~MDR とインシデントレスポンスのケースから、攻撃者はわずか3日間でデータを流出させていることが明らかに~
~認証情報の漏洩が2年連続で最も多い根本原因となる ~
サイバー攻撃を阻止する革新的なセキュリティソリューションのグローバルリーダーであるSophos(日本法人:ソフォス株式会社 東京都港区代表取締役足立達矢)は、「ソフォスアクティブアドバーサリーレポート 2025年版」を公開しました。このレポートでは、2024年における400件以上のMDRとインシデントレスポンスのケースから得られた攻撃手法について詳解しています。攻撃者がネットワークへの初期アクセスを取得する主な方法は、有効なアカウントを利用して、ファイアウォールやVPNなどのエッジデバイスを含む外部のリモートサービスを悪用することでした(MDRとインシデントレスポンスの全ケースの56%)。
有効なアカウントを使用した外部リモートサービスの攻撃は、攻撃の根本原因の上位になっています。2年連続で、認証情報の侵害は、ケースの41%を占めており、攻撃の最大の根本原因となりました。次に多い根本原因は、脆弱性の悪用(21.79%)、ブルートフォース攻撃(21.07%)となっています。
迅速に展開される攻撃
Sophos X-Opsチームは、MDRとインシデントレスポンスの調査を分析し、ランサムウェア、データ流出、データ恐喝のケースについて綿密に調査し、攻撃者が侵入した組織内で、攻撃のステージをどれほど速く進行させているかを特定しました。これら3つのタイプのケースでは、攻撃の開始からデータが流出するまでの期間(中央値)はわずか72.98時間(3.04日)でした。さらに、データが流出してから攻撃が検出されるまでの期間(中央値)はわずか2.7時間でした。
ソフォスのフィールドCISOであるJohn Shierは次のように述べています。「受動的なセキュリティ対策では、現在の攻撃を防ぎきることはできません。予防は不可欠ですが、攻撃を受けた場合に迅速に対応できるようにすることが重要です。組織は積極的にネットワークを監視し、観測されたテレメトリに基づいて迅速に対処しなければなりません。明確な目的に基づく組織的な攻撃に対しては、組織的な防御が必要です。多くの組織にとって組織的な防御とは、自社の属する業界やビジネスに関連する専門的な知識とセキュリティの専門家による検出と対応を組み合わせることを意味します。プロアクティブな監視を導入している組織は、より迅速に攻撃を検出し、優れた成果を得ていることが、今回のレポートで確認できました」
アクティブアドバーサリーレポート2025年版のその他の重要な調査結果:
- 攻撃者はわずか11時間でシステムを乗っ取ることができる:攻撃者が最初の行動から、Windowsネットワークで最も重要な資産の 1つであるActive Directory(AD)への最初の侵害を試みる(通常は成功する)までの中央値は、わずか11時間でした。 ADへの侵入に成功すれば、攻撃者は組織の容易に掌握できます。
- ソフォスのケースで特定された上位のランサムウェアグループ:2024年に最も頻繁に攻撃を行ったランサムウェアグループはAkiraであり、FogとLockBitが続いていました。LockBitは2024年の初めに複数の政府機関によって摘発されたにもかかわらず、今なお影響力を保っています。
- 滞留時間はわずか2日に短縮:全体として、攻撃が始まってから検出されるまでの時間である滞留時間は、2024年には4日からわずか2日に短縮されましたが、これはMDRのケースにデータセットが追加されたて早期に検出できるようになったことが主な理由です。
- インシデントレスポンスのケースの滞留時間:滞留時間はランサムウェア攻撃の場合4日間、ランサムウェア攻撃以外のケースで11.5日間と前年から大きく変化していません。
- MDRのケースの滞留時間:MDRのケースを調査したところ、ランサムウェアのケースにおける滞留時間はわずか3日であり、ランサムウェア以外のケースではさらに短い1日となっています。これは、MDRチームが迅速に攻撃を検出して対応していることを示しています。
- ランサムウェアグループは夜間に活動:2024年のケースでは、ランサムウェアバイナリの83%が、標的となった組織の営業時間外に展開されています。
- リモートデスクトッププロトコルの悪用が引き続き最多:RDPは、MDRとインシデントレスポンスのケースの84%に関わっており、Microsoftのツールの中で最も多く悪用されています。
防御を強化するために、ソフォスが推奨する対策:
- 公開されているRDPポートを閉じる。
- 可能な限りフィッシング耐性のある多要素認証(MFA)を使用する。
- 特にインターネットに接続しているデバイスやサービスを中心に、脆弱性のあるシステムに速やかにパッチを適用する。
- EDR / XDRまたはMDRを導入し、24時間365日体制でプロアクティブに監視する。
- 包括的なインシデントレスポンス計画を策定し、シミュレーションや机上演習を通じて定期的にテストする。
ソフォスアクティブアドバーサリーレポート 2025年版」の全文を参照してください。