M-Trends 2025: 最前線からデータ、分析情報、推奨事項をお届け
Jurgen Kutscher
Vice President, Mandiant Consulting, Google Cloud
※この投稿は米国時間 2025 年 4 月 24 日に、Google Cloud blog に投稿されたものの抄訳です。
脅威アクターは、進化を続けるサイバー防御の状況に対応する 1 つの方法として、攻撃の高度化を図っています。この傾向は当社が関わる多くの案件で見られ、特に中国に関連するグループに対応する場合に顕著です。脅威アクターは、カスタム マルウェアのエコシステムを構築し、セキュリティ アプライアンスやその他のアプライアンスでゼロデイ脆弱性を特定して悪用し、ボットネットに似たプロキシ ネットワークを利用し、エンドポイントでの検出と対応が以前から不十分なエッジデバイスやプラットフォームを標的にし、マルウェアにカスタム難読化機能を組み込む能力があることが明らかになっています。こうした追加の手順を踏むことで、脅威アクターは検出を回避し、分析を阻止して、最終的にシステムに長期間滞留しています。
ただし、成功する攻撃のすべてが高度に複雑で技術的なものとは限りません。多くの場合、攻撃者はシステムの隙を見つけて、それを巧みに利用します。たとえば、情報窃取オペレーションで盗んだ認証情報を使用して初期アクセスを得ている場合があります。Mandiant は、こうした情報窃取型マルウェアの使用が急増していることを確認しています。今では、盗まれた認証情報が初期感染ベクトルとして 2 番目に多く、調査対象全体の 16% を占めるまでになっています。攻撃者が隙を利用するその他の方法としては、クラウド移行で生じるギャップやリスクを悪用する場合と、セキュリティが不十分なデータ リポジトリを標的にして認証情報やその他の機密情報を入手する場合があります。
Mandiant はこのたび、第 16 号となる年次レポート M-Trends 2025 をリリースしました。組織があらゆる種類の攻撃に対して事前に対策を講じられるよう支援するこのレポートでは、最新のサイバー脅威に関する重要な分析情報を防御側の組織に提供するために、さまざまなトレンドについて深く掘り下げ、インシデント対応業務の最前線からデータや分析をご紹介しています。
データとトレンド
M-Trends 2025 のデータは、Mandiant Consulting の 45 万時間を超える調査に基づいています。指標は、2024 年 1 月 1 日から 2024 年 12 月 31 日の間に行われた標的型攻撃アクティビティを調査した内容に基づいています。M-Trends 2025 の主な調査結果は次のとおりです。
-
2024 年に活動していた脅威グループの 55% は金銭目的で、これは着実に増加しています。脅威グループの 8% はスパイ活動を目的としていました。
-
初期感染ベクトルとして引き続き最も多かったのは脆弱性利用型不正プログラムです(33%)。2024 年には認証情報の盗難が初めて 2 番目に多くなりました(16%)。
-
攻撃の標的となった上位の業種は、金融(17.4%)、ビジネスサービスとプロフェッショナル サービス(11.1%)、ハイテク(10.6%)、政府(9.5%)、医療(9.3%)です。
-
全世界での滞留時間の中央値は、2023 年の 10 日間から 11 日間に増加しました。全世界での滞留時間の中央値は、外部から通知された場合は 26 日間、攻撃者から通知された場合は 5 日間(ランサムウェアの場合)、組織が内部で悪意のあるアクティビティを発見した場合は 10 日間でした。
M-Trends 2025 では、前述の情報窃取型マルウェア、クラウド、セキュリティが不十分なデータ リポジトリに関する傾向、その他のトピック(以下を含む)について詳しく説明しています。
-
朝鮮民主主義人民共和国は国民をリモート IT 契約者として配置し、偽造 ID を使用して収益を上げ、国益のための資金にしています。
-
イラン関連の脅威アクターは 2024 年にサイバー作戦を強化しました。特にイスラエルの組織を標的にし、侵入の成功率を高めるためにさまざまな手法を使用しています。
-
攻撃者は、シングル サインオン ポータルなど、中央認証機関のクラウドベースのストアを標的にして、広範なアクセス権を獲得しようとします。
-
暗号通貨やブロックチェーンなどの Web3 テクノロジーを標的とした盗難、マネー ロンダリング、違法行為への資金提供が増加しています。
組織への推奨事項
M-Trends 2025 の各記事では、組織がサイバーセキュリティ ポスチャーを強化するための重要な推奨事項が提示されています。そのうちいくつかは、複数のトレンドに適用できます。各組織には、次のことをおすすめします。
-
健全な基盤を重視し、脆弱性管理、最小権限、セキュリティ強化といった階層化されたセキュリティ アプローチを導入
-
すべてのユーザー アカウント、特に特権アカウントに FIDO2 準拠の多要素認証を適用
-
高度な検出技術に投資し、堅牢なインシデント対応計画を策定
-
ロギング手法とモニタリング手法の改善により、不審なアクティビティを特定し、滞留時間を短縮
-
セキュリティ侵害インジケーターをプロアクティブに検索する脅威ハンティング演習を検討
-
クラウドへの移行とデプロイに強固なセキュリティ管理を導入
-
クラウド環境の脆弱性や構成ミスを定期的に評価、監査
-
従業員(特にリモート ワーカー)に対する徹底した検査プロセスの実施、不審なアクティビティのモニタリング、厳格なアクセス制御の適用により、インサイダー リスクを軽減
-
最新の脅威インテリジェンスを常に把握し、それに応じてセキュリティ戦略を調整し、セキュリティのポリシーや手順を定期的に見直して更新することで、進化する脅威に対処
対応の準備
M-Trends の使命は、進化を続ける最新のサイバー攻撃に関する分析情報を最前線からセキュリティ専門家に届け、組織のセキュリティを強化するための実用的で実践的な学びを得ていただくことです。
今すぐ M-Trends 2025 レポートの全文をご覧ください。また、M-Trends 2025 ウェブセミナー シリーズにお申し込みください。レポートで取り上げているデータ、トピック、推奨事項について詳しくご確認いただけます。また、データとトレンドの概要と、重要な推奨事項が掲載されている M-Trends 2025 エグゼクティブ エディションもご利用いただけます。
-Jurgen Kutscher