ソフォス脅威レポート 2023年版で需要を生み出す: 「サービスとしてのサイバー犯罪」の引き続きの進化

資料Sophos Threat Report脅威とマルウェア

成熟した市場では、採用の能力が脅威の範囲全体で専門的なツール、テクニック、プラクティスを拡散し続けています。

ソフォスの年次脅威レポート 2023年版がリリースされました。今年の脅威レポートでは、テレメトリ、インシデント対応で得られたデータ、およびその他の脅威インテリジェンス収集の組み合わせに基づいて現在の脅威の全体図を提示し、サイバー攻撃の傾向を検証しています。そして、最も明らかな傾向の1つは、成熟したサイバー犯罪マーケットの継続的な進化であり、正規のソフトウェアやデジタルサービスの動向を反映していることです。

ランサムウェアのオペレーターは、「サービスとしてのサイバー犯罪モデル」を積極的に使用しています。2022 年には、このサイバー犯罪モデルがサイバー犯罪者の世界で広く確認されるようになりました。背景には、サイバー犯罪の地下マーケットで必要なツールキットをほぼすべて入手できるようになったことが挙げられます。購入する意思さえあれば誰でも、標的となる組織のアクセス情報の入手、初期感染、セキュリティ機能による検出回避、そしてマルウェア配信に必要なツールキットを入手できます。

また、高度な攻撃ツールも広く出回っており、「クラッキングされた」ライセンスやバイパスされたライセンスも増えています。たとえば、Cobalt Strike は本来、高度な攻撃をエミュレーションして分析することで組織のセキュリティを向上するために開発されましたが、現在ではランサムウェアのインシデントで多く悪用されています。また、Brute Ratel は、Cobalt Strike の代替品として宣伝され、現在では広く攻撃に悪用されるようになりました。これまでに数件のランサムウェアインシデントでの使用が確認されています。

さらに、ランサムウェア組織も進化しています。たとえば、LockBit 3.0 は現在、マルウェアの脆弱性の発見に対して報奨金を支払うクラウドソーシングのバグ報奨金制度を提供しているほか、ランサムウェア組織の運営を改善するためにサイバー犯罪者コミュニティで市場調査を行っています。組織から盗み出したデータを定期的に提供する「サブスクリプションモデル」のプログラムを提供するグループも存在します。

上記のようなランサムウェアグループの行動変化は、ウクライナ戦争の長期化によるロシア語圏のサイバー犯罪グループの分裂や離散によって起こった Conti やその他のランサムウェアグループによる「晒し」やデータ漏洩を起因としています。また、ウクライナ政府が呼びかけた寄附をきっかけとして、金融業を装った暗号通貨詐欺などの新たな詐欺が多発しました。

上記以外の正規のソフトウェアや Windows オペレーティングシステム自体のコンポーネントの悪用も、依然として脅威です。攻撃者は、正規の実行ファイル (リモートアクセスツールを含む商用ソフトウェア製品の試用版など) や、検知を回避してマルウェアを起動する「環境寄生型バイナリ (LOLBin) 」の使用を拡大し続けています。

また、「Bring Your Own Driver (独自のドライバの持ち込み) 」の手法が再び確認されるようになりました。「独自のドライバの持ち込み」とは、脆弱な正規のソフトウェアのドライバを使用して特権を昇格させ、エンドポイントの検知・対応製品を停止させて検知を回避する手法です。

モバイルデバイスでは、主要なモバイルアプリのマーケットプレイスによる検出を回避する悪意のある不正な偽のアプリが引き続き確認されています。これらのアプリの中には金融取引詐欺に関連するものがあり、急速に拡大するサイバー犯罪の一つになっています。  昨年来、ソフォスは、「豚の屠殺」スキームなど暗号通貨やその他の取引詐欺の急速な拡大を追跡してきました。これらの詐欺行為は、 Apple の iOS アドホックアプリケーション展開スキームを悪用して、偽アプリを使って被害者からモバイル暗号ウォレットの情報をだまし取ったり、直接資金移動させたりするなどの、新たな手法を採用しています。

ビジネスのリードを生成

レポートを活用して、ソフォスのサイバーセキュリティに関する幅広い専門知識を伝えてください。ソフォスパートナーポータルでは、レポートの全文に加え、メール、スライドデッキ、ソーシャルメディアキャンペーンなどのプロモーションリソースを含む、本格的なマーケティングキャンペーンをご覧いただけます。