Trellix（トレリックス）、2023年第1四半期 脅威レポートを発表

金融、通信、エネルギーセクターへの攻撃が増加していることが判明

XDR（Extended Detection and Response）の未来を提供するサイバーセキュリティ企業である Trellix は、本日、Trellix Advanced Research Center（アドバンスト リサーチセンター）による2023年第1四半期のサイバーセキュリティの動向を調査した最新のThe Threat Report：June 2023を発表しました。本レポートは、毎日3000万件以上の悪意のあるサンプルの検出を分析する専門研究者のグローバルネットワークから得られたものです。また、10億以上のセンサーから収集したテレメトリー、またオープンソースおよびクローズドソースのインテリジェンスからのデータも組み合わせています。

Trellixの脅威インテリジェンス部門の責任者であるジョン・フォッカー（John Fokker）は、次のように述べています。「ロシアとウクライナの紛争が始まってから1年が経ちましたが、攻撃的なサイバー能力はスパイ行為や混乱を引き起こすために国家によって戦略的に活用されています。先進国と発展途上国の両方において、通信、エネルギー・ガス、製造業などの重要インフラが、主要なAPTグループによって重大なリスクにさらされていることが確認されています。これは、公的機関と民間組織の両方が、急速に進化する脅威に先回りするため、最新の防御を導入する必要があることを示しています。」

本レポートは、2023年の第一四半期を対象としており、ランサムウェアや国家が支援するAPT攻撃者に関連する悪意のある活動の証拠、電子メールに対する脅威、正規のセキュリティツールの悪意のある使用などで構成されています。主な調査結果は以下の通りです。

・組織的なサイバースパイ活動： Mustang PandaやUNC4191など中国に関連するAPT（高度持続的脅威）グループは、国家を標的に最も活発に活動しており、検出された国家を標的とした活動全体の79%を占めています。Trellixは、これらのAPTグループは物理的な軍事活動と並行して、サイバースパイや破壊的なサイバー攻撃を続けると予測しています。

・ランサムウェアはキャッシュが最優先：ランサムウェアの動機は依然として金銭的なものであり、これは潜在的な攻撃を最も多く検出したのが保険業（20%）と金融サービス業（17%）だったことからも明らかです。リークサイトの被害者で最も多いのは、米国を拠点とする（48％）、従業員数51～200人（32％）、売上高1000万～5000万ドル（38％）の中堅企業でした。

・Cobalt Strikeが支持を集める： 2022年に攻撃者による悪用を困難にする試みがされたにもかかわらず、Cobalt Strikeはサイバー犯罪者やランサムウェア攻撃者が好んで利用するツールとして成長しています。2023年第1四半期において、Trellixは、国家的活動の35%、ランサムウェアのインシデントの28%でCobalt Strikeを検出し、2022年第4四半期からほぼ2倍の増加となりました。

・古い脆弱性、過去から再来：重大な脆弱性の大半は、古いCVEに対するパッチへのバイパス、古いライブラリを利用したサプライチェーンのバグ、長期間パッチが適用されたまま適切に更新・対処されなかった脆弱性でした。2023年2月に開示されたAppleの脆弱性のルーツは、2021年に開示されたFORCEDENTRYエクスプロイトまでさかのぼります。

・クラウドへの不正アクセス：Amazon、Microsoft、Googleに対するクラウドインフラ攻撃は増加を続けています。主要な攻撃手法は、有効なアカウント使用によるもので、他の経路の2倍以上の検出数となっています。多要素認証、プロキシ侵入、API攻撃などのより洗練された攻撃も継続しています。またリモートワーク環境での正規のアカウントへの不正アクセスは、依然として深刻です。

Trellix Advanced Research Centerの上級副社長、ジョセフ・“ヨッシー”・タル（Joseph “Yossi” Tal）は、次のように述べています。「セキュリティ運用チームは、組織を守るために、防御能力を強化し、未知の攻撃対象から組織を防衛する競争にさらされています。また、ただでさえ人員不足であるにもかかわらず、チームは複雑なネットワーク上の何百万ものデータポイントを日々キャッチアップしています。Trellixの目標は、私たちの膨大なインテリジェンスから得られた洞察を通じて、組織のセキュリティ態勢を強化するための研究を提供することです。」

The Threat Report：June 2023：Trellixのセンサーネットワークから得られた独自データ、Trellix Advanced Research Centerによる国家やサイバー犯罪者の活動に関する調査、オープンソースとクローズドソースからの情報、攻撃者のリークサイトなどを利用しています。本レポートは、ファイル、URL、IPアドレス、不審なメール、ネットワークの挙動、その他の指標がTrellix XDRプラットフォームによって検知され報告された、脅威の検出に関するテレメトリーに基づいて作成されています。

参考情報 ： The Threat Report: June 2023

Trellix Advanced Research Center（トレリックス アドバンスト リサーチセンター）について

Trellix Advanced Research Centerでは、セキュリティの専門家と研究者のエリートチームが、洞察に満ちた実用的なリアルタイムインテリジェンスを作成し、お客様の業績や業界全体を推進するために活動しています。業界で最も包括的な行動憲章に基づき、熟練した研究者が市場に先駆けてトレンドを検知し、お客様やパートナーが新たな脅威に対処できるよう支援します。

https://www.trellix.com/en-us/threat-center.html

Trellixについて

Trellixは、サイバーセキュリティの未来を再定義するグローバル企業です。オープンかつネイティブなTrellixのXDR（Extended Detection and Response）プラットフォームは、現在最も高度な脅威に直面するお客様が業務の保護や回復に確信を持って対応するための支えとなります。Trellixのセキュリティ専門家は、広範なパートナーエコシステムとともに、データサイエンスと自動化によりテクノロジーイノベーションを加速させ、4万を超える企業や政府機関のお客様の力となっています。