」がリストの上位を占めています。LockBit が群を抜いて検出されており (54%)、BlackCat (22%) と Cuba (20%) がこれに続きます。しかし、業界による報告が最も多かったイベントは、BlackCat と Trigona でした (どちらも 6%)。
上位ランサムウェア亜種、第2 ~ 第3 四半期*
* Trellix のテレメトリおよび業界が報告したイベントにより追跡されたランサムウェア インシデント総数の割合。大きな話題になったCl0p とMOVEit
この期間における最大のランサムウェア インシデントは、Cl0P による MOVEit への攻撃でした。2,500 超の組織を狙ったデータ抜き出しエクスプロイトです。Cl0P は、マネージド ファイル転送ソフトウェアである MOVEit に対し、特定の CVE を活用し広範なデータ抜き出しに成功しました。
巧妙な攻撃であったものの、Cl0P は大量のデータ処理と被害者への連絡に苦慮したようです。こういった要素や、Cl0p がリソースや時間をかけたにもかかわらずリターンが少ないことをふまえると、攻撃者の目的が明確にはわかりません。
今年始めは、2022 年のトップ攻撃者である、LockBit と Royal が変わらず上位を占めていました。
しかし、第 2 四半期ではより知名度が低い攻撃者が登場しました。BlackCat が最も広く検出された亜種 (51%) であり、Black Basta、Trigona、Rorschach、Cyclance のファミリーがこれに続きます。Rorschach (6%) と Black Basta (4%) もまた、頻繁に報告された亜種です。Trigona (9%) も挙げられますが、ほどなくして Ukrainian Cyber Alliance と呼ばれるグループによってサーバーが消去されたようです。
第 3 四半期では、「原点回帰」が見られました。主要攻撃者がグローバル テレメトリと業界イベントの両方においてその勢力を取り戻しています。上位攻撃者は、LockBit (検出において 60%、報告において 9%)、BlackCat (検出 22%、報告 9%)、キューバ (検出 19%、報告 6%) です。
小規模な攻撃者: 表舞台に現れるか?
ランサムウェア攻撃者とグループは、サイバー犯罪のアンダーグラウンドで早くも提携関係、連携強化、コミュニケーション向上にメリットを見出しています。これまで以上に簡単に、巧妙な攻撃を広範囲に仕掛けることができるようになっています。
収束?
注視すべき新たな動向
多くのランサムウェア活動の被害を受けている国は、驚くほど国家支援型 APT の動向と密接に結びついています。
ただの偶然かもしれません。
あるいは、ランサムウェア攻撃者とAPT グループの目的、標的、攻撃手法が1 点に収束する兆しかもしれません。
標的とされる国と地域
第 2 四半期と第 3 四半期において、地政学的に意外な活動が確認されました。インドがランサムウェア検出の大部分 (77%) を占め、業界で報告されたイベントでも上位にランクイン (7%) しています。次に
検出数とイベントが多かった国として米国とトルコが続きます。イスラエル、ウクライナ、ロシアもまた、この期間のランサムウェア活動において上位にランクインしています。
ランサムウェアの地理的分布、第2 ~ 第3 四半期*
* Trellix のテレメトリおよび業界が報告したイベントにより追跡されたランサムウェア インシデント総数の割合。ランサムウェアの影響を受けた業界およびセクター、第2 ~ 第3 四半期*
* Trellix のテレメトリおよび業界が報告したイベントにより追跡されたランサムウェア インシデントの総数攻撃者の行動変化
「The Five Families」について
「The Five Families」と呼ばれる、注目すべき新たな連携は、サイバー攻撃の速度、運用効率、影響を高めるために攻撃者が力を合わせた主な例の1 つです。
2,000 超のメンバーが集うおおまかに構成された連合は、Stormous ランサムウェア グループやBlackforums アンダーグラウンド フォーラム グループが参加しています。
攻撃者の連携
2023 年後半、厄介なトレンドが生まれました。弊社でも少し前に予想していたことですが、攻撃者が提携し始めたことです。この新たな動きは、ゼロデイ脆弱性やエクスプロイトの共有または販売といった実益のある目的や政治的目的に起因しています。このような提携には、グループの共通の利益、目的、政治的信条によってさまざまな形態があります。
こうしたグループは、互いに補完するスキルを活用することにより攻撃を最大化しています。DDoS (分散型サービス拒否攻撃)、Web サイト改変、情報漏えいなどの政治的動機による攻撃だけに執着するのではなく、二重脅迫スキームを取り入れたランサムウェア活動に焦点を移しました。
政治的目的による提携もあり、ロシアとウクライナの紛争に乗じて、オンラインで活動するハクティビスト集団が明らかに増加していることが確認されています。以下のような攻撃者は、主にロシア人のプロ集団であり、資源や活動能力を温存しています。
- Darknet Parliament: このグループは、欧米の銀行システムを標的に、SWIFT 決済インフラストラクチャに攻撃を仕掛けています。
- Net Worker Alliance: このグループも親ロシア派で、NATO 諸国や西側諸国は共通の敵であるという認識に従って、協力関係を築いています。
同様に、イスラエルとハマスの紛争周辺においても攻撃者による強力な提携が生まれています。10 月に戦争が始まってからすぐに、サイバー攻撃の大幅な増加が弊社チームにより確認されています。紛争開始から、イスラエルの組織をサイバー攻撃の標的にしている、80 近くのパレスチナ人のプロ集団、反対に相手組織を標的にしている、20 以上のイスラエル人のプロ集団が確認されています。これらのグループがこれまでに起こした数百件の攻撃の中でも、イスラエル防衛軍兵士の個人データの侵害とダーク ウェブ上での販売、パレスチナの重要な政府機関に関連した認証情報の窃取と漏えい、イスラエルとパレスチナの双方が相手側の重要インフラストラクチャを狙いやすくするようなサイバー攻撃や侵害は注目に値します。
ゼロデイ エクスプロイトの増加
2023 年後半では、Windows と Linux のシステムの脆弱性を標的にした、ゼロデイ エクスプロイトを水面下で積極的に用いている攻撃者が引き続き確認されています。ダーク ウェブで注目されている脆弱性には以下のものがあります。
- ローカル特権昇格(LPE): アンダーグラウンド フォーラムでは、Windows オペレーティング システムのゼロデイLPE 脆弱性の広告が多く確認されています。
- 機能と影響: ユーザー権限をシステムまたはドメイン管理者に昇格させることができます。ユーザー アカウント管理 (UAC) 回避や、アンチウイルス ソフトウェアを無効にする機能が搭載されているものも多くあります。
- 販売されているエクスプロイトの例: CVE-2023-36874、CVE-2023-29336、CVE-2023-36874 などに対応するゼロデイ エクスプロイトがあります。
- リモート コード実行(RCE): ダーク ウェブでは、さまざまなソフトウェア アプリケーションやシステムに影響を及ぼすRCE ゼロデイ エクスプロイトの販売が確認されています。
- 機能と影響: これらの脆弱性は、Citrix 製品、Discord アプリケーション、Veeam ソフトウェア、さらにDraytek、TP-Link、SonicWall などのベンダーによるネットワーク アプライアンスに影響を及ぼすことがわかっています。
- 販売されているエクスプロイトの例: 特に注目すべきゼロデイRCE 脆弱性の1 つは、暗号化されたインスタント メッセージに攻撃者が広く採用しているqTox クライアントに関連していました。この脆弱性が発見されてしまうことは、サイバー犯罪コミュニティにおいて懸念となっています。攻撃者の情報が明らかになるおそれがあるためです。そのため、多くが TOX メッセージング プラットフォームの使用を完全にやめる、または他の TOX クライアントに移行しています。
RCE や LPE を可能にする脆弱性は、悪用する攻撃者にとって格好の餌食です。このようなエクスプロイトの販売は新しいことではなく、開発と販売に関するビジネス モデル全体を設計している専門的な攻撃者もいくつかいるものの、こうしたゼロデイ エクスプロイトも水面下で著しく増加しています。
実際に、今日発見されているゼロデイ脆弱性は、攻撃者のアンダーグラウンド ネットワークの間で簡単に広まり、たちまち巧妙かつ危険なグループの手にわたってしまっています。ゼロデイ脆弱性は、かつてないほど差し迫った脅威になっていて、主要な攻撃者は、多大な損害をもたらし、たなぼたで大儲けしてやろうと手ぐすね引いて、悪用できる新たな大きな脆弱性(次のLog4J、MOVEit、BlueKeep など) を待っています。
ポリグロットマルウェア
近年、悪意のあるソフトウェアを開発する目的で、Golang (公称は Go)、Nim、Rust といった新たなプログラミング言語の使用が急激に増加しています。Python または C++ などと比べるとその数はまだ少ないとはいえ、攻撃者がこの新たな手段を採用していることは明らかです。
これらの言語は、多くの理由からサイバー犯罪者にとって魅力的です。Nim はパフォーマンスと表現性が特徴であることから、複雑なマルウェア開発に役立ちます。Rust のメモリー管理機能は、サンプルの暗号化効率を重視するランサムウェア グループにとって魅力的です。Go のシンプルさと並行処理機能により、軽いマルウェアを迅速に開発することが可能です。2023 年、Golang ベースのマルウェアが攻撃者の間で広く使用されていることが明らかになり、いくつかの新たなパターンが発見されました。弊社では今後数か月にわたって追跡していきます。
Golang マルウェアの割合
当初、サイバー犯罪者は、被害者から認証情報データを引き出すためのインフォスティーラー サンプルを開発することを主な目的として Golang を用いてきましたが、現在ではこの手法は検出数のわずか 3.66% にとどまっています。今年、ランサムウェアとしてGolang を使用するサイバー犯罪者は検出数の 3 分の 1 近く (32%)にのぼっています。このようにマルウェア開発者が Golang を使用したランサムウェア開発を拡大していることから、複雑さと成熟度において厄介な変化が生まれています。バックドアとトロイの木馬のサンプルは Golang サンプルの間で広く使用されており、それぞれ約 25%、20% となっています。このようなタイプのマルウェアは、偽のソフトウェアを使用して配布されている傾向があり、これをダウンロードしたユーザーを感染させるものです。
しかし、注目すべきは、APT 攻撃者が Golang を使用し、自身の手法や戦術においてマルウェアを開発しているインシデントです。たとえば、今年始め、ウクライナにて Sandworm による新たな攻撃がセキュリティ研究者により発見されました。APT グループの SwiftSlicer ワイパーは、Golang を使用して開発されました。その他のインシデントとして、ロシアが支援するグループ、APT28 が配布した Zebrocy マルウェアの Go ベース バージョン、中国が支援する Mustang Panda の APT が配布した新な Go ベースのローダーが最近の攻撃において確認されています。これは、サイバー犯罪者がいかに新しいテクノロジーを用いて脅威状況に対応しているかを明確に示しています。
エッジ デバイス
脅威状況においては、重大な変化が密かに進んでおり、中でもエッジ デバイスの分野はしばしば見落とされがちです。企業において接続デバイスの数や種類が増えていることから、攻撃対象が確実に拡大しており、ルーターやアクセス ポイントなどのエッジ デバイスは、運用されている業界にかかわらず、APT グループなどの攻撃者にとって新たな標的となっています。
このようなエッジ デバイスを攻撃するマルウェアは、アクセス ポイント デバイスのすべてのベンダーにおいて増加傾向にあります。攻撃者は多くの目的でこれらのデバイスの脆弱性につけこみます。ネットワークを調べるための足がかりの構築、ネットワーク上での Web シェルまたはバックドアの作成、特権昇格、DDoS (分散型サービス拒否) ボットネット目的でのデバイスの使用、さらに国のための戦略的なサイバー スパイなどです。
エッジ デバイスへの脅威が他とは異なる点は、その巧妙さです。IoT の脆弱性の見当がつきやすいのではなく、デバイスの性質上問題が見つけにくいことです。エッジ デバイスは独自の複雑さを備えていますが、侵入を検出することはできません。従来のネットワーク コンポーネントとは異なり、他の IDS または IPS に単純に接続するものではありません。デジタル世界へのゲートウェイは、設計上防御の第一線であり、最後の砦でもあります。そのため、標的にも盲点にもなります。攻撃者の進化する戦術と、エッジ デバイスのアーキテクチャの進化により、膨大な課題が生まれています。
2023 年、APT と巧妙なランサムウェア ファミリーがエッジ デバイスの脆弱性につけこみ、重大な攻撃を仕掛けたインシデントがいくつか確認されました。
- Ivanti Endpoint Manager Mobile
Ivanti Endpoint Manager Mobile で発見されたCVE-2023-35081 はパストラバーサルの脆弱性で、CVE-2023-35078 は認証回避の脆弱性です。これらはパッチが適用されたものの、2023 年7 月にも悪用されており、ノルウェーとその政府機関を標的にした複数の攻撃が仕掛けられました。攻撃者は現在も特定されていませんが、標的になった組織や、弊社チーム含む多くの専門家によると、APT によるものであると考えられています。 - Barracuda Email Security Gateway
CVE-2023-2868 は、Barracuda Email Security Gateway のリモート コマンド インジェクションのゼロデイ脆弱性です。この脆弱性は、2022 年 10 月までさかのぼり、マルウェアの多くのコンポーネントで使用されていました。2023 年 5 月、BNSF-36456 パッチにより修正されています。中国に関連したスパイ攻撃者、UNC4841 は、このエクスプロイトを広く用いて中国、香港、台湾において教育、政府、研究機関を攻撃していたことが確認されています。 - Progress MOVEit Transfer
CVE-2023-34362 は、MOVEit Transfer Web アプリケーションで確認されたSQL インジェクションの脆弱性です。この脆弱性は、2023 年 5 月 と6 月、Cl0p ランサムウェア ファミリーにより悪用されていました。このグループは、ベルギー、カナダ、フランス、ドイツ、ルクセンブルク、スイス、英国、米国などの金融、教育、エネルギー、医療、技術、政府機関を標的にしていました。その活動はデータの抜き出しに関するものであったものの、主な目的は、身代金よりも APT 活動により近いものであると考えられています。
生成AI の脅威
サイバー犯罪者にとってのメリット
AI 技術と新たな大規模言語モデル (LLM) の進歩と進化により、こうした技術革新をサイバー セキュリティに活用している新たなソリューションやアプリケーションが登場しています。しかし、LLM には優れた用途に活用できる素晴らしい技術の可能性を秘めているものの、攻撃者が悪用できる脆弱な側面も伴います。GPT-3.5、GPT-4、Claude、PaLM2 などの業界をリードする AI アプリケーションは、理路整然とした文章の作成、複雑な質問に対する回答、問題の解決、コーディングをはじめとしたさまざまな自然言語を用いたタスクにおいて比類なき能力を達成しています。
しかし、弊社チームは、サイバー犯罪者がこれらを悪用して大規模な攻撃を仕掛けることができるのではないかという、重大かつ合理的なセキュリティ上の懸念を抱いています。洗練さを欠いたこれまでの AI システムとは異なり、今日の AI アプリケーションは、ハッカーにとってコスト効率の高い優秀なツールとなっており、広範な知識、時間、リソースは不要です。これらの AI アプリケーションは、活動の拡大をもくろむ小規模な攻撃者や、標的の定め方や効率を改善したい大規模なグループといった、サイバー犯罪者が直面する多くの課題を軽減することができます。フィッシング攻撃に共通した例は以下のとおりです。
- 必要な能力 – 専門知識やスキルが限られたサイバー犯罪者でもうまくAI ツールを用いて攻撃用のマルウェアを作成できます。こうしたアプリケーションにより、攻撃者は、高度な戦略や実行に集中でき、悪意のある活動の全体的な影響を強化する、効率化されたアプローチを展開することができます。
- 質より量 – パーソナライズされたフィッシングメールの作成は、特にスピアフィッシングでは骨の折れる作業です。しかし、生成 AI を活用すれば、人が作成した文を模倣できるメールを作成でき、攻撃者による操作もわずかですみます。つづりの誤りもほとんどなく、説得力ある大量のフィッシングメールを短時間で作成することができます。
- 運用ワークロード – これらのツールは、最初のデータ収集段階で大量の非構造化データを効率的に管理し、さらに継続的に運用します。攻撃における 1 ユーザーあたりの費用を大幅に削減できるため、標的を広げたいサイバー犯罪者にとって費用面で頼りになります。認知リソースの費用は低下傾向にあるため、この費用はさらにお手頃になっています。
- 自動ソーシャル エンジニアリング – サイバー犯罪者は次第に、ソーシャル エンジニアリングを自動化する技術に目を向けるようになってきました。ボットはデータ収集に使用され、ワンタイム パスワードなどの機密情報を提供させるために被害者をだまします。このアプローチは、人による作業を減らし、攻撃の痕跡を最小限に抑えます。これにより、ワンタイム パスワードや SMS ボット、LLM ベースの Web クローラなどの自動ソーシャル エンジニアリング ツールを提供する、アンダーグラウンドの市場が誕生しています。
ソーシャル・エンジニアリング詐欺はさらにAI 生成音声を活用する傾向に
人の話し方を忠実に模倣できるようになったことから、本物の声と偽物の声を区別するのはますます難しくなっています。
AI 生成音声技術によって、複数の言語を話すようにプログラミングできるため、詐欺師はさまざまな地域や言語的背景を持つ標的を狙うことが可能になりました。これにより、詐欺活動を自動化し、その範囲や有効性を広げることができるようになっています。
ブラックハットLLM の広がり
無料のオープンソース ソフトウェアの登場により、「スクリプト キディ」が台頭するようになりました。スクリプト キディとは、既存の自動化ツールまたはスクリプトを使用して、専門的な知識がほとんどなくてもコンピューター システムまたはネットワークに攻撃を仕掛けることができる人たちです。こうした人たちはスキルのないアマチュアまたはブラックハットのファンとして軽視されがちですが、高度な生成 AI ツールがますます利用しやすくなっていることや、悪意のあるマルウェアを使用する可能性を考慮すると、どんな攻撃者でも成長する重大脅威を市場にもたらす可能性があります。
サイバー犯罪者は、LLM ツールを活用して、バックグラウンド情報の収集、カスタム コンテンツ作成のためのデータ抜き出し、低予算でのフィッシング メールの大量作成など、フィッシング キャンペーンの重要段階を改善することができます。このようなことがすでに起こっていることを示す決定的証拠はまだ少ないですが、悪意のある LLM が攻撃に使用されている一部の動向を見ると、可能性はかなり高くなっています。フィッシング攻撃が成長する速度や規模、何億もの新たな攻撃が四半期ごとに確認されていることから、攻撃者は LLM ツールを活動に役立てていると考えられます。
とはいえ攻撃型生成 AI はまだ始まったばかりです。生成 AI を使用してエンドポイント セキュリティの裏をかく、署名を回避するマルウェアを作成する、執拗な戦略的脅威をサイバー セキュリティに仕掛ける、より高度なツールが誕生しています。将来的には、悪意のある生成AI アプリにより、包括的な防御回避とほぼ完全な匿名性が提供され、特定が難しくなり、セキュリティ チームによる攻撃の追跡は困難なものになることが予想されます。これにより、滞留時間の長い、「水面下でゆっくり進む」 APT スタイルの攻撃が発生します。必然的に、生成 AI により攻撃者がこういった機能を利用できるようになることで、行動の解釈、異常検出、包括的なエンドポイント モニタリングが不可欠になります。
最後に
脅威インサイトとインテリジェンス – Trellix から: 物語はここから始まる
Trellix は、貴社が今後重要な決定を行う上で役立つ、事実に基づいた堅牢なプラットフォームを提供するために、弊社のサイバー脅威インテリジェンスを提供します。Trellix の目的は、2024 年およびその先において、貴社がサイバー防御と対応の能力を十分に向上できるようサポートすることです。どのような形でも本レポートをご活用いただけます。
用途: 本レポートの情報の使用方法
- 戦略的計画: 本レポートの情報は、サイバー脅威の複雑さ、危険性、匿名性について今年の状況をCEO や取締役会に伝達する上でお役立ていただけます。Trellix は、各組織に合わせたユース ケースを開発することで、CISO や他のセキュリティ リーダーをサポートしています。
- 財務面での検証: サイバー防御プロジェクトや、2023 年の支出を振り返る際の独立した客観的根拠としてこの情報を使用できます。
- 予算の裏付け: 既存の脅威検出やインシデント対応の機能を優れた技術でアップグレードするための根拠としてこの情報を使用できます。
- 運用サポート: SecOps チームは、本レポートを重要な資料として使用でき、業務の広範な戦略的状況に関する視点が得られます。
これらのどの用途もサイバー セキュリティ インテリジェンスと共に始まります。インテリジェンスは戦場を左右します。これを活用することで、「状況」を CEO や取締役会に伝えることができます。あなたが何を行っているか、そしてその理由。実現するために必要なものとその費用。取締役会によるサポートが重要である理由。
物語はここから始まります。
方法論
データ収集: Trellix と、Advanced Research Center に所属する、弊社の経験豊富な、世界でもトップクラスの専門家は、本レポートを構成する統計、トレンド、インサイトをグローバルな幅広いソースから収集しています。
- Captive Sources: 場合によっては、公共と民間の両方のネットワークによって全世界に配備されている顧客のサイバー セキュリティ ネットワークと防御フレームワーク上でテレメトリが生成され、これにはTrellix のセキュリティ ソリューションによって技術、インフラ、およびデータ サービスを提供するものも含まれます。このようなシステムは数百万に上り、10 億個のセンサーからデータを生成しています。
- オープン ソース: その他のケースで、Trellix は特許取得済み、プロプライエタリ、オープンソースのツールを組み合わせて、インターネット上のサイト、ログ、データ リポジトリをスクレイピングしており、攻撃者がランサムウェアの被害者に関する情報や被害者の情報を公開する「リーク サイト」のようなダーク ウェブも活用することがあります。
正規化: 収集されたデータは、弊社のInsights およびATLAS プラットフォームへ送られます。機械学習、自動化、そして人間の鋭敏な感覚を活用して、チームは集中的、統合的、反復的なプロセスをひととおり実施します。つまり、データを正規化して結果を補強し、個人データを削除して、攻撃手法やエージェント、業種、地域、戦略、結果などに関する相関関係を特定します。
分析: 次にTrellix は、(1) 脅威インテリジェンスの広範なナレッジ ベース、(2) 高い評価と認定を受けた情報ソースからのサイバー セキュリティ業界レポート、(3) Trellix のサイバー セキュリティ アナリストや調査員、リバースエンジニアリング専門家、フォレンジック研究者、脆弱性専門家の経験と洞察力を参考にして、この膨大な情報を分析します。
解釈: 最後に、Trellix チームは、サイバー セキュリティ リーダーとSecOps チームが(1) サイバー脅威の環境における最新のトレンドを把握し、(2) この視点に立って将来的なサイバー攻撃を予測、防止、防御する機能を向上させるうえで役に立つ有意義なインサイトを抽出し、確認して検証します。
リソース ライブラリ
The Mind of the CISO (CISO の考え方)
Trellix Advanced Research Center、macOS とiOS で新たな特権昇格バグ クラスを発見
Trellix Advanced Research Center
TwitterTrellix Advanced Research Center について
サイバー セキュリティ業界の最も包括的な憲章を掲げる、Trellix Advanced Research Center は、脅威を取り巻く環境全体の中で、新たな手法、トレンド、攻撃者の最前線に立ち、全世界の CISO、シニア セキュリティ リーダー、セキュリティ オペレーション チームにとって不可欠なパートナーとして活動しています。Trellix Advanced Research Center は、セキュリティ アナリストにインテリジェンスと最先端のコンテンツを提供することで、弊社の最新XDR プラットフォームを支えています。Furthermore, the Threat Intelligence Group within the Trellix Advanced Research Center offers intelligence products and services to customers globally.
Trellix について
Trellix は、サイバー セキュリティの将来と気持ちのこもった業務を再定義するグローバル企業です。今日の最も高度な脅威に直面している組織は、弊社のオープンでネイティブな eXtended Detection and Response (XDR) プラットフォームを使用することにより、業務の保護と耐久性に自信を持つことができます。Trellix は、広範なパートナー エコシステムとともに、機械学習と自動化を通じて技術革新を加速させ、生きたセキュリティによって 40,000 以上の企業や政府機関のお客様を支援しています。
この文書およびそこに記載されている情報は、教育上の目的および Trellix 顧客の利便性のみを目的としたコンピューター セキュリティ リサーチについて記述したものです。Trellix は脆弱性の適切な開示に関するポリシー | Trellix に従ってリサーチを進めています。Any attempt to recreate part or all of the activities described is solely at the user’s risk, and neither Trellix nor its affiliates will bear any responsibility or liability.
Trellix は、Musarubra US LLC または米国その他の国における関連会社の商標または登録商標です。その他の名前およびブランドは、他社の所有物である場合があります。