** 本記事は、Threat Intelligence Executive Report – Volume 2025, Number 5 の翻訳です。最新の情報は英語記事をご覧ください。**
Counter Threat Unit™ (CTU) のリサーチチームは組織のシステム保護を支援するため、セキュリティ脅威を分析しています。7 月と 8 月の観測に基づき、Counter Threat Unit™ (CTU) のリサーチャーは、世界の脅威状況における、以下の注目すべき問題と変化を特定しました。
- ランサムウェアは取締りの後も予測しづらい脅威として存続
- MFA の不使用が、窃取された認証情報悪用の一因に
- 既存の脆弱性が依然として攻撃に利用される
ランサムウェアは取締りの後も予測しづらい脅威として存続
法執行機関による取締りはランサムウェアのエコシステムに影響を与えていますが、攻撃の件数を減少させるには至っていません。
ランサムウェアは依然として、組織にとって大きな脅威です。リークサイトに投稿された標的数は、2025 年 3 月に過去最高に達して以来減少していますが、7 月と 8 月の数値は、2024 年の同月と比較して依然として高い水準を維持しました。Scattered Spider や ShinyHunters によるランサムウェアおよびデータ恐喝攻撃がメディアで大きく取り上げられた一方で、7 月と 8 月に最も多く確認されたのは Qilin と Akira の 2 つのスキームでした。両スキームは 2025 年を通して非常に活発に活動しています (毎月公開される標的の件数は、LockBit など、以前活発だった活動の月間水準を下回っていながらも)。それでも 2025 年第 2 および第 3 四半期のランサムウェア攻撃の総数は多いという事実から、それまでと比較してより多くのグループに分散している傾向が確認できます。
2024 年および 2025 年における主要なランサムウェア攻撃者に対する法執行機関の取締りにより、ランサムウェアの様相は断片化され、不安定になりました。通常、法執行機関による取り締まりは、新たなグループが一時的に急増する原因となります。2025 年上半期には、37 件の新しいスキームが出現しました。7 月にはさらに 4 件、8 月には別の 4 件が出現しました。継続的に多数のスキームが出現しているという事実は、LockBit を標的とした法執行活動が 2024 年を通して定期的に行われていたことと関連している可能性があります。休眠状態にあると見なされていたいくつかのグループも、2025 年 7 月と 8 月に活動を再開しています。8 月には 52 件のランサムウェアスキームの活動が確認されており、これは過去 2 年間でも 4 番目の水準です。
これらの新しいスキームは、新たなサイバー犯罪者によるものではないと考えられています。むしろ、活動が妨害されたランサムウェアに関与していたアフィリエイトが、行き場を失った他のアフィリエイトと協力するか、あるいは独立して活動することで、新しいグループに参加したり立ち上げたりしている可能性があります。新しいスキームが、以前の活動のリブランディングである場合もあります。あるいは、アフィリエイトが Akira のような基盤が固まった組織に移動し、結果として多くのリソースを得ることで、より多くの攻撃を素早く行っている可能性があります。このようなリブランディングや、アフィリエイトによる新グループ/既存グループの往来は、キルチェーンの特定を困難にし、攻撃の帰属をより不明瞭にする可能性があります。
この種の動きはランサムウェアのエコシステム全体を監視する難易度を上げるものですが、ランサムウェア攻撃に対する主要な防御策を大きく変えるものではありません。主要な防御策とはすなわち、迅速なパッチ適用 (特にインターネットに接続されたデバイス)、フィッシング耐性のある多要素認証 (MFA)、およびエンドポイントとネットワークの包括的な監視です。また、多くの攻撃者がクラウドへ移行しつつあるため、クラウドおよびハイブリッド環境における悪意のある活動の監視がますます重要になっています。
 |
次に取るべき行動
クラウドセキュリティの推進に関する政府のイニシアティブを確認しましょう。 |
MFA の不使用が、窃取された認証情報悪用の一因に
MFA の導入は、攻撃者が窃取した認証情報を悪用するのを防ぎます。
CTU のリサーチャーは、サイバー犯罪者や国家の支援を受けた攻撃者が、VPN 認証情報を悪用して標的環境への初期アクセスを獲得したインシデントを複数観測しています。たとえば、GOLD LEAPFROG 攻撃者グループは、2025 年初頭の攻撃で VPN 認証情報を悪用し、最終的に SafePay ランサムウェアを展開しました。
この種の不正アクセスは、たとえ既知の脆弱性に対するパッチがアプライアンスに完全に適用されていても、攻撃者に従来のセキュリティ対策をバイパスさせ、内部システムへの直接的な侵入を可能にします。その他にも、一般的に悪用されるアクセス方法としてリモートデスクトップログインや管理者アカウントなどがあります。言い換えれば、リモートワーカーの認証済みアクセスを保護するよう設計された方法であっても、保護が十分でない場合、攻撃者に利する可能性があります。
攻撃者は、しばしば闇市場‐アンダーグラウンドで認証情報を購入します。情報窃取マルウェアは、感染したシステムから認証情報などのデータを盗み出します。窃取されたデータはログとしてパッケージ化され、他の攻撃者にオンラインで販売されます。何百万件ものログが販売されており、その数は毎年急増し続けています。そのため、システムを情報窃取マルウェアへの感染から保護することは、その後のランサムウェアやデータ恐喝攻撃に対する防御の重要な一部を形成します。
認証情報を部分的に入手した攻撃者が、VPN アカウントに対してブルートフォース (総当たり) 攻撃を試みることもあります。アクセスに成功した事例において、そのほとんどは VPN が認証に MFA を要求していませんでした。MFA だけですべての不正アクセスを防ぐことはできませんが、MFA 実装により組織の弱点に便乗するサイバー犯罪の脅威は確実に低減します。インターネットに接続されたすべてのサービスおよびアプライアンスにフィッシング耐性のある MFA を実装することで、リスクはさらに低下します。この種の MFA は、トークン窃取を防ぐためにハードウェアに関連付けた方法を使用します。
|
次に取るべき行動
米国サイバーセキュリティ・社会基盤安全保障庁 (CISA) が公開している、フィッシング耐性のある MFA の実装に関するガイダンスを確認しましょう。 |
レガシー脆弱性が依然として攻撃に利用される
たとえ何年も前の脆弱性であっても、パッチ適用が無駄になることはほぼありません。
8 月、米国連邦捜査局 (FBI) は、ロシア連邦保安庁 (FSB) の Center 16 に関連する、国家に支援された攻撃者が、2018 年の脆弱性に対するパッチが適用されていない Cisco 製デバイスを標的にすることで、米国およびその他のエンティティに対するサイバースパイ攻撃を行っていると警告しました。CTU のリサーチャーは、2023 年にもロシアが支援する攻撃者による同様の活動を観測しています。
FBI はまた、中国が支援する攻撃者がスパイ目的で世界中のネットワークを侵害していることについて警告を発した、米国およびその他の機関の一つです。攻撃者がどのように初期アクセスを得ているかについて記したドキュメントでは、攻撃者が未知のゼロデイ脆弱性ではなく、「既知の一般的な脆弱性を悪用することで、かなりの成功を収めている」と記載されています。このドキュメントでは、2018 年の Cisco の脆弱性のほか、2023 年と 2024 年にエッジデバイスに影響を与えた他の脆弱性にも言及されています。
組織が速やかにパッチを適用しない理由はさまざまです。予算の制約や人員不足は、パッチの適用に影響を与える要因のほんの一部です。従業員の脆弱性に関する認識が不足している場合や、影響を受ける機器の使用が認識されていない場合なども存在します。パッチの中には、さらに評価が必要なものや、重要な業務に影響が出ないように一時的な回避策に置き換えなければならないものもあります。また、機器が非常に古く、ベンダーがセキュリティアップデートを公開していない場合もあります。いずれにせよ、パッチが適用されていないエッジデバイスは組織にとってリスクとなります。CTU のリサーチャーが 2024 年に観測したインシデント対応の事例では、インターネットに接続されたデバイスの脆弱性が最も一般的な初期アクセス手法でした。
パッチが適用されていないデバイスがもたらすリスクは、低下することがありません。誰もが利用できるスキャンシステムや公に入手可能なエクスプロイトコードを使用し、脆弱なシステムを見つけて悪用することは簡単です。AI によるさらなる自動化も考えられます。ビジネスリスクの算定に基づく迅速なパッチ適用や、サポートが終了したシステムの交換は、これまで以上に重要であり続けます。
|
次に取るべき行動
政府機関やベンダーのアドバイザリ、およびその他の脅威インテリジェンスソースから攻撃者の行動に関する情報を監視し、 |
結論
攻撃者グループの構成が変化し、攻撃件数が増加しているにもかかわらず、サイバー脅威の側面は変わっていません。サイバー犯罪者や国家の支援を受けた攻撃者は、引き続き組織環境への容易なアクセスを悪用しています。幸いにも、優れたサイバー防御の基本もまた変わりません。迅速なパッチ適用、フィッシング耐性のある MFA、そして包括的な監視と対応です。
