2019年のサイバー攻撃、変化した「動機」 ~ CrowdStrikeの「高度で継続的」研究成果から | ScanNetSecurity
2020.06.01(月)

2019年のサイバー攻撃、変化した「動機」 ~ CrowdStrikeの「高度で継続的」研究成果から

CrowdStrike 社が最新の「 OverWatch 2019年 中間レポート」をとりまとめ公開した。OverWatch は、政府からの委託や、犯罪を目的として、高度な技術を使って企業・組織を継続的に狙う攻撃者グループを捜し出すことが主な任務だ。

調査・レポート・白書 調査・ホワイトペーパー
脅威タイプ別キャンペーン 2018年 2019年上期 比較
脅威タイプ別キャンペーン 2018年 2019年上期 比較 全 3 枚 拡大写真
 CrowdStrike 社が最新の「 OverWatch 2019年 中間レポート」をとりまとめ公開した。OverWatch は、CrowdStrike のマネージド型脅威ハンティングサービスの名称。CrowdStrike Falcon プラットフォームを用い、同社のスペシャリストチームが 24 時間体制で詳細な分析を行う。

 OverWatch レポートの最大の特長は、極めて高い攻撃力を持つ攻撃者グループを主な研究対象として、CrowdStrike のスペシャルチームである OverWatch が分析している点にある。いわば「サイバー攻撃防御のエキスパートによるエキスパートサイバー攻撃集団の研究調査結果」、CrowdStrike による「高度( Advanced )」で「継続的な( Persistent )」研究成果だ。

 OverWatch は、政府からの委託や、犯罪を目的として、高度な技術を使って企業・組織を継続的に狙う攻撃者グループを捜し出すことが主な任務だ。

 「 OverWatch 2019年 中間レポート」は、OverWatch チームが任務遂行過程で遭遇した、2019 年前半の多くの攻撃活動のうち、特に国家主導型、及び標的型の eCrime(サイバー犯罪活動)について解説する。

 「 OverWatch 2019年 中間レポート」は、2019 年前半に発生した侵害活動のトレンドの振り返りと、今日の攻撃者グループの戦術に対する知見を提供する。また、OverWatch が特定した特に注目すべき侵害インシデントについて、その戦術とテクニックの詳細について紹介している。

 全 61 ページという大部の同レポートの抄訳版として特に注目すべき事項をピックアップし本稿で紹介する。

>> レポートDL ( 無料・要登録 )


●攻撃者グループの動機

 OverWatch の任務は、政府から委託されたり、犯罪を目的として、高度な技術を使ってお客様のネットワークを継続的に狙う攻撃者グループを捜し出すことです。OverWatch チームがその任務を遂行する過程で、2019 年前半にも多くの攻撃活動を観察し分析してきました。それらの攻撃活動の概要を、以降のチャートに示しています。当レポートのこのセクションは、注目に値する高機能を有するかつ持続的な標的型の攻撃活動(国家主導の攻撃やサイバー犯罪活動( eCrime ))のみを対象としています。このセクションのチャートには、OverWatch が対処した攻撃のうち、一般的な機能レベルのものは含まれていません。

 OverWatchは、CrowdStrike Intelligence チームと連携して、侵害を企てる攻撃者グループを分析しています。高い確実性をもって攻撃者を特定する(アトリビューション)には、ある程度の時間を要することがあります。そのため、OverWatch が分析する侵害インシデントでは、明確なアトリビューションを行わないケースもあります。

 アトリビューション可能なケースでは、2019 年における標的型のサイバー犯罪攻撃( eCrime )は 2018 年と比較して増加しました。この増加は、攻撃者らが「 TTPs - for - hire」の手法で、自分たちの TTP(戦術、テクニック、手順)の商用利用を可能にする能力を増強させたことに加え、引き続き「Big Game Hunting」(大物狙い)の手法を追求している結果であると考えられます。

 OverWatch は、 2019 年上半期における相対的な攻撃の頻度において、CrowdStrike のお客様をターゲットとしたサイバー犯罪攻撃( eCrime )が、国家主導の攻撃や首謀者不明の攻撃と比較して大幅に増加したことを確認しました。

 OverWatch の調査では、2019 年前半に発生した標的型攻撃の 61 %がサイバー犯罪者( eCrime )によるものであり、この数字は 2018 年の 2 倍以上であることが明らかになっています。しかし、これは国家主導の攻撃が減ったことを示すものではありません。むしろ、サイバー犯罪( eCrime )のエコシステムが進化して、より大きな利益を得ようと活動を増長させているために、継続的な増加が見られ、OverWatch がさらに警戒を強めていることが反映されているのです。

脅威タイプ別キャンペーン 2018年 2019年上期 比較

●標的型侵入の首謀者

 以下のチャートは、2019 年前半に、OverWatch が検知した特定の攻撃者グループによる侵害の対象を業種別に示したものです。チャート左から、Bears(ロシア)、Buffalos(ベトナム)、Chollimas(北朝鮮)、Kittens(イラン)、Pandas(中華人民共和国)、Spiders(組織犯罪)。

業種別のサイバー攻撃の侵害対象表
 このチャートに含まれない業種は、その期間に標的型の攻撃を行うグループによる侵害を受けたことをOverWatch が確認していない業種です。




「脅威ハンティングの最前線 FalconOverWatch中間報告:2019年版」
 CrowdStrike Japan株式会社
 2020年2月1日/PDF形式/約60ページ/1.60 MB


「脅威ハンティングの最前線 FalconOverWatch中間報告:2019年版」 CrowdStrike Japan株式会社 2020年2月1日/PDF形式/約60ページ/1.60 MB
目次
 3. はじめに
 4. 国家主導の標的型攻撃および犯罪者による侵害キャンペーンの概要
 4. 攻撃者グループの動機
 5. 産業セクター
 5. 2017年から2019年-注目すべき業種

 7. 標的型攻撃の首謀者
 8. 標的型の攻撃者が用いるツール
 9. 標的型攻撃の首謀者の戦略とテクニック
 9. 2019年のATT&CKヒートマップ
 9. 2018年と2019年におけるTTPの比較
 12. マルウェアを使用した攻撃活動の概要

 15. 国家主導とみられる攻撃者による重大な侵害インシデント
 15. Telcoへの攻撃で使用された多様な攻撃テクニック
 23. ヘルスケア企業を標的とする広範囲な攻撃
 29. 航空業界に対する攻撃に使用されたカスタムツールと急速な変化を遂げるTTP
 38. 化学品業界への攻撃において横展開に使用されたカスタムRATとブレイクアウト
 42. アクセストークンの操作などの手法で防衛産業基盤(DIB)組織を攻撃

 49. サイバー犯罪者(eCrime)による重大な侵害インシデント
 49. 通信業界に対するサイバー犯罪活動
 52. Microsoft SharePoint Serverを悪用する攻撃
 54. WebLogic Serverの新たな脆弱性の悪用にすぐさま乗り換える攻撃者

 59. まとめと推奨事項
 59. 推奨事項

 61. CROWDSTRIKEについて

>> レポートDL ( 無料・要登録 )

《ScanNetSecurity》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 今後Nコムは旧サービスにも最新セキュリティ対策実施、撤去予定サーバ経由の不正アクセス発生受け(NTT Com)

    今後Nコムは旧サービスにも最新セキュリティ対策実施、撤去予定サーバ経由の不正アクセス発生受け(NTT Com)

  2. セキュリティ診断の「切り込み隊長」、イエラエセキュリティが拓くフォレンジックの先にある地平

    セキュリティ診断の「切り込み隊長」、イエラエセキュリティが拓くフォレンジックの先にある地平

  3. 日本はランサムウェア暗号化成功率世界最悪、復旧費用は世界2位の高額(ソフォス)

    日本はランサムウェア暗号化成功率世界最悪、復旧費用は世界2位の高額(ソフォス)

  4. 楽天を騙るフィッシングメールを確認、注意喚起を発表(フィッシング対策協議会)

    楽天を騙るフィッシングメールを確認、注意喚起を発表(フィッシング対策協議会)

  5. メール配信プログラムのコーディングミス重なる、原価マスク販売で誤送信(トリニティ)

    メール配信プログラムのコーディングミス重なる、原価マスク販売で誤送信(トリニティ)

  6. iOSに“脱獄”につながる未対策の脆弱性(JVN)

    iOSに“脱獄”につながる未対策の脆弱性(JVN)

  7. 問い合わせフォームを悪用した不正メールに注意喚起、発信元IP特定し遮断(船橋市)

    問い合わせフォームを悪用した不正メールに注意喚起、発信元IP特定し遮断(船橋市)

  8. IoTと5Gのセキュリティ対策進捗状況(総務省)

    IoTと5Gのセキュリティ対策進捗状況(総務省)

  9. Scan BASIC 登録方法

    Scan BASIC 登録方法

  10. コールセンター業務委託先で新型コロナウイルス相談記録データを誤送信(愛媛県、NTTマーケティングアクト)

    コールセンター業務委託先で新型コロナウイルス相談記録データを誤送信(愛媛県、NTTマーケティングアクト)

ランキングをもっと見る