この第 4 四半期には、脆弱な Web アプリケーションに対して Web シェルを展開し、脆弱性があるかパッチ未適用の公開アプリケーションを主なエクスプロイト対象として初期アクセスを獲得する手口が増加しました。これは、前四半期までの状況からの大きな変化です。Web シェルの機能やエクスプロイトの標的となった Web アプリケーションはインシデントによってばらばらですが、攻撃者が脆弱な Web サーバーを標的の環境へのゲートウェイとして利用するさまざまな手口が、これで浮き彫りになりました。なお、Talos インシデント対応チーム(Talos IR)が確認した初期アクセス獲得の手口のトップは、前四半期までは 1 年以上にわたり、有効なアカウントの使用でした。
今四半期に観察された脅威のうちランサムウェアが占める割合は、前四半期に比べると若干低下しています。ただし、年末には BlackBasta ランサムウェアを中心に、ランサムウェアとプレランサムウェア(ランサムウェアを展開する前に行われる攻撃活動)のインシデントが急増しており、ランサムウェアは 2025 年も引き続き監視すべき脅威であると言えます。
本レポートについての詳しいインサイトと防御者への推奨事項については、Talos Threat Perspective の動画をご視聴ください。
攻撃者が侵害後に Web シェルを使用する事例が増加
脆弱性があるかパッチ未適用の Web アプリケーションに対し、オープンソースおよび一般公開されているさまざまな Web シェルが展開される事例が多数確認されました。第 4 四半期のインシデントの 35% を占めており、10% 未満だった前四半期から大幅に増加しています。あるインシデントでは、攻撃者により「401.php」というファイル名の Web シェルがアップロードされました。この Web シェルは、前四半期にも確認されていたものです。GitHub で公開されている Neo-regeorg
という Web シェルをベースとしており、CISA のアドバイザリによると、複数の攻撃者の攻撃チェーンで使用されています。また、Web ファジングツールの Fuzz Faster U Fool が使用されたインシデントも確認しました。このファジングツールを使えば、Web アプリケーションに対してブルートフォース攻撃を実行し、ユーザー名とパスワードを特定したり、ディレクトリと仮想ホストを検出したりすることができます。
攻撃者は、侵害後の目的を達成するために比較的古いツールも使用しています。組織は、引き続き慎重にアプリケーションを許可リスト/ブロックリストに追加し、システム上で稼働するソフトウェアを制御する必要があることを、改めて肝に銘じておくべきでしょう。JBoss の脆弱なサーバーを狙ったあるインシデントでは、JexBoss というツールが使用されていました。もともと 2014 年に GitHub で公開されたもので、Java プラットフォームの脆弱性をテストするためだけでなく、エクスプロイトにも使用されます。攻撃者は、「jexws4.jsp」という悪意のある Web シェルを含む JexBoss を WAR ファイルとして保存していました。
ランサムウェアの動向
ランサムウェア、プレランサムウェア、データ窃取による恐喝が、今四半期のインシデントの 30% 近くを占めています。前四半期の 40% からは若干減少しました。Talos IR では、Interlock ランサムウェアを初めて確認したほか、以前にも確認されていたランサムウェア BlackBasta と RansomHub の亜種にも対応しました。今四半期に対応したインシデントの大半については滞留期間を特定することができ、約 17 ~ 44 日間でした。たとえば Interlock ランサムウェアのインシデントでは、侵害の初期段階からランサムウェアの暗号化バイナリが展開されるまで、17 日間を要していました。滞留期間が長いということは、攻撃者がアクセスの拡大や防御の回避、漏洩対象のデータの特定を試みていることを示唆している可能性があります。たとえば今四半期の RansomHub のインシデントでは、攻撃者は、ランサムウェアを展開する前に、侵害したネットワークに 1 か月以上にわたってアクセスし、その間、内部ネットワークのスキャン、バックアップ用のパスワードへのアクセス、ログイン情報の収集などを行っていました。
今四半期に対応したランサムウェア攻撃の 75% では、標的のシステムへの初期アクセスやランサムウェアの実行のために、侵害された有効なアカウントが使用されており、ID ベースの攻撃のリスクと、安全な認証方法の必要性が浮き彫りになっています。たとえばある BlackBasta のインシデントでは、攻撃者が標的組織の IT 部門を装い、ソーシャルエンジニアリングを利用して従業員のアカウントにアクセスしていました。その結果、ネットワークへのラテラルムーブメント(横展開)が容易になっていました。RansomHub のインシデントでは、侵害された管理者アカウントが使用されており、攻撃者はランサムウェアを展開し、ログイン情報をダンプし、市販のネットワークスキャンツールを使用してスキャンを実行していました。注目すべきこととして、今四半期のランサムウェアインシデントの被害を受けた組織はすべて、多要素認証(MFA)を適切に導入していなかったか、攻撃時に MFA を回避されていました。
前四半期の IR の動向レポートで予測したとおり、今四半期は、新たに特定されたツールと手口を使った 2 件の RansomHub インシデントが発生しました。Talos IR が確認したところによると、Veeam データ バックアップ アプリケーションを標的とする Veeam パスワードスティーラーと、クラックされた Microsoft 製品を不正に起動するためのツールである KMS Auto が使用されていました。攻撃者は、持続的アクセスを確保するために、これまで確認されていなかった手口も使用しており、標的のホストの Windows ファイアウォール設定を変更してリモートアクセスを可能にしていました。この操作はランサムウェアを展開する直前に実行されており、侵害されたシステムへの直接アクセスを維持するためだったと考えられます。
今四半期に Talos IR が対応したランサムウェアインシデントすべてで、リモートアクセスツールが使用されていました。前四半期は、ランサムウェアやプレランサムウェアのインシデントの 13% でしか確認されておらず、大幅に増加したことになります。特に多く確認されたのは Splashtop という市販のリモート デスクトップ ソフトウェアで、今四半期に対応したランサムウェアインシデントの 75% で使用されていました。他にも、Atera、Netop、AnyDesk、LogMeIn などの使用が確認されています。インシデントの少なくとも半数で、こうしたツールがラテラルムーブメントを容易にするために使用されており、攻撃者はリモートアクセスにより、標的の環境内の別システムに移動していました。
今後の展望:Talos IR が今四半期に対応業務を完了した 1 件のインシデントと、年末近くに対応を開始した複数のインシデントで、BlackBasta ランサムウェアが確認されました。Talos が確認した攻撃チェーンでは、BlackBasta の攻撃者が IT 部門の担当者を装って二重脅迫型攻撃を実行していました。攻撃者は、機密情報を漏洩させたうえで暗号化し、被害者に身代金を支払うよう圧力をかけていました。12 月以降の同グループによる攻撃の急増についての Talos の調査結果や同様の公開レポートを踏まえると、BlackBasta は、新年も引き続き監視すべきランサムウェアの脅威であると言えます。
攻撃対象
最も被害が多かったのは、2 四半期連続で教育業界でした。インシデント対応業務全体の約 30% を占めています。この傾向は、2024 年第 1 四半期(1 月~ 3 月)の Talos IR の動向とも合致しています。第 1 四半期に最も狙われた業界の 1 つが教育業界で、1 位タイでした。
初期アクセス
確認された初期アクセス獲得の手口のトップは公開アプリケーションのエクスプロイトで、対応時に初期アクセスが特定できたインシデントの約 40% を占めていました。トップが変わったのは、実に 1 年以上ぶりのことです。初期アクセスを獲得する手口としては、有効なアカウントの使用がこれまでずっとトップを占めていました。過去数四半期とは大きく傾向が変わったと言えますが、漏洩したログイン情報と有効なアカウントをアクセスに利用する攻撃者は依然として確認されています。今四半期の変化の主な要因は、パッチが適切に適用されていないアプリケーションや公開アプリケーションをエクスプロイトする Web シェルやランサムウェアを使ったインシデントが増加したことにあると考えられます。
今後の展望:2024 年 12 月初旬以降、Talos IR はパスワードスプレー攻撃の急増を確認しています。この攻撃は、ユーザーアカウントのロックアウトや、VPN アクセスの拒否を引き起こすもので、しばしば大量のトラフィックを発生させるという特徴があります。たとえばある組織は、既知のアカウントに対して 24 時間で約 1,300 万回のパスワード試行が行われたと報告しています。これは、攻撃者が自動攻撃を実行している可能性を示唆しています。主に被害を受けたのは行政機関であり、機会に乗じた無作為な攻撃だったと思われます。攻撃者は、ログイン情報へアクセスするためにパスワードスプレー攻撃を長い間使用してきました。ただ、これほど莫大な回数のログイン認証の試行が短時間に実行されていることから、MFA と強力なパスワードポリシーを引き続き重視して不正アクセスの試行を制限する必要があるということを、組織は改めて肝に銘じる必要があるでしょう。
よく確認されるセキュリティ上の脆弱性への対処についての推奨事項
MFA をはじめとする ID およびアクセス制御ソリューションを導入する
Talos IR は、すべての重要なサービスに MFA を確実に導入することを推奨しています。対象には、すべてのリモートアクセスと ID アクセス管理(IAM)のサービスが含まれます。なお、MFA を導入しても、ソーシャルエンジニアリングによる MFA バイパスの問題があります。これは正規ユーザーがプロンプトを承認することで可能になるものなので、防止するために、定期的にサイバーセキュリティ意識向上トレーニングを実施し、関連する最新のソーシャルエンジニアリングのトピックを取り上げるようにしてください。
MFA の設定ミス、脆弱性、未導入が原因で侵害を受ける事例が依然として後を絶たず、この問題は、今四半期に対応したインシデントの約 40% で確認されました。また前述したとおり、ランサムウェアの被害を受けた組織はすべて、MFA を適切に導入していなかったか、ソーシャルエンジニアリングによって MFA を回避されていました。
アカウントの侵害は、今も主要な初期アクセス手段の 1 つなので、アカウントの不審な使用の検出に役立つ IAM サービスやユーザー行動分析(UBA)への投資をご検討ください。
定期的にパッチを適用し、サポートが終了した資産は交換する
Talos IR は、環境内のすべてのオペレーティングシステムとソフトウェアが現在サポート対象であることを確認し、サポートが終了したソフトウェアは交換することも強く推奨しています。今四半期の複数のインシデントで、パッチ未適用のソフトウェアや脆弱性のあるソフトウェアが初期アクセスを容易にする一因となっており、インシデントの約 15% は、古いソフトウェアやサポートが終了したソフトウェアが原因となっていました。
パッチ適用が不可能な場合は、他の緩和策を検討してください。監視(特にエクスプロイト後によく使われるツールや、よく確認される動作)や、ファイアウォール、スイッチ VLAN、サブネット化などによるセグメンテーションの改善のほか、管理共有へのアクセスの無効化などが考えられます。Web シェルが使用されたインシデントの 40% では、不適切なネットワークのセグメンテーションと管理共有へのアクセスが、攻撃者によるラテラルムーブメントを招く結果となっていました。
適切に設定した EDR ソリューションを導入する
適切に設定した EDR ソリューションなどのセキュリティソリューションを導入しましょう。こうしたソリューションを適切に導入できるだけのリソースがない場合は、マネージド XDR ベンダーへのアウトソーシングを検討するとよいでしょう。適切な設定と 24 時間 365 日体制の監視をセキュリティ専門家に委託できます。
EDR ソリューションの設定ミスや未導入は、今四半期のインシデント全体の 25% 以上に影響を与えていました。
最も多く確認された MITRE ATT&CK の手法
この表は、今四半期の Talos のインシデント対応業務で確認された MITRE ATT&CK 手法の一覧です。複数の戦術に分類されるものもありますが、最も関連性の高い戦術に各手法を分類しています。ここに記載しているものがすべてではありません。
MITRE ATT&CK のフレームワークから得られた主な調査結果は以下のとおりです。
- 対応業務の約 40% で、Splashtop や AteraAgent などのリモートアクセスツールの使用が確認されました(前四半期は 5%)。
- 今四半期に確認されたランサムウェアインシデントのすべてで、リモートアクセスツールが使用されていました。前四半期とは大きく状況が変わったと言えます。
- 今四半期は、有効なアカウントの使用が初期アクセス獲得の手口のトップではなくなりました。これは 1 年以上ぶりのことです。代わりにトップとなったのが公開アプリケーションのエクスプロイトであり、その主な要因は、Web シェルを使用したインシデントが多数発生したことです。
| 偵察(TA0043) | T1589.001 標的の ID 情報の収集:ログイン情報 | 攻撃中に使用できるログイン情報を収集 |
| T1598.003 情報のフィッシング:スピアフィッシングリンク | ログイン情報を収集するページへのリンクを含むスピアフィッシングメールを送信して、攻撃に使用するログイン情報を収集 | |
| T1595.002 アクティブなスキャン:脆弱性スキャン | 組織の公開インフラストラクチャに対して脆弱性スキャンを実行し、エクスプロイトの対象となる潜在的脆弱性を特定 | |
| T1598 情報のフィッシング | フィッシングメッセージを送信し、標的型攻撃に利用する機密情報を抜き取る | |
| T1598.004 情報のフィッシング:スピアフィッシング電話 | 信頼できるサードパーティのサイトに掲載されている悪意のあるリンクをクリックすると警告が表示され、偽の Microsoft サポートサイトに電話をかけるように求められる。表示に従って電話をかけると、その後何度も、さらなる情報を要求する詐欺電話がかかってくるようになる | |
| 初期アクセス(TA0001) | T1190 公開アプリケーションのエクスプロイト | 脆弱性を悪用して標的のシステムにアクセス |
| T1078 有効なアカウント | 漏洩したログイン情報を使用して、攻撃中に有効なアカウントにアクセス | |
| T1189 Web 閲覧による感染 | 侵害した Web サイトや広告を使い、被害者が悪意のあるインストーラをダウンロードするように誘導 | |
| T1566 フィッシングリンク | 悪意のあるリンクを含むフィッシングメールを送信 | |
| 実行(TA0002) | T1059.001 コマンドとスクリプトインタープリタ:PowerShell | PowerShell を悪用して、攻撃中にコマンドとスクリプトを実行 |
| T1204.001 ユーザーによる実行:悪意のあるリンク | 被害者がフィッシングメールの悪意のあるリンクをクリック | |
| T1059.006:コマンドとスクリプトインタープリタ:Python | Python コマンドを実行 | |
| T1059.003 コマンドおよびスクリプトインタープリタ:Windows コマンドシェル | Windows コマンドシェルを悪用して、攻撃中にコマンドとスクリプトを実行 | |
| T1047 Windows Management Instrumentation | Windows Management Instrumentation(WMI)を使用して、攻撃中に悪意のあるコマンドを実行 | |
| T1059.004 コマンドおよびスクリプトインタープリタ:Unix シェル | シェルコマンドを実行 | |
| 永続化(TA0003) | T1505.003 サーバー ソフトウェア コンポーネント:Web シェル | 脆弱性のあるシステムに Web シェルを展開 |
| T1136 アカウントの作成 | 新規アカウントを作成し、標的の環境内で永続性を維持 | |
| T1053.005 スケジュール設定されたタスク/ジョブ:スケジュール設定されたタスク | Windows タスクスケジューラを悪用して、マルウェアや悪意のあるコマンドを繰り返し実行するためのタスクをスケジュール | |
| 特権昇格(TA0004) | T1078.002 有効なアカウント:ドメインアカウント | 有効なアカウントへのアクセスを悪用して、ドメインの特権付きリソースへのアクセスを許可 |
| 防御の回避(TA0005) | T1562.001 防御の妨害:ツールの無効化または設定変更 | 検出を回避するためにセキュリティツールを無効化またはアンインストール |
| T1027.010 難読化されたファイルまたは情報:コマンドの難読化 | 攻撃中に検出を回避するためにコマンドを難読化 | |
| T1070.004 痕跡の削除:ファイルの削除 | ファイルを削除して攻撃の痕跡を隠蔽 | |
| T1484.001 ドメインポリシーまたはテナントポリシーの変更:グループポリシーの変更 | GPO を変更して、スケジュール設定した悪意のあるタスクをプッシュ | |
| T1070.001 痕跡の削除:Windows イベントログの消去 | Windows のイベントログを消去して痕跡を隠蔽し、フォレンジック分析を妨害 | |
| T1036 偽装 | 正規のファイルを装ってランサムウェア暗号化バイナリ(ファイル名は「conhost.exe」)を被害者のマシン上に展開 | |
| T1070.002 痕跡の削除:Linux または Mac のシステムログの消去 | sudo でログを消去 | |
| T1218.014 システムバイナリプロキシ実行:MMC | MMC を悪用し、悪意のあるファイルの実行をはじめとする悪意のある操作を実行 | |
| T1112 レジストリの変更 | 一部のレジストリを変更して権限を昇格 | |
| ログイン情報へのアクセス(TA0006) | T1003 OS 認証情報のダンプ | ラテラルムーブメントを可能にするために、さまざまなソースからログイン情報をダンプ |
| T1110.003 ブルートフォース攻撃:パスワードスプレー攻撃 | ユーザー名とパスワードのリストを使用してユーザーアカウントへのアクセスを試行 | |
| T1621 多要素認証要求の生成 | MFA 疲労攻撃を引き起こす MFA のプッシュ通知を生成 | |
| T1555.003 パスワードストアからのログイン情報:Web ブラウザからのログイン情報 | 被害者の Chrome ブラウザからログイン情報を入手 | |
| T1558.003 Kerberos チケットの窃取または偽造:Kerberoasting 攻撃 | Kerberoasting 攻撃を実行する PowerShell コマンドを使い、ログイン情報にアクセス | |
| 検出(TA0007) | T1046 ネットワークサービスの検出 | Advanced Port Scanner などのツールを使い、ネットワークをスキャン |
| T1069.002 権限グループの検出 | 環境内のドメイン管理者を特定 | |
| T1018 リモートシステムの検出 | 「net view」などのコマンドを使用してリモートシステムに関する情報の検出を試行 | |
| T1082 システム情報の検出 | ホストの列挙を大規模に実行 | |
| T1083 ファイルとディレクトリの検出 | ファイルやディレクトリを列挙して特定の重要なファイルを検出 | |
| T1033 システム所有者/ユーザーの検出 | 「whoami」などのコマンドを使用して、侵害したアカウントにログインしているユーザーに関する情報の検出を試行 | |
| T1016 システムネットワーク構成の検出 | ifconfig や net use などのコマンドを使い、ネットワーク接続を特定 | |
| T1087.001 アカウントの検出:ローカルアカウント | システム上のユーザーアカウントを列挙 | |
| T1135 ネットワーク共有の検出 | ホスト上のネットワーク共有を列挙 | |
| ラテラルムーブメント(TA0008) | T1021.001 リモートサービス:リモートデスクトップ プロトコル | RDP を使用して有効なアカウントを悪用し、標的の環境内でラテラルムーブメントを実行 |
| T1021.004 リモートサービス:SSH | SSH を使用して有効なアカウントを悪用し、標的の環境内でラテラルムーブメントを実行 | |
| T1550.002 代替認証マテリアルの使用:Pass the Hash 攻撃 | 窃取したパスワードハッシュを使用してアクセス制御をバイパス | |
| T1570 横方向のツール転送 | 侵害した環境のシステム間でツールやファイルを転送 | |
| 収集(TA0009) | T1005 ローカルシステムのデータ | 感染したシステムから情報を収集 |
| T1074 データのステージング | データを流出させる前にデータを一か所に収集 | |
| T1560 収集データのアーカイブ | WinRAR などのツールを使用してステージングされたデータをアーカイブ | |
| T1530 クラウドストレージのデータ | クラウドサービスからファイルを収集 | |
| コマンドアンドコントロール(TA0011) | T1219 リモート アクセス ソフトウェア | AnyDesk などのリモートアクセス ソフトウェアを悪用し、攻撃中に C2 との双方向通信チャネルを確立 |
| T1105 侵入ツールの転送 | 侵害を受けたシステムに外部システムからツールを転送 | |
| T1071.001 アプリケーション層プロトコル:Web プロトコル | 侵害を受けたホストと攻撃者が管理するサーバー間で、HTTP POST/GET リクエストを介して通信 | |
| T1090 プロキシ | コマンドアンドコントロール用に Invoke-SocksProxy というツールを使用 | |
| T1102 Web サービス | 偵察を行い、Discord の IP アドレスにネットワーク接続 | |
| データ漏洩(TA0010) | T1567.002 Web サービスを介したデータ漏洩:クラウドストレージへの情報流出 | データを Web サーバーに漏洩 |
| T1537 クラウドアカウントへのデータ転送 | 攻撃者が管理するクラウドアカウントにデータを漏洩 | |
| 影響(TA0040) | T1486 データ暗号化による被害 | ランサムウェアを使用して標的のシステムのデータを暗号化 |
| T1490 システムリカバリの妨害 | ボリュームシャドウコピーなどのシステムリカバリ機能を無効化 | |
| ソフトウェア/ツール | S0029 PsExec | 標的のシステム上でプログラムをリモートで実行できる Microsoft の無料ツール |
| S0349 LaZagne | エクスプロイト後に、システムに保存されたパスワードの復元に使用されるオープンソースツール | |
| S0357 Impacket | ネットワークプロトコルをプログラムで構築および操作するための、Python で書かれたオープンソースのモジュールコレクション | |
| S0002 Mimikatz | プレーンテキストの Windows ログイン情報とパスワードを入手できるログイン情報ダンパー | |
| S0154 Cobalt Strike | 攻撃シミュレーションツール | |
| S0552 AdFind | Active Directory の情報を収集するために使用される、無料公開のコマンドラインクエリツール | |
| S0097 Ping | ネットワーク接続の問題解決や検証によく使用される、オペレーティングシステムのユーティリティ | |
| S0225 Sqlmap | SQL インジェクションの脆弱性の検出やエクスプロイトのプロセスを自動化するために使用される、オープンソースのペネトレーション テスト ツール |
本稿は 2025 年 1 月 30 日にTalos Group
Authors