CrowdStrike：高度な脅威アクターによるサイバー脅威の新時代が到来

CISOとそのチームは、「ビジネスのような効率性」で活動する高度な脅威アクターによって特徴づけられるサイバー脅威の「新時代」に突入していると、CrowdStrikeの研究者はサイバーセキュリティ大手の2025年脅威ハンティングレポートで結論付けている。

「これらの敵対者は、最大限のインパクトを与え、迅速に目標を達成するために戦略的な精度で行動しています」とCrowdStrikeはレポートで述べている。「イノベーションは、起業家的な敵対者を出し抜き、妨害するための重要な礎です。」

新たに出現している敵対的戦術の中でも特に重要なのが、AI技術の急速な採用である。「より高度な敵対者は、生成AIを使って巧妙さを増し、活動のスピードを上げ、能力を高めています」とCrowdStrikeのシニアVP、アダム・マイヤーズ氏は記者会見で述べた。

「彼らが生成AIを使って、より巧妙なフィッシングを作成していることが分かります」とマイヤーズ氏は述べた。「ビジネスメール詐欺にも利用しています。自然言語やその他の技術を使って、より説得力のあるフィッシングコンテンツを作成しています。また、生成AIを使って身元を作り出すこともしています。」

これらのより効果的な敵対者を阻止する難しさは、ソーシャルエンジニアリングを通じて制御が難しい人的要因を多用し、現在はAIの支援も受けて、ITの管理外にある未管理デバイスを標的にして検知から身を隠す点にある。

CrowdStrikeはレポートの中で、防御側が直面する脅威の高度な性質を示すために、特定のグループのケーススタディを提供し、これらのグループをクロスドメイン、アイデンティティ、クラウド、エンドポイント、脆弱性など、基本的な分野や活動領域ごとに分類している。

クロスドメイン：Blockade SpiderとOperator Panda

クロスドメインの敵対者は、アイデンティティシステム、エンドポイント、クラウドなど、さまざまなドメインに分散した行動をとり、検知を回避したり、行動が連携したものであることを特定しにくくしている。 

「これは標準になりつつあります」とマイヤーズ氏は述べた。「もはや珍しいことでも例外でもありません。クロスドメイン攻撃について話すとき、それはセキュリティ環境内の複数のドメインにまたがるものを指しています。」例えば、「アイデンティティを侵害した後、エンドポイントを狙うのではなく、そのアイデンティティを使ってクラウドにピボットします」と彼は述べた。「そしてそれを使って未管理デバイスにピボットします。」

CrowdStrikeは、「eCrime」アクターのBlockade Spiderと、中国国家系脅威グループのOperator Pandaという2つのクロスドメイン攻撃に依存する脅威アクターのケーススタディを紹介している。

2025年初頭、CrowdStrikeはBlockade Spiderが未管理VPNを経由してネットワークにアクセスし、Veeam Backup and Replication構成データベースからの認証情報のダンプやバックアップファイルの削除を試みるなど、複数の行動を行ったことを観測した。このグループはCrowdStrikeのFalconセンサーへの妨害も繰り返し試みた。

Blockade Spiderが標的のネットワークに深く入り込んでいたにもかかわらず、CrowdStrikeはその動きを完全に監視することができ、最終的に顧客は脅威アクターのアクセスを遮断することができた。

Operator Panda、別名Salt Typhoonについては、2024年中頃に同グループが米国の通信事業者およびコンサルティング・プロフェッショナルサービス企業を標的とし、Cisco IOSおよびCisco IOS XEを実行するCiscoスイッチの脆弱性を悪用したことをCrowdStrikeが発見した。Operator Pandaは活動を隠すため、侵害したCiscoスイッチのログを消去していた。

また、彼らは脆弱性を連鎖させ、ある脆弱性を利用してローカルユーザーアカウントを作成し、その後別のCisco Web UI機能のコンポーネントの脆弱性を悪用して、デバイス上で任意のコマンドを実行できるようにした。

アイデンティティの脅威：Scattered Spider

アイデンティティ志向の敵対者は、ソーシャルエンジニアリングやAIベースのツールを通じて取得した認証情報を利用し、ネットワークへのアクセスを得るために人的な弱点を突く。

音声ベースのフィッシングは、アイデンティティベースの攻撃手法として注目を集めており、昨年は使用が443%増加したとマイヤーズ氏は述べている。「これは2025年末までに倍増する見込みです」と彼は述べた。「音声ベースのフィッシングは、脅威アクターがセキュリティコントロールを回避したり、ヘルプデスクに電話して『私はこの環境の正規ユーザーだがアカウントにアクセスできない、パスワードリセットが必要だ』などと伝えることで悪用する大きな機会となり続けています。」

「Scattered Spiderは、ソーシャルエンジニアリング攻撃の進化において、まさに先導的な存在となっています」とマイヤーズ氏は述べた。

休止期間を経て、同グループは2025年4月に再び活発化し、なりすましキャンペーンを展開して多くの組織へのアクセスを獲得した。CrowdStrikeのレポートによれば、2025年のあるランサムウェア事件では、Scattered Spiderは初期アクセスから暗号化まで24時間以内に進行し、2024年の平均35.5時間、2023年の80時間よりもはるかに速かった。これは業界全体で見られる傾向であり、ランサムウェアグループが初期侵入から1日以内に被害者を脅迫している。

クラウドの脅威：Genesis PandaとMurky Panda

過去12か月間で、CrowdStrikeは中国系グループによるクラウド侵入が40%増加したことを観測している。「クラウドは理想的な標的です」とマイヤーズ氏は述べた。「巨大で膨大なデータがあり、中国系の敵対者はORB（Operational Relay Box）ネットワークのような革新的な戦術を使って検知を回避し、活動を見えにくくしています。」

CrowdStrikeはレポートの中でGenesis Pandaの事例を取り上げている。少なくとも2024年3月以降、同グループはクラウドサービスを利用してツールの展開、C2（コマンド＆コントロール）通信、情報の持ち出しを行い、クラウドサービスプロバイダー（CSP）アカウントを標的にしてアクセス拡大や別の永続化手段を確立している。2024年10月、CrowdStrikeはGenesis Pandaのインプラントがクラウドコンピュートインスタンス上で手動操作されているのを確認し、クラウドVMから取得した認証情報を使って組織のクラウドアカウントを標的にした可能性が高いとした。

2025年3月初旬、CrowdStrikeはGenesis Pandaが公開Jenkinsサーバーを悪用した後、インスタンスメタデータサービス（IMDS）をクエリして標的組織のクラウドプロバイダーアカウントの認証情報を取得した侵入を特定した。同グループはその後、SSHキーを追加し、クラウドサービスアカウントにバックドアアクセスキーを作成し、後に再利用して再びアクセスを得た。

別の中国系グループであるMurky Pandaは、特に北米において、パートナー組織とそのクラウドテナント間の信頼関係を利用してクラウド環境を標的にしている。

2024年末、CrowdStrikeはMurky Pandaが北米の組織のサプライヤーを侵害し、その管理者アクセスを使って被害組織のEntra IDテナントに一時的なバックドアアカウントを追加したとみられるインシデントに対応した。Murky Pandaはその後、Active Directory管理やメールに関連する既存のEntra IDサービスプリンシパルを複数バックドア化した。

エンドポイントの脅威：Glacial Panda

エンドポイント脅威アクターは、長期間にわたって潜伏し、アクセスを維持し、データを収集し、将来の作戦に備えるために忍耐強く活動する。中国系の敵対者はこの手法を巧みに使いこなしている。

「これらの敵対者は、存在するエンドポイントや、脅威ハンターがそれらを監視するために何を有効化しているか、どのような検知が使われているかについて深い知識を持っています」とマイヤーズ氏は述べた。「つまり、敵対者は防御側がどのように活動し、脅威ハンターがどのように監視しているかを学習し、検知を回避しようとしています。」

その一例が、CrowdStrikeによれば通信業界全体で活動し、主に情報収集目的で標的型侵入を行っているとみられる中国系グループGlacial Pandaである。同グループは主にテレコム企業のLinuxシステム、特に古い技術を支えるレガシーシステムを標的にしている。

Glacial Pandaは、侵害したLinuxホストにトロイの木馬化したOpenSSHツールを展開し、ユーザー認証イベントを記録し、リモート接続を追跡して他のホストへの横展開を支援する「ShieldSlide」と呼ばれる手法を用いている。

脆弱性の脅威：Graceful Spider

CrowdStrikeが2024年に観測した脆弱性の52%は初期アクセスに関連しており、インターネットに公開されたアプリケーションの悪用が一般的な手法となっている。これはゼロデイ悪用対策における脆弱性管理の重要性を強調している。

「eCrimeアクターは、国家がゼロデイを発見し、それがブログ記事で公開されると、すぐにその情報を利用してより広範な悪用を行うことができます」とマイヤーズ氏は述べた。

CrowdStrikeはレポートの中で、Graceful Spiderグループが2024年末にCleoデータ転送製品に与えた影響に関するインシデントを指摘している。

2024年12月7日、CrowdStrikeはWindowsおよびLinuxサーバー上の複数のCleo製品に対する悪用の疑いを検知し、さまざまな業界や地域のCleoインスタンスが侵害された。脅威アクターの標的、スピード、範囲、戦術から、CrowdStrikeはこの活動が以前の脆弱性に関連するゼロデイファイルアップロード脆弱性を利用したリモートコード実行である可能性が高いと判断した。

防御側への主な提言

CrowdStrikeのレポートの傾向を踏まえ、マイヤーズ氏は防御側にいくつかの重要なポイントを提示した。

アイデンティティ脅威検知の導入。 アイデンティティの脅威については、「アイデンティティ脅威検知レスポンスの導入が、これらのアイデンティティを守るためのツールの一つです。十分な脅威ハンティングを実施し、アイデンティティ全体を監視することが重要です」と彼は述べた。

MFAは必須。 ここ数年の標準的なセキュリティアドバイス通り、「多要素認証（MFA）の導入は不可欠です。良質な多要素認証、つまりSMS以外の方法を使うことが重要です」とマイヤーズ氏は付け加えた。

クラウドの強化。 もう一つのポイントは「クラウドを防御すること」ですとマイヤーズ氏は述べた。「クラウドは、適切なクラウドセキュリティを実装していない組織にとって、ますます弱点として認識されています。」

クロスドメインの可視性ギャップの補強。 「つまり、アイデンティティの可視化、クラウドの可視化、未管理デバイスの可視化が必要です。未管理デバイスを特定し、EDRなどを展開することが重要です」とマイヤーズ氏は述べた。「EDRが対応していない場合は、次世代SIEM（セキュリティ情報イベント管理）ソリューションに組み込むことを検討してください。」

パッチの優先順位を見直す。 「多くの組織は依然として脆弱性の重大度に基づいてパッチを適用しています」とマイヤーズ氏は述べた。「私たちは、実際に悪用されている脆弱性を理解し、それを即座にパッチすることを推奨します。CISAは毎週、既知の悪用脆弱性リストを公開しており、組織はそれを参考にできます。したがって、パッチモデルは実際に悪用されているものを優先して適用することが非常に重要です。」

敵を知ること。 「自分たちの敵を知ることが重要です」とマイヤーズ氏は述べた。「これらの脅威アクターが誰で、どのように活動し、何をしているのか、どのように変化しているのかを理解し、防御策に反映させてください。」