プレスリリース | クラウドストライクメディア掲載情報

2024 年版クラウドストライク脅威ハンティングレポート：正規の認証情報を悪用して内部関係者になりすます国家主導型エクスプロイト

北朝鮮の内部脅威が米国のテクノロジー企業をターゲットに

クラウド攻撃、クロスドメイン攻撃や、認証情報および RMMツールの不正利用を行うケースが相次ぐ

※この資料は米国にて2024年8月20日に発表されたプレスリリースの抄訳です。

CrowdStrike（NASDAQ: CRWD）はこのたび、2024年度版脅威ハンティングレポートを発表しました。このレポートでは、脅威ハンターやインテリジェンスアナリストなどクラウドストライクの精鋭部隊により現場で収集されたインテリジェンスに基づき、最新の攻撃者の傾向、キャンペーン、戦術についてまとめられています。同レポートでは、正規のアイデンティティを不正に利用することで検知機能や従来型のセキュリティ管理ソリューションを回避する国家主導型の攻撃者およびサイバー犯罪者の増加や、ハンズオンキーボード攻撃による侵害、クロスドメイン攻撃、クラウドコントロールプレーンの脆弱性を狙った攻撃の増加を明らかにしています。

主な内容

北朝鮮関連の攻撃者が米国企業の正規従業員になりすまし： FAMOUS CHOLLIMAは米国のテクノロジー企業を主な標的として100社以上の企業に潜入しました。偽造または窃取した身分証明書を使用してIT関連の担当者として企業に採用され、悪意のある内部関係者として、リモート勤務を通じてデータの抽出や不正な活動を行いました。
ハンズオンキーボード攻撃による侵害が55%増加：ハンズオンキーボード攻撃を利用して、正規ユーザーに紛れ込み、従来型のセキュリティ管理ソリューションをバイパスする脅威アクターが増えています。ハンズオンキーボード攻撃による侵害全体の86%は、サイバー犯罪者グループにより金銭的利益を目的として行われています。このような攻撃は医療分野で75%増、テクノロジー分野では60%増となっており、特にテクノロジー分野は、7年連続で攻撃件数が最も多い分野となっています。
RMM（リモート監視および管理）ツールの不正使用が70%増： CHEF SPIDER（サイバー犯罪者グループ）とSTATIC KITTEN（イラン関連の攻撃者グループ）は、エンドポイントの脆弱性を狙った攻撃に、ConnectWise ScreenConnectのような正規のRMM（リモート監視および管理）ツールを利用しています。RMMツールの脆弱性を狙った攻撃は、ハンズオンキーボード攻撃による侵害全体の27%を占めています。
クロスドメイン攻撃が持続：有効な認証情報を悪用してクラウド環境に侵入し、アクセス権を使用して最終的にはエンドポイントを侵害することを狙う脅威アクターがますます増えています。こうした攻撃では、攻撃を受けたドメインにパズルの一片のような最小限の痕跡しか残らないため、検知は非常に困難です。
コントロールプレーンを標的としたクラウド攻撃：SCATTERED SPIDER（サイバー犯罪者グループ）を始めとするクラウドを標的とした攻撃者は、ソーシャルエンジニアリング、ポリシーの変更、パスワードマネージャーへのアクセス権を悪用してクラウド環境に侵入しています。こうした攻撃者は、クラウドコントロールプレーンとエンドポイント間の通信の脆弱性を悪用して水平展開し、継続型攻撃を通じてデータの抽出を行っています。

クラウドストライクでCounter Adversary Operations担当責任者を務めるアダム・マイヤーズ（Adam Meyers）は次のように述べています。「当社は10年以上にわたり、特に活発な活動を行うハクティビスト、サイバー犯罪者、国家主導型攻撃者に警戒を怠ることなく、追跡を続けてきました。過去1年間で約250に上る攻撃者を追跡するなかで主要テーマとして浮かび上がってきたのは、脅威アクターが対話型攻撃によって侵入を行い、クロスドメイン手法で検知機能を回避して、目的を果たすケースがますます増えているということです。当社の包括的で人間主体の脅威ハンティングは、AIネイティブなFalconプラットフォームを動かすアルゴリズムに直接情報を提供しています。これにより進化を続ける脅威に先んじて対応し、業界で最も効果的なサイバーセキュリティソリューションを提供し続けます。

追加リソース（英語のみ）

2024年版クラウドストライク脅威ハンティングレポートをダウンロードしていただけます。
クラウドストライクのAdversary Universe（アドバーサリーユニバース）では、攻撃者に関する信頼性が高い情報をインターネット上で豊富に公開しています。
Adversary Universe（アドバーサリーユニバース）ポッドキャストでは、脅威アクターに関するインサイトやセキュリティ対策強化のための提案をご紹介しています。

CrowdStrikeについて

CrowdStrike Holdings Inc.（Nasdaq：CRWD）は、サイバーセキュリティのグローバルリーダーであり、エンドポイント、クラウドワークロード、アイデンティティ、データを含む企業におけるリスクを考える上で重要な領域を保護する世界最先端のクラウドネイティブのプラットフォームにより、現代のセキュリティを再定義しています。

CrowdStrike Falcon®プラットフォームは、CrowdStrike Security CloudとワールドクラスのAIを搭載し、リアルタイムの攻撃指標、脅威インテリジェンス、進化する攻撃者の戦術、企業全体からの充実したテレメトリーを活用して、超高精度の検知、自動化された保護と修復、精鋭による脅威ハンティング、優先付けられた脆弱性の可観測性を提供します。

Falconプラットフォームは、軽量なシングルエージェント・アーキテクチャを備え、クラウド上に構築されており、迅速かつスケーラブルな展開、優れた保護とパフォーマンス、複雑さの低減、短期間での価値提供を実現します。

CrowdStrike： We Stop Breaches

詳細はこちら： https://www.crowdstrike.jp/
ソーシャルメディア： Blog | Twitter | LinkedIn | Facebook | Instagram
無料トライアル：https://go.crowdstrike.com/try-falcon-prevent-jp.html

© 2024 CrowdStrike, Inc. All rights reserved. CrowdStrike、Falconのロゴ、CrowdStrike Falcon、CrowdStrike Threat Graphは、CrowdStrike, Inc.が所有するマークであり、米国および各国の特許商標局に登録されています。CrowdStrikeは、その他の商標とサービスマークを所有し、第三者の製品やサービスを識別する目的で各社のブランド名を使用する場合があります。