フィッシングは今四半期も引き続き最上位の初期アクセス手段であり、インシデント対応業務の 3 分の 1 を占めました。ただし、前四半期の 50% からは減少しています。攻撃者は主に、侵害した組織内のメールアカウントまたはその組織から信頼されているビジネスパートナーのメールアカウントを利用して悪意のあるメールを送信し、セキュリティ管理を回避して標的の信頼を得ていました。興味深いことに、確認されたフィッシング攻撃の大部分の目的はログイン情報の収集であるようです。つまりサイバー犯罪者は、金銭の詐取や非公開データの窃取といった侵入後の活動を行うよりも、侵害したログイン情報を仲介販売する方が簡単で確実に利益が得られると考えている節があります。
今四半期は、前四半期と同様に、ランサムウェアインシデントとランサムウェア感染前のインシデントが対応業務の半分を占めました。Cisco Talos インシデント対応チーム(Talos IR)は、Qilin ランサムウェアに初めて対応し、新しいデータ漏洩手法も含め、これまで報告されていなかったツールと TTP(戦術、手法、手順)を特定しました。Qilin の活動を確認したところ、近い将来、同グループが拡大し、活動ペースも加速する可能性があり、監視すべき脅威であるのは確実です。さらに、今四半期のランサムウェア対応業務とランサムウェア感染前インシデントへの対応業務の 3 分の 1 で、PowerShell の旧バージョンである PowerShell 1.0 の使用が確認されました。検出を回避し、攻撃能力の柔軟性を高めるのが狙いだったとみられます。
動画解説:2025 年第 2 四半期の Talos IR レポートにおける主要動向
侵害したメールアカウントをログイン情報収集のためのフィッシング攻撃に悪用
前述のように、今四半期の対応業務の 3 分の 1 でフィッシングが初期アクセスに使用されていました。フィッシングが初期アクセスの手法として最も多く確認された前四半期の 50% からは減少しています。ただし前四半期は、Cactus および Black Basta ランサムウェアを展開する音声フィッシング(ビッシング)攻撃が主流でした。今四半期はこれらの攻撃が大幅に減少したため、初期アクセス手段としてのフィッシングの減少につながった可能性があります。
攻撃者は主に、侵害した組織内のメールアカウントまたはその組織から信頼されているビジネスパートナーのメールアカウントを悪用して悪意のあるメールを送信していました。これは、フィッシングが初期アクセスに使用された対応案件の 75% に見られました。正当な信頼できるアカウントを使用すると、組織のセキュリティ管理を回避しやすくなり、受信者にも信頼されやすくなるなど、攻撃者にとって多くのメリットがあります。たとえばあるフィッシング対応案件で標的となった組織のユーザーの場合、正当なビジネスパートナーのメールアドレスが侵害され、そのメールアドレスから送信されたフィッシング攻撃の被害を受けました。そのフィッシングメールには悪意のあるリンクが含まれており、被害者を偽の Microsoft O365 ログインページに誘導し、MFA 認証を求めました。ユーザーのログイン情報とセッショントークンの窃取が目的だったとみられます。
今四半期のフィッシング攻撃の大半は、上記の例のように、ログイン情報の収集が最終目的であったと Talos では評価しています。侵害した有効なメールアカウントの悪用というと、一般にビジネスメール詐欺(BEC)が連想されますが、今期に確認された状況を踏まえると、サイバー犯罪者は、標的を操って金銭を詐取するよりも、侵害したログイン情報を仲介販売する方が確実に利益を得られると考えている節があります。さらに、メール本文に金銭の要求が含まれていないため、不審なメールと感じられにくく、攻撃の成功率が高くなる可能性があります。ある対応案件では、ユーザーがフィッシングメール内のリンクをクリックしてフィッシングサイトにログイン情報を提供したところ、ユーザーのメールアカウントが侵害されました。攻撃者は、侵害したユーザーのメールアカウントを使って社内向けに複数のスピアフィッシングメールを送信しました。メールには社内の SharePoint リンクが含まれており、そのリンク先のログイン情報収集ページに誘導された十数名のユーザーが、騙されてログイン情報を入力していました。
ランサムウェアの動向
今四半期は、前四半期と同様に、ランサムウェアインシデントとランサムウェア感染前のインシデントが対応業務の半分を占めました。Talos IR は、Qilin および Medusa ランサムウェアを初めて確認したほか、以前から確認されていた Chaos ランサムウェアにも対応しました。
未報告の TTP を示し、活動ペースの加速を示唆する Qilin ランサムウェア
今四半期は初めて Qilin ランサムウェアインシデントに対応し、これまで公表されていなかったツールと TTP を特定しました。具体的には、被害者のログイン情報をハードコードしたカスタムコンパイル版と思われる暗号化ツール、Backblaze でホストされているコマンドアンドコントロール(C2)インフラ、ファイル転送ツール CyberDuck が攻撃に使用されたことを確認しました。CyberDuck は、Qilin の攻撃者やそのアフィリエイト(関係者)とはこれまで関連付けられていなかったデータ漏洩手法です。攻撃者は、盗んだ有効なログイン情報を利用して初期アクセスを行った後、TeamViewer、VNC、AnyDesk、Chrome リモートデスクトップ、Distant Desktop、QuickAssist、ToDesk などの市販のリモートモニタリングおよび管理(RMM)ソリューションを組み合わせて、ラテラルムーブメントとデータステージングを容易にしたとみられます。暗号化が完了するまで持続的にアクセスできるよう、感染した各システムのソフトウェア レジストリ ハイブに AutoRun エントリを作成して、システム再起動時にランサムウェアが実行されるようにしたほか、スケジュールタスクを作成して、新規ログオンのたびに Qilin をサイレントに再起動するように設定しました。これらの攻撃手法は最終的に広範囲にわたる感染につながり、Active Directory(AD)ドメインの完全な再構築と全アカウントのパスワードリセットが必要になりました。
今後の見通し:今四半期の Qilin の活動分析を踏まえると、アフィリエイトグループの拡大や活動ペースの加速が予想されます。この対応案件以外にも、今四半期は Qilin ランサムウェアによる別の活動も始まりましたが、今四半期終了後も分析が継続中であるため、第 2 四半期の統計には含めていません。さらに、同グループのデータリークサイトへの投稿を確認すると、2025 年 2 月以降、情報開示件数が倍増しており、当面の間監視しなければならないランサムウェアの脅威であることが示唆されています。
北朝鮮の支援を受けるサイバー集団 Moonstone Sleet が、昨年 2 月に Qilin ランサムウェアの展開を開始したと報じられています
。また、一部のセキュリティ企業は、2025 年 4 月初旬にデータリークサイトがオフラインになった RansomHub RaaS(Ransomware as a Service)のアフィリエイトが Qilin に合流したとみています。RansomHub のデータリークサイトがオフラインになった後、Qilin のメンバーが RansomHub の現役メンバーと接触し、Qilin のアップデート版を宣伝したことが確認されています。新規アフィリエイトを勧誘し、活動を拡大することが狙いだったと考えられます。
PowerShell の古いバージョンを使用して検出を回避
今四半期のランサムウェア対応業務およびランサムウェア感染前インシデントへの対応業務の 3 分の 1 で PowerShell 1.0 の利用が確認されました。このスクリプト言語は最新バージョンが 7.4 のため、かなり古いバージョンです。このバージョンには、実行されたスクリプトの内容を記録するスクリプトブロック ロギングや、PowerShell セッションのすべての入出力を記録するトランスクリプション ロギングなど、新しいバージョンに組み込まれているセキュリティ機能がないため、攻撃者には多くの潜在的なメリットがあります。また、ウイルス対策ツールが PowerShell コードを実行前にスキャンできるようにするマルウェア対策スキャンインターフェイス(AMSI)もありません。さらに、一部の Endpoint Detection and Response(EDR)ツールでは、監視対象としている PowerShell の動作が、比較的新しいバージョンの PowerShell に特有のものであるため、シグネチャベースや動作ベースの検出を回避される可能性があります。
今四半期は、ランサムウェア対応業務およびランサムウェア感染前インシデントへの対応業務で、防御の回避と環境検出の両方に PowerShell 1.0 が悪用されたことを確認しました。たとえば Medusa ランサムウェア対応案件では、PowerShell 1.0 を使用して被害者のウイルス対策(AV)ソリューションの除外リストに「C:\Windows」フォルダが追加されていました。こうなると、AV は OS の中核をなすディレクトリの下でスキャンや監視を一切行わなくなり、防御能力が著しく低下します。ランサムウェア感染前の対応案件では、攻撃者が PowerShell 1.0 を悪用し、「-ExecutionPolicy Bypass」コマンドでスクリプト実行ポリシーの制限を回避し、被害者ネットワーク内のピアツーピアファイル転送を監視していました。最終的に、この戦術により、ロギングの観点からは攻撃活動が目立たなくなり、攻撃者がシステム上で実行できる操作の柔軟性が高まります。そのため、組織はすべてのシステムで PowerShell 5.0 以上の使用を必須にする必要があります。
攻撃の標的
今四半期、最も標的となった業界は教育機関でした。教育機関が狙われた対応案件が皆無だった前四半期とは状況が変化しています。この傾向は、Talos の 2024 年版『一年の総括』に記した確認結果と一致しています。同レポートでは、教育機関に対するランサムウェア攻撃が最も多かったのは 4 月であり、5 月と 6 月も発生件数が多かったことが指摘されています。さらに、教育機関は 2024 年度第 3 四半期と第 4 四半期にも、最も多くの攻撃を受けました。
初期アクセス
前述のとおり、最も多く確認された初期アクセスの手段はフィッシングであり、次いで有効なアカウントの使用、その次が公開アプリケーションの脆弱性の悪用とブルートフォース攻撃でした。
よく確認されるセキュリティ上の脆弱性に対処する際の推奨事項
適切に設定した MFA およびその他のアクセス制御ソリューションの導入
今四半期のインシデント対応業務の 40% 以上が、MFA の設定ミスや未導入、バイパスなど、MFA の問題に関連するものでした。複数の対応案件で、攻撃者はセルフサービスが有効化された MFA 製品を悪用して、自身が管理するデバイスを認証方法として追加することでこの防御を回避し、持続的な攻撃経路を確立していました。Talos IR は MFA を効果的に導入するために、バイパスコードの悪用、新しいデバイスの登録、MFA の回避や免除を目的としたアカウントの作成、MFA からのアカウントの削除を監視してアラートを出すことを推奨しています。
環境全体における堅牢かつ一元化されたロギング機能の構築
対応業務で調査した組織の 4 分の 1 は、ロギング機能が不十分であり、これが調査活動の妨げになりました。標的ホスト上で攻撃者が実行したイベントのコンテキストと連鎖を完全に把握することは、修復のためだけでなく、防御力の強化と、将来のシステム脆弱性への対処にも不可欠です。この問題への対策として、Talos IR は、一元化されたロギングを実現するセキュリティ情報イベント管理(SIEM)ソリューションを導入することを推奨しています。攻撃者がホスト上のログを削除または改ざんした場合でも、SIEM には元のログが残るため、フォレンジック調査を行うことができます。さらに、Web アプリケーション ファイアウォール(WAF)を導入し、環境全体のすべてのエンドポイントでフローロギングを有効にして、脅威の監視と検出をリアルタイムに行う必要があります。これにより、潜在的なインシデントへの迅速な対応と、調査活動のためのコンテキスト強化が可能になります。前四半期および最近のブログで強調したように、迅速な対応は、サイバー攻撃のシビラティ(重大度)と影響を左右する重要な要素となります。
エンドポイント セキュリティ ソリューションの保護
最後に、今四半期に発生したインシデントの 4 分の 1(前四半期からわずかに増加)は、組織が EDR ソリューションの改ざん防止策を導入しておらず、その結果、防御機能が無効化されたことが原因でした。Talos IR は、エンドポイント ソリューションがエージェントまたはコネクタのパスワードで保護されていることを確認し、デフォルト以外の設定にカスタマイズすることを強く推奨しています。この脅威に対する EDR ソリューションの強化に関するその他の推奨事項は、2024 年版『一年の総括』をご覧ください。
最も多く確認された MITRE ATT&CK の手法
この表は、今四半期の Talos のインシデント対応業務で確認された MITRE ATT&CK 手法の一覧です。複数の戦術に分類されるものもありますが、最も関連性の高い戦術に各手法を分類しています。ここに記載しているものがすべてではありません。
MITRE ATT&CK のフレームワークから得られた主な調査結果は以下のとおりです。
- 今四半期は、Kerberoasting 攻撃、ブルートフォース攻撃、ログイン情報収集ページ、OS ログイン情報ダンピング、中間者攻撃など、前四半期と比べて多様な手法がログイン情報アクセスに利用されました。
- 2 四半期連続でフィッシングが初期アクセス手法の最上位となり、攻撃者はビッシングと悪意のあるリンクの両方を使用していました。
| 戦術 | 手法 | 例 |
| 偵察(TA0043) | T1593 公開 Web サイト/ドメインの検索 | 標的型攻撃に使用できる被害者情報を求めて、自由に閲覧できる Web サイトやドメインを検索 |
| T1595.002 アクティブなスキャン:脆弱性スキャン | 組織の公開インフラストラクチャに対して脆弱性スキャンを実行し、エクスプロイトの対象となる潜在的脆弱性を特定 | |
| 初期アクセス(TA0001) | T1598.004 情報のフィッシング:スピアフィッシング音声 | 音声通信を使用して、標的型攻撃に使用できる機密情報を抜き取る |
| T1598.003 情報のフィッシング:スピアフィッシングリンク | 悪意のあるリンクを記載したスピアフィッシング メッセージを送信し、標的型攻撃に使用できる機密情報を抜き取る | |
| T1078 有効なアカウント | 漏洩したログイン情報を使用して、攻撃中に有効なアカウントにアクセス | |
| T1190 外部公開されたアプリケーションの脆弱性の悪用 | 脆弱性を悪用して標的のシステムにアクセス | |
| T1110 ブルートフォース攻撃 | 反復的または逐次的なメカニズムを使用して、ユーザーのパスワードを体系的に推測 | |
| 実行(TA0002) | T1204 ユーザーによる実行 | ソーシャルエンジニアリングで悪意のあるファイルやリンクを開かせるなど、悪意のあるコードを実行させるようにユーザーを誘導 |
| T1059.001 コマンドおよびスクリプトインタープリタ:PowerShell | PowerShell を悪用して、攻撃中にコマンドとスクリプトを実行 | |
| T1047 Windows Management Instrumentation | Windows Management Instrumentation(WMI)を使用して、攻撃中に悪意のあるコマンドを実行 | |
| T1569 システムサービス | システムサービスやデーモンを悪用してコマンドやプログラムを実行 | |
| 永続化(TA0003) | T1556 認証プロセスの変更 | ユーザーのログイン情報へのアクセスや、アカウントへの不正アクセスのために、認証メカニズムや認証プロセスを変更 |
| T1078 有効なアカウント | 既存のアカウントのログイン情報を入手して悪用し、ネットワーク内のシステム上のさまざまなリソースに設定されているアクセス制御をバイパス | |
| T1053 スケジュール設定されたタスク/ジョブ | タスクのスケジュール設定機能を悪用して、悪意のあるコードの初期実行や反復実行を容易にする | |
| 特権昇格(TA0004) | T1484 ドメインまたはテナントポリシーの変更 | 一元管理された環境での防御回避や権限昇格のために、ドメインまたはアイデンティティテナントの設定を変更 |
| T1055 プロセスインジェクション | プロセスにコードを挿入して、プロセスベースの防御を回避し、場合によっては権限昇格を実行 | |
| 防御の回避(TA0005) | T1562.001 防御策の妨害:ツールの無効化または設定変更 | 検出を回避するためにセキュリティツールを無効化またはアンインストール |
| T1070 痕跡の削除 | 攻撃者が存在した証拠を削除するため、または防御を妨害するために、システム内で生成されたアーティファクトを削除または改変 | |
| T1133 外部リモートサービス | 外部に公開されたリモートサービスを利用して、ネットワークへの初期アクセスと永続化を実行。VPN、Citrix などのリモートサービスやその他のアクセス手段を利用することで、外部から社内のネットワークリソースに接続可能 | |
| T1548.002 昇格管理のメカニズムの悪用:ユーザーアカウント制御をバイパス | UAC(ユーザーアカウント制御)メカニズムをバイパスして、システムでのプロセスの権限を昇格 | |
| ログイン情報へのアクセス(TA0006) | T1003 OS ログイン情報のダンプ | ラテラルムーブメントを可能にするために、さまざまなソースからログイン情報をダンプ |
| T1558.003 Kerberos チケットの窃取または偽造:Kerberoasting 攻撃 | 有効な Kerberos チケット認可チケット(TGT)を悪用するか、ネットワーク通信を傍受して、ブルートフォース攻撃に対して脆弱な可能性があるチケット認可サービス(TGS)チケットを取得 | |
| T1110 ブルートフォース攻撃 | パスワードが不明な場合やパスワードハッシュを取得している場合に、ブルートフォース攻撃の手法を使用してアカウントにアクセス |
本稿は 2025 年 7 月 31 日にTalos Group
Authors