日本IBMは6月3日、IBM X-Force脅威インテリジェンス・インデックス2025の日本語版を発表した。
同調査では、サイバー犯罪者がより目立たない手法へと戦術を転換し、認証情報の窃取が急増する一方で、企業に対するランサムウェア攻撃が減少したことが明らかになった。IBM X-Forceは、2024年に情報窃取型マルウェア(インフォスティーラー)を運ぶメールの数が前年と比べて84%増加したことを確認した。
同レポートの主な調査結果は以下のとおりである。
・IBM X-Forceが対応した全攻撃の70%が重要インフラ企業を対象としており、そのうち4分の1以上が脆弱性の悪用によるものであった。
・より多くのサイバー犯罪者がデータの暗号化(11%)よりも窃取(18%)を選択した。これは高度な検出技術と法執行機関の取り締まり強化により、サイバー犯罪者がより迅速な撤退経路を求めているためである。
・2024年に観測されたインシデントの約3分の1が認証情報の窃取に至っており、攻撃者がログイン情報への迅速なアクセス、流出、収益化を図るために複数の手段に投資していることが示されている。
パッチ適用の課題が重要インフラ企業を高度な脅威にさらす
レガシー技術への依存とパッチ適用の遅れは、重要なインフラ企業にとって依然として根強い課題であり、昨年この分野でIBM X-Forceが対応したインシデントの4分の1以上で、サイバー犯罪者が脆弱性を悪用していたことが明らかになった。
ダークウェブのフォーラムで最も頻繁に言及された共通脆弱性識別子(CVE)を調査したところ、IBM X-Forceは、上位10件のうち4件が高度な脅威アクター・グループ、特に国家支援型攻撃者と関連していることを発見した。
これにより、インフラの混乱、スパイ行為、金銭的脅迫のリスクが高まっている。これらのCVEに対するエクスプロイト・コードは多数のフォーラムで公然と流通しており、電力網、医療ネットワーク、産業システムを標的とした犯罪市場の拡大を助長している。
経済的動機を持つ攻撃者と国家支援を受けた攻撃者の間で情報が共有されていることは、パッチ管理戦略の策定や、脆弱性が悪用される前に潜在的な脅威を検出したりするために、ダークウェブの監視がますます重要になっていることを浮き彫りにしている。
自動化された認証情報の窃取が連鎖反応を引き起こす
2024年、IBM X-Forceは、情報窃取型マルウェア(インフォスティーラー)を配信するフィッシング・メールの増加を観測しており、2025年初頭のデータでも、2023年と比較してその数はさらに180%増加している。
アカウント乗っ取り攻撃につながるこの増加傾向は、攻撃者がAIを活用して大規模にフィッシング・メールを作成していることに起因している可能性がある。
認証情報を狙ったフィッシングやインフォスティーラーの登場により、脅威アクターにとって、アイデンティティ攻撃は安価で拡張性が高く、非常に利益の大きい手段となっている。
インフォスティーラーはデータの迅速な流出を可能にし、標的への滞在時間を短縮し、痕跡をほとんど残さない。2024年には、上位5種類のインフォスティーラーだけでダークウェブ上に800万件以上の広告が出されており、それぞれのリストには数百の認証情報が含まれている可能性がある。
さらに脅威アクターは、多要素認証(MFA)を回避するための「中間者攻撃(AITM)」用のフィッシング・キットやカスタムのAITM攻撃サービスもダークウェブ上で販売している。このように、漏洩した認証情報やMFA回避手法が蔓延している現状は、不正アクセスに対する需要が高く、その勢いが衰える気配がないことを示している。
ランサムウェア運用者がリスクの低いモデルへと移行
2024年においてランサムウェアはマルウェア全体の28%を占め、依然として最大の割合を占めていたが、IBM X-Forceは前年と比較してランサムウェアのインシデント全体が減少し、その隙をつくようにアイデンティティ攻撃が急増したことを確認した。
国際的な摘発活動により、ランサムウェアの攻撃者たちは高リスクなモデルを再編成し、より分散されリスクの低い運用へと移行しつつある。
たとえば、IBM X-Forceは、かつて広く使用されていたマルウェアファミリーであるITG23(別名Wizard Spider、Trickbot Group)やITG26(QakBot、Pikabot)が、完全に活動を停止するか、あるいは短命の新しいマルウェアファミリーの使用を含め、別のマルウェアへと移行していることを観測している。
これは、昨年無力化されたボットネットの代替手段を模索するサイバー犯罪グループの動きによるものである。
[i Magazine・IS magazine]
