2024年度第1四半期におけるランサムウェア攻撃の傾向を分析した結果が公開され、初期の攻撃方法が「不明」とされるケースが引き続き増加しています。このブログでは「不明」なっている攻撃手法について考察します。
最新のベライゾンデータ漏洩/侵害調査報告書とCovewareが四半期毎に発行しているランサムウェアレポートについては、ぜひ一読してください。
Covewareの第1四半期のレポートでは、最も多い初期の攻撃方法は「不明」となっており、この傾向が続いています。
出典:Coveware
これまでは、フィッシングとリモートアクセスの侵害(これまではRDPの侵害として報告されていた)が各四半期でトップの座を争ってきました。「不明」とされるケースが増加するにつれ、フィッシングの発生件数は減少しています。また、比較的緩やかなペースですが、リモートアクセスの侵害も増加しています。
このレポートで「不明」と報告されたケースの多くは、フィッシングである可能性が高いと思われます。
まず、リモートアクセスの侵害の増加について見ていきましょう。ダークウェブにある侵害された認証情報の数の増加が、このデータを押し上げています。では、これらの認証情報はどのように詐取されたのでしょうか?同じように、リモートアクセスの侵害に起因するランサムウェア攻撃の大部分についても、フィッシングが関わっている可能性があります。
フィッシングの減少についても考察しましょう。ベライゾンのレポートでは、悪意のあるリンクをクリックした89%のユーザーが報告していないと記載されています。企業や組織は、エンドポイントがマルウェア攻撃を受けた後の痕跡を見つけることがありますが、ユーザーがフィッシングメールを操作したことを報告していないために、マルウェアがどのようにエンドポイントに侵入したのかを把握できていないことがあります。つまり、これらの「不明」とされたケースはフィッシングに追加できるものと考えられます。
最後にCovewareは「不明」な攻撃手法が増加していることについて次のように述べています。
「注意しなければならないのは、フォレンジック調査では明確な攻撃手法を特定できない場合がありますが、初期アクセスは、通常、恐喝など最終的な目標を達成するために必要な多くの戦術のうちの1つに過ぎません。多くの場合、メールでのフィッシング、RDPの侵害、ソフトウェアの脆弱性などを用いた多くの手法が連鎖的に行われます。」
では現在の組織における対策はどこまで進んでいるのでしょうか?
暗中模索の状況ではありません。この図の意味を熟考し、フィッシングの真の役割を理解することができれば、依然として3つの重大な脅威ベクトルであるフィッシング、リモートアクセス、ソフトウェアの脆弱性への対策を中心に進めるべきことは明らかです。
サイバー攻撃者は、企業や組織に侵入するための多くの選択肢を持っていることは事実です。これらの3つの重要な脅威ベクトルへの対策を重視することで、実用的かつ効果的な予防戦略を推進できます。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの形成につなげています。
原典:Stu Sjouwerman著 2024年5月14日発信 https://blog.knowbe4.com/unknown-initial-attack-vectors-continue