クラウドストライク、2023年度版脅威ハンティングレポートを公開、防御策のバイパスを狙ったアイデンティティベース攻撃とハンズオンキーボード攻撃が増加
クラウドストライク合同会社
アイデンティティ情報を狙ったKerberoasting攻撃が583%増、正規のRMMツールの不正使用が3倍増という結果が注目を集める一方で、攻撃者のブレイクアウトタイムは最短記録を更新
CrowdStrike(NASDAQ: CRWD)の日本法人であるクラウドストライク合同会社(本社:東京都港区、代表執行役員:尾羽沢 功、以下クラウドストライク)は本日、クラウドストライク2023年度版脅威ハンティングレポートを公開しました。このレポートは1年に一度公開され、今年で6年目となります。本レポートでは攻撃トレンドや、クラウドストライクの精鋭脅威ハンターとインテリジェンスアナリストが検出した攻撃者のスパイ技術などの内容を取り上げるとともに、アイデンティティの不正使用による侵入の急増、クラウドを狙った攻撃者の専門知識のさらなる強化、正規のリモート監視および管理(RMM)ツールの不正使用が3倍に増加したこと、攻撃者のブレイクアウトタイムがこれまでの最短を記録したことなどを明らかにしています。
8月5日~8月10日に開催されたBlack Hat USA 2023で、クラウドストライクは新たなCounter Adversary Operationsチームの発足を公式に明かしました。2022年7月から2023年6月の攻撃者の活動について解説する本レポートは、発足後に初めてこのチームが発表したものとなります。
【参考】クラウドストライク、CrowdStrike Counter Adversary Operationsチーム創設により、サイバーセキュリティ市場をリードする脅威インテリジェンス、脅威ハンター、AIを統合
https://prtimes.jp/main/html/rd/p/000000064.000031049.html
レポートの主なポイント
アイデンティティを狙ったKerberoasting攻撃が583%増となり、アイデンティティの不正使用による侵入の大幅増が明らかに
クラウドストライクはKerberoasting攻撃が前年比でなんと約6倍まで増えたことを発見しました。この攻撃はMicrosoft Active Directory用サービスアカウントで用いられる有効な認証情報を不正に獲得するもので、多くの場合アクターに上位権限を提供するため、被害者の環境で長期間検出されることがありません。また、全体として、対話型攻撃による侵入の62%で有効なアカウントが不正使用されていました。一方、秘密鍵などの認証情報を、クラウドインスタンスメタデータAPIを介して収集する試みも160%増加しました。
正規のRMMツールを悪用した攻撃は前年比312%増
CISAのレポートをさらに裏付ける事実として、検知を回避し、社内の活動に紛れ込むためによく知られた正規のリモートIT管理アプリケーションを悪用する攻撃者がますます増加しています。こうした攻撃は、機密データにアクセスしてランサムウェアをデプロイし、標的に合わせてカスタマイズした侵入後戦術を実行することを目的としています。
攻撃者のブレイクアウトタイムが過去最短の79分を記録
攻撃者が侵害を開始してから被害者の環境内の他のホストに水平展開するまでにかかる平均時間が、2022年までの最短記録だった84分を更新する79分となりました。さらに、最短ブレイクアウトタイムはわずか7分でした。
金融業界では対話型攻撃による侵入が前年比80%増加
対話型攻撃による侵入(ハンズオンキーボード活動による侵入)が全体的に40%増加しました。
犯罪組織や地下組織でのアクセスブローカーによる広告が147%増加
有効なアカウントが販売され、容易に入手できるため、サイバー犯罪を気軽に行いやすい状況になっています。さらに、経験豊富な攻撃者にとっては侵入後の戦術に必要な技術向上に集中できるため、さらに効率よく目的を達成できます。
Linuxの権限昇格ツールを悪用してクラウド環境の不正利用するケースが3倍に増加
クラウドストライクは、Linuxツール「LinPEAS」を悪用するケースが3倍に増加したことを発見しました。攻撃者はLinPEASを悪用して、クラウド環境のメタデータ、ネットワーク属性、さまざまな認証情報のアクセス権を獲得し、エクスプロイトを行います。
クラウドストライクでCounter Adversary Operationsの責任者を務めるアダム・マイヤーズ(Adam Meyers)は、次のように述べています。
「クラウドストライクでは、昨年1年間で215件の攻撃をトラッキングしました。その結果、有効な認証情報を悪用してクラウドやソフトウェアの脆弱性を狙うなど、脅威アクターの戦術とプラットフォームに大きな変化が見られ、我々を取り巻く脅威が複雑さと奥行きを増していることがわかりました。侵害の阻止を語るときに無視できない厳然たる事実があります。攻撃のスピードが増し、攻撃者が従来の検知方法を回避することを意図して組み立てた戦術を用いているということです。セキュリティリーダーは、攻撃者の水平展開をわずか7分で阻止するために必要なソリューションを組織が持っているのか、チームに確認する必要があります」
追加リソース(いずれも英語)
2023年度版のCrowdStrike脅威ハンティングレポートを、クラウドストライクのウェブサイトからダウンロードしてご覧いただけます。
https://www.crowdstrike.com/resources/reports/threat-hunting-report/
クラウドストライクのAdversary Universe(アドバーサリー ユニバース)ポッドキャストでは、攻撃の阻止に関する情報をお届けしています。
https://www.crowdstrike.com/resources/adversary-universe-podcast/
こちらのブログ記事で、脅威ハンティングレポートの概要をご覧いただけます。
https://www.crowdstrike.com/blog/crowdstrike-debuts-counter-adversary-operations-team/
※この資料は、米国時間2023年 8月8 日に発表されたプレスリリースの抄訳です。
CrowdStrikeについて
CrowdStrike Holdings Inc.(Nasdaq:CRWD)は、サイバーセキュリティのグローバルリーダーであり、エンドポイント、クラウドワークロード、アイデンティティ、データを含む企業におけるリスクを考える上で重要な領域を保護する世界最先端のクラウドネイティブのプラットフォームにより、現代のセキュリティを再定義しています。
CrowdStrike Falcon(R)プラットフォームは、CrowdStrike Security CloudとワールドクラスのAIを搭載し、リアルタイムの攻撃指標、脅威インテリジェンス、進化する攻撃者の戦術、企業全体からの充実したテレメトリーを活用して、超高精度の検知、自動化された保護と修復、精鋭による脅威ハンティング、優先付けられた脆弱性の可観測性を提供します。
Falconプラットフォームは、軽量なシングルエージェント・アーキテクチャを備え、クラウド上に構築されており、迅速かつスケーラブルな展開、優れた保護とパフォーマンス、複雑さの低減、短期間での価値提供を実現します。
CrowdStrike: We Stop Breaches
詳細はこちら: https://www.crowdstrike.jp/
ソーシャルメディア:
Blog https://www.crowdstrike.com/blog/
Twitter https://twitter.com/crowdstrike
LinkedIn https://www.linkedin.com/company/crowdstrike/
Facebook https://www.facebook.com/CrowdStrike
Instagram https://www.instagram.com/crowdstrike/
無料トライアル: https://go.crowdstrike.com/try-falcon-prevent-jp.html
(C) 2023 CrowdStrike, Inc. All rights reserved. CrowdStrike、Falconのロゴ、CrowdStrike Falcon、CrowdStrike Threat Graphは、CrowdStrike, Inc.が所有するマークであり、米国および各国の特許商標局に登録されています。CrowdStrikeは、その他の商標とサービスマークを所有し、第三者の製品やサービスを識別する目的で各社のブランド名を使用する場合があります。