バラクーダネットワークスは、セキュリティサービス「Barracuda Managed XDR」で得たデータに基づく調査結果を発表した。
Barracuda Managed XDRは、2024年に数兆件のITイベントのログを記録し、企業を標的とした重大なセキュリティ脅威を特定して、悪意のあるアクティビティを無効化したという。Barracuda Managed XDRのセキュリティオペレーションセンター(SOC)の脅威アナリストは、この独自のデータセットを活用して、2024年に攻撃者が標的に対して試みたものの、最終的には失敗した、侵入および妨害における最も一般的な方法を明らかにしたとのことだ。
2024年における膨大なイベント発生数
- Barracuda Managed XDRは2024年、11兆件のITイベントのログを記録。1秒あたりに35万件のイベントが発生していることになるという
- 潜在的リスクとしてフラグ付けされたのは、100万件強。それぞれのイベントについて、悪意のある性質や意図を評価するための確認が行われたとしている
- これらの内1万6812件は、即時の防御措置を必要とする高い深刻度の脅威として識別されたという
- これは、ログが記録されたITイベント全体の0.00000015%だとしている。強力なエンジン、分析ツール、および専門家の知識がなければ、発見することは不可能だという
2024年の脅威に関する概況:ランサムウェアが蔓延、リスクレベルはデフコン3
Barracuda Managed XDRによって緩和された高い深刻度の脅威の件数の水準(即時の防御措置が必要な脅威)は、2024年を通して比較的安定しており、毎月約1,000〜2,000件だったとしている。これは企業にとって、日常的なセキュリティの最低水準を、警戒と対応の準備態勢をデフコン3レベルまで強化された状態にしておくべきことを意味するという。なお、アメリカ国防総省によって規定されている「デフコン(DEFCON)3」は、通常より高い水準での防衛準備態勢を必要とし、空軍は15分以内に動員できる態勢にあると定義されている。
![[画像クリックで拡大]](http://ez-cdn.shoeisha.jp/static/images/article/21596/1.jpg)
ランサムウェアは、このほぼ安定した状況において例外になっているという。Barracuda Managed XDRのランサムウェアの脅威データは、検出されたランサムウェア攻撃である可能性が高いことを示す、インスタンス(ツール、テクニック、動作)に基づいているとのことだ。これらの検出件数により、2024年の1年間にランサムウェア脅威が4倍に増加したことが明らかになったとしている。
![[画像クリックで拡大]](http://ez-cdn.shoeisha.jp/static/images/article/21596/2.jpg)
この増加は、RaaSの提供が普及したことが原因である可能性が高いと考えられると同社は述べる。多くの場合、RaaSプラットフォームの開発者は、高度で回避能力の高いツールセットやテンプレートに多くの投資を行う時間、リソース、スキルを持っているという。また、このRaaS運用モデルによりランサムウェアを展開する攻撃者の母集団が拡大し、キットをリースして活用したいと考える者であれば、誰でも利用できるようになっているとのことだ。
2024年のXDRによる検知数が最も多かった脅威
XDRで保護されたシステムを標的とする、最も一般的な脅威のトップ5を見ると、脅威攻撃者が最も脆弱であると予想している顧客のシステムの領域がわかるという。たとえば、多くの攻撃者が予想する領域としては、アカウントのログイン認証が不十分であること、パスワードポリシーが不十分であること、ソーシャルエンジニアリングに関する教育不足、保護が不十分なVPNやリモートデスクトッププロトコルの管理不足があるとしている。
![[画像クリックで拡大]](http://ez-cdn.shoeisha.jp/static/images/article/21596/3.jpg)
検出件数トップ5には、包括的なXDRを用いることで、脅威が最も発見されやすくブロックされやすい段階である、一連の攻撃の初期段階で確認されたアクティビティとペイロードが含まれているという。トップ5の脅威には、「①既知の悪意のある、または異常なIPや地理的位置からのネットワークトラフィックの検出」「②同じアカウントへの2回連続のログインが地理的に離れすぎており、両方が正当なログインである可能性が低いMicrosoft 365における“ありえない移動”の検出」「③既知または一般的な組み合わせがアカウントの侵害に成功するかどうかを確認するための多数標的型パスワードスプレー攻撃の検出」などがあるとしている。
エンドポイント脅威の検出には幅広い脅威が含まれており、無害な要素、望ましくない可能性があるアプリケーション(PUA)、アドウェア、スパイウェア、ダウンローダー、クリプトマイナー、悪意のある文書、エクスプロイト、ウイルス、ワーム、トロイの木馬、バックドア、ルートキット、インフォスティーラー、ランサムウェア、対話型シェルまたはリモートシェル、ラテラルムーブメントなどがあるが、これらに限られるものではないという。配信後のメール脅威であることが疑われた検出件数の多さは、メールベースの攻撃の巧妙化と回避性の高まりを裏付けているとのことだ。
2024年に最も多かった悪意のあるトラフィック
Barracuda Managed XDR侵入検知システム(IDS)の統合により、企業ネットワークに侵入するためにファイアウォールを越えようとするトラフィックを精査できるという。2024年におけるIDSの検出数トップを分析すると、脅威攻撃者は継続的な攻撃実行だけでなく、初期アクセスと検出をサポートするツールを用いてファイアウォールを標的にしていることが示されているとのことだ。
![[画像クリックで拡大]](http://ez-cdn.shoeisha.jp/static/images/article/21596/4.jpg)
サイバータイムゾーン(サイバー攻防の時間間隔)
サイバー攻撃はますます高速化していると同社は述べる。セキュリティツールと戦略の進歩により、侵入者はより簡単に、より迅速に検出され、ネットワークから排除されるようになったという。脅威攻撃者は攻撃を加速させることによって、この状況に対応。Barracuda Managed XDRによる検知データとインシデントの例は、攻防における2つのアプローチを比べた際に、どのように優劣があるかを示しているとのことだ。
![[画像クリックで拡大]](http://ez-cdn.shoeisha.jp/static/images/article/21596/5.jpg)
複雑で回避能力の高い脅威が蔓延する世界で、安全を確保する方法
効果的で包括的なセキュリティ対策の実装は、これまで以上に重要になっているという。企業はまず、基本から取りかかる必要があるとしている。これには、強固な多要素認証とアクセス制御、パッチ管理とデータ保護に対する確固としたアプローチ、従業員に対する定期的なサイバーセキュリティ意識向上トレーニングが含まれるとのことだ。
しかし、拡大を続けるデジタル攻撃領域を標的とした高い深刻度の脅威が絶え間なく発生し、攻撃がより高速・雑化し、回避能力が高まる傾向にあることを踏まえると、ほとんどの企業はより強固なセキュリティと、その管理支援を必要とする可能性が高いと同社は述べている。
攻撃者は、発見したセキュリティの脆弱性をすべて悪用して、攻撃を拡大。ネットワーク、エンドポイント、サーバ、クラウド、メールセキュリティを統合する包括的なXDRソリューションとは、ツールが異なるベンダーのものであっても、デジタルインフラストラクチャの隅々まで、高度なセキュリティ対策と広範な防御ツールで監視・保護し、積極的な脅威の探索と対応戦略を組み合わせることを意味するという。これにより、迅速な対応が可能になり、脅威攻撃者にとっての攻撃の機会を最小限に抑えられるとしている。
【関連記事】
・石破首相らも警鐘、セキュリティの産官学連携に意欲──GMOサイバーセキュリティ大会議&表彰式2025
・1日に330万回のサイバー攻撃を検知、攻撃総数は前年比154%増──サイバーセキュリティクラウド調査
・「サイバーセキュリティアワード2025」の大賞はアニメ「こうしす!」が受賞
