2019年のサイバー攻撃、変化した「動機」 ~ CrowdStrikeの「高度で継続的」研究成果から | ScanNetSecurity
2024.03.19(火)

2019年のサイバー攻撃、変化した「動機」 ~ CrowdStrikeの「高度で継続的」研究成果から

CrowdStrike 社が最新の「 OverWatch 2019年 中間レポート」をとりまとめ公開した。OverWatch は、政府からの委託や、犯罪を目的として、高度な技術を使って企業・組織を継続的に狙う攻撃者グループを捜し出すことが主な任務だ。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
PR
脅威タイプ別キャンペーン 2018年 2019年上期 比較
脅威タイプ別キャンペーン 2018年 2019年上期 比較 全 3 枚 拡大写真
 CrowdStrike 社が最新の「 OverWatch 2019年 中間レポート」をとりまとめ公開した。OverWatch は、CrowdStrike のマネージド型脅威ハンティングサービスの名称。CrowdStrike Falcon プラットフォームを用い、同社のスペシャリストチームが 24 時間体制で詳細な分析を行う。

 OverWatch レポートの最大の特長は、極めて高い攻撃力を持つ攻撃者グループを主な研究対象として、CrowdStrike のスペシャルチームである OverWatch が分析している点にある。いわば「サイバー攻撃防御のエキスパートによるエキスパートサイバー攻撃集団の研究調査結果」、CrowdStrike による「高度( Advanced )」で「継続的な( Persistent )」研究成果だ。

 OverWatch は、政府からの委託や、犯罪を目的として、高度な技術を使って企業・組織を継続的に狙う攻撃者グループを捜し出すことが主な任務だ。

 「 OverWatch 2019年 中間レポート」は、OverWatch チームが任務遂行過程で遭遇した、2019 年前半の多くの攻撃活動のうち、特に国家主導型、及び標的型の eCrime(サイバー犯罪活動)について解説する。

 「 OverWatch 2019年 中間レポート」は、2019 年前半に発生した侵害活動のトレンドの振り返りと、今日の攻撃者グループの戦術に対する知見を提供する。また、OverWatch が特定した特に注目すべき侵害インシデントについて、その戦術とテクニックの詳細について紹介している。

 全 61 ページという大部の同レポートの抄訳版として特に注目すべき事項をピックアップし本稿で紹介する。

>> レポートDL ( 無料・要登録 )


●攻撃者グループの動機

 OverWatch の任務は、政府から委託されたり、犯罪を目的として、高度な技術を使ってお客様のネットワークを継続的に狙う攻撃者グループを捜し出すことです。OverWatch チームがその任務を遂行する過程で、2019 年前半にも多くの攻撃活動を観察し分析してきました。それらの攻撃活動の概要を、以降のチャートに示しています。当レポートのこのセクションは、注目に値する高機能を有するかつ持続的な標的型の攻撃活動(国家主導の攻撃やサイバー犯罪活動( eCrime ))のみを対象としています。このセクションのチャートには、OverWatch が対処した攻撃のうち、一般的な機能レベルのものは含まれていません。

 OverWatchは、CrowdStrike Intelligence チームと連携して、侵害を企てる攻撃者グループを分析しています。高い確実性をもって攻撃者を特定する(アトリビューション)には、ある程度の時間を要することがあります。そのため、OverWatch が分析する侵害インシデントでは、明確なアトリビューションを行わないケースもあります。

 アトリビューション可能なケースでは、2019 年における標的型のサイバー犯罪攻撃( eCrime )は 2018 年と比較して増加しました。この増加は、攻撃者らが「 TTPs - for - hire」の手法で、自分たちの TTP(戦術、テクニック、手順)の商用利用を可能にする能力を増強させたことに加え、引き続き「Big Game Hunting」(大物狙い)の手法を追求している結果であると考えられます。

 OverWatch は、 2019 年上半期における相対的な攻撃の頻度において、CrowdStrike のお客様をターゲットとしたサイバー犯罪攻撃( eCrime )が、国家主導の攻撃や首謀者不明の攻撃と比較して大幅に増加したことを確認しました。

 OverWatch の調査では、2019 年前半に発生した標的型攻撃の 61 %がサイバー犯罪者( eCrime )によるものであり、この数字は 2018 年の 2 倍以上であることが明らかになっています。しかし、これは国家主導の攻撃が減ったことを示すものではありません。むしろ、サイバー犯罪( eCrime )のエコシステムが進化して、より大きな利益を得ようと活動を増長させているために、継続的な増加が見られ、OverWatch がさらに警戒を強めていることが反映されているのです。

脅威タイプ別キャンペーン 2018年 2019年上期 比較

●標的型侵入の首謀者

 以下のチャートは、2019 年前半に、OverWatch が検知した特定の攻撃者グループによる侵害の対象を業種別に示したものです。チャート左から、Bears(ロシア)、Buffalos(ベトナム)、Chollimas(北朝鮮)、Kittens(イラン)、Pandas(中華人民共和国)、Spiders(組織犯罪)。

業種別のサイバー攻撃の侵害対象表
 このチャートに含まれない業種は、その期間に標的型の攻撃を行うグループによる侵害を受けたことをOverWatch が確認していない業種です。




「脅威ハンティングの最前線 FalconOverWatch中間報告:2019年版」
 CrowdStrike Japan株式会社
 2020年2月1日/PDF形式/約60ページ/1.60 MB


「脅威ハンティングの最前線 FalconOverWatch中間報告:2019年版」 CrowdStrike Japan株式会社 2020年2月1日/PDF形式/約60ページ/1.60 MB
目次
 3. はじめに
 4. 国家主導の標的型攻撃および犯罪者による侵害キャンペーンの概要
 4. 攻撃者グループの動機
 5. 産業セクター
 5. 2017年から2019年-注目すべき業種

 7. 標的型攻撃の首謀者
 8. 標的型の攻撃者が用いるツール
 9. 標的型攻撃の首謀者の戦略とテクニック
 9. 2019年のATT&CKヒートマップ
 9. 2018年と2019年におけるTTPの比較
 12. マルウェアを使用した攻撃活動の概要

 15. 国家主導とみられる攻撃者による重大な侵害インシデント
 15. Telcoへの攻撃で使用された多様な攻撃テクニック
 23. ヘルスケア企業を標的とする広範囲な攻撃
 29. 航空業界に対する攻撃に使用されたカスタムツールと急速な変化を遂げるTTP
 38. 化学品業界への攻撃において横展開に使用されたカスタムRATとブレイクアウト
 42. アクセストークンの操作などの手法で防衛産業基盤(DIB)組織を攻撃

 49. サイバー犯罪者(eCrime)による重大な侵害インシデント
 49. 通信業界に対するサイバー犯罪活動
 52. Microsoft SharePoint Serverを悪用する攻撃
 54. WebLogic Serverの新たな脆弱性の悪用にすぐさま乗り換える攻撃者

 59. まとめと推奨事項
 59. 推奨事項

 61. CROWDSTRIKEについて

>> レポートDL ( 無料・要登録 )

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. テレビ新潟放送網にサイバー攻撃、データが暗号化被害

    テレビ新潟放送網にサイバー攻撃、データが暗号化被害

  2. サイバー攻撃 はじまりはいつも OSINT ~ 日本ハッカー協会 杉浦氏講演

    サイバー攻撃 はじまりはいつも OSINT ~ 日本ハッカー協会 杉浦氏講演

  3. マルウェアが OpenAI の認証情報窃取、約 68 万 8,000 件をダークウェブ等で発見

    マルウェアが OpenAI の認証情報窃取、約 68 万 8,000 件をダークウェブ等で発見

  4. 理研計器の開発センターで放射性同位元素が所在不明に

    理研計器の開発センターで放射性同位元素が所在不明に

  5. 経済産業省 サイバーセキュリティ課 職員を名乗る自動音声電話に注意を呼びかけ

    経済産業省 サイバーセキュリティ課 職員を名乗る自動音声電話に注意を呼びかけ

  6. 愛知陸運にランサムウェア攻撃、不審な電話やメールに注意呼びかけ

    愛知陸運にランサムウェア攻撃、不審な電話やメールに注意呼びかけ

  7. NEC、陸自「多国間サイバー防護競技会(Cyber KONGO 2024)」を支援

    NEC、陸自「多国間サイバー防護競技会(Cyber KONGO 2024)」を支援

  8. SKYSEA Client View に複数の脆弱性、ラック北原氏他 報告

    SKYSEA Client View に複数の脆弱性、ラック北原氏他 報告

  9. マイクロソフト社員名乗る第三者が指示、商工会の業務用 PC 2 台に遠隔操作ソフトウェアをインストール

    マイクロソフト社員名乗る第三者が指示、商工会の業務用 PC 2 台に遠隔操作ソフトウェアをインストール

  10. JVCケンウッド タイ生産子会社サーバに不正アクセス

    JVCケンウッド タイ生産子会社サーバに不正アクセス

ランキングをもっと見る