今四半期はフィッシング攻撃が急増し、対応業務全体の半数で、攻撃者がこの初期アクセス手段を利用していました。過去数四半期と比べて大幅な増加になります。逆に、2024 年に最も多く確認された初期アクセス手段として Talos の『一年の総括』レポート
で取り上げられていた有効なアカウントの使用は、今四半期はほとんど見られませんでした。それでもやはり、Cisco Talos インシデント対応チーム(Talos IR)が観測した攻撃チェーンでは有効なアカウントが重要な役割を果たしており、攻撃者は主にフィッシングを用いてユーザーアカウントにアクセスし、このアクセスを利用して標的のネットワーク内で永続性を確立していました。
今四半期は、ランサムウェアインシデントとランサムウェア感染前のインシデントが脅威に占める割合がやや増加し、そのうち大多数が後者のカテゴリに分類されました。ランサムウェア感染前のイベントを Talos IR が調査した結果、ランサムウェアの実行ファイルが展開される前に攻撃を食い止めた防御策について、独自のインサイトを得ることができました。その防御策とは、インシデント対応チームと連携した早期の対応や、特定の攻撃者の戦術、手法、手順(TTP)に対する強固なモニタリングなどです。
最新レポートで取り上げている主要な動向(動画をご視聴ください)
フィッシングで取得した有効なアカウントへのアクセスを利用し、永続性を確立
インシデント対応業務の 50% では、攻撃者がフィッシングを用いて初期アクセスを取得していました。前四半期は 10% 未満であり、著しく増加しています。対応したフィッシング攻撃の中で最も多かったのはビッシングであり、全体の 60% 以上を占めました。一方で、悪意のある添付ファイルやリンクを使用した攻撃とビジネスメール詐欺も確認されました。
フィッシングを利用する主な目的は、有効なアカウントにアクセスし、標的のネットワークに深く入り込んで足がかりを拡大することでした。これは、機密情報を引き出す、あるいは送金させるといった、過去に見られた他のフィッシングの目的とは対照的です。たとえば、あるビッシング攻撃(詳細はランサムウェアのセクションで後述)では、攻撃者が電話でユーザーを騙してユーザーのワークステーションへのリモートアクセスセッションを確立した後、このアクセスを使用してツールのロード、永続化メカニズムの確立、およびエンドポイント保護の無効化を行いました。
中には、攻撃者がフィッシング攻撃を利用してユーザーの正規のアクセストークンを盗み、標的のネットワークへの持続的なアクセスを維持できるようにした事例もありました。別の事例では、悪意のあるリンクを記載したフィッシングメールを展開し、ユーザーの多要素認証(MFA)セッショントークンとログイン情報の窃取に成功していました。そこから、攻撃者は標的の Microsoft Office 365 環境に不正にアクセスし、企業向けアプリケーションを展開しました。他のアカウントにアクセスを拡大することが目的だったと考えられます。別のフィッシング事例では、攻撃者がユーザーの有効なアカウントにアクセスしてアクティブなアクセストークンを複製し、アウトバウンド接続用に新しいログイン情報を指定していました。その後、攻撃者はシステム情報を収集するコマンドを実行し、ユーザーのログイン時に悪意のある JavaScript ファイルを実行するスケジュールタスクを作成することで、アクセスを拡大しようとしました。
ランサムウェアの動向
製造業と建設業の組織が、BlackBasta と Cactus の TTP を利用したビッシング攻撃の標的に
今四半期は、ランサムウェアインシデントとランサムウェア感染前のインシデントが対応業務の 50% 以上を占めました(前四半期の約 30% から増加)。製造業と建設業の組織が標的となった、BlackBasta と Cactus の TTP を利用した強固な攻撃が、ランサムウェア感染前のインシデントとランサムウェアの対応業務の 60% 以上を占め、関連していると見られるインシデントに関する公開レポートと状況が一致していました。
Talos が確認した攻撃チェーンは、標的とする組織のユーザーのメールボックスにスパムメールを大量に送りつけることから始まります。数日後、通常は Microsoft Teams を使って被害者に電話をかけ、Microsoft Quick Assist のリモートアクセスセッションを開始するよう指示します。ユーザーのシステムにプログラムがインストールされていない場合は、インストールを手助けします。Quick Assist セッションが確立されると、ツールをロードして標的のシステムに関する情報を収集し、永続性を確立します。攻撃者は、TitanPlus レジストリキーを作成し、IP アドレスを埋め込むことでコマンドアンドコントロール(C2)通信を可能にします。このとき、インフラストラクチャを難読化するために文字の置換を使用します。TitanPlus レジストリキーによる永続化プロセスが完了すると、続いて特権昇格とラテラルムーブメントを実行します。その最終的な目的は、ランサムウェアの展開だと考えられます。攻撃者が当初は BlackBasta ランサムウェアを使用していて、これに関するレポートが公開されると Cactus ランサムウェアに切り替えたことを Talos は確認しています。Cactus が関与した事例を分析した結果、これまで文書化されていなかったランサムウェアの亜種を特定できました。従来の機能を基盤にした亜種で、新しいコマンドライン引数を追加することでバイナリの機能をより自在に制御できるようになっています。おそらく、効率の向上と影響の最大化を重視したものと思われます。
今後の見通し:この攻撃に関与している攻撃者は、攻撃に関する公開レポートが増えるにつれて TTP を変更しており、俊敏に対応していることがはっきりしています。したがって、今後も TTP を調整したり、別のランサムウェアファミリやツールを攻撃チェーンに組み込んだりして、検出を回避していくと考えられます。この攻撃に関する調査結果は、2025 年 3 月下旬にリリースした『一年の総括』レポートで公開しました。今後も攻撃者の活動を追跡し、作戦を変更するかどうかを注視していきます。
ランサムウェア感染前の TTP を早期に検出して暗号化の前に攻撃を阻止
今四半期のランサムウェアインシデントとランサムウェア感染前のインシデントのうち、全体の 75% が後者のカテゴリに分類されました。この分析結果から、ランサムウェアの実行ファイルが展開される前に攻撃を食い止めることができた防御策に関するインサイトが得られました。
効果的であることがわかった戦術の 1 つは、インシデント対応チームと連携した早期対応です。たとえばある対応業務では、組織のユーザーが大量のスパムメールを受信した直後に、Talos IR に連絡がありました。この TTP が、他の組織に影響を及ぼしていることがすでに確認されていたビッシング攻撃と一致していたため、ランサムウェア感染前の活動である可能性が非常に高いことを伝え、実用的な侵害指標(IOC)と推奨される軽減策を共有することができました。
ランサムウェア感染前の活動を封じ込めるのに効果的だったもう 1 つの防御策が、強固なモニタリングと Endpoint Detection and Response(EDR)ソリューションです。特に、不正なリモートアクセス接続と不審なファイル実行にアラートを出すように設定されたソリューションが効果的でした。ある対応事例では、ランサムウェア感染前の活動と一致するとセキュリティチームが判断した特定の TTP に Cisco XDR がフラグを立てるように設定されていて、アラートが出るとすぐにセキュリティチームが迅速に対応し、脅威の根絶に集中することができました。アラート対象の TTP は、リモートアクセスツールの使用、ボリュームシャドウコピー サービス(VSS)の無効化、脆弱なドライバを展開するためのローカルアカウントの使用などです。組織の監視ツールが不正なリモートアクセスにアラートを出し、影響を受けたシステムに迅速に対応した結果、攻撃者が標的のシステムに 3 分間しかアクセスできなかった事例もあります。また別の事例では、不審なファイル実行にフラグが立てられた結果、最初のアクセスから数時間以内にお客様が脅威を特定してシステムを隔離することができました。
直近で HRSword を利用して EDR の保護を無効化したランサムウェアグループは Crytox
Crytox は今四半期に初めて Talos IR の対応業務で確認されました。これまでこのランサムウェアグループと公には関連付けられていなかった HRSword が攻撃チェーンの一部として使用されていました。公開レポートによると、Crytox は 2020 年に初めて確認されたランサムウェアファミリであり、通常はローカルディスクとネットワークドライブを暗号化し、5 日以内に要求に応じるよう最後通告する身代金メモを残します。被害者と攻撃者との通信用に uTox メッセンジャー アプリケーションを利用することが知られています。
Talos IR が対応したある事例では、攻撃者は MFA で保護されていない公開アプリケーションの脆弱性を悪用して初期アクセスを獲得した後、ランサムウェア攻撃を開始し、多数の VM サーバーをホストしていた 2 台のハイパーバイザを暗号化しました。Crytox の既知の TTP と一致する TTP が使用されており、通信には uTox を使用し、一般に共有されている Crytox の身代金メモと同じメモを残していました。注目すべき点として、HRSword を使用して標的の EDR ソリューションを無効化したことも確認されています。Talos は、ランサムウェア攻撃グループによる HRSword の使用について、2024 年度第 1 四半期に初めて報告し、具体的な事例として Phobos によるインシデントを取り上げました。2024 年には、年間を通じて他の脅威グループも HRSword を利用したことが確認されています。
攻撃対象
今四半期に最も影響を受けた業種は製造業であり、対応業務の 25% を占めました。注目すべきことに、2024 年後半に最も狙われたのは教育機関でしたが、今四半期は教育機関を標的としたインシデントへの対応は一切ありませんでした。
初期アクセス
前述のとおり、今四半期に最も多く確認された初期アクセスの手段はフィッシングであり、次いで有効なアカウントの使用と公開アプリケーションの脆弱性の悪用が続きました。今四半期にフィッシング攻撃が増加したのは、Talos が対応したフィッシング攻撃全体の 60% 以上を占めた強力なビッシング攻撃が一因と考えられます。
よく確認されるセキュリティ上の脆弱性への対処についての推奨事項
適切に設定した MFA およびその他のアクセス制御ソリューションの導入
今四半期のインシデント対応業務の半数は、MFA の設定ミスや未導入、バイパスなど、MFA の問題に関連したものでした。上記のランサムウェアのセクションで触れたように、今四半期のいくつかのインシデントではトークンの窃取が重要な役割を果たしており、その結果、攻撃者は認証制御をバイパスして信頼できる接続を確立することができました。また、侵害したアカウントに攻撃者が悪意のある他の MFA デバイスを追加した事例や、リモートアクセスサービスで MFA が使用されていない状況を悪用した事例も確認しました。後者は、過去数四半期に一貫して見られた戦術です。Talos IR は MFA を効果的に導入するために、バイパスコードの悪用、MFA の回避や免除を目的としたアカウントの作成、MFA からのアカウントの削除を監視してアラートを出すことを推奨しています。
フィッシング攻撃とソーシャルエンジニアリング攻撃に関するユーザー教育の実施
今四半期の対応業務の半数はソーシャルエンジニアリングに関連したものであり、ユーザー教育が不十分である可能性が浮き彫りになりました。このセキュリティ上の弱点が突かれた事例の多さは、フィッシング攻撃の急増と一致しており、ユーザーは攻撃者に操られて自らの環境へのアクセスを許可していました。中でも、ビッシングが特に効果的であることが明らかになっています。Talos IR は、フィッシングやソーシャルエンジニアリングの手口に対する認識を高めることを推奨しています。フィッシングの企みを見抜き、MFA バイパスの手口を阻止し、不審なことがあった場合の報告先を知るうえでは、ユーザー教育が重要な役割を果たすからです。
エンドポイント セキュリティ ソリューションの保護
インシデントのほぼ 20% は、EDR ソリューションのアンインストールを防止する保護策を導入していなかった組織に関連したものであり、それが原因で攻撃者が防御策を無効化できていました。Talos IR は、エンドポイント ソリューションがエージェントまたはコネクタのパスワードで保護されていることを確認し、デフォルト以外の設定にカスタマイズすることを強く推奨しています。この脅威に対する EDR ソリューションの強化に関するその他の推奨事項は、2024 年版『一年の総括』をご覧ください。
最も多く観察された MITRE ATT&CK 手法
この表は、今四半期の Talos のインシデント対応業務で確認された MITRE ATT&CK 手法の一覧です。複数の戦術に分類されるものもありますが、最も関連性の高い戦術に各手法を分類しています。ここに記載しているものがすべてではありません。
MITRE ATT&CK のフレームワークから得られた主な調査結果は以下のとおりです。
- 2024 年 1 月~ 3 月(2024 年度第 1 四半期)以来初めて、フィッシングが初期アクセス手法のトップとなりました。攻撃者が仕掛けていたのは、ビッシング攻撃、悪意のあるリンクまたは添付ファイルを使った攻撃、ビジネスメール詐欺です。
- 今四半期は、SplashTop、Atera、TeamViewer、AnyDesk、LogMeIn、ScreenConnect、QuickAssist、TightVNC、Level RMM プラットフォームなど、多様な商用およびオープンソースのリモートアクセスツールが攻撃に使用されました。対応業務の 50% でこれらのツールが確認され、前四半期のほぼ 40% からわずかに増加しました。
| 戦術 | 手法 | 例 |
| 偵察(TA0043) | T1590 被害者のネットワークの情報収集 | 標的型攻撃に使用できる、被害者のネットワークに関する情報(管理データや、トポロジと運用に関する詳細のほか、さまざまな情報)を収集 |
| T1595.002 アクティブなスキャン:脆弱性スキャン | 組織の公開インフラストラクチャに対して脆弱性スキャンを実行し、エクスプロイトの対象となる潜在的脆弱性を特定 | |
| 初期アクセス(TA0001) | T1598.004 情報のフィッシング:スピアフィッシング電話 | ユーザーが IT サポートを装った攻撃者から電話を受けると、QuickAssist セッションを開始するよう誘導 |
| T1598.003 情報のフィッシング:スピアフィッシングリンク | 悪意のあるリンクを記載したスピアフィッシング メッセージを送信し、標的型攻撃に使用できる機密情報を抜き取る | |
| T1598 情報のフィッシング:スピアフィッシング添付ファイル | 悪意のあるファイルを添付したスピアフィッシング メッセージを送信し、標的型攻撃に使用できる機密情報を抜き取る | |
| T1190 外部公開されたアプリケーションへの攻撃 | 脆弱性を悪用して標的のシステムにアクセス | |
| T1078 有効なアカウント | 漏洩したログイン情報を使用して、攻撃中に有効なアカウントにアクセス | |
| 実行(TA0002) | T1059.001 コマンドおよびスクリプトインタープリタ:PowerShell | PowerShell を悪用して、攻撃中にコマンドとスクリプトを実行 |
| T1047 Windows Management Instrumentation | Windows Management Instrumentation(WMI)を使用して、攻撃中に悪意のあるコマンドを実行 | |
| T1053 スケジュール設定されたタスク/ジョブ | タスクのスケジュール設定機能を悪用して、悪意のあるコードの初期実行や反復実行を容易にする | |
| 永続化(TA0003) | T1098 アカウント操作 | アカウント操作により、被害者のシステムに対するアクセスを維持し、権限を昇格 |
| T1136.001 アカウントの作成:ローカルアカウント | ローカルアカウントを作成して、被害者のシステムに対するアクセスを維持 | |
| T1547.001 永続化:起動時またはログオン時の自動実行:レジストリの実行キー/スタートアップフォルダ | TitanPlus レジストリキーに IP アドレスを埋め込むことにより永続性を確立 | |
| T1133 外部リモートサービス | 外部に公開されたリモートサービスを利用して、ネットワークへの初期アクセスと永続化を実行 | |
| T1546.008 イベントトリガーによる実行:ユーザー補助機能 | ユーザー補助機能でトリガーされる悪意のあるコンテンツを実行することにより、永続性を確立し、権限を昇格 | |
| 特権昇格(TA0004) | T1134 アクセストークンの改ざん | 異なるユーザーやシステムのセキュリティコンテキストの下で動作するようにアクセストークンを改変して、アクションを実行し、アクセス制御をバイパス |
| 防御の回避(TA0005) | T1562.001 防御策の妨害:ツールの無効化または設定変更 | 検出を回避するためにセキュリティツールを無効化またはアンインストール |
| T1562.004 防御策の妨害:システムファイアウォールの無効化または設定変更 | システムファイアウォールを無効化または設定変更して、ネットワーク利用を制限する制御をバイパス | |
| T1564.008 アーティファクトの隠蔽:電子メールを隠すルール | 侵害を受けたユーザーのメールボックス内の受信メールまたは送信メールを隠すために電子メールのルールを使用 | |
| T1070.001 痕跡の削除:Windows イベントログの消去 | Windows のイベントログを消去して痕跡を隠蔽し、フォレンジック分析を妨害 | |
| T1112 レジストリの変更 | 一部のレジストリを変更して権限を昇格 | |
| ログイン情報へのアクセス(TA0006) | T1003 OS 認証情報のダンプ | ラテラルムーブメントを可能にするために、さまざまなソースからログイン情報をダンプ |
| T1528 アプリケーションのアクセストークンを窃取 | リモートのシステムやリソースにアクセスするためのログイン情報を取得する手段として、アプリケーションのアクセストークンを窃取 | |
| 検出(TA0007) | T1046 ネットワークサービスの検出 | Advanced Port Scanner などのツールを使い、ネットワークをスキャン |
| T1057 プロセスの検出 | システム上で実行中のプロセスに関する情報の取得を試行 | |
| T1018 リモートシステムの検出 | 「net view」などのコマンドを使用してリモートシステムに関する情報の検出を試行 | |
| T1082 システム情報の検出 | オペレーティングシステムとハードウェアに関する詳細な情報の取得を試行 | |
| T1016 システムのネットワーク構成の検出 | ifconfig や net use などのコマンドを使い、ネットワーク接続を特定 | |
| T1087.001 アカウントの検出:ローカルアカウント | システム上のユーザーアカウントを列挙 | |
| ラテラルムーブメント(TA0008) | T1021.001 リモートサービス:リモートデスクトップ プロトコル | RDP を使用して有効なアカウントを悪用し、標的の環境内でラテラルムーブメントを実行 |
| T1021.006 リモートサービス:Windows リモート管理 | 有効なアカウントを悪用し、Windows リモート管理(WinRM)を使ってリモートシステムと通信 | |
| コマンドアンドコントロール(TA0011) | T1219 リモートアクセス ソフトウェア | 正規のデスクトップサポートやリモートアクセス ソフトウェアを使用して、ネットワーク内の標的のシステムに対する双方向のコマンドアンドコントロール チャネルを確立 |
| T1105 侵入ツールの転送 | 侵害を受けたシステムに、外部システムからツールを転送 | |
| T1572 プロトコルのトンネリング | 検出を回避し、アクセスできるようにするために、被害者のシステムとのネットワーク通信を SMB など別のプロトコルでトンネリング | |
| データ漏洩(TA0010) | T1048 代替プロトコルを介したデータ漏洩 | WinSCP などの既存のコマンドアンドコントロール チャネルとは異なるプロトコルでデータを流出させて窃取 |
| 影響(TA0040) | T1486 データ暗号化による影響 | ランサムウェアを使用して標的のシステムのデータを暗号化 |
| T1490 システムリカバリの妨害 | ボリュームシャドウコピーなどのシステムリカバリ機能を無効化 | |
| T1489 サービスの停止 | システム上のサービスを停止または無効化して、正当なユーザーがサービスを利用できないようにする | |
| ソフトウェア/ツール | S0029 PsExec | 標的のシステム上でプログラムをリモートで実行できる Microsoft の無料ツール |
| S0349 LaZagne | エクスプロイト後に、システムに保存されたパスワードの復元に使用されるオープンソースツール | |
| S0357 Impacket | ネットワークプロトコルをプログラムで構築および操作するための、Python で書かれたオープンソースのモジュールコレクション | |
| S0002 Mimikatz | プレーンテキストの Windows ログイン情報とパスワードを入手できるログイン情報ダンパー | |
| S0097 Ping | ネットワーク接続の問題解決や検証によく使用される、オペレーティングシステムのユーティリティ | |
| S0552 AdFind | Active Directory の情報を収集するために使用される、無料公開のコマンドラインクエリツール | |
| S1071 Rubeus | Kerberos を直接操作するために設計された C# のツールセット | |
| S0057 Tasklist | ローカルまたはリモートのコンピュータで実行されているすべてのタスクについて、アプリケーションとサービスの一覧をプロセス ID(PID)とともに表示するユーティリティ |
本稿は 2025 年 4 月 28 日にTalos Group
Authors