IBM X-Forceレポート: 2018年はサイバー犯罪者が利益を求めてクリプトジャッキングに移行、 ランサムウェアは割に合わず

サイバー犯罪者による攻撃の半数以上がマルウェアを使った攻撃から転換し、 特定のターゲットに的を絞ったビジネスメール詐欺のキャンペーンが増加していることも判明

TOKYO - 04 3 2019:
2019年3月4日

[米国マサチューセッツ州ケンブリッジ - 2019年2月26日(現地時間)発]

IBMセキュリティーは本日、2019年IBM X-Force脅威インテリジェンス・インデックス (英語)の結果を発表しました。それによると、セキュリティー面の対策と認知度が高まったことで、サイバー犯罪者は投資収益率(ROI)の向上を求めてその攻撃手法を変えていることが判明しました。犯罪者はROIを高める可能性がある他のサイバー犯罪の攻撃手法を利用することが増えているので、本レポートでは、ランサムウェアからの撤退とマルウェアへの依存の減少という2つの主要な動向について詳しく報告しています。

IBM X-Forceでは、クリプトジャッキング攻撃(仮想通貨のマイニング目的とは知られないようにして、組織または個人のコンピューティング能力を違法に使用する攻撃)の件数が、2018年にはランサムウェア攻撃の2倍近くに達していることを確認しています。ビットコインなど仮想通貨の価格が2018年にかけて2万ドルに迫る高値となったことで、被害者のコンピューティング能力を密かに使った低リスクで手間もかからない攻撃が増えました。実際、IBMのスパム研究者が2018年に把握したランサムウェア・キャンペーンは、世界最大級のマルウェア・スパム配信ボットネットであるNecursによるもの1件のみでした。

IBM X-Force脅威インテリジェンス・インデックスでは、サイバー犯罪者は違法な利益を得るためにステルス技術を変えていることもわかりました。IBM X-Forceは、マルウェアを使用する代わりに、管理用のツールを悪用するケースの増加を確認しています。サイバー攻撃の半数以上(57パーセント)は、PowerShellやPsExecといった一般的な管理アプリケーションを利用して検知から逃れており、特定のターゲットに対するフィッシング攻撃が、全体の3分の1(29パーセント)を占めています。

IBM X-Force Incident Response and Intelligence Services(IRIS)のグローバル・リードであるウェンディ・ウィットモア(Wendi Whitmore)は次のように述べています。「マルウェアの使用減少、ランサムウェアからの移行、そして特定のターゲットに的を絞ったキャンペーンの増加を考えた場合、これらの傾向すべてが、サイバー犯罪者にとっての真の動機が投資収益率であることを物語っています。私たちは、敵を混乱させシステムをより侵入しにくいものにする取り組みが効果を発揮していると考えています。過去3年間で117億件のレコードの流出もしくは盗難が発生しましたが、盗んだ個人情報を利益のために活用するには多くの知識とリソースが必要です。そのため、攻撃者はより投資収益率の高い、新たな不正な利益モデルを考えだしました。その最も注目されている商品の1つが、仮想通貨の台頭に結びついているコンピューティング能力です。それによって、企業ネットワークや消費者のデバイスが、それらデジタル通貨のマイニングのために密かにハイジャックされているのです。

IBM X-Force脅威インテリジェンス・インデックスは、130カ国以上における1日あたり700億件のセキュリティー・イベントの監視から得られる、洞察と観察で構成されます。また、データはX-Force IRIS、X-Force Red、IBMマネージド・セキュリティー・サービス、および公表されているデータ漏えい情報などの複数のソースから集められて分析されます。またIBM X-Forceは、世界中で数千のスパム・トラップを運用して、毎日数千万単位のスパムやフィッシング攻撃を監視する一方で、不正な活動やブランドの濫用を検出するために、数十億のWebページと画像を分析しています。

その他の調査結果は次のとおりです。

  • BECが引き続き稼ぎ頭に:
    フィッシング・キャンペーンでは、特定のターゲットに的を絞ったビジネスメール詐欺(BEC)が多用され、X-Forceが把握したフィッシング攻撃の45パーセントを占めました。
  • 運輸業界が(サイバー攻撃の)監視対象として浮上:
    2018年には、最も多く攻撃を受けた業種として運輸業界が、2017年の10位から2位に躍り上がりました。
  • 脆弱性の報告が増加中:
    IBM X-Forceが過去30年間に把握した14万件の脆弱性全体の3分の1近く(42,000件)は、わずかこの3年間に報告されたものです。実際、IBM X-Force Redでは、平均で1組織あたり1,440件の固有の脆弱性を確認しています。
  • 設定ミスがいまだに組織の悩み:
    公表された設定ミスのインシデントは、前年比で20パーセント増となりました。興味深いことに、この脅威ベクトルにより漏洩したレコードの数は52パーセント減少しました。

サイバー犯罪者は他人のコンピュータ資産に寄生して金儲けのためにシステムをハッキングする サイバー犯罪者は、高価なハードウェアに投資したり、仮想通貨を合法的にマイニングしたりする存在ではありません。彼らは、さまざまなツールおよび戦略を策定して、企業のサーバーや個人ユーザーに感染し、通貨マイニング用のマルウェアに自分たちの利益になる仕事を実行させます。感染すると、コンピューティング能力が乗っ取られ、CPU使用率が増加し、デバイスの速度が低下します。このクリプトジャッキングは急増傾向にあり、サイバー犯罪者は、最も一般的な感染手法の2つを主に利用します。それはフィッシングと、セキュリティー制御が脆弱なWebサイトへのコードの挿入です。

IBM X-Forceの調査では、ランサムウェアが減少傾向にある一方で、不正なクリプトジャッキング攻撃が増加傾向にあることがわかっています。2018年では、第4四半期(10~12月)にX-Forceが監視したデバイスにおけるランサムウェアのインストールの試みは、第1四半期と比べて半分以下(45パーセント)に減少しました。しかし、クリプトジャッキング攻撃は、同期間に450パーセントと、4倍に増加しています。

PowerShellを悪用する犯罪者の台頭
サイバーセキュリティー問題に対する意識の高まりと、厳格化するセキュリティー制御によって、サイバー犯罪者は標的のシステムに足がかりを確保することが難しくなっています。その結果、攻撃における悪意のあるソフトウェアの使用は減少傾向にあります。2018年にX-Forceによって分析された攻撃の半数以上(57パーセント)で、脅威の攻撃者がファイル・システム常駐マルウェアを活用していなかったことがわかっています。マルウェアを最も頻繁に使用していたのは、主要なサイバー犯罪者集団とAPT(高度で持続的な脅威)グループでした。

ネットワークが攻撃者によって侵害されたケースでは、IBM X-Forceによれば、サイバー犯罪者は、マルウェアを使用して目的を達成するのではなく、既存のオペレーティング・システム・ツールを悪用する方向にシフトしていることがわかっています。この、メモリーからコードを実行して、デバイスのコアへの直接の管理者アクセス権を提供する手法の中心となっているのが、組み込みのオペレーティング・システム・ツールである、PowerShellの高度な使用です。また、IBM X-Force IRISは、攻撃者がWindows Management Interface Command(WMIC)クエリーを実行していることを観測しました。これによって、PowerShellのコマンドやスクリプト、特にクエリーの実行、データベースの検索、ユーザー・ディレクトリーのアクセス、標的システムへの接続を目的とした機能のリモート実行が自動化されます。

サイバー犯罪の標的として増加傾向にある運輸業界
サイバー犯罪者は、ハッキング方法を変えているだけでなく、標的も変えています。IBM X-Force IRISが観測した2018年のすべての攻撃の19パーセントを占めていたのは金融業界で、依然として最も攻撃を受けた業界でした。しかし、昨年は上位5業種にさえ入っていなかった運輸業界が2018年の最も攻撃を受けた業界として2位に浮上しています。試みられた攻撃は前年比3倍まで増加しています。

単に攻撃量が膨大なだけでなく、被害者の範囲も拡大しています。X-Forceによれば、運輸業界では、前年に比べて2018年にはより多くの脆弱性情報の開示がありました。これはハッカーの攻撃意欲を高めます。これらの企業がサイバー攻撃に対して脆弱であり、顧客データやクレジット・カード情報、個人情報(PII)、特典会員顧客情報など重要なデータを有していることがわかるためです。

推奨や修復について
X-Force Threat Intelligence Indexレポートは、Threat Hunting(予防や検出ツールを回避するような高度な脅威のためにプロアクティブにネットワークやエンドポイントを検索する)のような予防策によって、組織が備えを強化するための推奨事項を提供します。 さらに、リスク管理モデルは、考えられる脅威要因、感染方法、および重要なビジネス・プロセスへの潜在的な影響を考慮する必要があります。組織は、クラウド・サービス、サプライヤー、買収など、第三者から生じるリスクについても認識する必要があります。

レポートはまた修復やインシデント対応を強調しています。 セキュリティー体制が成熟している組織でも、セキュリティー・インシデントへの対応方法がわからない場合があります。 効果的なインシデント対応は技術的な問題だけではありません。迅速な対応と迅速なビジネス・オペレーションの再開の鍵は、リーダーシップとクライシス・コミュニケーションです。

本レポートは、2018年1月1日から同年12月31日までにIBMが収集したデータに基づいており、グローバルな脅威の動向について洞察に富んだ情報を提供するとともに、セキュリティーの専門家に、組織に関わる脅威に関して情報を提供します。2019年IBM X-Force脅威インデックスをダウンロードするには、以下にアクセスしてください。
https://www.ibm.com/security/data-breach/threat-intelligence (英語)

2019年3月29日(金曜日)、午前10時(東部標準時)に開催される、2019年IBM X-Force脅威インテリジェンス・インデックス・ウェビナーにサインアップしましょう。
https://ibm.biz/Bd2VcT

IBM セキュリティーについて
IBMセキュリティーは、エンタープライズ・セキュリティー製品とサービスを集結した最先端といわれるポートフォリオを提供します。世界的に有名なIBM X-Force®の調査に裏付けられたポートフォリオにより、組織はリスクの管理、新たな脅威に対する備えを効率よく行うことができます。IBMは、セキュリティーの研究・開発、デリバリーを行う世界最大級の組織を運営し、130を超える国で毎日700億件のセキュリティー・イベントを監視しています。また、世界中で保有するセキュリティー関連の特許は10,000を超えています。詳しくは、www.ibm.com/security (US)、Twitter(@IBMSecurity)、または IBMセキュリティー・インテリジェンスのブログ(英語)をご覧ください。

当報道資料は、2019年2月26日(現地時間)にIBM Corporationが発表したプレスリリースの抄訳です。原文は下記URLを参照ください。
https://newsroom.ibm.com/2019-02-26-IBM-X-Force-Report-Ransomware-Doesnt-Pay-in-2018-as-Cybercriminals-Turn-to-Cryptojacking-for-Profit (英語)

関連する XML feeds
Topics XML feeds
Corporate

IBM、IBM ロゴ、ibm.com、X-Forceは、世界の多くの国で登録されたInternational Business Machines Corp.の商標です。他の製品名およびサービス名等は、それぞれIBMまたは各社の商標である場合があります。現時点での IBM の商標リストについては、http://www.ibm.com/legal/copytrade.shtml (US)をご覧ください。