攻撃者の Active Directory 到達まで平均 16 時間 ～ ソフォス調査

　ソフォス株式会社は9月13日、2023年上半期にソフォスのインシデント対応チームが収集したデータを分析した「テクノロジーリーダーのための2023年版アクティブアドバーサリーレポート」を公開した。

　同レポートでは、2023年上半期に発生した80件の事例から得られたデータを基に、X-Ops のインシデント対応 (IR) チームが世界各地のセキュリティインシデントへの対応を通じて学んだ、現在の攻撃者の状況について紹介している。

　Sophos X-Opsでは、2023年1月から7月までのソフォスのインシデント対応（IR）の事例を分析したところ、攻撃者が攻撃を開始してから検出されるまでの滞留時間の中央値が、全攻撃で10日から8日に短縮し、ランサムウェア攻撃単体では5日に短縮されたことが判明した。2022年には、ランサムウェア攻撃の滞留時間の中央値は15日から10日に減少していた。

　ランサムウェア攻撃は、分析したIR事例の中で最多の69%となり、ランサムウェア攻撃の81%で、最終的なペイロードは通常の勤務時間外に実行され、平日の勤務時間内に実行された攻撃はわずか5件であった。

　同レポートによると、企業のActive Directory（AD）に攻撃者が到達するまでの時間が平均で1日未満（約16時間）になったことも判明している。なお、Sophos X-Opsによる調査の過程で、多くのADサーバは、 Microsoft Defender でしか保護されていないか、まったく保護されていないことが判明したと指摘している。

　ソフォスのフィールドCTOであるJohn Shier氏は、「攻撃者がADを乗っ取ることができれば、組織全体を乗っ取ることが可能になります。ADが攻撃を受けると、権限昇格などの影響が広範囲にわたり、修正にかかる負荷も大きいことから、重要な標的となっています。」とコメントしている。