デロイト トーマツ サイバー合同会社は2月、「Deloitte Cyber Trends & Intelligence Report 2024」を発表した。
同レポートは、第1章「2024年の脅威動向」で前年1年間の脅威動向や攻撃の傾向を二つの記事「ランサムウェア脅威の動向」と「VPN製品の脆弱性と関連する攻撃の観測状況」で振り返り、第2章「CICにおける技術検証」ではCyber Intelligence Center(CIC)で行っている技術検証の内容やそれを踏まえた脅威対策を二つの深堀り記事「Windows Downdateの観察」「EDR回避手法の検証」で解説している。
「ランサムウェア脅威の動向」では、CICが2019年から独自に統計を取り続けているリークサイトでのデータ公開件数を紹介している。2024年は、2023年と比較して総数での大きな変化は見られないが、二重恐喝ランサムウェアの一般化や攻撃グループの勢力図の変遷などの傾向がみられるとしている。また、ランサムウェア攻撃の影響を大きく受ける初動対応に焦点を当て、インシデント対応計画などで考慮すべき事項を解説している。
「VPN製品の脆弱性と関連する攻撃の観測状況」では、攻撃の侵入経路として悪用されるVPN機器の脆弱性について、実際の脆弱性公開状況とCICで観測している攻撃試行を集計して紹介している。また、これらの集計とその分析結果から、VPN機器そのものに何らかの理由があるというよりは、機器の運用管理が十分でなかった可能性とASM(Attack Surface Management)による定期的な監視の有用性について示唆している。
「Windows Downdateの観察」では、Blackhat USA 2024で発表されたWindowsの脆弱性と攻撃手法についてCICで検証した内容と対策を詳解している。当該攻撃手法はWindowsの最新の防御機構をバイパスして認証情報を奪取するもので、2024年12月時点でも根本的な対策が難しい状況で、CICではこのような影響度の大きい脆弱性や攻撃手法について独自に検証を行い、対応方針を検討している。
「EDR回避手法の検証」では、EDR製品をインストールした環境で、EDR製品に検知されずにC2エージェントを実行する複数の手法を試行した結果と、同試行のようなEDRを前提とした攻撃への対策の考え方を紹介している。
