企業の内部ネットワークが一度侵害されると、マルウェアよりも自動化されたスクリプトによって荒らされる可能性が高くなります。
これはIBM X-Forceの研究者によるもので、2018年に分析した攻撃のうち、ローカルにインストールされたファイルを利用したものはわずか43%でした。ハッカーたちはPowerShellスクリプトを利用して、ファイルシステムにほとんど触れることなく、メモリ内で不正行為を実行していました。
この調査結果は、管理者がサイバー侵入を特定するために、ハードドライブやその他のストレージ上の悪意のある実行ファイルや同様のデータを検出することだけに頼ることができなくなったことを改めて思い出させるものであり、重要です。
ローカルマルウェア感染の場合と同様に、攻撃者はまず悪意のあるコマンドを実行する権限を取得する必要があります。異なるのは次のステップです。攻撃者は感染したWindowsマシンにトロイの木馬ペイロードをダウンロード、保存、実行させるように指示するわけではありません。
むしろ、この攻撃はPowerShellを用いてメモリ内で完全に実行されます。Microsoftの強力なスクリプト言語であるPowerShellは、パスワードの収集・窃取から暗号通貨のマイニングまで、あらゆる用途に利用されます。PowerShellの悪用を防ぐために、スクリプトにデジタル署名を要求するなど、PowerShellに保護対策を施すことは可能です。
「PowerShell はデータの収集と分析には便利ですが、悪意のある攻撃者にも好まれています。彼らは、PowerShell を使用してファイルシステムを無視し、悪意のあるコードをメモリに直接挿入することで難読化を強化し、マルウェアの展開を検出するように設計されたセキュリティ制御を回避することが多いのです」と IBM のレポートには記されています。
Windows 10 のセキュリティに関する質問: 悪意のある人物はハッキング後の持続性を保つためにこれをどのように使用するのでしょうか?
続きを読む
過去数年間、あらゆるスキルレベルの脅威アクターがPowerShellを活用し、その能力を拡大してきました。IBM X-Force IRISは、PowerShellスクリプト内に完全な悪意のあるツールキットが含まれていた事例を確認しています。
場合によっては、企業データを盗むために、極めて高度なエクスプロイトを実行する必要さえありません。X-Forceのレポートによると、データベースやストレージバケットがインターネットに公開されたまま放置されるといった設定ミスによるインシデントも昨年比20%増加し、X-Forceが昨年追跡したすべての漏洩記録の43%を占めています。
公開されたファイルや記録自体に加えて、誤った構成によって、パスワードや電子メール アドレスなどが関連付けられ、他のサービスの他のアカウントにログインしてさらに悪意のある行為を行う際に間接的に他の攻撃につながる可能性もあります。
最後に、報告書は、実績のあるソーシャル エンジニアリング攻撃はこれまで同様に効果的であり続けていることを明らかにしました。
昨年、IBMは分析した攻撃の29パーセントがフィッシング攻撃であり、そのうち45パーセントが特定の従業員を狙った攻撃(X-Forceがビジネスメール詐欺と呼んでいるもの)であったことを発見した。
「ソーシャル エンジニアリング詐欺の中で最も利益率の高いタイプといえば、BEC がここ数年、あらゆる業界や地域で増加傾向にある」と X-Force は指摘しています。
巧妙な攻撃方法がいろいろあるにもかかわらず、電信送金を要求する偽の「CEO」メールは、今でも企業から現金を騙し取る確実な方法であるようです。®
