IBM X-Force脅威インテリジェンス・インデックス2021を発表
新型コロナウイルス感染症対策を推進する業界や組織への攻撃が倍増

2021年3月3日

[米国マサチューセッツ州ケンブリッジ、 2021年2月24日] IBM® Securityは、IBM X-Force脅威インテリジェンス・インデックス2021を発表しました。本レポートでは、2020年の新型コロナウイルス感染症による世界的なパンデミックに起因する社会・経済・政治的に困難な状況から利益を得ようとする脅威アクターが、その攻撃手法をどのように進化させているのかを明らかにしています。2020年、IBM Security X-Forceは、病院、医療・製薬メーカー、新型コロナウイルス感染症ワクチンのサプライチェーンを支えるエネルギー企業など、世界的に新型コロナウイルス感染症対策において重要な役割を果たしている企業に攻撃の矛先を向ける攻撃者を検知しました。

医療、製造、エネルギー業界に対するサイバー攻撃は前年比で2倍増加しており、脅威アクターは、医療活動や重要なサプライチェーンを混乱させるリスクがあるため、ダウンタイムを確保できない組織を標的にしています。2020年に最も攻撃を受けた業界は製造業とエネルギー業界です。これは金融・保険業界に次いで第2位となりました。製造業とエネルギー業界が強く依存している産業用制御システム(ICS)の脆弱性が約50%増加し、攻撃者が利用していることが原因です。

IBM Security X-Forceでグローバル脅威インテリジェンスをリードするニック・ロッソマン(Nick Rossmann)は次のように述べています。「パンデミックによって現在重要であると認識されたインフラが何であるかが浮き彫りになり、そこに攻撃者が注目したということです。感染症の研究支援、ワクチンや食品のサプライチェーンの維持、個人用防護服の製造など、多くの組織が新型コロナウイルス感染症対応の最前線に立たされました。新型コロナウイルス感染症関連のタイムラインが明らかになるにつれて、攻撃者による被害者分析も変化を遂げ、改めてサイバー攻撃者の適応力、狡猾さ、永続性を示す結果となりました」

IBM X-Force脅威インテリジェンス・インデックスは、130カ国以上における1日あたり1,500億件のセキュリティー・イベントの監視から得られる観察と洞察に基づく分析で構成されています。本レポートは、IBM Security X-Force Threat Intelligence and Incident Response、X-Force Red、IBMマネージド・セキュリティー・サービス、 Quad9 や Intezerから提供されたデータなど、複数のソースから集められ、分析されています。

本レポートの主な調査結果は次のとおりです。

  • サイバー攻撃者はLinuxマルウェアの利用を加速 - Intezer によると、Linux関連のマルウェア・ファミリーの数は昨年比で40%増加し、Goプログラミング言語で記述されたマルウェアは2020年1月から6月までの6か月間で500%増加しました。攻撃者は、クラウド環境を含む様々なプラットフォームでより容易に実行可能なLinuxマルウェアへの移行を加速させています。
  • 「なりすまし被害にあった上位ブランド」の被害がパンデミックでさらに拡大 - ソーシャルディスタンスやリモートワークの年であった2020年、GoogleやDropbox、Microsoftなどのコラボレーション・ツールを提供するブランドや、Amazon、PayPalなどのオンライン・ショッピング・ブランドが、なりすましブランドのトップ10に入りました。また、消費者がニュース取得用に活用していたYouTubeとFacebookも上位に入りました。一方、2020年になりすましブランドの第7位として初登場したのはAdidasで、これはSuperstar や Yeezy などのスニーカーの需要に牽引されたものと推測しています。
  • ランサムウェア・グループが収益性の高いビジネスモデルで現金化 - 2020年にX-Forceが確認した攻撃のおよそ4件に1件近くがランサムウェア攻撃であり、その攻撃は二重の恐喝を用いたものへとさらに進化しています。X-Forceでは、2020年に最も頻繁に観測されたランサムウェア・グループであるSodinokibiが、この戦術を用いて厳しく見積もっても過去1年間で1億2300万ドル以上の利益を上げ、被害を受けた企業の約3分の2が身代金を支払ったとみています。

オープンソース言語ベースのマルウェアへ投資が、クラウド環境への脅威に
新型コロナウイルス感染症によるパンデミックの中、多くの企業がクラウドの導入を加速させようとしました。最近のガートナーの調査(英語)によると、現在クラウドサービスを利用している組織の70%が、新型コロナウイルス感染症による混乱を受け、クラウドへの支出を増やす予定であることが分かりました。しかし、クラウドのワークロードの90%がLinux上で稼働し、過去10年間でLinux関連のマルウェア・ファミリーが500%増加しているというX-Forceのレポートを踏まえると、クラウド環境が脅威アクターの主要な攻撃対象になる可能性があります。

オープンソースのマルウェア増加に伴い、攻撃者は利益率を改善する方法を模索している可能性があるとIBMは見ています。つまり、コストを削減し、効果を高め、より収益性の高い攻撃を展開する機会をつくっている可能性があります。本レポートでは、APT28、APT29、Carbanakなどのさまざまな脅威グループがオープンソースのマルウェアを導入していることを強調しており、2021年はこの傾向がより多くのクラウド攻撃の加速要因となることを示唆しています。

また本レポートでは、攻撃者がクラウド環境の拡張可能な処理能力を悪用して、過大なクラウド利用料を被害組織に転嫁していることを示唆しており、Intezerが2020年に発見したLinux暗号化マルウェアの13%以上は、これまで観測されていなかった新しいコードでした。

攻撃者がクラウドに照準を合わせる中、X-Force では企業がセキュリティー戦略としてゼロトラストアプローチを検討することを推奨しています。また、企業が最も機密性の高いデータを保護できるよう、コンフィデンシャル・コンピューティングをセキュリティー・インフラストラクチャーの中核コンポーネントとすることも推奨しています。使用中のデータを暗号化することで、悪意のあるアクターがたとえ機密環境にアクセスできたとしても、悪用されるリスクを減少させることができます。

有名ブランドを装ったサイバー犯罪者
2021年度版のレポートでは、サイバー犯罪者が、消費者が信頼するブランドを装うことが多いことに着目しています。世界で最も影響力の高いブランドの一つと考えられているAdidasは、消費者の需要を悪用して正当なサイトを装った悪質なウェブサイトにスニーカーを探している人を誘導しようとするサイバー犯罪者にとって、魅力的な存在でした。ユーザーがこれらの正当にみえるドメインにアクセスすると、サイバー犯罪者はオンライン決済詐欺の実行やユーザーの金融情報や認証情報の盗用をもくろんだり、あるいは被害者のデバイスにマルウェアを感染させようとします。

本レポートによると、Adidasのなりすましの大半は、YeezyやSuperstarなどのスニーカーが関係していると考えられます。Yeezyだけでも2019年に13億ドルの売り上げがあったと報じられており、スポーツウェア製造の巨人における、スニーカーの売り上げの上位に位置していました。2020年初頭のスニーカー新作登場に向けた盛り上がりを受け、攻撃者たちがブランドへの需要を悪用して利益を得た可能性が高いと推測されます。

2020年に最も頻繁に使われた攻撃手法はランサムウェア
レポートによると、2020年は前年と比較してランサムウェア攻撃が世界で増加し、X-Forceが対応したランサムウェア攻撃の60%近くは、攻撃者がデータを暗号化して盗み、身代金が支払われない場合はデータを漏洩すると脅迫するという、二重の恐喝を用いた戦術が使用されていました。実際、2020年にX-Forceが追跡したデータ漏えいの36%は、データ盗難の疑いも含むランサムウェア攻撃によるものであり、データ漏えいとランサムウェア攻撃が切り離せないものとなりつつあることを示唆しています。

2020年に報告されたランサムウェアの中で最も活発なグループはSodinokibi(REvilとも呼ばれる)で、X-Forceが観測したランサムウェア・インシデントの22%を占めていました。

X-Forceでは、Sodinokibiが被害を受けた企業から約21.6テラバイトのデータを盗み出し、被害企業の約3分の2が身代金を支払い、約43%でデータが漏えいしたと推定し、また、Sodinokibiは過去1年間で1億2300万ドル以上の利益を上げたとみています。

Sodinokibi同様に、レポートでは、2020年に最も成功したランサムウェア・グループは、データの窃盗や漏えいに注力するだけでなく、Ransomware as a Service (RaaS)のカルテルを立ち上げ、攻撃のさまざまな側面に特化したサイバー犯罪者に、操作の重要な側面をアウトソーシングすることに注力していることが分かりました。

その他の主な調査結果は次のとおりです。

  • 脆弱性が最も頻繁に用いられる攻撃手口の第1位となり、フィッシングを上回る – 2021年度のレポートによると、最も頻繁に用いられた攻撃手口の第1位は、脆弱性のスキャンおよび悪用(35%)であり、数年ぶりにフィッシング(31%)を上回る結果となりました。
  • 2020年は欧州が攻撃の影響を受けたレポートによると、X-Forceが対応した攻撃の31%を占めるなど、欧州は他の地域よりも多くの攻撃が発生し、ランサムウェアが最もよく使われた攻撃手口となりました。また、欧州では他の地域よりもインサイダー攻撃が多く、これは北米およびアジアで発生した攻撃の2倍の件数になります。

本レポートは、2020年にIBMが収集したデータに基づいており、グローバルな脅威の動向について洞察に富んだ情報を提供するとともに、セキュリティーの専門家に、組織に関わる脅威に関して情報を提供します。本日 IBM X-Force脅威インテリジェンス・インデックス2021エグゼクティブ・サマリーを日本語で公開いたしました。 以下からダウンロードが可能です。
https://www.ibm.com/jp-ja/security/data-breach/threat-intelligence

IBM Securityについて
IBM Securityは、エンタープライズ・セキュリティー製品とサービスを集結した最先端のポートフォリオを提供します。世界的規模のIBM X-Forceの調査に裏付けられたポートフォリオにより、組織はリスクの管理、新たな脅威に対する備えを効率よく行うことができます。IBMは、セキュリティーの研究・開発、デリバリーを行う世界最大級の組織を運営し、130を超える国で毎日1,500億件のセキュリティー・イベントを監視しています。また、世界中で保有するセキュリティー関連の特許は10,000を超えています。詳しくは、https://www.ibm.com/jp-ja/security、またはIBMセキュリティー・インテリジェンス・ブログをご覧ください。

当報道資料は、2021年2月24日(現地時間)にIBM Corporationが発表したプレスリリースの抄訳です。原文は下記URLを参照ください。
https://newsroom.ibm.com/2021-02-24-IBM-Security-Report-Attacks-on-Industries-Supporting-COVID-19-Response-Efforts-Double

IBM、ibm.com、IBM Security、X-Forceは世界の多くの国で登録されたInternational Business Machines Corporationの商標です。他の製品名およびサービス名等は、それぞれIBMまたは各社の商標である場合があります。 現時点での IBM の商標リストについては、https://www.ibm.com/legal/copytrade.shtml(US)をご覧ください。
Linuxは、Linus Torvaldsの米国およびその他の国における登録商標です。
Microsoftは Microsoft Corporationの米国およびその他の国における商標です。