2020年末以降、ゼロデイ攻撃、ランサムウェア攻撃、大量侵害インシデントが大幅に増加し、世界中の多くの組織が影響を受けています。ランサムウェアグループや国家に支援された脅威アクターが、新たな永続化メカニズムやゼロデイ悪用を効果的に使用することで、攻撃者の行動に変化が見られるようになりました。

Rapid7の「2024年攻撃インテリジェンス・レポート」は、主要な脆弱性と攻撃パターンのデータを14カ月にわたって調査したものです。このレポートから、すべてのセキュリティ専門家が理解するのに役立つ傾向を特定しました。

主な発見は以下の通りです：

過去 3 年間、一貫して高水準のゼロデイ悪用が行われている

2020 年以降、当社の脆弱性調査チームは、悪用の規模と速度の両方を追跡してきました。過去3年間のうち2年間は、ゼロデイ悪用から発生した大規模侵害イベントの方が、nデイ悪用から発生したイベントよりも多くなっています。2023年から2024年初頭にかけて広く悪用されたCVEの53%は、ゼロデイ攻撃から始まっています。 

ネットワークエッジデバイスの悪用が増加している

ネットワークエッジデバイスの悪用に起因する大規模な侵害は、2023年にはほぼ倍増しています。私たちが追跡した広範囲に悪用された脆弱性の36%は、ネットワークエッジ技術内で発生していることがわかりました。そのうち60%はゼロデイ脆弱性でした。これらのテクノロジーは、私たちの集団的防御の弱点となっています。

ランサムウェアは依然としてビッグビジネスであり続けている

私たちは、2023年1月から2024年2月までの間に5,600件以上のランサムウェア攻撃を追跡しました。多くの攻撃はさまざまな理由で報告されていない可能性があるため、私たちが把握している攻撃のみだけでこの数値です。私たちが追跡できた攻撃は、攻撃者の動機や行動の傾向を示していました。例えば、私たちが「スマッシュ・アンド・グラブ」と呼んでいる攻撃、特にファイル転送ソリューションが関与する攻撃が増加しています。スマッシュ・アンド・グラブ攻撃とは、攻撃者が機密データにアクセスし、可能な限り迅速にデータ流出を実行するというものです。Rapid7が観測したほとんどのランサムウェアインシデントは、データが暗号化される「従来型」の攻撃でしたが、スマッシュ・アンド・グラブ型の恐喝が一般的になりつつあります。

攻撃者は単純な脆弱性クラスを悪用することを好む

攻撃者は依然としてメモリ破壊のような悪用が困難な脆弱性クラスをターゲットにしているものの、ここ数年私たちが追跡してきた広く悪用されているCVEのほとんどは、より単純な根本原因から発生しています。例えば、2020年以降にRapid7が分析した広範な脅威のCVEの75%は、リモートアクセス可能なAPIや認証バイパスのような不適切なアクセス制御の問題や、OSコマンドインジェクションのようなインジェクションの欠陥が根本原因となっています。

これらは、当社の2024年攻撃インテリジェンス・レポートの主要な調査結果のほんの一部です。本レポートは、バーチャル・サイバーセキュリティ・サミット「Take Command Summit」に合わせて発表されました。日本国内でも実施されたTAKE COMMANDイベントでは、ラピッドセブン・ジャパン株式会社最高技術責任者・CTOである、古川勝也が、本レポートについて解説しています。TAKE COMMANDへの参加はこちらから。また、レポートおよび関連資料はこちらからダウンロードいただけます。

※本ブログは英語版ブログ "Rapid7 Releases the 2024 Attack Intelligence Report" の機械翻訳版です。最新情報等につきましては、原文をご参照ください。