サイバー攻撃の最前線：D3 Securityが明かす最も一般的な手法と防衛策

D3 Securityが75,000件以上の最近のサイバーセキュリティインシデントを分析し、MITRE ATT&CK技術の中で最も一般的な攻撃方法を特定した。この分析によると、コマンドとスクリプティングインタープリター（T1059）が52.22%の攻撃で使用され、最も一般的な技術であることが明らかになった。次いで、フィッシング（T1566）が15.44%で2番目に一般的な手法であった。

攻撃者は、データの収集やペイロードのダウンロードと抽出などの悪意のあるタスクを自動化するため、またはアンチウイルスソリューションや拡張検出と対応（XDR）などを回避するために、PowerShellやPythonなどの人気のある言語でスクリプトを書く。これらのスクリプトに対処するには、潜在的に悪意のある行動の検出と、権限とスクリプト実行ポリシーに対する厳格な監視を組み合わせた徹底的なインシデント対応計画が必要である。

フィッシング攻撃では、被害者に重要な情報を明かさせ、感染したアカウントやデバイスへの足がかりを得ることが目的である。このような攻撃から保護するためには、従業員への定期的な教育と意識向上キャンペーンが有効である。

また、攻撃者が合法的なアカウントにアクセスすることもあり、これらのアカウントは、さまざまな不正行為のためのカバーを提供する。従業員が悪意のあるPDFやURLをクリックした場合でも、強力な多要素認証（MFA）が攻撃者にとっての障壁となる。異常検出ツールも、例えば遠隔地のIPアドレスからの奇妙なユーザー接続や予期されない行動をする場合に役立つ。

ブルートフォース攻撃は、弱い、再利用された、変更されていないパスワードの普及により存続している。十分に強力なパスワードの使用は、この問題を完全に防ぐ最も簡単な方法である。また、繰り返しログイン試行後にユーザーをロックアウトするなどの小さなメカニズムも効果的である。

攻撃者がフィッシング、ブルートフォース攻撃、またはその他の手段を使用して特権アカウントにアクセスした後、そのアカウントを利用して対象システム内での位置を固めることができる。アカウントのコンプロマイズから生じる損害を軽減するために、D3は、敏感なリソースへのアクセスに対する厳格な制限の実施と、最小限のアクセス権限の原則に従うことを推奨している。

【ニュース解説】

D3 Securityが行った分析によると、75,000件以上の最近のサイバーセキュリティインシデントの中で、最も一般的に使用された攻撃手法は「コマンドとスクリプティングインタープリター（T1059）」であり、全攻撃の52.22%を占めています。これは、攻撃者がPowerShellやPythonなどの人気のある言語を使用して、悪意のあるタスクを自動化する技術です。次に一般的な手法は「フィッシング（T1566）」で、15.44%のインシデントで使用されました。これは、被害者に重要な情報を提供させることを目的とした攻撃です。

これらの攻撃手法に対抗するためには、様々な防御策が必要です。コマンドとスクリプティングインタープリター攻撃には、潜在的に悪意のある行動を検出し、権限とスクリプト実行ポリシーを厳格に監視する包括的なインシデント対応計画が求められます。フィッシング攻撃に対しては、従業員への定期的な教育と意識向上キャンペーンが有効です。また、多要素認証（MFA）や異常検出ツールの使用も、攻撃者が合法的なアカウントにアクセスするのを防ぐための重要な手段となります。

さらに、ブルートフォース攻撃は、弱いパスワードの使用によって可能となるため、強力なパスワードの使用や、繰り返しのログイン試行後にユーザーをロックアウトするなどの対策が効果的です。また、攻撃者が特権アカウントにアクセスした後にその位置を固めることを防ぐためには、敏感なリソースへのアクセスに対する厳格な制限の実施と、最小限のアクセス権限の原則に従うことが推奨されます。

これらの攻撃手法と防御策を理解することは、組織がサイバーセキュリティの脅威から自身を守るために不可欠です。攻撃者は常に新しい手法を開発しているため、セキュリティ対策も進化し続ける必要があります。組織は、最新の脅威に対応するために、定期的な教育、適切なツールの導入、そして厳格なポリシーの実施を通じて、防御策を強化し続けるべきです。

from Top MITRE ATT&CK Techniques and How to Defend Against Them.