中国のサイバー諜報活動が150%急増、CrowdStrikeが発見

Volt TyphoonやSalt Typhoonのような注目度の高いキャンペーンは過去1年で話題になったが、これらは影で進行してきた広範な中国のサイバー諜報活動のほんの一部に過ぎない可能性が高い。

2025年2月27日に公開されたCrowdStrikeの2025年版グローバル脅威レポートによると、2024年には世界全体で中国支援のサイバー諜報作戦が驚異的な150%増を記録した。重要産業では標的型攻撃が最大300%急増した。

最も標的となった分野は、金融、メディア、製造業だった。

同サイバーセキュリティ企業は2024年に中国と関連する新たな脅威アクターを7つ特定し、中国のハッキング集団によるものとされる330件超のサイバー侵入の試みを阻止したと主張した。

CrowdStrikeで対アドバーサリー作戦責任者を務めるAdam Meyers氏は次のようにコメントした。「中国のサイバー諜報活動がますます攻撃的になる一方で、AIを活用した欺瞞の急速な“兵器化”が進んでおり、組織はセキュリティへのアプローチを見直すことを迫られている」

続きを読む：中国支援のSilver Foxが医療ネットワークにバックドアを設置

2024年にCrowdStrikeが観測したサイバー脅威のトレンド

CrowdStrikeが観測したその他のサイバー脅威トレンドには、次のものが含まれる。

• 音声フィッシング（ビッシング）攻撃の爆発的増加：2024年の前半から後半にかけて442%増加

• マルウェアを使わない、アイデンティティベースの攻撃の急増：2024年の侵入検知の79%はマルウェアを伴わず、2023年の75%、2019年のわずか40%から増加した。さらにCrowdStrikeは、2024年にダークウェブ上のアクセスブローカー広告が2023年比で50%増加したことを検知した
• 脆弱性エクスプロイトへの依存拡大：2024年に観測された脆弱性の52%は初期アクセスに関連していた。脅威アクターは成功確率を最大化するため、連鎖（チェーン）型の脆弱性エクスプロイトもますます利用している
• 包囲されるクラウド環境：新規および帰属不明のクラウド侵入は、2024年に2023年比で26%増加した。有効なアカウントの悪用が主要な初期アクセス手法であり、2024年上半期のクラウド事案の35%を占めた
• 北朝鮮ハッカーが内部脅威を推進：北朝鮮の脅威アクター「Famous Chollima」が関与した304件のサイバー事案のうち40%は、IT労働者スキームなどの内部関与の作戦を含んでいた
• ブレイクアウト時間が大幅に短縮：2024年における、初期アクセスから侵入へと移行するまでの平均時間（一般にブレイクアウト時間と呼ばれる）は48分となり、2023年の62分から短縮した。CrowdStrikeが2024年に記録した最短のブレイクアウト時間はわずか51秒だった

生成AI（GenAI）は、2024年にサイバー脅威アクターによってこれまで以上に利用された。主にサイバー犯罪者や国家主体によるソーシャルエンジニアリングの強化に使われた一方で、一部のグループ、特にイランと関連するアクターは、脆弱性の調査や悪用といった別の目的にもGenAIを使用した。

2月25日の記者向け説明会で、CrowdStrikeのMeyers氏は次のように述べた。「私たちがこのレポートを『The Year of the Enterprising Adversary（進取の敵対者の年）』と名付けたのは、脅威アクターが大きく成熟したことを確認したからだ。彼らはアクセスを得る新しい方法を見つけ、最新のセキュリティツールに検知されない術を身につけた」

数字で見るCrowdStrikeのグローバル脅威レポート

第13版となるこのグローバル脅威レポートでは、CrowdStrikeは257のアドバーサリーを追跡し、過去1年で26の新たな脅威アクターが出現した。

また、帰属不明の特定された悪性活動を示す140超のアクティビティ・クラスターも検知した。

「これらは、既知または新規のアドバーサリーに帰属させるべきかを正確に判断できていない、あるいはまだ十分に強い情報セットがないクラスターだ」とMeyers氏は付け加えた。

2024年、CrowdStrikeは国家主体の脅威アクターの出自として新たに2か国を追加した。『Sphinx』として追跡されるアクターがいるエジプトと、『Saiga』として追跡されるアクターがいるカザフスタンだ。

「より多くの国々がサイバー侵入やサイバー諜報作戦を展開している状況を見るのは、重大な懸念だ」とMeyers氏は結論づけた。