西側諸国の冬季休暇期間中に攻撃の強度が急増した。これは、防御側の隙を探り、発見されるまでの潜伏時間を最大化するために勤務時間外を狙って攻撃を仕掛けるという、ハッカーの傾向と一致する動きだ。
このよく知られた現象は、組織がネットワークをどのように監視し、十分に堅牢な監視体制を確保するかに明確な示唆を与える、と専門家は述べた。
「人間が不在の間、ボットは最も活発だった」と、サイバーセキュリティ企業DynaRiskで脅威インテリジェンス責任者を務めるMilivoj Rajićは述べた。これは、12月19日から今年最初の10日間にかけて収集したハニーポットのデータに基づく。
この3週間でボット活動は急増し、先月は12月25日から12月31日にかけてピークに達してその水準を維持したと、RajićはInformation Security Media Groupに語った。これは、米国、英国、ドイツ、オランダ、セルビアに展開したハニーポットに基づくものだ。
3週間の期間を通じて、悪意ある活動に紐づくIPアドレス数は変化しなかった。むしろ「全体のボリュームが横ばいのままでも、休暇中はIPあたりの攻撃強度が急上昇した」と彼は述べた。
攻撃活動は高度に自動化されているように見えた。「ボットは一貫して、SSH、RDP、Webポート、ルーターといった同じ露出サービスを狙い、侵入経路を探していた」と彼は述べた。この動きは、多くの攻撃、とりわけランサムウェア被害が依然として極めて機会主義的であることを示している。
「金銭目的のランサムウェア運用は、ほぼ完全に機会主義的で、利用可能なアクセスに基づいている」と、サイバーセキュリティ企業Sophosは最近のレポートで述べた。
「このアクセスは、フィッシングキャンペーンで配布されたマルウェア、インフォスティーラーにより窃取された認証情報、またはインターネットに面したサービスの脆弱性悪用によって得られた可能性がある。手法が何であれ、アプローチはランダムで、標的を絞らない」と同社は述べた。
Rajićのハニーポットでは、休暇期間中に狙われた上位10のポートは、HTTPS、HTTP、Telnetで、次いでMikrotik機器で使用されるポート8728、SSH、HTTPプロキシのポート8080、リモートデスクトッププロトコル、DNS、Kerberosだった。攻撃量は通常、深夜0時前後にピークを迎えた。
ハニーポットに関する一つの定説は、常に全体像の一部しか見えないということだ。地域差が生じるのは珍しくない。
同じ期間に、マルウェア、ボットネット、詐欺と戦う非営利のセキュリティ組織であるThe Shadowserver Foundationが運用する別のハニーポット群は、「攻撃元としてのユニークなソースという観点では落ち着きが見られた」と検知した。ただし12月24日前後には急増があったと、同団体のCEOであるPiotr KijewskiがISMGに語った。
その結果はRajićのデータと矛盾しないとKijewskiは述べたが、IPアドレスあたりの攻撃増加が「偶然かどうか」という点は一つの疑問だという。
複数の専門家は、意図的である可能性が高いと述べた。
「私のキャリア全体を通じて、重大なインシデントのほぼすべては週末に発生し、しばしば金曜深夜に始まっていた。悪意ある行為者が検知されるまでの時間を最大化するためだ」と、スコットランド拠点のサイバーセキュリティ・コンサルタントであるDavid Stubleyは述べた。
「組織がインシデントに気づくのは週の始まりであることが多いが、調査の一環として出来事のタイムラインを構築すると、最初の侵害はその早朝の時間帯に起きている。これはランサムウェアでより顕著で、攻撃者は初期侵害から暗号化実行ファイルの最終投下までを迅速に進めようとする」とStubleyは述べた。
2016年のバングラデシュ銀行、2020年のスコットランド環境保護庁、2025年の英国の大手小売業者Marks & Spencerなどに対する著名な攻撃はいずれも、このパターンに従っていた。
バングラデシュ銀行の事件では、攻撃者は金曜日(イスラム教の礼拝日)に攻撃を仕掛けた。SEPAでは、同庁はロシアのContiランサムウェアを操るギャングが「クリスマス・イブの深夜0時1分に」システムの暗号化を開始したと述べた。そしてM&Sは、非正教会系の宗教で祝われる4月のイースター休暇の開始時に、POSおよびオンラインシステムが不具合を起こし始めたことで、Scattered Spiderによるランサムウェア攻撃の最初の兆候を発見した。
攻撃者が休暇、週末、夜間に標的を攻撃する傾向は十分に実証されている。より最近の課題として、彼らが自動化や「AI支援スキャン」ツールをより多く活用し、より速く、より大規模に動けるようになっている点があると、Rajićは述べた。
「偵察と脆弱性発見の大部分は完全に自動化されている。AIシステムが有望なものを検出すると、自動的に悪用することがあり、より複雑なケースでは人間の攻撃者が介入して検証し、さらに脆弱性を武器化する」と彼は述べた。
攻撃者の進む方向がこうである以上、防御側にとっての重要な教訓は、監視レベル、インシデント対応計画、テーブルトップ演習にこれを織り込むことだと専門家は述べた。
The Shadowserver FoundationのKijewskiは、休暇、夜間、週末にネットワークを綿密に監視している組織は、むしろ攻撃者を見つけやすくなる可能性があると述べた。「一般的にユーザー活動が少ないため攻撃がより目立ち、異常を見つけやすいかもしれない」と彼は述べた。
多くの組織は、コスト削減目的や過度な楽観主義のために、休暇中に十分な人員を確保していない。自らが招いているリスクを理解していない可能性がある。攻撃者は「防御側が対応する準備が最も整っていない瞬間を意図的に選ぶ」とRajićは述べた。
「オンコール体制を持つことと同じくらい重要なのが、そのチームの質だ。休暇中のカバレッジが専門性の低下を意味してはならない。明確なルール、手順、エスカレーション経路、侵害指標は事前に定義され、当直スタッフによって一貫して遵守されなければならない」と彼は述べた。
翻訳元: https://www.databreachtoday.com/holiday-hits-hackers-love-to-strike-when-defenders-are-away-a-30631
