企業ネットワークに侵入するために、攻撃者はサーバーの脆弱性探しや複雑なエクスプロイトの投入を、ますます避けるようになっています。はるかに収益性が高いことが証明されているのは、より単純で、より秘匿性の高い手法――個人のデジタル認証情報を奪い、正面玄関からそのまま入ってしまうことです。eSentire TRUレポートによれば、2025年にはデジタル・アイデンティティが攻撃の最重要標的として浮上しました。サイバー犯罪が、ターンキー型サービスと透明な経済構造を備えた正規産業のような姿に、ますます近づいているためです。
この産業化を駆動する主因は、フィッシング活動のための包括的な基盤を提供するPhishing-as-a-Service(PhaaS)プラットフォームの拡散です。レポートによれば、月額200~300ドル程度の手頃なサブスクリプションで、経験の浅い攻撃者でも、多要素認証を回避し、セッショントークンをリアルタイムで傍受し、迅速な収益化を狙う者に侵害済みアカウントを引き渡せるサービスを入手できます。
この変化の規模は、eSentire TRUの統計に鮮明に表れています。アカウント侵害は同チームの観測全体の半数を占め、2024年と比べて驚異的な389%増となりました。著者らはこれを端的に述べています――侵入を試みる必要があるのか、単にログインすればよいのに? 同時に、リモート管理ツールの悪用も勢いを増しており、Remote Monitoring and Management(RMM)ソフトウェアの不正利用は前年比143%増を記録しました。
研究者らはさらに、侵害の起点が電子的なやり取り経由へと、ますます移っていると指摘しています。初期アクセスがメールを通じて確保された事案の割合は、2024年の36.9%から2025年には54.8%へ上昇し、全アカウント乗っ取りの63%がPhaaSの活動に直接結び付いていました。これらの手口では、Adversary-in-the-Middle(AiTM)方式がしばしば用いられ、被害者をプロキシのログインページへ誘導して、パスワードだけでなく認証プロセス中の有効なセッショントークンまで収穫します。
こうした侵入の速度は、憂慮すべき新たな標準となっています。Tycoon2FAプラットフォームに関わる100件のインシデント分析では、攻撃者は認証情報の窃取から平均14分後に悪用を開始していました。実務的に言えば、ユーザーがパスワードを入力してから侵入者がメール転送ルールを変更するまでの時間は、形式的な部内ミーティングより短いことすらあります。
同時に、ユーザーが手動で悪性コードを実行するよう誘導される攻撃も増えています。代表例がClickFix(またはFakeCaptcha)です。レポートによれば、2025年にはClickFix関連の事案が、マルウェア配信ケース全体に占める割合で7.8%から30.7%へ増加し、前年比でほぼ300%増となりました。研究者らは、この手法を用いた65種類以上の異なる侵入チェーンを記録しています。典型的なシナリオでは、偽のCAPTCHAやブラウザエラーの擬装により、被害者に「Fix It」を選ばせ、コマンドをコピーさせ、Windowsの[ファイル名を指定して実行]ダイアログやPowerShellで実行させます。
もう一つの拡大傾向は、詐欺コールセンターの戦術を模しつつ、最終的に技術的侵害へと至るものです。メール爆撃と「ITサポート」を名乗るビッシングの組み合わせは、前年比で14倍に増加し、最も急成長する脅威カテゴリとなりました。被害者の受信箱はまずスパムで埋め尽くされ、その後、攻撃者がMicrosoft Teams経由で連絡し、テクニカルサポートを装います。支援を装ってリモートアクセスを確保し、場合によってはこの連鎖がBlack Bastaランサムウェアの展開で終結しました。ビッシングの成功率は、驚くべき72%と推定されています。
著者らの結論は妥協がありません。現代の攻撃は、従来の防御よりも速く動きます。事後的なログ分析に依存したり、標準的な営業時間内だけで運用したりする組織は、本質的に不利な立場に置かれます。その結果、戦略的焦点は、継続的なアイデンティティ監視と、異常行動への迅速な対応へと移りつつあります。侵入者が「ただ入ってくる」時代においては、境界の壁の強さよりも、不正なセッションを特定して終了させる速度のほうが重要です。
翻訳元: https://meterpreter.org/the-identity-epidemic-esentire-reports-a-389-surge-in-account-takeovers/
