個人情報の盗難を防ぐ方法として既存のクラウドセキュリティ対策では不十分であることが明らかに
- ヒューマンエラーはクラウドセキュリティにおける最大のリスク ― 原因はユーザーのクラウドセキュリティに対する過大評価
- クラウド上の認証情報を悪用した攻撃(33%)のうち、約41%のアラートはアプリケーションアクセストークンやその他の認証情報の盗難を試みたものである
- 脅威アクターは、セキュリティをかいくぐるために市販のセキュリティソフトウェアを使用
- Windowsエンドポイントを標的とした悪意のあるバイナリやペイロードの中で最も拡散されていたのがCobaltStrikeであり、全検知件数の35%近くを占める
- エンドポイント攻撃者による防御回避の手口が多様化
- 防衛回避(Defense Evasion)テクニックの74%のうち「なりすまし」(44%)と「システムバイナリプロキシ実行」(30%)はいずれも、アーティファクトを正当に、あるいは信頼できるように見せかけるためのメソッドとして用いられており、セキュリティ機器を回避するだけでなく、防衛回避テクニック自体の不可視化を試みて脅威の滞在時間を長期化させている
カリフォルニア州マウンテンビュー – Elasticsearchの開発元であるElastic(NYSE:ESTC)は本日、『2022 Elastic Global Threat Report』(Elastic グローバル脅威レポート 2022年版)を公開し、進化するサイバーセキュリティの脅威や、クラウドとエンドポイントに関連する攻撃の高度化について最新情報を発表しました。
本調査からは複数のトレンドが浮き彫りになったほか、セキュリティテクノロジーの強化や、サイバー脅威からミッションクリティカルなビジネスシステムの監視・保護に取り組む企業にとって欠かせない運用上のインテリジェンスを提供します。調査の作成は、当社の脅威調査、マルウェア分析、検知エンジニアリングを行うElastic Security Labsが担当し、2021年8月から2022年8月までに世界中で収集されたElastic Securityのテレメトリから分析しています。
<調査結果が示す主なトレンド>
ヒューマンエラーはクラウドセキュリティにおける最大のリスク ― 原因はユーザーのクラウドセキュリティに対する過大評価
クラウドで発生する攻撃の約3分の1(33%)は認証情報が悪用されていることから、ユーザーがクラウド環境のセキュリティを過大評価しており、認証情報を適切に設定・保護していないことが明らかになりました。
クラウドセキュリティに関する主な結果には、次の内容が含まれています。
- クラウドセキュリティのテレメトリのうち57%近くがAWSで収集されており、続いてGoogle Cloudが22%、Azureが21%となりました。
- AWS:アラートの74%以上が認証情報アクセス、初期アクセス、永続化に関連しており、そのうち約57%はアプリケーションアクセストークンの盗難に関するものであり、クラウド上での認証情報の盗難としてはの最も一般的なものの1つです。
- Google Cloud:アラートの54%近くがサービスアカウントの不正利用に関連しており、そのうち52%でアカウント改ざんの手口が見られました。このことから、既存のアカウント認証情報が変更されていない場合、サービスアカウントの侵害が頻発していることが明らかとなりました。
- Microsoft Azure:アラートの96%以上が認証イベントに関連しており、そのうちの57%は有効なアカウントを標的として、OAUTH2トークンの取得を試みています。
- 初期アクセス試行のうち、58%は従来からよく見られるブルートフォースアタック(総当たり攻撃)と過去に侵害されたパスワードスプレー攻撃の手口が併用されています。
脅威アクターは、セキュリティをかいくぐるために市販のセキュリティソフトウェアを活用
CobaltStrikeなどの市販の攻撃シミュレーションソフトウェアは、多くの現場で環境の防御に貢献している一方で、大規模なマルウェアインプラントを作成するツールとして悪用されている側面もあります。Elastic Security Labsの調査によると、Windowsエンドポイントを標的とした悪意のあるバイナリやペイロードの中で最も拡散されていたのがCobaltStrikeで、全検知件数の35%近くを占めていました。次いでAgentTeslaが25%、RedLineStealerが10%となっています。
マルウェアに関する主な結果には、次の内容が含まれています。
- 世界中のマルウェア感染のうち54%以上が、Windowsエンドポイントで検出され、39%以上がLinuxエンドポイントで検出されました。
- 全世界で検知されたマルウェアのうち約81%がトロイの木馬型となっており、次いでクリプトマイナー型が11%を占めています。
- macOSへの脅威では、MacKeeperが全検知数の約48%で最も多く、次いでXCSSetが約17%でした。
エンドポイント攻撃者による防御回避の多様化
脅威アクターがエンドポイントへの侵入に用いるテクニックは50種類以上存在します。これは、手口を高度化させて攻撃を成功させるためには常に新しく斬新なメソッドを開発する必要があることを示しており、エンドポイントセキュリティが有効に機能していることが伺えます。
エンドポイントへの侵入手口のうち、MITRE ATT&CK®の3つの方法が全体の66%を占めています。
- 防衛回避(Defense Evasion)テクニック全体のうち、74%が「なりすまし」と「システムバイナリプロキシ実行」で占められています。これは、防衛回避テクニックがセキュリティ機器を回避するだけでなく、防衛回避テクニック自体の不可視化を試みて脅威の滞在時間を長期化させていることを示しています。
- 実行(Execution)テクニックの59%は、コマンドスクリプティングおよびネイティブスクリプティングインタプリタに関連していました。次いで40%がWindows Management Instrumentationの悪用に起因しており、PowerShellやWindows Script Host、Windowsショートカットファイルを悪用してコマンドやスクリプト、バイナリが実行されるケースなどが含まれます。
- 認証情報アクセス(Credential Access)テクニックの77%は、一般に知られているユーティリティによるOS認証情報のダンプに起因するものでした。この結果は、オンプレミスのホストとクラウドサービスプロバイダーを併用するハイブリッドベースのデプロイ環境において、攻撃者が有効なアカウントに依存することで、管理者から疑われにくくするというトレンドを反映しています。
長年にわたり、攻撃者が重視するテクニックは認証情報アクセスでした。しかし攻撃者による防衛回避テクニックへの投資は、機能向上を通じて攻撃を阻止し続けてきたセキュリティテクノロジーへの対抗策と読み解くことができます。攻撃者はこれを実行テクニックと組み合わせることで、組織の環境内での検知を免れたまま、最先端のエンドポイント制御を回避しているのです。
今回の発表に寄せて
Elasticの最高プロダクト責任者 ケン・エクスナーは、次のように述べています。「サイバーセキュリティの脅威を効果的に防ぐためには、すぐれたセキュリティソフトウェアを使うだけでは不十分です。企業は、インサイトとベストプラクティスを共有するプログラムや、セキュリティデータインテリジェンスに特化したコミュニティを通じて、顧客のためにプロダクトのバリューを高める必要があります。『2022 Elastic Global Threat Report』は、Elasticの包括的なセキュリティプログラムにおける重要な位置を占めており、当社の可視性や能力、専門性をより幅広いコミュニティへ共有できることをうれしく思います」
『2022 Elastic Global Threat report』の全文と、ブログ記事も併せてご覧ください(英語)。
Elasticについて:
Elastic(NYSE:ESTC)は検索が支えるソリューション群のリーディングプラットフォームであり、さまざまな組織とその従業員、顧客が意義ある成果を迅速に達成できるよう支援します。Elasticはエンタープライズサーチ、オブザーバビリティ、セキュリティの各種ソリューションを通じて、顧客や社員の検索エクスペリエンス向上、ミッションクリティカルなアプリのスムーズな実行、サイバー脅威からの保護を可能にします。データがあるところならどこでも動作し、クラウドが1つでも、複数にわたっていても、オンプレミスでも対応します。19,000社以上が導入し、Fortune 500の過半数の企業に選ばれているElasticは、プラットフォーム1つで新たな水準の成功を大規模にサポートします。詳しくは、 elastic.co/jp をご覧ください。
本ドキュメントに記述されているあらゆる機能ないし性能のリリースおよびタイミングは、Elasticの単独裁量に委ねられます。現時点で提供されていないあらゆる機能ないし性能は、すみやかに提供されない可能性、または一切の提供が行われない可能性があります。
Elasticおよび関連するマークは、Elastic N.V.およびその子会社の商標または登録商標です。他のすべての会社名および製品名は、各所有者の商標である場合があります。