年の瀬が近づく中、この12カ月を振り返って特筆すべきなのは、サイバー攻撃の面で本質的にはほとんど何も変わっていないという点だ。
国家支援型およびサイバー犯罪のハッカーは、エッジデバイスを大規模に悪用している。中国の国家支援型ハッカーと関係する民間ハッカーは、老朽化した、あるいは不適切に設定された機器や不十分な可視性のためにしばしば防御が甘いネットワークを通じて、西側の重要インフラに深くアクセスしている。
ロシアのウクライナ侵攻が続く中、クレムリンはこれまで以上に、否認可能な代理勢力としてサイバー犯罪者を利用しているように見える。
ランサムウェア集団の総利益は、10億ドルというピークを下回るまで減少しているようだが、依然として極めて破壊的である。
2026年が迫る中、サイバー防御側が引き続き直面するもの、そしてそれがどう進化しているのかを以下に示す。
認証情報への容易なアクセス
あらゆるタイプのハッカーにとって、容易に入手できて有用なツールの供給は潤沢だ。多数の侵害は、システムやログから認証情報を奪う情報窃取型マルウェアに起因している。自動化された「ログのクラウド」により、情報窃取ツールの購読者は攻撃を容易に収益化できる。
犯罪者はこうした認証情報を購入し、被害者環境への容易な初期アクセスを得る。最新のVerizon Data Breach Investigations Reportは、侵害の初動が特定できたケースでは、全体の5分の1超で盗まれた認証情報の再利用が関与しており、しばしば情報窃取ツールによって促進されていたと報告している。これは、インシデントの20%で見られた脆弱性の悪用や、16%で見られたフィッシング攻撃を上回った。
ランサムウェア集団Black Bastaの流出した内部通信が示したとおり、これらのサービスの大口利用者にはランサムウェア集団が含まれると、サイバーセキュリティ企業DynaRiskの脅威インテリジェンス責任者ミリヴォイ・ラジッチ氏は述べた。
情報窃取ツールの革新は絶え間ない。いくつかの亜種は、マルウェアがNSFWコンテンツを検知するとウェブカメラ画像を取得し、セクストーション攻撃に利用できるようになっている。
サプライチェーン攻撃が急増
Clopランサムウェア集団は今年も、広く使われているソフトウェアの脆弱性を狙うという習慣を続けた。同集団はこの夏、Oracle E-Business Suiteの2つの異なるゼロデイ欠陥を標的とするキャンペーンを開始し、Broadcom、キヤノン、Oracle自身などを含む100社超の被害者を集めたとみられる。
Clop(別名Cl0p)は再びデータを盗み、身代金のために保持した。何人の被害者が身代金を支払ったかは不明だが、同集団が繰り返しゼロデイに資金を投じられることは、かなりの利益を上げていることを示唆する。
他のサイバー犯罪集団もClopの成功から学んだようで、その中には、最近Scattered Lapsus$ Huntersと名乗っているThe Comサイバー犯罪コレクティブの派生グループも含まれる。同グループの繰り返しの標的の一つは、顧客関係管理ソフトウェアプラットフォームSalesforceに接続するサードパーティ製ソフトウェアで、これによりOAuthトークンを盗み、Salesforceインスタンスと顧客データへのアクセスを得ている。
同グループは、SalesloftやGainsightなどのサードパーティソフトウェア提供事業者を標的にして1,000社超の被害者を集め、その後専用のデータ流出サイトを立ち上げたが、FBIが速やかにこれを妨害した。
若年層の犯罪が増加
Scattered Lapsus$ Huntersによるものとされるこれらおよび他の攻撃の規模は、主要小売業者や金融サービス企業への攻撃も含め、あまりに大きいため一貫して追跡するのが難しい。こうした攻撃が注目されるのは、欧米の若者たちが示す執拗さ、そして大手企業のヘルプデスクをソーシャルエンジニアリングで操る能力などが一因だ(参照:Madman Theory Spurs Crazy Scattered Lapsus$ Hunters Playbook)。
法執行機関は容疑者の逮捕を重ねており、最近ではMGM ResortsとCaesars Entertainmentへの攻撃に関連して指名手配されていた未成年の男性も含まれる。後者は、2023年の攻撃者に暗号資産で1,500万ドルを支払ったと報じられている(参照:Scattered Spider Sting: 2 English Teens Charged With Attacks)。
これらのティーンエイジャーが得ている可能性のある莫大な不正収益に加え、注目すべきは多くの攻撃の苛烈さだ。たとえばKiddoなど子どもの保育施設に関わるデータ侵害や、Jaguar Land Roverへの単一の攻撃で組立ラインとサプライチェーンを停止させ、英国経済を25億ドル規模で混乱させたことなどである。
「Evil as a Service(悪のサービス化)」
さらに踏み込む攻撃者もいる。米司法省が「あらゆる種類の犯罪に関与する『ニヒリスティックな暴力的過激派グループ』」と表現する764のティーンエイジャーのメンバーなどだ。
同グループのテキサス拠点のリーダーの一人である19歳のAlexis Aldair Chavezは金曜日、恐喝(RICO)および児童ポルノの所持・配布の罪について有罪を認めた。最大で禁錮60年に直面している。
Inversion6のCISOであるイアン・ソーントン=トランプ氏は、こうした集団を「evil as a service」と呼び、彼らは「若年層サイバー犯罪による、まったく新しい衝撃と威圧のキャンペーン」を体現しており、しばしば恵まれない地域の個人で構成されると私に語った。彼によれば、これらの若い加害者は、SNSのフォロワーの大軍に自慢することで得られる「心理的なドーパミン放出」によって増長しているように見える一方、米国外を拠点とする場合は、投獄されない、あるいはほとんど投獄されない可能性もある。この現象にどう対抗するかは未解決の問題だ。
侵害の詳細が乏しい
組織による情報共有の強化は一つの戦略になり得る。とりわけScattered Lapsus$ Huntersを含む多くのグループは、同一セクター内の幅広い潜在的被害者に対して同じ手口を使おうとするからだ。
残念ながら、米Identity Theft Resource Centerが十分に記録しているとおり、多数の侵害組織は州法により被害者へ通知するものの、実際に何が起きたのかについての詳細を提供しないケースが増えている。情報共有は増加するどころか、少なくとも一部の地域では停滞しているように見える。英国のサイバーセキュリティおよびレジリエンス(ネットワークおよび情報システム)法案の草案には、共有する組織のための保護措置に裏打ちされた、より強力な情報共有条項が盛り込まれている。
サイバーセキュリティは国家安全保障
侵害後、被害者の中には侵入の全容を十分に把握できていないところもある。これは、「Salt Typhoon」として追跡されている中国のサイバー諜報グループと、西側の通信インフラへの深い侵入から得られた教訓の一つだ。
サイバーセキュリティ専門家のCiaran Martin氏は、この夏、北京に紐づくいわゆるTyphoon攻撃について私にこう語った。「最大の教訓は、サービス継続性をより良くし、混乱に対して、そして主要ネットワークの喪失に対してレジリエントである必要があるということだ」(参照:Legacy Systems and Policies Expose West to Cyber Disruption)。
同じことは、米国および欧州のオペレーショナル・テクノロジー環境を標的とするものを含む、機会主義的な侵害を分析する際にも当てはまる。自称ロシアのハクティビストがこれらの攻撃の犯行声明を出しているが、連邦当局者は、これらのグループの多くが「国家支援」または「国家公認」であると述べている。彼らは、GRU軍事情報機関を含むモスクワの代理勢力だ。
一つの難点は、西側の重要インフラの大半が民間所有であることだ。誰が費用を負担して防御を固めるのか。より強い規制が一つの答えになり得るし、政府資金も別の答えだ。いずれの戦略を進める政治的意思があるかどうかは不透明である(参照:US Telecoms Reject Regulation as Answer to Chinese Hacking)。
誇張は害になる
Martin氏は、役に立つ追加のレジリエンスの教訓も示した。誇張を避けることだ。中国のハッカーは魔法使いではない。多くの場合、彼らは老朽化した西側のネットワーク機器にある、よく文書化された弱点を突いている。
誇張は長年の問題だ。たとえばこの夏には、Google、Facebook、Appleを被害者に数え、「史上最大のデータ侵害」とされる160億件の認証情報の「巨大」なコレクションについて警告が出回った。だがその主張は虚偽だった(参照:Hype Alert: ‘The Largest Data Breach in History’ That Wasn’t)。
基本がこれまで以上に重要
何が悪いのか、誰に責任があるのかを論じる際には、多くの組織と防御側が、起きなかった数多くの侵害によっても一部示されるとおり、優れた成果を継続して発揮していることを強調するのが重要だ。
よく設計された防御は、多くの攻撃者の勢いを鈍らせ、少なくとも侵入を遅らせる。リソースへの最小権限アクセスと多要素認証の徹底は常に有効であり、CEO詐欺の阻止、ヘルプデスクをだます手口、その他のソーシャルエンジニアリングの形態を遮断するための具体的なセキュリティ実務も同様だ。監視とログ取得も、これまで以上に重要で、とりわけ侵入後には、調査担当者が何が起きたのかを突き止められるようにするために欠かせない。
時間が重要だ。ある研究によれば、組織がランサムウェア攻撃を阻止した方法の上位2つは、内部のセキュリティアラートや外部からの警告に迅速に対応すること、そして第三者のデジタル・フォレンジック調査員を呼び込むことだったと報告している。別の研究では、AIツールが組織による侵害のより迅速な検知と封じ込めを支援していることが示された。これは、一部のランサムウェア攻撃が侵入から暗号ロックまで数日ではなく数時間で進むことがあるため重要だ。
これらは目新しい話ではないが、攻撃が展開し、防御側が対応・緩和・トリアージを迫られるスピードは、加速し続けているように見える。覚悟しておこう。
