本文の内容は、2024年12月18日に Marla Rosner が投稿したブログ(https://sysdig.com/blog/refresh-yourself-on-2024-top-cyber-attack-trends-to-stay-safe-in-2025/)を元に日本語に翻訳・再構成した内容となっております。
2024年もいよいよ残りわずかとなりました。今年はあまりに多くの出来事があり、その半分を思い出すのも難しいほどです。パリで開催されたオリンピックでは、射撃、ブレイクダンス、あん馬が世界中の注目を集めました。また、1979年以来初めてアメリカで皆既日食が観測され、多くの人々が空を見上げました。そして、ケンドリック・ラマーとドレイクの間で繰り広げられた数ヶ月にもわたる熱いラップバトルも話題を呼びました。
また、例年通り、多くのサイバー攻撃がありました。しかし、2024年には、攻撃者が世界中の組織に脅威を与える新しい方法を見つけるようになりました。常に変化するリスクの状況に対応する最善の方法は、脅威の調査です。そのため、Sysdigの脅威リサーチチーム(TRT)は、 SSHDバックドア、システムコール回避、AWS WAFのバイパスなど、知っておく必要のある最新の脅威に関する情報を一貫して迅速に提供するよう努めています。
2024 年も終わりに近づきましたので、この 1 年間の TRT の調査結果から得られた最大のポイントを振り返り、2025 年に組織を最も効果的に保護する方法を考えてみましょう。
1. LLMジャッキングは新たな脅威である
今年、まったく新しいタイプの攻撃が出現しました。LLMジャッキングです。これは、2024年5月にSysdig TRTによって初めて特定されました。大規模言語モデル(LLM)は、人間の言語を理解して生成するAIの新しい能力の鍵であり、ほぼすべての業界でますます重要になっていますが、安価ではありません。
LLM ジャッキング攻撃では、脅威アクターは盗んだクラウド認証情報を使用して、組織の LLM に不正アクセスします。個人使用が動機となる場合もありますが、特定の LLM サービスから締め出されている組織や制裁対象国に所在する組織を含む第三者に不正アクセスを販売することが目的になることが増えています。
理由が何であれ、LLM の使用にはコストがかかるため、このように標的にされた組織にかかるコストは高く、その額は増加し続けています。Sysdig TRT がこの攻撃を初めて発見したとき、被害者は 1 日あたり推定 46,000 ドルの損害を被りました。現在、LLM (およびその実行コスト) が進化するにつれて、被害者に対する LLM ジャッキングのコストは1 日あたり 100,000 ドル以上に膨れ上がっています。また、LLM の研究が急速に進んでいることから、この傾向は続くと思われます。つまり、2025 年には、最小権限の原則を順守し、クラウドで侵害された可能性のある資格情報や異常なアクティビティを監視することがこれまで以上に重要になります。
2. AIと自動化が攻撃を加速させる
おそらく、職場での AI の利点については、あらゆる情報源から聞いたことがあるでしょうし、自分で体験したこともあるでしょう。AI は、時間のかかる単調な作業を自動化し、退屈な作業を瞬時に終わらせることで、人間がより創造的で高度な思考に集中できるようにします。
残念ながら、これらの利点は悪意のある行為者にとっても同様に有益で便利です。昨年は、主に自動化によって攻撃の規模と速度が拡大し続けました。
一例として、2024 年 2 月に発生したMeson Crypto CDN 攻撃が挙げられます。Meson Network (MSN) は、従来のクラウドストレージを置き換えることを目的とした Web3 上のブロックチェーンプロジェクトです。被害者の環境にアクセスしてからわずか数分で、攻撃者は侵害したクラウド アカウントを使用して 6,000 個のノードを作成しようとしました。このプロセス全体が自動化されていたため、リージョンごとに 500 個のマイクロサイズ EC2 インスタンスの各バッチを起動するのに約 20 秒かかりました。これらの 6,000 個のノードにより、被害者は 1 日あたり最大 22,000 ドルの損害を被る可能性があります。そして、これはすべて、かつては不可能だったスピードで発生しました。
SysdigのTRTは、以前より、エクスプロイトが発見されると、攻撃が実行されるまでの平均時間が10分未満であることを明らかにしています。攻撃をさらに高速化するための自動化の進展は、リアルタイムの脅威検出と迅速な対応の必要性を一層浮き彫りにしています。実際、脅威に対応するためには、セキュリティチームも独自の高度なAIを導入する必要があるでしょう。その一例が、AIによるクラウドセキュリティアナリストであるSysdig Sage™です。
3. 脅威アクターはオープンソースツールを悪用している
オープンソース ツールは、サイバーセキュリティ コミュニティのバックボーンであり、私たちはお互いの安全を守るために知識とリソースを共有しています。また、ユーザーの異常なアクティビティや疑わしいアクティビティを注意深く監視している場合でも、有名で評判の良い OSS ツールをユーザーがダウンロードして使用することを疑うことはほとんどありません。しかし、攻撃者は、OSS ツールが完璧な隠れ蓑になり得ることに気づき始めています。
2024年、悪意のある攻撃者は複数のオープンソースツールを武器化しましたが、最も注目すべきインシデントはCRYSTALRAY脅威グループによるものでした。オープンソースの侵入テストツールSSH-Snakeは1月に公開されました。それから1か月も経たないうちに、Sysdig TRTは、CRYSTALRAYがSSH-Snakeを他のいくつかのオープンソースツールと組み合わせて、Confluenceの脆弱性を悪用した攻撃活動に利用していることを発見しました。
7 月までに、CRYSTALRAY は 1,500 人以上の被害者を抱え、その認証情報を闇市場で販売しました。この脅威グループは 7 月のブログの後に活動を終了したようですが、それでもなお、憂慮すべき傾向の注目すべき例として残っています。同様の脅威から保護するために、組織は実行時に脅威を検出できるFalcoのようなツールを必ず用意する必要があります。結局のところ、攻撃が発生したらすぐに検知できれば、調査を迅速化でき、リスクを最小限に抑えることができます。
4. 攻撃者は長期戦を仕掛けている
大規模なサイバー侵害は、組織を一撃で危険にさらす、迅速かつ大規模な攻撃であると考える傾向があります。しかし、Sysdig TRT が 2024 年に行った最も衝撃的な発見の 1 つは、 10 年もの間、気付かれずに被害者からひそかに資金を吸い上げていたボットネット グループ、 RUBYCARPの発見だったかもしれません。
どうしてこんなことが可能なのでしょうか? RUBYCARP の主な手口は、クリプトマイニング、DDoS、フィッシングなど、さまざまな公開エクスプロイトやブルートフォース攻撃を使用して展開されたボットネットです。RUBYCARP は、一度に巨額の報酬を得るのではなく、キルチェーンの要件を定期的にカスタマイズして更新し、さまざまな脆弱性を狙って、検出を逃れて安定した収入源を確保していました。RUBYCARP のように長期間目立たずにいられれば、収入はどんどん増えていきます。あるメンバーは、わずか 2 年間で 10 万ルーマニア レイ、つまり約 22,800 ドルを稼いだことが判明しました。
より多くの攻撃者が、隠れる時間が長ければ長いほど、より多くの金銭と情報を引き出せることに気付き、長期的にはより大きな影響をもたらすことがよくあります。そのため、サイバーセキュリティ戦略を策定する際には、DDoS のように従来は影響が低いと考えられていた攻撃を見落とさないことが重要です。悪意のある攻撃者が何年もの間、検知されずに自宅の壁に潜んでいるのは、絶対に避けたいことです。
LLM ジャッキング、自動化およびオープンソース ツールの悪意ある使用、ますます巧妙化する脅威キャンペーンなど、2025 年の脅威への取り組みは困難に思えるかもしれません。しかし、知ることは戦いの半分です。脅威リサーチの最新情報を把握しておくことで、それに応じた計画を立てることができます。2025 年に不意を突かれることがないように、新年のサイバーセキュリティの決意を固める際には、これらの最新動向を念頭に置いてください。
さらに詳しく知りたいですか? 2024 年の世界的脅威レポートの全文をこちらでご覧ください。