サイバーニュース.jp

世界のサイバーなニュースを配信

デジタル寄生虫の台頭:ランサムウェアから常駐型攻撃へ

カテゴリ:

サイバー攻撃の新たな潮流:Picus Labsの警鐘

2026年2月11日(水)にPicus Labsが発表した「Red Report 2026」によると、サイバー攻撃の様相が劇的に変化しています。これまでの「破壊」を目的としたランサムウェア攻撃から、「長期的な、検出されないアクセス」を追求する「デジタル寄生虫」のような手法へとシフトしていることが明らかになりました。2025年中に観測された110万以上の悪意あるファイルと1550万のアドバーサリーアクションを分析した結果、攻撃者たちはシステムを停止させるのではなく、静かに環境に潜伏し、機密情報を搾取することに焦点を移していることが示されています。

ランサムウェア戦略の転換:暗号化から恐喝へ

かつてサイバーリスクの明確な指標であったランサムウェアによる「データ暗号化(T1486)」は、2024年の21.00%から2025年には12.94%へと38%も減少しました。これは攻撃者の能力低下を示すものではなく、戦略的な転換を意味します。攻撃者は、システムを稼働させたまま次の行動を起こすことで、より効果的に利益を得ようとしています。

  • 機密データの静かな持ち出し
  • 認証情報やトークンの窃取
  • 環境内への長期的な潜伏
  • システム停止ではなく、恐喝を通じた圧力行使

この変化により、攻撃の影響はシステムのロックではなく、攻撃者が検知されずにシステム内アクセスをどれだけ維持できるかで定義されるようになっています。

認証情報窃取が新たな支配の経路に

攻撃がステルス性と持続性を重視するようになるにつれて、「認証情報」がシステムの制御を握る上で最も確実な手段となっています。「Credentials from Password Stores (T1555)」は、観測された攻撃の約4分の1(23.49%)に登場し、過去1年間で最も支配的な行動の一つとなりました。攻撃者は、ブラウザ、キーチェーン、パスワードマネージャーから保存された認証情報を直接抽出し、それを利用して特権昇格や横移動を静かに行います。

ステルス性を極めるMITRE ATT&CKテクニック

Red Report 2026は、MITRE ATT&CKフレームワークの中でも、特に回避、永続性、ステルス性の高いコマンド&コントロールに特化したテクニックが上位8つを占めていることを明らかにしました。これは、攻撃者が即時の破壊よりも最大滞留時間を最適化していることを示しています。

  • T1055 – プロセスインジェクション: マルウェアを信頼されたシステムプロセス内で実行させ、悪意のある活動と正当な実行を区別しにくくします。
  • T1547 – ブートまたはログオン時の自動実行: 再起動やユーザーログイン後も持続性を確保します。
  • T1071 – アプリケーション層プロトコル: 攻撃者トラフィックを通常のウェブおよびクラウド通信に紛れ込ませる「ささやきチャネル」を提供します。
  • T1497 – 仮想化およびサンドボックス回避: 分析環境を検知し、監視されていると判断した場合に実行を拒否します。

これらのテクニックの組み合わせにより、攻撃者は正当なプロセスとツールを使用して、広く信頼されているチャネルを介して静かに活動を行います。シグネチャベースの検出はこのような環境では機能しにくく、振る舞い分析の重要性が増しています。

自己認識型マルウェアの台頭:サンドボックス回避の進化

ステルス性が成功の主要な尺度となるにつれて、検出を回避するだけでは不十分となりました。攻撃者は、防御側がマルウェアの振る舞いを観察するために使用するツールをも回避する必要があります。仮想化およびサンドボックス回避(T1497)が上位の攻撃テクニックに浮上したことは、この傾向を明確に示しています。

現代のマルウェアは、行動を起こす前に自身がどこで実行されているかを評価します。単純なアーティファクトチェックに依存するのではなく、一部のサンプルは実行コンテキストやユーザーインタラクションを評価し、実際の環境で動作しているかどうかを判断します。例えば、LummaC2はマウスの移動パターンを分析し、人間のインタラクションと自動化されたサンドボックス環境特有の線形運動を区別していました。人工的な条件が検出された場合、意図的に実行を抑制し、ひっそりと時を待つという振る舞いを見せました。

AIの現実:進化であり革命ではない

攻撃者が適応的な振る舞いを見せる中で、AIがサイバー攻撃の状況にどのように適合するのかという疑問が生じます。Picus Red Report 2026のデータは、AIがマルウェアの状況を根本的に変えるような大きな変化は、2025年のデータセットでは観測されなかったことを示唆しています。プロセスインジェクションやコマンド&スクリプトインタープリタといった長年のテクニックが引き続き実際の侵入を支配しており、攻撃者が現代の防御を回避するために高度なAIを必要としないことが裏付けられています。

一部のマルウェアファミリーはLLM APIを実験的に使用し始めていますが、その使用範囲は限定的です。観測されたケースでは、主に事前定義されたコマンドの取得や便利な通信レイヤーとして利用されており、効率性を向上させるものの、攻撃者の意思決定や実行ロジックを根本的に変えるものではありません。データが示すところでは、AIはマルウェアの状況を再定義するのではなく、既存の攻撃手法に吸収されつつあると言えます。

異なる脅威モデルに対応するための基本原則への回帰

現代の攻撃は、以下を優先しています。

  • 検知されないこと
  • 信頼されたIDとツールを悪用すること
  • 防御を静かに無効化すること
  • 長期的なアクセスを維持すること

組織は、現代のセキュリティの基本原則、すなわち行動ベースの検出、認証情報の衛生管理、継続的なアドバーサリー露出検証を強化することで、劇的な攻撃シナリオではなく、現在実際に成功している脅威に焦点を当てることができます。Picus Securityは、現在の攻撃者が使用している特定のテクニックに対する防御の検証に注力しており、単なる目立つ攻撃ではなく、静かで持続的な侵害という本当のリスクに対処するための洞察を提供します。

元記事: https://thehackernews.com/2026/02/from-ransomware-to-residency-inside.html

投稿をさらに読み込む