【2023年下半期「エネルギー・医療・自動車産業」を標的に活発に活動した北・ロシアのハッキンググループ】サイバー脅威と政策に関する重要ニュース
こんにちは。S2W NOTE編集です。
今回の記事では、グローバルニュースを中心にサイバー脅威や関連の政策に関して重要なニュースを抜粋してお届けします。
以下、韓国『ZDNET Korea』2024年6月4日付の記事を翻訳・編集した内容になります。
https://zdnet.co.kr/view/?no=20240603162659
脆弱性を悪用したサイバー攻撃の速度が上半期に比べ43%加速…
ラザルス・キムスキーなどが旺盛に活動
2023年下半期の間に、脆弱性を悪用した攻撃が急加速し、エネルギー、医療、製造、輸送・物流、自動車産業が集中的に攻撃を受けたことが分かりました。
特に北朝鮮とロシアなどのハッキンググループの活動が活発だったことが明らかになりました。
3日、Fortinetが発表した「2023年下半期グローバル脅威動向レポート」によると、攻撃者たちはランダムにランサムウェアをばら撒く「spray-and-spray」(運任せでの乱射)戦略から、標的を定めた攻撃方式に変わりました。
このため、昨年上半期に比べ下半期に検出されたランサムウェアは70%減りましたが、ランサムウェアとワイパー型マルウェア(データ消去マルウェア)攻撃を受けた44%が産業部門である点が懸念されました。
また最近、攻撃者らはNデイ脆弱性を利用した攻撃に集中していることが明らかになりました。昨年下半期に、新しいエクスプロイトが公開されてから平均4.76日後に攻撃が開始されましたが、これは上半期に比べ43%速くなったものです。
さらに、98%の組織が少なくとも5年以上存在しているNデイ脆弱性を検出し、中には15年以上パッチされていない脆弱性も発見されました。
Fortinetの関係者は、「サプライヤーは、エクスプロイトが発生する前に内部で脆弱性を発見し、パッチを開発することに専念しなければならないことを示唆している。サイバー攻撃者がNデイ脆弱性を悪用する前に、効果的な顧客の資産保護のための必要な情報を確保できるよう、サプライヤーが先制的に脆弱性を公開しなければならない」と強調しました。
「企業が『サイバーハイジーン(Security Hygiene:ウイルス感染などを予防し、IT環境を健康・健全に維持する衛生管理)』に対する警戒を怠らずにネットワークの全体的なセキュリティを向上させるためには、『ネットワークレジリエンス連合(Network Resilience Coalition)』などの組織の指針を活用する必要があ理、一貫したパッチとプログラムのアップデートを実施し、迅速に措置を取らなければならない」と付け加えました。
ですが、すべての脆弱性が攻撃に悪用されるわけではないことが分かりました。あまりにも多くの脆弱性が公開されて対応しきれない状況も発生しましたが、Fortinetの調査によると、よく知られているすべてのエンドポイントの脆弱性の9%未満が攻撃の対象となっていることが分かりました。
また、昨年下半期にはエンドポイントで観察されたすべてのCVEのうち0.7%だけが実際に攻撃を受けていることが判明し、悪性ボットネットによる危険も明らかになりました。
昨年は「Gh0st」、「Mirai」、「ZeroAccess」などのボットネットが活発でしたが、下半期には「AndroxGh0st」、「Prometei」、「DarkGate」などが新たに登場しました。また、ボットネットが検出された後、コマンド制御(C2)通信が中断されるまで平均85日かかることが分かりました。
昨年下半期に、MITREに登載された143のAPTグループのうち活動しているのは38グループと集計されました。APTは特定の国や機関を長期間にわたってハッキングする行為であり、国家ぐるみのサポートが疑われるAPTグループは識別のためにナンバリングします。
APT29はロシア、APT31とAPT40は中国国家安全部と連携していることが分かりました。
Fortinet関係者は「ラザルス、キムスキーなど北朝鮮のハッキンググループとAPT28、APT29、アンダリエル、OilRigなどが、昨年下半期に最も活発で、サイバー犯罪者たちの長い寿命と長期的なキャンペーンにAPT・国と連携したサイバーグループの標的化特性、短期間に集中するキャンペーンなどを考慮して、今後もこの分野の進化と活動を継続的に追跡する予定」であることを明らかにしました。
