IBM X-Force脅威インテリジェンス・インデックス2024を公開:ログイン情報が悪用され、企業の情報漏えいからの回復に時間を要する
- サイバー問題の引き金となるAI市場シェア50%の閾値
- 2023年、世界の攻撃の70%近くが重要インフラを標的に
- アジア太平洋地域で観測された全攻撃の約80%は日本
日本IBMは本日、X-Force脅威インテリジェンス・インデックス2024( https://www.ibm.com/jp-ja/reports/threat-intelligence )の日本語版を公開しました。調査によると、サイバー犯罪者がユーザーのIDを悪用して世界中の企業への侵害を倍増させており、世界的なIDの課題の高まりが浮き彫りになりました。IBMコンサルティング( https://www.ibm.com/jp-ja/consulting )のセキュリティー・サービス部門であるIBM X-Forceによると、2023年は、ハッキングと比べて、サイバー犯罪者が正規アカウントを通じて企業ネットワークに侵入する「ログイン」の機会が増加し、この戦術が脅威アクターが優先的に選択する武器となっています。
本レポートは、130ヶ国以上において1日あたり1,500億件以上のセキュリティー・イベントを監視して得られた洞察と観察に基づいています。さらに、IBM X-Force Threat Intelligence、インシデント・レスポンス、X-Force Red、IBMマネージド・セキュリティー・サービス( https://www.ibm.com/jp-ja/services/managed-security )などIBM内の複数のソースからのデータ、および2024年のレポートに貢献したRed Hat Insights( https://www.redhat.com/ja/technologies/management/insights )とIntezer( https://intezer.com/ )から提供されたデータを収集し、分析しています。
本レポートの主な調査結果は以下の通りです。
重要インフラへの攻撃で明らかになった業界の「過ち」:重要インフラ分野に対する攻撃の84%において、パッチ適用、多要素認証、または最小権限の原則によって侵害を減らせた可能性があります。これは、セキュリティー業界が歴史的に「セキュリティーの基本」として説明してきたことの実現が難しい可能性があることを示しています。
ランサムウェア・グループは、よりスリムなビジネス・モデルに軸足を移す:企業に対するランサムウェア攻撃は昨年12%近く減少しましたが、これは大規模な組織がインフラの再構築を優先し、支払いや復号を行わない選択をしているためです。このような反発の高まりが、暗号化を利用した恐喝による収益への攻撃者の期待に影響を与える可能性が高いことから、以前はランサムウェアを専門としていたグループが、情報窃盗に重点を置いていることが確認されています。
生成AIへの攻撃によるROI(投資利益率)はまだない:X-Forceの分析では、単一の生成AIテクノロジーの市場シェアが50%に近づくか、市場が3つ以下のテクノロジーに集約されると、これらのプラットフォームに対する大規模な攻撃が引き起こされる可能性があると予測しています。
IBMコンサルティング事業本部Cybersecurity Servicesの理事 パートナーである藏本雄一は、次のように述べています。「侵害された認証情報の使用は世界中で増加しています。日本も例外ではなく、ユーザーのアクセス制御と権限に関する戦略を強化する必要性が高まっています。ログイン情報は日々悪用されており、敵対者がAIを駆使して戦術を向上させるにつれて、状況は悪化します。日本企業は、生成AI時代におけるセキュリティーへの全体的なアプローチに備え、戦略を強化する必要があります」
悪化の一途をたどる世界のアイデンティティー危機
今日、何十億もの漏洩した認証情報がダークウェブ上でアクセス可能になっており、有効なアカウントを悪用することは、サイバー犯罪者にとって最も容易な方法となっています。2023年、X-Forceは、攻撃者がユーザーのIDを取得するための作戦にますます投資するようになっていることを確認しました。その結果、Eメール、ソーシャル・メディアやメッセージング・アプリの認証情報、銀行の詳細情報、暗号ウォレットのデータなど、個人を特定できる情報を盗むように設計された情報窃取マルウェアが266%増加しました。
このような、攻撃者にとって「容易な侵入」は検出が難しく、企業からコストのかかる対応を引き出すことになります。X-Forceによると、有効なアカウントを使用する攻撃者によって引き起こされた大規模なインシデントは、セキュリティー・チームによる対応が平均的なインシデントよりも200%近く複雑になっており、防御側はネットワーク上の正当なユーザー活動と悪意のあるユーザー活動を区別する必要があります。実際、IBMの「2023年データ侵害のコストに関する調査レポート( https://www.ibm.com/jp-ja/reports/data-breach )」によると、盗まれたり漏洩した認証情報によって引き起こされた侵害の検出と復旧にはおよそ11カ月を要し、これは他のどの感染経路よりも長い対応ライフサイクルでした。
このようなユーザーのオンライン活動が広範囲に及んでいることは、2023年4月にFBIとヨーロッパの法執行機関が8000万件以上のユーザー・アカウントのログイン情報を収集した世界的なサイバー犯罪フォーラム( https://www.justice.gov/opa/pr/criminal-marketplace-disrupted-international-cyber-operation )を摘発したことからも明らかです。敵対者が生成AIを活用して攻撃を最適化するにつれて、IDベースの脅威は今後も拡大し続ける可能性が高いとみられます。2023年、X-Forceはすでにダークウェブ・フォーラムでAIとGPTに関する80万件以上の投稿を確認しており、これらの技術革新がサイバー犯罪者の注目と関心を集めていることを再確認しています。
敵は重要インフラ・ネットワークに「ログイン」する
X-Forceが対応した攻撃の約70%が重要インフラ組織に対するものであり、これはサイバー犯罪者が目的を達成するために、アップタイム(連続稼働時間)を必要とする高価値のターゲットに賭けていることを浮き彫りにする憂慮すべき結果です。
X-Forceが対応したこの分野への攻撃の85%近くは、一般公開アプリケーションの悪用、フィッシング・メール、有効なアカウントの使用によるものでした。DHS CISA( https://www.cisa.gov/resources-tools/resources/risk-and-vulnerability-assessments )によると、2022 年に政府機関、重要インフラ組織、州レベルの政府機関で成功した攻撃の大半は、有効なアカウントの使用によるものでした。これにより、これらの組織が潜在的な漏えいについて頻繁に環境をストレス・テスト( https://www.ibm.com/jp-ja/services/offensive-security )し、インシデント対応計画( https://www.ibm.com/jp-ja/services/incident-response )を策定する必要性が明らかになりました。
生成AI - 守るべき次なるビッグ・フロンティア
サイバー犯罪者が一連の活動からROIを得るためには、標的とするテクノロジーが世界中のほとんどの組織に偏在している必要があります。ランサムウェアとWindows Serverの市場支配、BEC詐欺とMicrosoft 365の市場支配、クリプト・ジャッキングとInfrastructure-as-a-Service( https://www.ibm.com/jp-ja/topics/iaas )の市場統合など、過去の技術的要因がサイバー犯罪活動を助長したように、このパターンはAI全体に拡大する可能性が高いと考えられます。
X-Forceは、生成AIの市場支配力が確立されれば(単一のテクノロジーの市場シェアが50%に近づいた場合、または市場が3つ以下のテクノロジーに統合された場合)、AIが攻撃対象として成熟するきっかけとなり、サイバー犯罪者の新たなツールへのさらなる投資を促す可能性があると分析しています。生成AI( https://www.ibm.com/topics/generative-ai )は現在、大衆市場化前の黎明期にありますが、サイバー犯罪者が活動を拡大する前に、企業がAIモデルを保護することが最も重要です。また、企業は、既存の基盤インフラストラクチャーがAIモデルへのゲートウェイであり、攻撃者が標的とする新たな戦術を必要としないことを認識すべきです。これは、IBM Framework for Securing Generative AI( https://www.ibm.com/blog/announcement/ibm-framework-for-securing-generative-ai/ )で説明されているように、生成AIの時代におけるセキュリティーへの全体的なアプローチの必要性を強調するものです。
本レポートのその他の調査結果は以下の通りです。
日本 – アジア太平洋(APAC)で観測された全攻撃の約80%-日本では、インシデントの44%をマルウェアが占め、次いで、正規ツールの使用(26%)、サーバー・アクセス(15%)となりました。マルウェアの種類では、ランサムウェアが19%でトップ、次いでローダーと情報窃取がそれぞれ7%でした。最も大きな影響が見られたのはブランドの評判で31%、次いで恐喝とデータ盗難がそれぞれ23%でした。初期アクセスの経路は、公開アプリケーションの悪用とフィッシング・メールが多く、それぞれ攻撃の33%を占めました。最も攻撃を受けた業界は製造業で、被害の59%を占め、次いで、運輸業(13%)でした。
フィッシング攻撃の現状-グローバルでは、フィッシング攻撃は依然として感染経路のトップであるにもかかわらず、2022年からその件数は44%減少しました。しかし、フィッシング攻撃はAIによって最適化され、X-Forceの調査によると、AIによって攻撃を2日近く高速化できるため、サイバー犯罪者にとって好ましい選択肢であり続けると考えられます。
誰もが脆弱である-Red Hat Insights によると、グローバルでは92%の顧客が、スキャン時に既知のエクスプロイトを伴う未対処の共通脆弱性識別子(CVE)を自社環境に少なくとも1つ抱えていることが判明しました。さらに、2023 年にシステム全体で検出された上位 10 位の脆弱性のうち 80% が、共通脆弱性評価システム(CVSS)の基本重大度スコアで「高」または「重大」と評価されています。
Kerberoasting 攻撃が実を結ぶ-X-Forceは、攻撃者がユーザーになりすましてMicrosoft Active Directoryのチケットを悪用し、特権昇格を試みるKerberoasting攻撃がグローバルで100%増加したことを確認しました。
セキュリティーの構成ミス-X-Force Red が実施したペネトレーション・テストでは、グローバルで、セキュリティーの構成ミスが特定された脆弱性全体の30%を占め、攻撃者が構成ミスの悪用方法を140種類以上駆使していることが明らかになりました。
IBM X-Force脅威インテリジェンス・インデックス2024は、こちら( https://www.ibm.com/jp-ja/reports/threat-intelligence )からダウンロード可能です。
当報道資料は、2024年2月21日(現地時間)にIBM Corporationが発表したプレスリリースの抄訳に基づいています。原文はこちら( https://newsroom.ibm.com/2024-02-21-IBM-Report-Identity-Comes-Under-Attack,-Straining-Enterprises-Recovery-Time-from-Breaches )を参照ください。