Trace Id is missing
メイン コンテンツへスキップ
Security Insider

2023 年脅威インテリジェンスの年間レビュー: 主要な分析情報と動向

共有
空に浮かぶ赤い丸

Microsoft 脅威インテリジェンスにとって、信じられないような 1 年でした。Microsoft が日々監視している 65 兆を超えるシグナルを通じて明らかになった脅威や攻撃の膨大な量は、私たちに多くの変曲点を与えています。特に、脅威アクターがどのように規模を拡大し、国家の支援を活用しているかに変化が見られます。昨年はかつてないほど多くの攻撃が発生し、攻撃の連鎖は日を追うごとにさらに複雑化しています。滞留時間も短くなっています。戦術、手法、手順 (TTP) はより巧妙になり、より回避しやすくなるように進化しています。このようなインシデントの詳細を振り返ることで、新たな脅威への対応方法を決定し、次にどのような方向に進むかを予測するためのパターンが見えてきます。Microsoft は 2023 年の TPP をレビューし、世界中のインシデントで確認された内容を通じて、脅威インテリジェンスの状況に関する包括的な概要を提供します。ここでは、Sherrod DeGrippo と私の Ignite 2023 でのディスカッションから抜粋したビデオとともに、そのハイライトをいくつかご紹介します。

John Lambert (
Microsoft Corporate Vice President and Security Fellow)

脅威アクターの命名分類法

2023 年、Microsoft は、天候をテーマとした新しい脅威アクターの命名分類法に移行しました。これにより、(1) 複雑化、大規模化、大量化する現代の脅威により適合し、(2) 敵対グループをより整理され、記憶に残りやすく、簡単に参照できるようになります。1

Microsoft は、脅威アクターを 5 つの主要なグループに分類しています。

国家主体の影響工作:ブリザード、暴風雨、洪水、津波、嵐、砂嵐、みぞれ。

Microsoft の新しい分類法では、気象現象やその系列名は上記のカテゴリのいずれかを表しています。同じ気象系列内の脅威アクターには、異なるグループを区別するための形容詞が与えられますが、発展途上のグループには 4 桁の数字が与えられます。

2023 年、脅威の戦術、技術、手順 (TTP) の傾向

カスタム ツールとマルウェアの回避

ステルス性を重視する脅威アクター グループは、カスタム マルウェアの使用を選択的に避けています。その代わりに、被害者のデバイス上に存在するツールやプロセスを使用し、同様の手法を使用して攻撃を仕掛ける他の脅威アクターに紛れ、自分たちの存在を隠します。2

Microsoft Corporate Vice President and Security Fellow である John Lambert は、脅威アクターがステルス性を実現するために、目立つカスタム ツールをどのように避けるかについて簡単にコメントしています。次のビデオをご覧ください。

サイバー作戦および影響工作 (IO) の組み合わせ

夏にかけ、Microsoft は、特定の国家主導型アクターがサイバー作戦と影響工作 (IO) の手法を組み合わせ、Microsoft が "サイバー対応型影響工作" と名付けた新たなハイブリッド作戦を展開していることを確認しました。この新しい戦術により、アクターはネットワークへのアクセスやサイバー攻撃能力の欠点を強化、誇張、補償することができます。3 サイバー手法には、データ窃盗、改ざん、DDoS、ランサムウェアのような戦術と、データ漏えい、ソックパペット、被害者へのなりすまし、ソーシャル メディア、SMS/メールのような影響工作手法との組み合わせが含まれます。
Web との親和性が高いサイバー工作と影響力工作の各種手法

危険にさらされる SOHO ネットワーク エッジ デバイス

脅威アクターは、スモール オフィス/ホーム オフィス (SOHO) のネットワーク エッジ デバイスから密かにネットワークを構築しており、世界中の脆弱なエンドポイントの位置を特定するためのプログラムさえ使用しています。このテクニックにより、攻撃源の特定が複雑になり、事実上どこからでも攻撃が出現するようになります。4

この 35 秒のビデオでは、Microsoft の John Lambert が、脅威アクターが SOHO ネットワーク エッジ デバイスを魅力的な標的と見なす理由について詳しく説明しています。次のビデオをご覧ください。

多様な手段で初期アクセスを獲得する脅威アクター

ウクライナやその他の地域において、Microsoft 脅威インテリジェンスの研究者は、脅威アクターが多様なツールキットを使用して標的への初期アクセスを獲得していることを確認しています。一般的な戦術や手法としては、インターネットに接続されたアプリケーションの悪用、バックドアが設置された海賊版ソフトウェア、スピア フィッシングなどが挙げられます。 5 受動的、イスラエルに対抗するため、ハマスの攻撃後、サイバー作戦と影響工作を迅速に展開しました。

被害者になりすまして信憑性を高める

サイバー対応型影響工作の増加傾向にあるのは、被害者であると主張する組織や、その組織の有力者になりすますことで、サイバー攻撃や侵害の効果に信憑性を持たせることです。 6

初期アクセスと永続化のための、一般に公開された POC の急速な採用

Microsoft は、特定の国家主導型サブグループが、一般に公開された概念実証 (POC) コードを公開直後に採用し、インターネットに公開されたアプリケーションの脆弱性を悪用するケースが増えていることを確認しています。 7

 

以下の図は、Microsoft が確認した、ある国家主導型サブグループが好む 2 つの攻撃チェーンを示しています。どちらのチェーンでも、攻撃者は Impacket を使用して横方向に移動しています。

攻撃チェーンの図。

脅威アクターは、一括 SMS メッセージングを使用して標的となる対象者に接触しようと試みる

Microsoft は、複数のアクターが一括 SMS メッセージングを使用して、サイバー影響工作の増幅と心理的効果を高めようとしていることを確認しました。8

以下の図は、イスラエルのスポーツ ネットワークを装った脅威アクターからの 2 つの SMS メッセージを並べて示したものです。左側のメッセージには、改ざんされた Sport5 の Web ページへのリンクが含まれています。右側のメッセージは、「もしあなたの生活が好きなら、私たちの国に旅行しないでください。」と書いてあります。

Atlas Group Telegram:イスラエルのスポーツ ネットワークとしての SMS のスクリーンショット。

ソーシャル メディア作戦が、視聴者との効果的なエンゲージメントを高める

秘密裡に行われる現在の影響工作は、以前に確認されていたものよりも広範囲にわたってソーシャル メディア上でターゲットとする視聴者と関与を深め始めており、オンライン IO アセットの巧妙化と洗練化を表しています。9

 

以下は、ある国家主導型グループの自動アカウントによって最初にアップロードされた、Black Lives Matter のグラフィックです。7 時間後、米国の保守派有権者になりすましたアカウントによって再アップロードされました。

ブラック・ライヴズ・マターを支持し、差別や警察による暴力を非難し、尊厳や安全を擁護するステートメント

ランサムウェアの経済における専門化

2023 年におけるランサムウェアの運営者は専門化する傾向にあり、小規模な能力やサービスに集中することを選択しています。このような専門化は、ランサムウェア攻撃のコンポーネントが、複雑な地下経済内の複数のプロバイダー間に分散されるという分断効果をもたらします。これに対応するため、Microsoft 脅威インテリジェンスでは、プロバイダーを個別に追跡し、初期アクセスで、その次にその他のサービスでトラフィックが発生するかに注目しています。10

 

Ignite からの抜粋ビデオでは、Microsoft 脅威インテリジェンス Director of Threat Intelligence Strategy の Sherrod DeGrippo が、ランサムウェア サービスの経済の現状について説明しています。次のビデオをご覧ください。

カスタム ツールの着実な利用

ステルス目的のカスタム マルウェアを積極的に回避しているグループがある一方で (上記の「カスタム ツールとマルウェアを回避する」を参照)、一般に公開されているツールやシンプルなスクリプトを使用せず、より高度な技術を必要とするカスタムのアプローチにシフトしているグループもあります。11

インフラストラクチャを標的にする

水処理施設、海上業務、輸送組織などのインフラストラクチャ組織にはインテリジェンスの価値があまりなく、多くのサイバー スパイを惹きつけるような貴重なデータはありませんが、破壊的な効果をもたらす価値があります。 12

 

Microsoft の John Lambert が、サイバー スパイ活動のパラドックス、一見データを持っていないように見える標的について、簡単に説明しています。次のビデオをご覧ください。

確認してきた 2023 年の 11 項目の詳細からわかるように、脅威の状況は絶えず進化しており、サイバー攻撃の洗練度と頻度は上昇し続けています。Microsoft が追跡している 300 を超える脅威アクターは、常に新しいことを試み、試行錯誤を重ねた TTP と組み合わせていることは間違いありません。このような脅威アクターを分析し、そのペルソナを理解することで、Microsoft は彼らの次の動きを予測することができます。そして今、生成 AI を使うことで、これをより迅速に行うことができ、攻撃者を早期に立ち退かせることができるのです。

 

それでは、2024 年に向けて前に歩みを進めましょう。

 

駆け足で確認できる脅威インテリジェンスのニュースや情報を入手するには、Sherrod DeGrippo がホストを務める The Microsoft Threat Intelligence Podcast を確認してください。

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]

    ウクライナにおけるロシアのハイブリッド戦争の 1 年。ページ 14

  6. [6]

    イランがサイバー対応型影響工作に注力し、その効果を増大中。ページ 11。

  7. [7]
  8. [8]

    イランがサイバー対応型影響工作に注力し、その効果を増大中。ページ 11。

  9. [9]

    東アジア発のデジタル脅威が範囲と実効性を拡大している。ページ 6

  10. [10]

    インテルの 1 年: Microsoft の APT に対するグローバルな取り組みからのハイライト

  11. [11]

    イランがサイバー対応型影響工作に注力し、その効果を増大中。ページ 12。

  12. [12]

    インテルの 1 年: Microsoft の APT に対するグローバルな取り組みからのハイライト

サイバー影響工作 国家主導型 脅威アクター

関連記事

ロシアの脅威アクターは戦争疲れを掌握する準備を固める

ウクライナでの戦争が続く中、ロシアのサイバー攻撃と影響工作は続いています。Microsoft 脅威インテリジェンスでは、過去 6 か月間の最新のサイバー脅威と影響工作活動について詳しく説明しています。
詳細情報

米国の重要インフラストラクチャを標的にして環境寄生型攻撃を仕掛ける Volt Typhoon

Microsoft 脅威インテリジェンスは、イラン発で展開されるサイバー対応の影響工作が増加していることを発見しました。新しい手法の詳細や、今後脅威が発生しそうな領域など、脅威に関するさまざまな分析情報をご覧ください。
詳細情報

サービスとしてのランサムウェア: 産業化するサイバー犯罪の新たな顔

Microsoft 脅威インテリジェンスではウクライナにおける 1 年間のサイバー攻撃および影響工作を調査し、サイバー脅威の新たな傾向と、戦争が 2 年目に入った今、何が予期されるかを明らかにします。
詳細情報

Microsoft をフォローする