~2020年から公開している過去のアクティブアドバーサリーレポートと比較して、2023年におけるRDPの不正使用は前例のない水準で増加。攻撃者が最初にネットワークを侵害するために最も多く利用した方法は外部リモートサービス~

4月 23, 2024 —

サイバー攻撃から企業を守る革新的なセキュリティソリューションを開発・提供するグローバルリーダーであるソフォス(日本法人:ソフォス株式会社(東京都港区代表取締役中西智行)は本日、高度なスキルを有し手動で攻撃を実行するアクティブアドバーサリーについて分析した「2024年上半期ソフォスアクティブアドバーサリーレポート」を公開しました。このレポートは、Sophos X-OpsのIncident Responseチームが2023年に対応した150件以上のインシデント対応(IR)ケースを分析し結果をまとめたものであり、サイバー犯罪者が、Windowsシステムでリモートアクセスを確立する一般的な方法であるリモートデスクトッププロトコル(RDP)を悪用する攻撃が90%を占めたことを明らかにしています。ソフォスが2021年にアクティブアドバーサリーレポートの公開を開始して以来、RDPを悪用するケースが最も多く発生しました

RDPのような外部リモートサービスは、攻撃者が最初にネットワークに侵入するために利用する最も一般的な方法であり、2023年のインシデント対応の65%において、初期アクセスの方法として悪用されていました。2020年にアクティブアドバーサリーレポートの公開を開始してから、外部リモートサービスはサイバー犯罪者による初期アクセスの方法として、最も多く利用されています。防御側の企業は、これらのリモートサービスの管理に優先的に取り組んで、サイバー攻撃のリスクを軽減しなければなりません。

ソフォスのフィールドCTOであるJohn Shierは、RDPなどのリモートサービスのリスクについて次のように述べています。「外部リモートサービスは、多くの企業にとって必要なものですが、大きなリスクがつきまといます。攻撃者は、これらのサービスが脆弱であることを把握しており、ネットワークに侵入するために積極的にこれらのサービスを悪用しています。このリスクを十分に検討して軽減策を講ずることなくサービスを利用していると、必然的にセキュリティが侵害されることになります。攻撃者が、インターネットに直接接続されているRDPサーバーを発見して侵入するまでには時間はかかりません。また、適切な対策を講じていなければ、社内のActive Directoryサーバーにも簡単にアクセスされてしまいます」

Sophos X-Opsが対応したある顧客のケースでは、攻撃者は6か月間で4回もその企業を攻撃することに成功しています。これらの攻撃の起点はすべて、インターネットに接続しているRDPポートになっていました。この攻撃者はネットワークに侵入した後にラテラルムーブメントを行い、悪意のあるバイナリをダウンロードし、エンドポイントプロテクションを無効にし、リモートアクセスを確立していました。

認証情報の侵害と脆弱性の悪用は、依然として最も一般的な攻撃の根本原因となっています。しかし、昨年8月に公開された「テクノロジーリーダー向けのアクティブアドバーサリーレポート」によると、同年の上半期には、認証情報が侵害されるケースが初めて脆弱性を上回り、最も多く発生した攻撃の根本原因となりました。この傾向は2023年の下半期も継続し、認証情報の侵害が一年を通じたインシデント対応ケースの50%以上の根本原因となりました。2020年から2023年までのアクティブアドバーサリーのデータを累積してみると、認証情報の侵害は、一貫して最も多い攻撃の根本原因であり、全インシデント対応ケースの約3分の1に関連しています。長年にわたって、侵害された認証情報がサイバー攻撃に頻繁に使用されているにもかかわらず、2023年にソフォスのインシデント対応チームが対応したケースの43%で多要素認証が構成されていませんでした。

脆弱性の攻撃は、2023年の単年および2020年から2023年までの累積データを分析した結果の両方で、攻撃の根本原因として2番目に多くなっており、インシデント対応ケースの16%と30%をそれぞれ占めていました。

John Shierは、次のように述べています。「リスク管理は攻撃を受ける前に積極的に実施すべきプロセスです。リスクを適切に管理している組織は、適切に管理していない組織よりも、執念深い攻撃者からの絶え間ない脅威に直面した場合でも、サイバー攻撃の被害を軽減しています。セキュリティリスクを管理する上で重要なのは、リスクを特定し、優先順位を付けるだけでなく、情報に基づいて行動することです。しかし、インターネットに直接接続しているRDPなどの特定のリスクは、あまりにも長い間放置されており、組織を悩ませ続けており、攻撃による組織への侵入を簡単に許しています。インターネットに直接接続している脆弱なサービスを減らし、認証を強化することによってネットワークを保護すれば、組織の安全性を全体的に高めることができ、サイバー攻撃を防ぐことが可能になります」

2024年上半期のアクティブアドバーサリーレポートは、世界各国の26の業界における150件以上のインシデント対応の調査に基づいて作成されています。米国、カナダ、メキシコ、コロンビア、英国、スウェーデン、スイス、スペイン、ドイツ、ポーランド、イタリア、オーストリア、ベルギー、フィリピン、シンガポール、マレーシア、インド、オーストラリア、クウェート、アラブ首長国連邦、サウジアラビア、南アフリカ、ボツワナの23カ国にある組織が調査の対象となりました。

現在のサイバー攻撃者の状況についての詳細については、Sophos.comにアクセスして、「2024年上半期ソフォスアクティブアドバーサリーレポート」をご覧ください。

ソフォスについて

ソフォスは、サイバー攻撃に打ち勝つための高度なセキュリティソリューションのグローバルリーダーです。2025年2月にセキュアワークスを買収し、MDRを中心にAIに最適化されたサービス、テクノロジー、製品を提供するサイバーセキュリティ業界の先駆者として、新たな展開を迎えました。ソフォスは現在、28,000以上の組織をサポートする世界最大のMDR(Managed Detection and Response)プロバイダーとなりました。ソフォスのポートフォリオには、先進的エンドポイントやネットワーク、メール、クラウドセキュリティが含まれ、Sophos Centralプラットフォームを通じて統合的防御を提供しています。セキュアワークスは、Taegis、ID脅威検出と対応(ITDR)、次世代 SIEM、リスク管理、包括的なアドバイザリーサービスを提供しています。ソフォスは、これらすべてのソリューションを、世界中のリセラーパートナー、マネージドサービスプロバイダー(MSP)、マネージドセキュリティサービスプロバイダー(MSSP)を通じて提供することで、フィッシング、ランサムウェア、データ盗難、などの日常的なサイバー犯罪や、国家主導型サイバー攻撃から世界60万以上の組織を守っています。このソリューションは、Sophos X-Opsによる脅威インテリジェスと、新たに統合されたCounter Threat Unit (CTU) のデータによって強化されます。ソフォスは英国オックスフォードに本社を置いています。詳細は www.sophos.com をご覧ください。