サイバー犯罪者はパスワードの窃盗を急成長する企業へと変貌させ、クレデンシャルストアを標的とするマルウェアは2023年のサンプルの8%から2024年には25%へと3倍に急増した。
この驚くべき急増は、Picus Labsが新たに発表した「Red Report 2025」から得られた多くの知見の1つです。このレポートは、100万件を超えるマルウェアのサンプルを分析し、ハッカーが最も頼りにしている手口を特定したものです。
この調査結果は、まるで「完璧な強盗」の青写真のようであり、現代の攻撃者がいかにステルス性、自動化、持続性を組み合わせて、検知されることなくシステムに侵入し、データを略奪するかを明らかにしている。
また、メディアはAIを利用した攻撃について騒いでいますが、私たちの分析によると、マルウェアにおけるAIの暗い魅力は、現実よりも神話に近いものであることが明らかになっています。
包囲されるクレデンシャル:窃盗の試みが3倍増加
報告書によると、クレデンシャルの窃盗は脅威行為者にとって最優先事項となっている。パスワードストアからクレデンシャルを盗む手口(MITRE ATT&CK technique T1555)が初めて、最も使用されている攻撃者手口のトップ10に入りました。
攻撃者は、パスワード・マネージャ、ブラウザに保存されたログイン、およびキャッシュされた認証情報を積極的に狙っており、基本的に「王国の鍵を渡す」ことになります。
これらの盗まれたパスワードにより、攻撃者は静かに特権をエスカレートさせ、ネットワーク内を横方向に移動することができるため、認証情報の窃盗はサイバーキルチェーンにおいて非常に有利な段階となっている。
トップ10のATT&CKテクニックが優勢(攻撃の93)
もう1つの重要な発見は、攻撃者の行動がいかに集中しているかということです。200を超えるMITREのATT&CKテクニックのうち、マルウェアの93%に上位10個のテクニックのうち少なくとも1つが含まれています。言い換えれば、ほとんどのハッカーは、試行錯誤の末に確立された戦術を中核とするプレイブックに依存しているということです。
その中でも特に重要なのは、ステルス技術と正規ツールの悪用です。例えば、プロセスインジェクション(T1055)は、悪意のあるコードを正規のプロセスにインジェクションすることで隠蔽する手法で、分析対象となったマルウェアの31%に見られました。
同様に、コマンドおよびスクリプト・インタープリタ(T1059)も横行しています。これは、攻撃者が内蔵のスクリプト・ツール(PowerShellやBashなど)を活用して、アラームを発することなくコードを実行するためです。そして、前述のように、パスワードストアからのクレデンシャル(T1555) が急増し、トップテクニックの1つになりました。
.ia_ad { background-color:.ia_ad{background-color:#f0f6ff;width:95%;max-width:800px;margin:15px auto;border-radius:8px;border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black!important; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .
攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10
1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%の背後にあるトップ10のMITRE ATT&CKテクニックとその防御方法をご覧ください。
完璧な強盗」:SneakThief情報泥棒の台頭
2024年の攻撃を比喩で表すなら、それは「完璧な強盗」です。Picus Labsの研究者は、「SneakThief」と呼ばれる新種の情報窃取マルウェアについて、綿密に計画された強盗のような多段階かつ精密な攻撃を実行すると説明している。
これらの高度な情報窃取者は、ステルス性を持ってネットワークに溶け込み、自動化を採用してタスクを高速化し、持続性を確立して周囲に張り付く。SneakThief スタイルの作戦では、マルウェアは信頼されたプロセスに静かに侵入し、通信に暗号化されたチャネル(HTTPS、DNS-over-HTTPS)を使用し、さらにはブートレベルの自動実行を悪用してリブートを乗り切ることもあります。
このようなことはすべて、攻撃者が貴重なデータの流出を計画的に探している間に行われ、多くの場合、攻撃者がそこにいることに誰も気づかないうちに行われます。
Red Reportによると、このような多段階の「強盗型」キャンペーンは、2024年にはますます一般的になり、ほとんどのマルウェアは、その目的を達成するために10以上の個別の悪意のあるアクションを実行するようになっています。また、情報窃取とランサムウェアの恐喝を組み合わせたケースもあります。
攻撃者は、すぐに暗号化を実行する代わりに、まず機密ファイルとパスワードを盗み出します。この進化は、古典的な情報窃盗犯とランサムウェアの一味の間の境界線がいかに曖昧になっているかを明確に示しています。
AIの脅威誇大広告と現実の区別
人工知能がサイバー攻撃に利用されることが話題になっている中、Red Report 2025は現実をチェックしています。
誇大広告が蔓延しているにもかかわらず、Picus Labsは、2024年にサイバー犯罪者がAIを利用した斬新なマルウェアを展開したという証拠を発見できませんでした。攻撃者が生産性を高めるためにAIを活用したことは確かですが(フィッシングメール作成の自動化やコードのデバッグなど)、AIが攻撃の中核となる手口に革命をもたらしたわけではありません。
実際、悪意のある攻撃手法の上位は、大部分が「人間的」なもの(クレデンシャルの窃取、インジェクションなど)にとどまっており、AIが生み出した新たな攻撃手法は登場していない。
このことは、攻撃者がAIを武器化することがないということを意味するわけではないが、現時点では、攻撃者にとってAIはゲームチェンジャーというよりも、むしろ効率性を高めるものである。この報告書は、防御者はAIの開発に注意を払うべきだが、現実世界の脅威は依然として、我々がすでに理解している従来の手法が中心であることを示唆している。
派手なAIマルウェアが見出しを飾るかもしれないが、パッチが適用されていないサーバーや盗まれたパスワードの方が、不正な機械学習アルゴリズムよりもはるかに侵入しやすいということだ。
攻撃者の先を行くプロアクティブな防御と検証
これらの調査結果はすべて、現代の脅威の一歩先を行くには、脅威情報に基づいたプロアクティブな防御が必要である、という明確なメッセージを補強するものです。攻撃を阻止する上で最も有利な立場にあるのは、攻撃者が現在使用している手口を継続的にテストし、セキュリティ対策を整えている組織です。
例えば、悪意のある行動の大部分はわずか 10 の手法でカバーされていることを考えると、セキュリティ・チームは、自社の防御が環境全体で上位 10 の ATT&CK 手法を検出してブロックできることを定期的に検証する必要があります。
Red Report 2025 は、プロアクティブな戦略、つまり、敵対的な暴露の検証によってセキュリティ対策を継続的に評価する戦略のみが、真のサイバーレジリエンスを実現することを強調している。これは、基本的なパッチ適用や臨時の監査にとどまらないことを意味する。
侵入や攻撃のシミュレーション、厳格な脅威ハンティング、一般的な攻撃者の行動に対応したインシデント対応手順の策定といったテクニックは、もはや必要不可欠なものとなっている。
サイバー強盗を待つな – 今すぐ準備せよ
レッドレポート2025のデータに基づく洞察は、サイバー脅威の状況を鮮明に描き出しています。すなわち、野放図に動き回る信用情報窃盗犯、侵害の大部分を可能にする一握りのテクニック、そしてあらゆる組織の防御にストレスを与える新たな「強盗型」攻撃手法です。
良いニュースは、私たちが準備さえしていれば、これらは私たちが戦う方法を知っている戦いであるということです。セキュリティ・リーダーは、これらの発見を、基本を強化し、最も影響の大きい脅威に焦点を当て、セキュリティの検証を実施するための呼びかけとして受け止めるべきである。そうすることで、敵の裏をかき、次の「完璧な強盗」を未然に防ぐことができる。
これらの傾向の深堀りと提言の全リストに関心のある読者は、Picus Red Report 2025の完全版を ダウンロードして、すべての調査結果を直接ご覧ください。
本レポートは、最も重要な脅威に対応するための実践的なデータとガイダンスを豊富に提供しています。攻撃者が自社の弱点を暴露するのを待つのではなく、積極的な姿勢で、効果的で回復力のあるサイバーセキュリティを推進するための洞察力を身につけましょう。
Picus Red Report 2025の完全版を今すぐダウンロードする。
主催・執筆:Picus Security.
Comments