2023年版Elasticグローバル脅威レポート:サイバーセキュリティに関する主な予測と推奨

gtr-forecast-blog.jpg

10億を超えるデータポイントを包括的に分析した2023年版Elasticグローバル脅威レポートを公開いたしました。このレポートは、防御者の視点から脅威アクターの手法、テクニック、傾向に関するインサイトを提供し、顧客、パートナー、セキュリティチームがセキュリティ態勢に優先順位を付けて改善できるよう支援します。

レポートの観測結果は、匿名化されたElasticテレメトリーと、自主的に提出された公開データおよびサードパーティデータに基づいています。このレポートの目的は、Elastic独自の視点がセキュリティテクノロジーの開発者や担当者の力となることを示すことです。

Elasticセキュリティの主な予測と推奨

グローバル脅威レポートでは、2024年に直面する可能性のあるサイバー脅威について、貴重なインサイトを提供しています。脅威アクターのさらに高度になった手口、見つけにくさ、彼らが攻撃のために公開ツールやリソースを活用している方法などです。また、これらの攻撃から自分自身とデータを守る方法に関するガイダンスとベストプラクティスも記載しています。以下に、レポートの中から、主な予測と推奨の一部をご紹介します。

icon-quote

攻撃者はインプラント、ツール、インフラストラクチャーの面でオープンソースコミュニティへの依存度を高めるでしょう。

サイバー攻撃者は、以前にも増して商用ツールやオープンソースツールを駆使し、プラットフォームをまたいでシステムを侵害することが増えています。脅威グループは、一般的にMetasploit、Cobalt Strike、Sliverフレームワークなどを使用して、Windows、Linux、macOSデバイスを狙っています。また、これらのツールを使用して攻撃を開始する、サービスとしてのマルウェアやランサムウェアの使用例も増加傾向にあります。攻撃者がオープンソースツールを使用して運用コストを削減している可能性があります。

予測1推奨
攻撃者はインプラント、ツール、インフラストラクチャーの面でオープンソースコミュニティへの依存度を高めるでしょう。
  • 脅威アクターは、攻撃にオープンソースのコードを使用しています。
  • これには、OneDrive APIなどの正規のライブラリ、SharpSharesなどのツール、Sliverなどのインプラントが含まれます。
  • 今後も攻撃者は、公開されているプロジェクトを利用し続ける見込みです。
組織は、コード共有Webサイトから直接ダウンロードした内容を精査し、アクセス制限を検討する必要があります。この対策は脅威アクターによるコードの再利用を防ぐことはできませんが、プリコンパイルされたバイナリやポータブルスクリプトによる侵害の拡大を防げる可能性があります。企業は、攻撃者の新たなフレームワークに対する可視性を評価する必要があります。

icon-quote

クラウド認証情報の漏洩は、データ漏洩インシデントの主な原因となります。

攻撃者はしばしば、認証情報アクセス手法を駆使してデータやシステムにアクセスします。認証情報アクセスとは、パスワードやトークンなどの認証方法を含む広義の用語です。エンドポイントでの振る舞いのシグナルのうち、約7%がこの戦術に関係しており、そのうち79%に、内蔵のツールまたは機能を使用したオペレーティングシステムからの認証情報ダンピングが含まれていました。

クラウドサービスプロバイダー(CSP)の場合、検知シグナルの約45%を認証情報アクセスが占めていました。AWSの場合、これらのシグナルに主に含まれていたのは、Secrets Managerのシークレット、ローカルEC2ホストの環境変数、認証情報ファイルへの異常なアクセスの試みでした。コードが適切にレビューまたはクリーニングされていない場合、GitHubなどのコードリポジトリを通じて認証情報が漏洩する可能性もあります。

予測2推奨
クラウド認証情報の漏洩は、データ漏洩インシデントの主な原因となります。
  • 攻撃者は、データを盗み、マルウェアをインストールさせるためにクラウド認証情報を狙っています。
  • 大きな組織ではクラウドストレージが分割されていないことが多く、攻撃者は盗んだ認証情報で簡単にアクセスできてしまいます。
  • クラウドコンピューティングの認証情報が漏洩すると、コインマイニングなどのマルウェアがさらに蔓延する可能性があります。
最小権限アカウントと堅牢な認証手段は、ユーザーとエンティティの動作を監視したり、データの合理的なセグメント化を前提にした各種ソリューションを導入することで、さらに効果が高まります。

icon-quote

防御回避は引き続き攻撃者の最大の投資対象であり、改ざんがなりすましに取って代わるでしょう。

防御回避技術が広く普及しているということは、攻撃者が現在使われている監視ツールやセキュリティソリューションを熟知しており、回避戦略を開発していることを示しています。これは、攻撃者が環境に順応し、悪意のある活動を隠しおおせるために時間とリソースを掛けていることを示唆する明らかな兆候です。

予測3推奨
防御回避は引き続き攻撃者の最大の投資対象であり、改ざんがなりすましに取って代わるでしょう。
  • セキュリティ業界の動向によって、堅牢なエンドポイント防御機能が開発されてきましたが、攻撃者は目的達成のためにこれらの機能をかいくぐることを重視しています。
  • この傾向から、なりすまし攻撃は減少すると予想されます。
  • この傾向変化は実際の証拠によって裏付けられています。例として、脆弱性を有したドライバーの持ち込み戦術などがあります。
企業はエンドポイントセキュリティセンサーの改ざんに対する強度を評価し、セキュリティテクノロジーの無効化に利用されうる脆弱性を多数抱えたデバイスドライバーを追跡する、Living Off The Land Driversのような監視プロジェクトの導入を検討する必要があります。

Elasticセキュリティで攻撃者の先を行く

来年の脅威、攻撃者、防御策の予測について、簡単な概要をご紹介しました。得られた知識でElasticセキュリティを改善し、将来の計画に役立てる様子も示しました。セキュリティ状況とその展望の詳細な概要については、完全版の2023年版Elasticグローバル脅威レポートをご覧ください。

本記事に記述されているあらゆる機能ないし性能のリリースおよびタイミングは、Elasticの単独裁量に委ねられます。現時点で提供されていないあらゆる機能ないし性能は、すみやかに提供されない可能性、または一切の提供が行われない可能性があります。