ツール悪用、ClickFix、およびアイデンティティベースの攻撃は、悪意のある者がエンタープライズネットワークに侵入するために展開している最も一般的なテクニックの中にあります。
この頃、サイバーセキュリティに関する多くの議論はAIとそれが悪質な行為者によって使用される場合に企業システムに与える脅威を中心に展開しています。
しかし、地上の現実は多型AI悪意ソフトウェアと犯罪のマスターマインドがマシンラーニングと生成AI を規模に応じて機能させるよりも少し退屈なままです。
それでも、サイバー攻撃者が最近展開している技術における些細なニュアンスと新興トレンドを常に把握することは、サイバー防御者の任務に大いに役立つことができます。
注目すべきことは、攻撃者がますますアイデンティティをシステムに侵入するための好まれた方法として悪用しているということです。
脆弱性の悪用も実践におけるその独自の新興微妙さを伴う重要なベクトルのままですが、フィッシング、盗まれた認証情報、およびソーシャルエンジニアリングは、脅威対応の専門家によると、今日の初期攻撃のより一般的な根本原因の中にあります。
「フィッシング(41%)、盗まれた認証情報(18%)、およびソーシャルエンジニアリング(12%)などのアイデンティティ関連の攻撃テクニックが私たちのインシデント対応の関与を支配している」と、Sophosのカウンター脅威ユニットのディレクターであるアレクサンドラ・ローズはCSOに述べています。
ローズは付け加えます:「攻撃者はますますパッチ処理で対処できない弱点を悪用しようと探しており、代わりにチェーンの人間のリンクである人々を狙っています。」
ハイブリッドおよびクラウド環境の拡大によって作成されたエントリーポイント、AIツールとの統合、および新しいSaaSアプリケーションは、脅威アクターにとって特に魅力的であり、従来のマルウェアを展開する必要なくシステムに侵入することを可能にします。
「攻撃者は攻撃を仕掛けるために、技術的な洗練に頼るのではなく、信頼できるツール、アイデンティティ、およびユーザー行動を悪用しており」、脅威インテリジェンス提供業者ReliaQuestの最新の年間サイバー脅威レポートによると。
ここでは、CSOによって尋ねられたサイバー専門家は、今日企業に対して展開されている最も一般的なサイバー攻撃テクニックを特定します。
ドライブバイRMM悪用
攻撃者はますます正当な遠隔監視および管理(RMM)ツールを悪用して、企業ネットワークへの攻撃を偽装しています。ITチームがシステムをリモートで管理するのを支援するように設計された、ConnectWise ScreenConnect、Tactical RMM、およびMeshAgentなどの人気のあるRMMツールは、攻撃者によってコマンドアンドコントロール、ラテラルムーブメント、およびランサムウェアの展開のために悪用されることが多いです。
現在、RMMツールのトロイア化されたバージョンが、ReliaQuestによると、ドライブバイ侵害を通じて直接ホストに落とされています。ReliaQuestの脅威インテリジェンス提供業者によると、ConnectWise ScreenConnectは2025年12月から2026年2月末までのRMM関連インシデントをリードしました。
例えば、SSL VPN侵害は、Blackpointによると、識別可能なアクティビティの33%を占めていました。
ClickFix
ClickFixは、偽の「修正」プロンプトから悪意のあるPowerShellコマンドを貼り付けて実行するようにターゲットを騙すことを目的とするソーシャルエンジニアリング戦術です。
これらの虚偽のプロンプトは、侵害されたWebサイトまたは操作された検索結果のいずれかから来ているため、このアプローチはメールフィルタやデニーリストなどの従来のセキュリティコントロールをバイパスします。
ClickFixスキャムは、しばしば偽のCAPTCHAページをおとりとして使用します。
この方法は、リモートアクセストロージャンまたはインフォスティーラーを配布するために最も頻繁に使用されますが、攻撃者はまたClickFixをランサムウェア攻撃に組み込むことも開始しました。
「ClickFixの採用は攻撃者スペクトラム全体に拡大し続けており、LeakNetなどのランサムウェアオペレーターは、初期アクセスブローカーからのアクセスを購入するのではなく、ClickFixおとりを使用してキャンペーンを直接実行しています」と、ReliaQuestによると。
アイデンティティベースの攻撃
攻撃者は、システム、データ、またはインフラストラクチャへのアクセスを取得するために、正当なユーザー、マシン、またはサービスをますます偽装しています。この技術は、一部の専門家によると、セキュリティ防御の改善に一部起因して上昇傾向にあり、またソフトウェアの脆弱性を直接悪用するのではなく認証メカニズムを狙う攻撃者の関心を示しています。
「エンドポイント検出および応答テクノロジーは、犯罪者が認証情報を盗む、または泥棒から購入してから、アカウントユーザーとして認証に使用することを強制しました」と、英国に本拠を置くサイバーセキュリティサービス企業Red Helixのサイバーセキュリティ責任者Tom Exelbyは述べています。「アクセスを取得したら、Microsoft Active DirectoryやEntra IDなどのシステムを通じて特権を増加させることができます。」
パスワードを盗む代わりに、攻撃者はマルチファクター認証(MFA)保護をバイパスするためにアクティブな認証トークンを盗みます。
攻撃者がセッショントークンを盗んでMFAをバイパスするためにOAuth同意フィッシングとリバースプロキシキットをますます使用していると、クラウドネイティブセキュリティ企業のNetskopeは追加しています。
「Microsoft 365環境を対象とした攻撃者はまた、仲介者攻撃を採用しています」とRed HelixのExelbyは追加しています。「彼らは、ターゲットと正当な認証サービス間のプロキシとしてフィッシングキットを使用して、認証情報、MFA応答、およびセッションクッキーをキャプチャします。」
サイバー犯罪者は、Tycoon 2FAフィッシングアズサービスなどのプラットフォームを使用して、仲介者(AiTM)攻撃を実行しています。Red Helixによると、このアタックベクトルの多くの被害者は「限定されたサイバーセキュリティリソースを持つ中小企業(SMB)である可能性が高い」とのことです。
フィッシング
フィッシングリンクをクリックする人の数が前年比で減少しているにもかかわらず、一部には改善されたユーザー教育のため、このソーシャルエンジニアの伝統的な形式は問題のままです。
Netskopeによる最近の調査によると、10,000人に87人のユーザーが毎月フィッシングリンクをクリックしています。Microsoftは攻撃者が最も偽装するブランドのままです。
リモートおよびハイブリッドワークフォースは攻撃者にフィッシングと認証情報盗難のより多くの機会を与えており、今やこのような攻撃を促進するAIの力が主な懸念となっています。サイバー犯罪者はAIを使用して、高度にパーソナライズされたフィッシングおとり、自動化された偵察、および合成音声とディープフェイク攻撃を開発しています。
機械アイデンティティのハッキング
機械アイデンティティの急速な増加は、企業システムへの道を求める攻撃者にとって豊かな情報源であることが証明されています。これの多くは、サービスアカウント、コンテナ、API、およびDevOpsの自動化の使用増加によるものですが、自律型AI活動の約束を伴う代理AIは、セキュリティ組織にとって懸念の別の新興源です。
「非人間のアイデンティティがインフラストラクチャの中心となっているため、攻撃者は必然的にサービスアカウントとAPIアイデンティティの侵害に焦点を当てており、これにより長寿命の認証情報と幅広い権限が得られる」と、Red HelixのExelbyは述べています。
Exelbyは付け加えます:「機械アイデンティティはしばしば弱い保護を持ち、悪名高く見えない、そして不十分に管理されています。」
多くのクライアントのシステムへの特権付きアクセスを保持するマネージドサービスプロバイダーは、サプライチェーン攻撃を実行するための潜在的なルートとして攻撃者にとって磁気的な魅力を持っています。中堅企業でも、数百のSaaSアプリケーションと犯罪者が悪用できる数千のアイデンティティを持つ可能性があります。
Shai-Hulud: サプライチェーン攻撃の進化
2025年9月、認証情報を盗むコードが数十のnpmライブラリを通じて広がり、サプライチェーン攻撃に現代的なひねりを加えました。Shai-Huludとして知られるようになったものには、自己伝播ロジックが含まれており、侵害されたメンテナーが所有するプロジェクトに自動的に複製および注入することで、最終的に数百のパッケージに拡散する可能性がありました。
npmサプライチェーンワームの後の版(「Shai-Hulud 2.0」)はクラウド認証情報盗難に拡大し、昨年の前の版以来ReliaQuestの攻撃技術リストで最も重要な新しいエントリになっています。
「[マルウェアの]自己複製の性質は、開発パイプラインに入ったら特に困難な封じ込めを作る」とReliaQuestは警告しています。
対抗措置
ReliaQuestは、ディフェンダーはClickFix固有のユーザー訓練を優先し、リモート監視および管理(RMM)ツール許可リストを実施し、SaaS監査ログを集約するべきだとアドバイスしています。
アイデンティティベースの攻撃の波に対する保護には、層型防御へのシフトが必要です。
「層型防御には、フィッシング耐性のある認証、ハードウェアセキュリティキー、FIDO2パスワードなしのアプローチ、または認証情報盗難と仲介者攻撃を減らすための証明書ベースの方法を含める必要があります」とRed HelixのExelbyは述べています。
Exelbyは付け加えます:「ゼロトラストと最小権限アクセス原則は不可欠であり、デバイスの姿勢、ユーザー行動、およびリスクスコアリングと共にネットワークコンテキストを使用して継続的に検証します。アカウントの時間制限付きアクセスはこれの一部であるべきです。」
