自動化された認証情報の窃取がサイバー攻撃の連鎖を引き起こす──IBM調査

　日本IBMは、「IBM X-Force脅威インテリジェンス・インデックス2025」の日本語版を発表した。

　同調査では、サイバー犯罪者がより目立たない手法へと戦術を転換し、認証情報の窃取が急増する一方で、企業に対するランサムウェア攻撃が減少したことが明らかになったという。IBM X-Forceは、2024年に情報窃取型マルウェア（インフォスティーラー）を運ぶメールの数が前年と比べて84％増加したことを確認したとのことだ。

　同レポートの主な調査結果は次のとおり。

• IBM X-Forceが対応した全攻撃の70％が重要インフラ企業を対象としており、そのうち4分の1以上が脆弱性の悪用によるものだったという
• 多くのサイバー犯罪者が、データの暗号化（11％）よりも窃取（18％）を選択。これは高度な検出技術と法執行機関の取り締まり強化により、サイバー犯罪者がより迅速な撤退経路を求めているためだとしている
• 2024年に観測されたインシデントの約3分の1が認証情報の窃取に至っており、攻撃者がログイン情報への迅速なアクセス、流出、収益化を図るために複数の手段に投資していることが示されているという

パッチ適用の課題が重要インフラ企業を高度な脅威にさらす

　レガシー技術への依存とパッチ適用の遅れは、重要なインフラ企業にとって依然として根強い課題であり、2024年この分野でIBM X-Forceが対応したインシデントの4分の1以上で、サイバー犯罪者が脆弱性を悪用していたことが明らかになったとしている。

　ダークウェブのフォーラムで最も頻繁に言及された共通脆弱性識別子（CVE）を調査したところ、IBM X-Forceは、上位10件のうち4件が高度な脅威アクター・グループ、特に国家支援型攻撃者と関連していることを発見。これにより、インフラの混乱、スパイ行為、金銭的脅迫のリスクが高まっているという。これらのCVEに対するエクスプロイト・コードは多数のフォーラムで公然と流通しており、電力網、医療ネットワーク、産業システムを標的とした犯罪市場の拡大を助長しているとのことだ。経済的動機を持つ攻撃者と国家支援を受けた攻撃者の間で情報が共有されていることは、パッチ管理戦略の策定や、脆弱性が悪用される前に潜在的な脅威を検出するために、ダークウェブの監視がますます重要になっていることを浮き彫りにしていると同社は述べる。

自動化された認証情報の窃取が連鎖反応を引き起こす

　2024年、IBM X-Forceは、情報窃取型マルウェア（インフォスティーラー）を配信するフィッシング・メールの増加を観測しており、2025年初頭のデータにおいても、2023年と比較してその数はさらに180％増加。アカウント乗っ取り攻撃につながるこの増加傾向は、攻撃者がAIを活用して大規模にフィッシング・メールを作成していることに起因している可能性があるとしている。

　認証情報を狙ったフィッシングやインフォスティーラーの登場により、脅威アクターにとって、アイデンティティー攻撃は安価で拡張性が高く、非常に利益の大きい手段になっているという。インフォスティーラーはデータの迅速な流出を可能にして、標的への滞在時間を短縮し、痕跡をほとんど残さないとのことだ。2024年には、上位5種類のインフォスティーラーだけでダークウェブ上に800万件以上の広告が出されており、それぞれのリストには数百の認証情報が含まれている可能性があるとしている。さらに脅威アクターは、多要素認証（MFA）を回避するための「中間者攻撃（AITM）」用のフィッシング・キットやカスタムのAITM攻撃サービスもダークウェブ上で販売しているという。このように、漏えいした認証情報やMFA回避手法が蔓延している現状は、不正アクセスに対する需要が高く、その勢いが衰える気配がないことを示しているとのことだ。

ランサムウェア運用者がリスクの低いモデルへと移行

　2024年においてランサムウェアはマルウェア全体の28％を占め、依然として最大の割合を占めていたが、IBM X-Forceは前年と比較してランサムウェアのインシデント全体が減少し、その隙をつくようにアイデンティティー攻撃が急増したことを確認したという。

　国際的な摘発活動により、ランサムウェアの攻撃者たちは高リスクなモデルを再編成し、より分散されリスクの低い運用へと移行しつつあると同社は述べる。たとえば、IBM X-Forceは、かつて広く使用されていたマルウェアファミリーであるITG23（別名Wizard Spider、Trickbot Group）やITG26（QakBot、Pikabot）が、完全に活動を停止するか、あるいは短命の新しいマルウェアファミリーの使用を含め、別のマルウェアへと移行していることを観測しているという。これは、昨年無力化されたボットネットの代替手段を模索するサイバー犯罪グループの動きによるものだとしている。

　同レポートの追加調査結果は次のとおり。

• 進化するAIの脅威：2024年にはAI技術に対する大規模な攻撃は確認されなかったものの、セキュリティ研究者たちはサイバー犯罪者に悪用される前に脆弱性を特定し修正するために対応しているという。IBM X-ForceがAIエージェントを構築するフレームワークで発見したリモートコード実行の脆弱性のような問題は、今後さらに頻繁に発生すると見られているとのことだ。2025年にAIの導入が進むにつれ、AIを標的とした専用の攻撃ツールキットを開発する動機も高まるという。そのため、企業はAIのパイプライン、すなわちデータやモデル、使用法、そしてそれらモデルを取り巻くインフラストラクチャーを初期段階から確実に保護することが不可欠だとしている
• アジア太平洋（APAC）と北米が最も攻撃を受けた地域：IBM X-Forceが世界中で対応した全攻撃のうち、アジア太平洋（34％）と北米（24％）が合わせて約60％を占め、2024年に最も多くのサイバー攻撃を受けた地域となったという。アジア太平洋地域で最も攻撃を受けたのは日本で、約66％を占めたとしている
• 製造業がランサムウェア攻撃の矢面に：4年連続で製造業が最も攻撃を受けた業界となったという。2024年、同業界は最多のランサムウェア被害に直面しており、極端にダウンタイムに対する耐性が低いことから、暗号化による金銭的リターンが依然として高い分野となっているとのことだ
• Linuxに対する脅威：Red Hat Insightsとの協力により、IBM X-ForceはRed Hat Enterprise Linuxの顧客環境の半数以上が、少なくとも1つの重大なCVEに対してパッチを適用していないことを確認。また、18％の組織では5つ以上のCVEが未修正のままとなっていたという。同時に、IBM X-Forceは、Akira、Clop、Lockbit、RansomHubといった最も活動的なランサムウェア・ファミリーが、現在ではWindowsとLinuxの両方に対応していることを明らかにしているという

【関連記事】
・IPA、2024年度の中小企業における情報セキュリティ実態を報告　ベストプラクティスも掲載
・セキュリティインシデント発生時の最終責任者、日本企業の約4割が「不明瞭」と回答──ファストリー調査
・VPNの課題はセキュリティとコンプライアンスのリスクだと半数以上の組織が認識──Zscaler調査