CrowdStrike のサイバー攻撃脅威年鑑 2020 公開 | ScanNetSecurity
2024.03.29(金)

CrowdStrike のサイバー攻撃脅威年鑑 2020 公開

CrowdStrike の OverWatch レポート最大の特長を一言でいえば「双方ハイエンド」である。彼らが「 PANDA 」と呼ぶ、GDP 世界 2 位の国家が支援する攻撃者をはじめとして、技術と資金と人材に恵まれ計画性と組織力を背景に持つ、サイバー攻撃の研究だけに特化している。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
PR
 「不要不急」とはどこの世界の話だったのか。めまぐるしい変化とその対応に追われた 2020 年。その年末、CrowdStrike 社から新しい「 OverWatch レポート」最新版の日本語訳が公開された。

 日本には、毎年暮れの時期になると、今年の流行語や現代用語の基礎知識等の刊行など、言葉を通じてその年をふりかえる雅な習慣がある。本報告書「敵の逃げ場を奪う ~ 2020 年度脅威ハンティングレポート CrowdStrike OverWatch チームによる洞察」は、サイバーセキュリティ視点から 2020 年をふりかえる、さしずめ「サイバー攻撃・脅威年鑑」と呼ぶことができる。

 「年鑑」と言ったばかりだが、もちろんまだ 2020 年は終わっていない。本レポートは 2020 年上期に発生し CrowdStrike が補足した攻撃を、その分析対象としている。

 CrowdStrike の OverWatch レポート最大の特長を一言でいえば「双方ハイエンド」だ。

 彼らが「 PANDA 」と呼ぶ、GDP 世界 2 位の国家が支援する攻撃者をはじめとして、技術力を持ち、目先が利いて成功をおさめたことで、ますます調子にのるサイバー犯罪者集団など、技術と資金と人材に恵まれ計画性と組織力を背景に持つ、サイバー攻撃の研究だけに特化している。

 それらハイエンドなサイバー攻撃に対し CrowdStrike が、時価総額 3 兆 4,451 億円(参考:日本郵政 時価総額 3 兆 4,420 億円 2020/12/11 現在)の豊富な資金力と、選りすぐりの専門家集団を擁するチームを駆使して、いわば「 Advanced (高度で)」&「 Persistent (継続的な)」研究を行った成果のひとつがこの「敵の逃げ場を奪う ~ 2020 年度脅威ハンティングレポート CrowdStrike OverWatch チームによる洞察」である。たとえ GDP 世界 2 位のサイバー攻撃国家だとしても、国としてサイバー攻撃に 100 を投じている訳ではもちろんない。そんなの国ではない。しかし、CrowdStrike はそうではないかもしれない、そこがポイントだ。

 OverWatch チームを含む CrowdStrike の活動によって 2020 年上期は、グローバルで 41,000 件超のサイバー攻撃を未然に防ぐことができたというから、成果でありエビデンスのひとつともいえるだろう。

 本レポートは全体傾向を俯瞰する「攻撃活動の概要」、攻撃に使われたツールと TTP を分析した「攻撃の戦術とテクニック」、5 件の生々しい侵害事例を同一フォーマットで分析した「注目の侵害活動」の大きく 3 章に分かれ、総ページ数は 57 ページ。この種のレポートとしては軽くない、むしろウンザリする分量だ。

 「一般企業にとって APT は無縁」と言うなかれ。CrowdStrike が以前から「猛獣狩り( BGH 攻撃:Big Game Hunting )」と呼んできたランサムウェア攻撃が世界各地で華々しい成功をおさめたことで産業が活性化し、ランサムウェアのサービス提供( RaaS : Ransomware as a Service)モデルが登場、サイバー犯罪の大衆化が進んでいる経緯も本レポートでは言及されている。

 2020 年をふりかえり、来る 2021 年に備える視点があるなら、ウンザリどころか最後の ページ 57 までスクロールの指は止まらないだろう。

>> レポートDL ( 無料・要登録 )



※以下 本レポート 一部抜粋

●攻撃活動の件数

 2020年前半には、OverWatch が追跡した対話型のサイバー活動が急増しました。

 対話型攻撃とは、攻撃者が被害者環境に対して能動的に操作を行い攻撃に関与する、すなわちキーボード操作を実際に行うタイプの攻撃を指します。攻撃者がラテラルムーブメントを行ったり、ホストにリモートからアクセスを試行する際、ホストをリモートから制御する際に攻撃者が使う攻撃手法です。

図1: 2020年にOverWatchが特定した潜在的な侵害の件数が増加「敵の逃げ場を奪う ~ 2020 年度脅威ハンティングレポート CrowdStrike OverWatch チームによる洞察」
 OverWatch は、 1 月から 6 月までの 6 か月間で、すでに 2019 年全体の数を超えるハンズオンキーボード型攻撃を確認しています。この増加は、主にサイバー犯罪活動の継続的な増大によるものと見られています。一方で、COVID-19 の世界的流行のために、多くの企業が突如リモートワークを採用するようになり、新しいインフラストラクチャーの構築を加速させたことも、攻撃対象領域がかつてないレベルで拡大している一因となっています。さらに攻撃者らは、パンデミックに対する大衆の恐怖につけこんで、 COVID-19 をテーマとしたソーシャルエンジニアリング戦略を仕掛けるチャンスを見い出しました。

●攻撃活動のタイプ

 2020年に入っても、OverWatch 脅威ハンティングチームが検出した攻撃のなかで、最も多発した攻撃タイプはサイバー犯罪活動(eCrime)でした。過去 3 年の間、OverWatch は、国家主導の攻撃活動と比較して、高度なサイバー犯罪活動の増加が加速している傾向を見てきました。昨年の OverWatch 中間レポートでは、サイバー犯罪活動の頻度が国家主導の攻撃活動のそれを初めて上回ったことを報告しています。

図2: OverWatchが検出した攻撃のタイプ別分布(2019年Q1~2020年Q2)「敵の逃げ場を奪う ~ 2020 年度脅威ハンティングレポート CrowdStrike OverWatch チームによる洞察」
 2020 年前半におけるサイバー犯罪活動の割合は、国家主導の攻撃活動をはるかに上回り、OverWatch が検知した対話型の攻撃の 82 %を占めました。言い換えれば、 OverWatch のアナリストが国家主導の攻撃を 1 回検出する間にサイバー犯罪型攻撃を約 4 回も発見していることになります。この理由として、サイバー犯罪者が「ビッグゲームハンティング( BGH )」型の攻撃で引き続き大成功を収めていること、また、サービスとしてのランサムウェア( RAAS )モデルを通じてコモディティマルウェアを入手できるようになったためにサイバー犯罪者が増え、それに伴い活動が急増したことが考えられます。

●攻撃者グループによる攻撃活動と各業界のヒートマップ

図7:業界ごとの攻撃者グループによる攻撃件数(2020年1~6月)「敵の逃げ場を奪う ~ 2020 年度脅威ハンティングレポート CrowdStrike OverWatch チームによる洞察」

「敵の逃げ場を奪う 2020年度脅威ハンティングレポート CrowdStrike OverWatch チームによる洞察」
クラウドストライク株式会社( 2020年11月/PDF形式/約57ページ/1.76 MB)


「敵の逃げ場を奪う ~ 2020 年度脅威ハンティングレポート CrowdStrike OverWatch チームによる洞察」

目次
  3. はじめに

  4. OVERWATCH のハンティング手法「SEARCH」

  6. 攻撃活動の概要

  6. 攻撃活動の件数
  7. 攻撃活動のタイプ
  8. 業種ごとの攻撃概況
  13. 攻撃者グループの業種別分布

  15. 攻撃の戦術とテクニック

  15. 対話型の攻撃活動で使用されたツール
  17. 対話型の攻撃活動で用いられた戦略と手法
  20. サイバー犯罪者グループと国家主導の攻撃者が用いる TTP の比較

  23. 注目の侵害活動

  23. ソーシャルメディアを利用した LABYRINTH CHOLLIMA の攻撃を脅威ハンティングチームが阻止
  27. PANDA が秘密のC2通信に GITHUB サービスを悪用
  32. TRACER KITTEN がカスタムバックドアを利用して電気通信会社を攻撃
  35. テクノロジー企業からの認証情報収集に使用されたバックドア化された SSH サービス
  38. SPIDER、被害企業の環境における足場確立のために、非一般的な手口を使用

  41. まとめ

  42. 推奨事項

  43. 付録A - 非対話型のマルウェア攻撃概要

  46. 付録B - TTP の概要

>> レポートDL ( 無料・要登録 )
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×