ネットワークに潜入し、直接ランサムウェアを送り込む攻撃が増加 アクセンチュア：2019 Cyber Threatscape Report

アクセンチュアが発表したサイバー攻撃の脅威に関する年次レポートによると、サイバー攻撃者の偽装手口が巧妙化している。ランサムウェアによる攻撃数も増加しており、企業ネットワークのリモートデスクトッププロトコル（RDP）へのアクセス情報も窃取されている。

[＠IT]

　アクセンチュアは2019年10月29日、サイバー攻撃の脅威に関する年次レポート「2019 Cyber Threatscape Report」を発表した。それによると、サイバー攻撃者は、攻撃対象の選定方法を変えているだけでなく、攻撃者同士が複雑な連携を図って共通の攻撃ツールを使うことで、偽装手口を巧妙化させていることが分かった。

　同レポートによると、サイバー犯罪のモデルが変化しつつあるようだ。サイバー攻撃を仕掛けるグループ同士が、複雑に連携しながら活動している。悪質な文書の大量生成からマルウェア拡散までを自動化する「More_Eggs」などのツールが攻撃者の間で共有されていることが明らかになった。犯罪目的のソフトウェアを使った攻撃と標的型攻撃の両方で、こうしたツールが使われていることも分かった。こうした連携を図ることによって攻撃グループの活動領域が曖昧になり、攻撃者の特定がより困難になる。

2019 Cyber Threatscape Report（出典：アクセンチュア）

ネットワークから直接ランサムウェアを送り込む

　有名な攻撃グループの1つであるCobalt Groupが、攻撃対象の選定方法や標的へのアクセス方法を変えていることも分かった。特定のオンライン販売事業者や小売業者を標的に定めて、Webブラウザ経由で実行するマルウェアを確認したとしている。これまでマルウェアを送りつけるには、フィッシングメールが主に使われていた。

　ランサムウェア（身代金要求型マルウェア）による攻撃数の増加も顕著だ。この2年で3倍以上に増え、ランサムウェアが企業や政府機関のインフラに入り込みつつあるという。アクセンチュア・セキュリティは、NikolayやGandCrabといった脅威グループがネットワークに潜入し、直接ランサムウェアを送り込んでいることを確認したとしている。

　企業ネットワークのリモートデスクトッププロトコル（RDP）へのアクセス情報も窃取されている。サーバにウイルスを感染させたり、RDPへのパスワード総当たり攻撃を仕掛けて盗み取ったりするようだ。目的は、別の脅威グループへの販売とみられる。

攻撃者の特定には攻撃傾向の把握が不可欠

　その他、アクセンチュアは、フェイクニュースや偽情報、脅威グループが正規のツールを悪用しつつあることに警鐘を鳴らしている。フェイクニュースや偽情報は人々の政治的感情に影響を与え、その結果、国政選挙の行方を左右する。こうした活動は世界の金融市場にも深刻な影響を与えると、同社は指摘する。特に高頻度取引のアルゴリズムは、テキスト中心の情報源に依存する傾向にあり、大規模な偽情報活動の標的になる恐れがあるとしている。

　アクセンチュア・セキュリティでマネジング・ディレクターを務めるJosh Ray氏は、「この1年間、サイバー攻撃者は、攻撃を多層化し、新たな手口を取り入れながら、他の攻撃者と複雑に連携して巧妙に身元を隠すことで、企業のサイバー攻撃に対する耐性の実力を試してきた。企業が攻撃者を特定するには、こうした攻撃の傾向を把握したり、攻撃者が残した痕跡を基に、犯罪の動機や手順、そこで使われたツールを分析したりすることが不可欠だ。これにより企業は、サイバー攻撃の回避に向けた適切なリソース配分や、セキュリティ体制の強化が可能になる」と述べている。