ニュースリリース

IBM X-Force脅威インテリジェンス・インデックス2020を発表
盗んだ認証情報と既知の脆弱性を武器に企業を攻撃

2020年02月18日

[米国マサチューセッツ州ケンブリッジ、 2020年2月11日]
IBM(NYSE:IBM)Securityは、IBM X-Force脅威インテリジェンス・インデックス2020 (要登録)を発表しました。本レポートでは、この数十年の間に、企業や個人の数百億件のデータにアクセスしようとしたり、数十万件のソフトウェアの欠陥を悪用しようとするなかで、サイバー犯罪者の技術がいかに進化したかが浮き彫りになりました。また、被害にあったネットワークへの最初の侵入のうち60%は、以前盗んだ認証情報またはソフトウェアの既知の脆弱性を利用しており、攻撃者は相手を欺くことなく侵入が可能でした。

IBM X-Force脅威インテリジェンス・インデックスでは、次に示す上位3つの初期攻撃の傾向など、サイバー犯罪者の技術の進化に寄与する要因を明らかにしています。

  • フィッシング攻撃が攻撃起点として利用されたのは、インシデント全体の3分の1未満(31%)へと減少しました(2018年は全体の半分)。
  • 脆弱性スキャンとその悪用は、2018年にはインシデント全体のわずか8%でしたが、2019年は30%へと増加しました。実際、Microsoft OfficeやWindows Server Message Blockにおける以前から公開されている脆弱性が、2019年においても高い割合で悪用されていることが判明しました。
  • 以前盗んだ認証情報を現在も足掛かりとして利用しており、インシデント全体の29%において侵入口となっています。レポートによると、2019年には85億件を超えるレコードが侵害され、この結果、攻撃にさらされたデータが前年比で200%増加しただけでなく、サイバー犯罪者が悪用するソースとして、盗んだ認証情報の数も増加していることが分かりました。

 

IBM X-Forceを率いるバイス・プレジデントのウェンディ・ウィットモア(Wendi Whitmore)は次のように述べています。「私たちが目にしている攻撃にさらされたレコードの規模は、サイバー犯罪者が私たちの家や会社の鍵を入手しているのと同然ということを示しています。攻撃者は、企業に侵入するために洗練された手段を考える必要はなく、盗んだ認証情報を使用してログインするなど、すでに入手している情報・ツールを使用するだけで、攻撃を展開することができるのです。組織のサイバー・レジリエンス、ユーザー・データやプライバシーを保護するためには、多段階認証やシングル・サインオンといった保護手段が重要になります。」

IBM X-Force脅威インテリジェンス・インデックスは、130カ国以上における1日あたり700億件のセキュリティー・イベントを監視から得られる観察と洞察に基づく分析で構成されています。また、データは、X-Force IRIS、X-Force Red、IBMマネージド・セキュリティー・サービスおよび公表されているデータ漏えい情報などの複数のソースから集められ、分析されています。IBM X-Forceは、世界中で数千のスパム・トラップを運用して、毎日数千万単位のスパムやフィッシング攻撃を監視する一方で、不正な活動やブランドの濫用を検出するために、数十億のWebページと画像を分析しています。

本レポートの主な調査結果は次のとおりです。

  • 構成の不備 — IBMの分析によると、2019年に報告された85億件を超える侵害されたレコードのうち70億件(85%超)は、クラウド・サーバーやその他システムの不適切な構成によるものであることが判明しました。この割合は、全体の半分未満であった2018年に比べて大きく増加しています。
  • バンキング型トロイの木馬とランサムウェア — TrickBotなど、アクティブなバンキング型トロイの木馬がさらに増加し、大規模なランサムウェア攻撃の準備を整えている兆候が報告されています。実際には、新しいコードが使用されたバンキング型トロイの木馬とランサムウェアが他のマルウェア亜種と比較して上位を占めています。
  • テクノロジー企業やソーシャル・メディア企業がフィッシング攻撃の餌食に — テクノロジーやソーシャル・メディア、コンテンツ・ストリーミングといった一般消費者に広く受け入れられているブランドが、フィッシングのためにサイバー攻撃者に「なりすましブランド」として悪用されており、「トップ10ブランド」を構成していることがわかりました。なりすましとして悪用されたトップ・ブランドは、Google、YouTube、Appleなどです。この変化は、歴史的に信頼が高い小売や金融のブランドよりも、一般消費者がテクノロジー・プロバイダーにより信頼を置くようになっていることを示唆している可能性があります。

ランサムウェア攻撃の進化
レポートでは、公共部門と民間部門の両方をターゲットにした、世界規模でのランサムウェア攻撃のトレンドが明らかになりました。2019年にはランサムウェア攻撃の増加が見られ、IBM X-Forceでは、これらの攻撃が業界に依存していないということを再確認し、世界中の13の業界でランサムウェア攻撃へのインシデント対応チームを配置しました。

昨年、100を超える米国政府機関 (IBM外のWebサイトへ)がランサムウェア攻撃の影響を受けた一方で、IBM X-Forceでは小売、製造、運輸の各業界に対する重大な攻撃も確認しています。これらの業界は、収益化可能な大量のデータを保有しているか、古いテクノロジーに依存していることが知られているため、脆弱性が高まっています。実際、確認されたランサムウェア攻撃の80%で、Windows Server Message Blockの脆弱性が利用されていました。これは、2017年に150ヵ国にわたる企業に影響を与えたWannaCryによる攻撃で使用されたものと同じ方法です。

2019年のランサムウェア攻撃による被害総額 (IBM外のWebサイトへ)が75億ドルを超えるなど、攻撃者は成果を得ており、2020年も衰える様子はありません。Intezer (IBM外のWebサイトへ)とIBMが共同で実施した調査では、バンキング型トロイの木馬の45%、ランサムウェアの36%で、新しいマルウェア・コードが確認されました。これは、攻撃者が新たなコードを作成し、検出回避への取り組みに投資を継続していることを示しています。

同時に、IBM X-Forceでは、ランサムウェアとバンキング型トロイの木馬には強い関係性があり、後者がいちかばちかのランサムウェア攻撃の扉を開き、ランサムウェアの展開方法を多様化することに使用されていることを確認しました。例えば、最もアクティブな金融系マルウェアであるTrickBotは、企業ネットワーク上にRyukを展開した疑いがあり、一方でQakBot、GootKit、Dridexなど他の多様なバンキング型トロイの木馬もランサムウェアの亜種へと多様化しています。

フィッシング・スキームにおける敵のなりすまし技術とソーシャル・メディア企業
消費者がフィッシング・メールに警戒するようになるにつれ、フィッシング手段自体がより狙いを定めたものになってきています。IBMはQuad9 (IBM外のWebサイトへ)との共同調査で、攻撃者が魅力的なリンクを持つ消費者テクノロジー・ブランド(テクノロジー、ソーシャル・メディア、コンテンツ・ストリーミング企業)になりすまし(スプーフィング)、フィッシングで悪意のあるリンクをクリックするようユーザーを騙すというトレンドを確認しました。

スプーフィング・ブランドのトップ10のうちの約60%はGoogleおよびYouTubeのドメインで、Apple(15%)およびAmazon(12%)のドメインも、収益化可能なユーザー・データを盗もうとしている攻撃者によってなりすましのターゲットにされました。IBM X-Forceは、これらのブランドが収益化可能なデータを保持しているためにターゲットにされたと分析しています。

Facebook、Instagram、Netflixもなりすましブランドのトップ10に入りましたが、その割合は非常に低いものでした。これは、これらのサービスが一般に直接収益化可能なデータを含まないためであると考えています。攻撃者は認証情報を再利用し、より儲かるアカウントへのアクセスを得ようとするので、頻繁にパスワードを再利用すると、このようなブランドのターゲットになる可能性があるとIBM X-Forceは警鐘を鳴らしています。実際、IBMの「IDの未来に関する調査 (英語)」では、調査したミレニアル世代の41%が複数回同じパスワードを使用し、Z世代は平均でわずか5つのパスワードしか使用しておらず、再利用率がさらに高まっていることが明らかになっています。

攻撃者は、なりすましドメインの特定が常に困難であることを悪用しています。レポートに記載されたなりすましブランドのトップ10で合計約100億のアカウントを構成することとなり 、攻撃者に非常に大きなターゲット・プールを提供することになります。結果、警戒心が低いユーザーが、無害に見えるなりすましブランドのリンクをクリックする可能性が高まります。

その他の主な調査結果は次のとおりです。

  • ターゲットにされた業界ランキングにおける小売業界の上昇:今年のレポートで、小売業界は攻撃を受けた業界の第2位に上昇しました。4年間連続でトップの金融業界との差はわずかでした。小売業界に対する最も顕著な攻撃は、報告によると80のeコマース・サイトに影響を与えた、2019年の夏のMagecartです。サイバー犯罪者は、消費者個人を特定できる情報や決済用カード・データ、金銭的価値のあるロイヤルティ・プログラム情報にまで狙いを定めています。また、IBMのインシデント対応からの洞察に基づくと、小売業界は、多くのランサムウェア攻撃も受けています。
  • 産業用制御システム(ICS)とオペレーショナル・テクノロジー(OT)の攻撃が多発:2019年、OTをターゲットにした攻撃が前年比2000%増加し、過去3年でICSおよびOTインフラストラクチャーへの攻撃が最も多くなっています。確認されたほとんどの攻撃は、SCADAおよびICSハードウェア内の既知の脆弱性の組み合わせ、そしてパスワード・スプレー攻撃によるものでした。
  • 最もターゲットとされた地域は北米とアジア:2019年、北米で50億、アジアで20億を超えるレコードが攻撃されました。確認された攻撃数が最も多いとともに、報告されたデータ損失としても最大規模となっています。

本レポートは、2019年にIBMが収集したデータに基づいており、グローバルな脅威の動向について洞察に富んだ情報を提供するとともに、セキュリティーの専門家に、組織に関わる脅威に関して情報を提供します。IBM X-Force脅威インテリジェンス・インデックス2020は以下からダウンロード可能です。
http://ibm.biz/download-threatindex-jp (要登録)

IBM Securityについて
IBM Securityは、エンタープライズ・セキュリティー製品とサービスを集結した最先端のポートフォリオを提供します。世界的規模のIBM X-Force®の調査に裏付けられたポートフォリオにより、組織はリスクの管理、新たな脅威に対する備えを効率よく行うことができます。IBMは、セキュリティーの研究・開発、デリバリーを行う世界最大級の組織を運営し、130を超える国で毎日700億件のセキュリティー・イベントを監視しています。また、世界中で保有するセキュリティー関連の特許は10,000を超えています。詳しくは、https://www.ibm.com/security (英語)、またはIBMセキュリティー・インテリジェンス・ブログをご覧ください。

※当報道資料は、2020年2月11日(現地時間)にIBM Corporationが発表したプレスリリースの抄訳です。原文は下記URLを参照ください。
https://newsroom.ibm.com/2020-02-11-IBM-X-Force-Stolen-Credentials-and-Vulnerabilities-Weaponized-Against-Businesses-in-2019 (英語)

以上

Release Categories