KELAが予測するサイバー犯罪のトレンド:2024

KELAサイバーインテリジェンスセンター

一部の脅威アクターは年末年始の休暇を楽しんでいると思われ、昨年の大晦日は、KELAの監視活動においてもランサムウェア攻撃の被害組織は確認されませんでした。しかし、この小康状態もそう長くは続かないものと思われます。2024年のサイバー攻撃が本格化するに先立ち、今回のブログでは、我々が予測する今年のサイバー犯罪トレンドについて詳述します。


ハクティビストはさらに成熟し、国家レベルの隠ぺい工作に利用される可能性も

ロシアによるウクライナ侵攻とイスラエル・ハマス間の衝突は、2024年に入った今も続いています。また、ハクティビストがこれら2つの地政学的事件に大きく関与している状態にも変化はなく、その活動が止む気配はありません。ハクティビストはグループを組織化し、世間の注目を集め、犯行声明を出す主要な手段として早々にTelegramを導入しており、いまや彼らはTelegramを使って自らの活動に注目を集められることを理解しています。2024年に予想されるハクティビストの動向としては、金銭的動機に基づいたサイバー犯罪活動によって資金を調達したり、他のグループと同盟関係を結ぶといった変化が挙げられます。また全般的に見て、ハクティビストは彼らなりの確固たる攻撃方法や組織体制を構築しつつあります。ロシアによるウクライナ侵攻については、主要なプレイヤーとなるグループが決まっているようですが(「Killnet」や「NoName」、「Anonymous Sudan」など)、イスラエル・ハマス間の衝突については今後も主要なプレイヤーをはじめ、ハクティビストの活動状況に変化が生じる可能性があります。

ハクティビストが実行する攻撃の種類については、2024年もDDoS攻撃やウェブサイトの改ざんが主流となる一方で、データ窃取なども不定期に行うものと思われます。また2023年下旬には、ウクライナの大手モバイルネットワーク事業者「Kyivstar」社がサイバー攻撃を受けましたが、これについては国家支援を受けたアクターが実行犯と考えられており(実際、同インシデントの発生後にはハクティビストグループ「Solntsepyok」が犯行声明を出しています)、国家支援を受けたアクターがハクティビストを隠れみのとして利用し、自らの犯行であることを隠ぺいする事例は今後も増加するものと思われます。またその結果、より破壊的な被害をもたらす高度な攻撃が発生することも考えられます。


ランサムウェアグループやデータリーク グループはサプライチェーン攻撃に注力

データを暗号化するのみならず窃取するという攻撃手法は、すでによく知られた手口となっています。そして有名な脅威アクターの中には、最初の侵害先を悪用してサードパーティを攻撃し、大規模なデータ侵害に発展させるという新たな戦術を取り入れている者もいます。例としては、ランサムウェアグループ「Clop」がファイル転送ソリューション「MOVEit」に存在する脆弱性を悪用したり、「LockBit」がITインフラサービスプロバイダー「Mercury IT」社を侵害して、サードパーティに対する攻撃へと発展させたインシデントなどが挙げられます。いまや初心者レベルのアクターから高度なスキルを有するアクターにいたるまで、脅威アクターは皆「最初の侵害をサードパーティ攻撃に発展させることができる」という可能性に気が付いていると思われ、またそれに伴ってサイバー犯罪エコシステムで供給されるサードパーティの初期アクセス件数も増加しています。さらにアンダーグラウンドのサイバー犯罪ソースでは、「ランサムウェアの展開やサプライチェーン攻撃に利用できる、素晴らしい投資のチャンスだぞ!」という説明とともに初期アクセスを販売している脅威アクターなどの存在も観察されています。

過去数年の間に発生した有名なインシデントを振り返ると、データ転送ソリューションやマネージド・サービスプロバイダーは、2024年も引き続きランサムウェアグループやデータリークグループにとって魅力的な標的になると思われます。そのため、組織のネットワーク防御担当者の皆様が自組織のサプライチェーンを詳細に検証し、アタックサーフェスを最小化することが重要となります。


情報窃取マルウェア:誰もが初期アクセスを入手できるツール

情報窃取マルウェアによって収集された資格情報を売買するマーケットは、2024年も発展の一途をたどるものと思われます。脅威アクターの中には賢い者もおり、彼らはかなり前から、10ドルで手に入れた従業員の資格情報をたった1件悪用するだけで、「Uber」社や「T-Mobile」社で発生したインシデントのように世間の注目を集めるサイバー攻撃を実行できることを理解していました。そしてサイバー犯罪エコシステムそのものも、資格情報の需要増加に適応し、革新的な方法で「商品」を提供するようになりました。具体例としては、サブスクリプション形式の「ログのクラウド」や、有効なVPN資格情報だけをフィルタリングすることに特化したサービスなどが挙げられます。この類の脅威との闘いに打ち勝つには、組織のネットワーク防御担当者の皆様がサイバー脅威インテリジェンスソリューションを駆使し、不正に収集された資格情報へ早期にアクセスして、高スキルを有する脅威アクターの手に渡る前に自組織の資格情報を検知することが鍵となります。


AIの導入を急ぐ組織が標的に

サイバーセキュリティ企業がAIを防御に活用する一方で、脅威アクターもAIを攻撃に悪用する方法を模索しています。脅威アクターは、脆弱性の特定やフィッシング攻撃の最適化、マルウェアの開発、その他様々な悪事にAIを活用しようと試行錯誤していますが、それら試みの大半はいまだ完全には成功しておらず、2024年も同じ状況が続く可能性が高いと思われます。またその一方で、組織においてもAIの導入を検討・実施する事例が増加していますが、現時点ではAIに関する法律が整備されておらず、年月を経て確立されたベストプラクティスというものもありません。こういった現状を鑑みると、脅威アクターが「AIを導入したにもかかわらず、適切なセキュリティ方針に基づいた管理が行われていない組織」を集中的に狙い、これまで以上に首尾よく攻撃を実行するであろうことはもはや明白と言えます。組織が効果的な保護対策抜きにAIを導入した場合は、高い代償を支払う事態に発展する可能性があります。


テイクダウン:様々な難問を伴う闘い

法執行機関が実行したテイクダウンにより、これまでに多数のサイバー犯罪活動が停止に追い込まれました。しかし2024年は、テイクダウンされたにもかかわらず活動を続けているボットネット「QakBot」や、一旦は当局に押収されたブログを自らの手に取り返したランサムウェアグループ「Alphv」などが見せた、「脅威アクターのレジリエンシー(回復力)」を認識することが重要となります。過去を振り返ってみると、サイバー犯罪グループは法執行機関によって解体されても、その後グループを再結成したり、新たなブランドを立ち上げたり、別のグループ名で活動を再開する傾向があり、彼らは今後も自らの戦術を進化させてゆくと予想されます。サイバー戦が繰り広げられる環境そのものが進化している今、もはや高度なスキルを有する脅威アクターのオペレーションをテイクダウンするだけではなく、彼らがサイバー犯罪のエコシステムやサプライチェーンを利用することが困難となるよう、常に多様なアプローチを駆使して取り組んでゆくことが重要となるでしょう。


自組織を狙う脅威に関するアラートをリアルタイムで受信していただけます。 KELAのサイバー脅威インテリジェンスプラットフォームを無料でお試しください。