Active Adversary Report
脅威の調査

内部からの攻撃:ソフォスによるアクティブアドバーサリレポート

分析対象データの大転換が、2024 年上半期の新たな洞察を提供

** 本記事は、The Bite from Inside: The Sophos Active Adversary Report の翻訳です。最新の情報は英語記事をご覧ください。**

ご存知の通り、2024 年はさまざまな面で波乱に満ちた年でした。2024 年 2 度目となる 今回のアクティブアドバーサリレポートでは、特に上半期に注目した攻撃のパターンと展開をご紹介します。今年は、中小企業のセキュリティ対策担当者にとって、表面的にはさまざまな意味で特筆すべきことのない一年であり、攻撃者と防御者の攻防は相変わらず激しく行われました。しかし、その水面下では驚くべき動きが見られました。

本レポートの要点

  • Microsoft のビルトインサービス (LOLbin) の悪用が大幅に増加
  • RDP の悪用が高水準を維持、少し変わった方式で
  • ランサムウェアの現場: ガジュマルかポプラか

データの出典

本レポートのデータは、a) 社外向け IR チームおよび b) Managed Detection and Response (MDR) のお客様環境で発生した重大な事例に対応するチームが 2024 年上半期に処理した事例から抽出したものです。必要に応じて、本レポートのために抽出した 190 件の事例から得られた知見を、2020 年のインシデント対応 (IR) サービス開始までさかのぼり、過去の Sophos X-Ops 事例から収集したデータと比較しています。

本レポートでは、データセットの 80% が従業員数 1,000 人未満の組織から得られています。この値は前回のレポートの 88% より低くなっています。この差は、主に MDR の事例が加わったことによります。ソフォスの支援を必要とする組織の 48% 以上が従業員数 250 人以下の組織です。

では、調査対象となった組織の業種は何なのでしょうか? 2021 年にアクティブアドバーサリレポートの公開を開始して以来、製造業が Sophos X-Ops にインシデント対応サービスを依頼する組織の最多を占めていますが、その割合は 2023 年の 25% から 2024 年上半期には 14% に急減しています。次いで、建設 (10%)、教育 (8%)、情報技術 (8%)、医療機関 (7%) が上位 5 位を占めています。このデータセットには、合計で 29 種の業種が含まれています。本レポートの事例選定に使用したデータと方法に関する注意点は、付録を参照してください。

本レポートの残りの部分では、上記の要点に記載されているような調査結果を分析し、前回のレポートで提起された問題の一部について最新情報を提供しています。2024 年の全データセットの分析は、2025 年初頭に予定されている次回のレポートで行われます。

ネイティブ実行: 急増する LOLbin の利用

頻繁に悪用されるものの、LOLbin 自体は正規のバイナリです。すでにマシンに存在しているか、または OS に関連する正規のソースからダウンロードされるもので、以前よりアクティブアドバーサリが用いる手段の一部でした。ソフォスが「アーティファクト」と呼んでいる、攻撃者によって不正にシステム上に持ち込まれたサードパーティ製パッケージ (mimikatz、Cobalt Strike、AnyDesk など) とは対照的です。LOLbin は正規のファイルであり、署名されているため、一見正規に見える方法で使用されていた場合にシステム管理者の目に留まる可能性は高くありません。

今年はアーティファクトの使用件数と種類が少しずつ増加しており、その変化については本レポートの後半で紹介します。とはいえ、LOLbin の悪用増加には目を見張るものがあります。(本レポートでは、主に Microsoft Windows OS のバイナリに焦点を当てていますが、他の OS でも同種の悪用が確認されています。)2024 年上半期に、ソフォスは 190 件の事例で 187 件のユニークな Microsoft LOLbin を発見しました。3 分の 1 以上 (64 件) はソフォスのデータセットには 1 度しか現れませんでした。この数字は、2023 年の LOLbin の件数と比べて 51% の増加を示しています。2021 年以降に悪用された LOLbin 件数の全体的な増加を図 1 に示します。

A bar chart showing an increase in LOLbins in the span between 2021 and the first half of 2024; the totals increased from just over 100 to nearly 190

図 1: LOLbin の使用件数は数年間穏やかに増加してきたが、2024 年上半期に急増

ほんの 3 年前、ソフォスの 2021 年の統計では、ソフォスが担当した事例におけるアーティファクトの件数は LOLbin の 2 倍以上でした。現在では図 2 に示すように、その比率は 5:4 に近くなっています。

A stacked bar chart showing the relationship between artifact and LOLbin counts between 2021 and the first half of 2024, as described in text

図 2: アーティファクトと LOLbin の使用は全体的に増加しており、攻撃者は何が有効かを確認するためにその両方を試し続けています。今年のあるインシデントでは、14 件のアーティファクトと 39 件の LOLbin が使用されたことが対応チームによって指摘されました

攻撃者はどのような LOLbin を使っているのでしょうか。最も使われたのはいつもの通り RDP でした。RDP については、次のセクションで詳述します。ソフォスは、少なくとも 10% の事例で 29 件のユニークな LOLbin が使用されているのを発見しました。これらの名前と使用率は図 3 に示されています。この図は、124 件のユニークな LOLbin のうち、10% 以上の事例で使用されていたのが大幅に増加していることを示しています。昨年の分布ではわずか 15 件でした。

A bar chart showing the prevalence of the top 29 LOLbins noted in the first half of 2024, ranging from RDP at just under 90 percent to findstr.exe at 10 percent

図 3: 2024 年上半期に最も多く記録された LOLbin。これらすべてが全事例の少なくとも 10% で出現していました。

上図に登場するほぼすべての名前が、アクティブアドバーサリレポートの読者にとって真新しいものではありません。RDP がトップを占め、cme.exe、PowerShell、net.exe がいつも通りの強さを見せています。しかし、図 4 では、おなじみの LOLbin の使用も増加していることがわかります。この図では、2024 年上半期の事例のうち 10% 以上で見られた LOLbin 使用の増減も示しています。探索や一覧化に使われるバイナリが多いことにも注目してください。ソフォスの統計では 16 件に上ります。

A table showing the changes in prevalence of the top 29 1H24 LOLbins between 2023 and the first half of the year; all but five of the listed LOLbins increased in frequency of usage

図 4: 2024 年上半期に使用された上位 29 件の LOLbin のうち、2023 年よりも確認された頻度が減少したのは 5 件だけでした。(使用頻度が大幅に変化した LOLbin (前年比±15%以上) は、上図において矢印 2 つで示されています。)この一覧では「Task Scheduler」は Task Scheduler と schtasks.exe の両方を指し、「WMI」に現在は廃止された WMIC が含まれることに注意してください。

防御者が取るべき対策は何でしょうか。まず第一に、攻撃に使用されるツールの変化は、ネットワークに不審なアイテムがないか目を光らせるだけでは不十分であることを意味します。RDP から fondue.exe、tracert.exe、time.exe (今回のデータで発見された、1 度しか使われていない 3 件の LOLbin) に至るまで、すべての LOLbin は何らかの形で OS の一部となっています。ネットワーク上に誰が存在し、彼らが本来何をすべきかを理解することがこれまで以上に極めて重要になります。IT 部門の Alice や Bob が PowerShell を使うのは、おそらくいつものことでしょう。PR 部門の Mallory が PowerShell を使っている場合には、確認してみましょう。

さらに、ロギングと十分な情報に基づくネットワークモニタリングが鍵となります。分析のある時点でソフォスは、今回確認された増加は 、ただ単に MDR チームからのデータを取り入れた結果なのではないかと疑いました。データを正規化した結果、そうではないと結論づけられましたが、MDR のような監視の目がシステムにあることで、初期アクセスと影響の両方に違いが出ることに改めて驚かされました。(詳しくは後述します。)

個々のバイナリの機能や、それらが (通常) MITRE ATT&CK フレームワークのどれに合致するかなど、LOLbin の詳細を知るには Github の LOLBAS 共同プロジェクトを訪問することをお勧めします。

RDP (同じことの繰り返し!)

アクティブアドバーサリレポートはまるで壊れたレコードのように、RDP、RDPRDP…」と繰り返しています。RDP は情報セキュリティインシデントの原因として無敗を誇っており、2024 年上半期に確認された事例の 89% 弱が RDP の悪用を示していました。

RDP が関係する事例をさらに詳しく見ると、攻撃者が RDP を内部で使用したか、外部で使用したかに大きな変化はありませんでした。これらの数値は図 5 に示すように、ここ数年安定しています。

A table showing RDP usage in attacks in 2022, 2023, and the first half of 2024

図 5: 2022 年と 2023 年には攻撃者が RDP 活動の痕跡を徹底的に消し去り、どの行為が成功したかを対応チームが正確に識別できない事例がいくつかありました。その点では 2024 年上半期はまだ良いほうです。

本レポートの対象期間以外では、RDP 悪用件数の横ばいは、9 月に Microsoft が「職場や学校のアカウント」から Windows 10 および 11 マシンへのリモートアクセスを提供するために設計されたマルチプラットフォーム「Windows App」 (という名称です) を展開すると発表し、後に RDP アクセスの実現をも約束したことでわずかに変化しました。しかし、多要素認証機能を含めセキュリティを強化したという Microsoft の主張にもかかわらず、ほとんどのオブザーバーは、Windows App はリモートデスクトップクライアントの単なるリブランディングだと評しています。次回のアクティブアドバーサリレポートで RDP の悪用が減少したという嬉しいニュースが聞けるかどうかは、その時にならなければわかりません。

木を揺する: ランサムウェアの「ポプラ」と「ガジュマル」

次にランサムウェアに目を向けると、ランサムウェアの感染に関するデータから興味深い見解が得られました。攻撃の帰属に関しては、有名なランサムウェアのテイクダウンとデータ上の存在感の低下との間の相関関係は、必ずしも期待されるほど強くありませんでした。

ソフォスの経験では、1 つのランサムウェアブランドがガジュマルの樹冠のように他を圧倒する年もあれば、ポプラ並木のように複数のブランドに比較的均等にランサムウェア事例が分散する年もありました。この違いは一般的に、悪名高いランサムウェアグループの法的取締り (「テイクダウン」) に対応しています。しかし、2024 年上半期のデータはこのパターンを踏襲していませんでした。LockBit は 2023 年の支配的なランサムウェアであり、2024 年 2 月下旬に法執行機関による取締りの対象となりました。にもかかわらず、LockBit は IR チームが上半期に確認したランサムウェアの中で依然として大きな影響を持っていました。

Five funnel-shaped charts showing the prevalence of ransomware attributions between 2020 and the first half of 2024; in this format they resemble different types of trees as described in text

図 6: ポプラ、ガジュマル、ポプラ、ガジュマル…ガジュマル?過去数年にわたりランサムウェアの感染経路で見られたパターンは、今年上半期の LockBit で崩れたようです。(上記のラベルのうち 2 件はスペースの都合上省略されています。「REvil…」は「REvil/Sodinokibi」を、「ALPHV…」は「ALPHV/BlackCat」を表します。)

実のところ、法的措置は結局ランサムウェアの状況全体に大きな打撃を与えるものではありません。 標的となった攻撃者を妨害することはできますが、関係するエンティティの多くを永久に停止できるわけではありません。大規模な法的措置が行われるたびに、ポジションを争う他のブランドの数が膨大になるため、そのギャップは埋められ、攻撃はさらに発展することになります。Conti は、2020 年に確認された感染のわずか 6% に過ぎなかった点に注目してください。その後、まず Ryuk (2020年) と Revil (2021年) がランサムウェアグループ (Ryuk の場合は依存していた Trickbot 配信システム) を対象としたテイクダウンによって打撃を受けました。その後、(Ryuk から派生したと考えられる) Conti が 1 年間 (2021 年) 隆盛を極めましたが、2022 年には使用率が一桁台に落ち込みました。LockBit の事例では、ブランドの所有者が 2024 年半ばに「カムバック」を試み、インフラを再構築し、ブログさえも再開しました。(LockBit ランサムウェアビルダーのあるバージョンは、2022 年 9 月に不満を持つアソシエイトによってリークされたことでも有名で、このことも流行に影響しているかもしれません。)

今後はどうなるでしょうか。まず、今年後半のデータでこのパターンが復活する可能性があります。つまり、予測通り「ガジュマル」が「ポプラ」に変化するのです。LockBit のテイクダウン後 1 か月ほどは、ソフォスの MDR チームや IR チーム、ランサムウェアの現状レポート 2024 年版の回答者、その他の業界のオブザーバーはすべて、LockBit の感染が減少したと報告しています。感染数は 5 月に再度増加しました。法執行機関による取締りの後、このような揺り戻しが見られるのは珍しいことではありませんが、この揺り戻しもやがて落ち着いていきます。

第二に、次に広く悪用されるランサムウェアの名前は、おそらく上の図のどこかにあります。つまり、システム管理者が特定のブランドに対する防御を苦手としているとしても、次はすでに防御者のレーダーに写っている可能性が高いということです。自社のシステムに対する次の攻撃を回避したいと考えている方は、有名ブランドの攻撃および新進気鋭の攻撃の両方に関するニュースから目を離さないようにすることから始めてください。Mikhail MatveevEkaterina Zhdanova のような怪物が刑に服していることを祝うのは結構ですが、物語は続いています。

今年上半期のランサムウェア感染件数は、全体的にやや減少しました。IR の事例では、対応件数の 61.54% がランサムウェアに関連しており、2023 年の 70.13% から減少しました。(この減少分を補って余りあるのがネットワーク侵害で、2023 年の 18.83% に対し、2024 年上半期は 34.62% と IR の対応事例においてはほぼ倍増しました。入手可能なすべてのデータを精査した結果、この割合の減少は事実ではありますが、通年の数字を見るとそれほど顕著なものではないと思われます。)

一方、MDR が上半期に扱ったのは主にネットワーク侵害で、ランサムウェアが原因とされる事例は全体の 25.36% に過ぎませんでした。なお、MDR はサービスの性質上、ランサムウェアの感染サイクルにおいて IR チームよりもはるかに早い段階で、つまり通常は暗号化や展開の前にランサムウェアを検知し、封じ込める傾向があることは気に留めておく必要があります。通常この段階では、アクティブアドバーサリレポートでカバーするような対応を必要とする水準には達しません。(残念ながら、IR チームにとって「攻撃が検知された」とは、「身代金要求文書を受け取ったお客様が攻撃を受けている可能性に気づき、すべてのコンピュータが使用不能になった」ことを意味します。)MDR チームについて見てみると、LockBit は 6 月末にはすでに出現率が横ばいになっており、ランサムウェア攻撃の 17.14% がこのブランドによるものでした。Akira と BlackSuit がそれぞれ 11.43% でそのすぐ後ろに迫っています。(そして、Akira と BlackSuit の両方が Conti から派生したものです。)

実環境への侵入: 初期アクセスと影響

MITRE ATT&CK マトリックスの第 3 段階および第 14 段階は、間違いなく読者の関心を引くでしょう。以前のレポートでは、当社の IR プロセスと MDR プロセスで処理された 2 件の非常に類似した事例の間で観察された違いについて記事にしたこともあります。今回のレポートでは、MITRE に関連する分析のうち、カテゴリそのものである「初期アクセス」と「影響」に焦点を当てることにします。

2024 年上半期における初期アクセスは、例年とほぼ同じ傾向を示しました。RDP の数値からも予想されるように、「外部リモートサービス」テクニックがこのカテゴリを支配し、63.16% を占めました。この値は 2023 年の事例では 64.94% でした。「有効なアカウント (59.47%、61.04% から減少)」および「外部に公開されたアプリケーションの悪用 (30%、16.88% から増加)」が上位 3 件を占めています。(1 つの事例で複数の初期アクセステクニックの組み合わせが確認される可能性があるため、数値をすべて足しても 100% にはなりません。)

MITRE マトリックスの最後のカテゴリである「影響」においては、さらに興味深い状況が確認できます。「影響」カテゴリにおいて何年もの間第 1 位に位置し、全事例の最低 3 分の 2 を占めてきたランサムウェア攻撃の典型的な段階である「影響を与えるためのデータ暗号化」が 31.58% で 2 位に転落し、新進気鋭の「データ操作」(30%) をわずかに上回るに留まり、「影響なし」(38.95%) の後塵を拝しています。

ATT&CK においては「影響なし」の意味が通常と少し異なることは以前にも記事にしました。ATT&CK の最新版では、「影響」に分類される 14 のテクニックがリストアップされています。これらのテクニックは、ランサムウェアによる支払いや生産性の損失といった現実と歩調を合わせるように進化しており、ソフォスはこの進化を反映させるために過去の事例データを改めて分析しました (そのため、「影響なし」と判定された過去事例の件数も減少しました)。しかし、ATT&CK のカテゴリに風評被害や従業員の疲弊 (リンク先: 英語)のような無形のものを含めることを求めるのは酷かもしれません。インシデント対応の担当者は、誰も自分たちのサービスを必要としたがらないことを十分承知しています。「影響なし」と言えば良いことのように聞こえますし、MDR で処理された事例の多くは、不審な人物が目的を達成するのを手遅れになる前に阻止できています。しかし、「影響なし」は影響がなかったという意味ではありません。それが何であれ、ATT&CK の分類では説明しきれないという意味です。

攻撃者の現在位置: 過去レポートの調査結果を確認

今回のレポートを比較的簡潔にまとめるため、2024 年通年のレポートに先立ち、以前から注目していた複数のトピックにだけ簡単に触れておきます。

滞留時間: 2023 年の第 1 回レポートで示したように、滞留時間は減少しています。2024 年上半期の数字によると、ソフォスの IR チームが処理したケースでは、この減少が横ばい、あるいは若干逆転していました。ランサムウェアの場合、滞留時間の中央値は 5.5 日で推移しており、他のすべてのタイプのインシデントを考慮すると、中央値は 8 日で推移しています。過年度の MDR ケースはまだレポートの分析には含まれていませんが、2024 年上半期のデータを見てみると、ランサムウェアの場合で中央値が 3 日、すべてのタイプのインシデントでは 1 日でした。監視によってどのような違いが生じるかが表れています。インシデント対応が必要な MDR の事例は、MDR が日々観測しているすべての活動のごく一部であるため、監視の目を持つことの効果については、読者のための演習として残しておきます。

Active Directory への到達時間: 2023 年第 2 回レポートでは、攻撃者が標的の Active Directory (AD) をコントロールできるようになるまでの時間 (標的が侵害されたと合理的に言える時点) と、攻撃者が AD をコントロールできるようになってから攻撃が検出されるまでの間隔を調査しました。ここでもまた、MDR の数値が IR の数値と大きく異なることが確認されました。2024 年上半期の IR の数値は例年より変動があり、攻撃者が Active Directory に到達するまでの時間が約 2 時間長くなっています (2023 年は 15.35 時間、2024 年上半期は 17.21 時間でした)。AD 到達から攻撃検知までの滞留時間が明らかに減少している (2023 年の 48.43 時間から 2024 年上半期は 29.12 時間) のは興味深く、より多くのデータが蓄積され、それが実際の変化であることが明らかになれば、次回のレポートで精査する価値があるかもしれません。

ソフォスが最も頻繁に Active Directory の侵害を確認した 3 つのバージョンは、Server 2019 (43%)、Server 2016 (26%)、Server 2012 (18%) であり、合わせて侵害された AD サーバーの 87% を占めていました。月例アップデートでのリリース情報には各バージョンに適用されるアップデートが記載されているにもかかわらず、これらの 3 つのバージョンは Microsoft のメインストリームサポートから外れています。ご利用のシステムがこれらのバージョンの Server で稼働しているのであれば、この数字をアップデートの警鐘だと考えてください。(月例アップデートの記事 (リンク先: 英語) を追っている方のために、今月から各月のパッチの影響を受ける Server のバージョンについて、より正確な情報をお伝えするようになりました。)

認証情報の侵害: 2023 年の第 2 回レポートでは、攻撃の根本原因として認証情報の侵害が増加していることにも焦点を当てました。2023 年には、全インシデントの 56% が認証情報の侵害を根本原因としていました。2024 年上半期には、その比率はやや減少しました。2024 年全体における根本原因の第 1 位は依然として認証情報の侵害でしたが、その数は図 7 に示すように、主に IR の事例によるものでした。MDR のお客様では脆弱性の悪用が 2 位と 1% 未満の差ではあるものの根本原因の第 1 位を占めています。A table showing the root causes of 1H24 cases for the entire report, for IR's portion of the data, and for MDR's portion of the data

図 7: IR が対応したインシデントと MDR が対応したインシデントの根本原因はさまざまであり、MDR が対応したケースの方がより均等に分布しています。IR の事例においては、認証情報の侵害が「勝利」しました。

アーティファクトについても少しだけ

上述したように、2024 年前半に見られた事例では LOLbin だけでなく、サードパーティのアーティファクトも増加していることがソフォスのデータから判明しています。アーティファクトの使用量の増加は LOLbin ほど顕著ではありませんが、いくつかの点についてはさらに議論が必要です。

まず、数字はわずかながら増加しています。2024 年上半期に標的となったシステム上で確認された固有のアーティファクトは 230 件で、2023 年通年の 205 件と比較すると 12% 増加しています。(ちなみに 2022 年に確認されたのは 204 件、2021 年に確認されたのは 207 件でした。)

次に、図 8 に示すように、最も頻繁に発見されるアーティファクトの種類は、毎年あまり変化がありません。Cobalt Strike の使用率は 2023 年以降減少を続けており、今年上半期にはわずか 13.68% に留まっていました。(以前の年には、Cobalt Strike は半数近くの事例で検出されたこともあり、現在でもアーティファクトの検出件数で第 1 位に位置しています。Cobalt Strike に対する検出精度が向上したことが、この減少に関係していると思われます。)2024 年上半期のデータには 1 度しか出現しなかったアーティファクトは 127 件であり、2023 年の 102 件よりも減少しています。

A table showing changes in artifact prevalence in AAR cases from 2021 to the first half of 2024

図 8: アーティファクトの使用が多様化する数年来の傾向は続き、2024 年上半期には 30% 以上の事例で複数のアーティファクトが使用されていました。

アーティファクトの半分以上が 1 度切りのツールであることを知り、攻撃者が試してくる未知の攻撃手段をすべて受け止めることに絶望されている方もおられるかもしれません。そのような方は上の表を見て、脇役は変わっても、アーティファクト界の「スター」は変わらず輝き続けていることを思い出してください。上の表は、全事例の 10.00% 以上に登場したすべてのアーティファクトを示しています。このようなパッケージに対して絶え間なく目を光らせておくことは実行可能であり、有用です。システム上のアプリケーションに対するデフォルトブロックポリシーを策定し、適用することを検討してください。前もってかなりの労力を必要としますが、攻撃者がツールの使用レパートリーを拡大した際に発生する問題を回避できます。

結論

Sophos X-Ops の MDR グループから得た膨大なデータと、IR チームから得た長年にわたるデータベースを統合し、統計的傾向がどのように変化したかを確認できたことは、本レポートの分析・執筆チームにとって大きな収穫でした。データを調査する過程で、ソフォスは驚くべき状況の変化を発見しました。LOLbin の使用が増加するとは誰が予想したでしょうか?また、RDP の悪用など、注意深い監視などのベストプラクティスに抵抗するパターンも明らかになりました。

以下で紹介するソフォスの名作「俳句」3 句に相当する事例だけでなく、基本的なことに起因する事例の多さには困惑させられます。

Close exposed RDP ports, (公開された RDP ポートを閉じる)

Use MFA, and (MFA を使用する)

Patch vulnerable servers. (脆弱なサーバーにパッチを適用する)

しかし、単純なパターンを認識することで、お客様がこのようなデータセットの一部になることは防げたかもしれません。最近のアクティブアドバーサリレポートの状況を綿密にお伝えすることで、セキュリティ担当者がすべてのユーザーをより安全かつセキュアに保つため、基本的なことに焦点を絞る助けになれば幸いです。

謝辞

本レポートの筆者一同は本記事執筆への貢献に対し、Chester Wisniewski、Anthony Bradshaw、Matt Wixey に謝意を表します。

付録: 回答者の内訳と調査方法

本レポートでは、2024 年上半期時点での攻撃者の状況について有益な情報を得るために、意味のある解析が可能な 190 件の事例に焦点を当てました。ソフォスでは、お客様とソフォスの機密関係を保護することを最優先事項としており、本レポートに掲載されているデータは、個人を一切特定できないよう、および特定のお客様のデータが不適切に集計を歪めることのないよう、複数の処理段階を経た後、精査されたものです。特定の事例について疑義が生じた場合は、その顧客のデータをデータセットから除外しています。

ソフォスの MDR チームが関与した、数年にわたる事例についても言及しておきます。この事例は、数か所で国家が関与していたもので、「Crimson Palace (クリムゾンパレス)」として他の報道でも取り上げられています

A world map showing locations in which cases appearing in this report occurred

図 A1: 世界各地に点在する Sophos X-Ops MDR と IR (地図作成: mapchart.net)

本レポートで分析された 2024 年上半期のデータには、以下の 48 か国およびその他の地域が含まれています。

アンゴラ ホンジュラス ポーランド
アルゼンチン 香港 カタール
オーストラリア インド ルーマニア
オーストリア イスラエル サウジアラビア
バハマ イタリア シンガポール
バーレーン 日本 スロベニア
ベルギー ケニア ソマリア
ボツワナ クウェート 南アフリカ
ブラジル マレーシア スペイン
カナダ メキシコ スウェーデン
チリ オランダ スイス
コロンビア ニュージーランド 台湾
エジプト ナイジェリア タイ
フィンランド パナマ アラブ首長国連邦
フランス パプアニューギニア 英国
ドイツ フィリピン 米国

 

業種

本レポートで分析した 2024 年上半期のデータには、以下の 29 業種が含まれています。

広告 金融 MSP/ホスティング
農業 食品 非営利団体
アーキテクチャー 政府機関 医薬品
通信 医療機関 不動産
建設 ホスピタリティ 小売
教育 情報テクノロジー サービス
エレクトロニクス 法律 運輸・交通
エネルギー 物流 公益事業
エンジニアリング 製造 卸売
エンタテイメント 鉱業

 

調査方法

本レポートのデータは、ソフォスの X-Ops インシデント対応および MDR チームが個別に実施した調査の過程で収集されたものです。2024 年の第 2 回レポートである本レポートでは、今年上半期に同チームが実施したすべての調査に関する事例情報を収集し、63 種の業界にわたって正規化しました。また、使用したデータが、本レポートの目的と照らして集計報告にふさわしい詳細さと範囲を備えていることを確認するために、各事例を調査しました。さらに、MDR と IR の報告プロセス間でのデータ正規化に取り組みました。

データが不明確であったり、入手できなかったりした場合は、筆者らが各事例の IR および MDR の対応者と協力して疑問や混乱を解消しました。レポートの目的と照らして十分な解析ができなかった事例、またはレポートに記載することでソフォスとお客様との関係が公開されたり、損なわれる可能性があると判断された事例は除外されました。その後、初期アクセス、滞留時間、データ窃取などの事項をさらに明確にするため、残りの事例のタイムラインを調査しました。結果として得られた 190 件の事例をもとに本レポートは作成されています。