はじめに:サイバー攻撃の新たな手口
2025年前半、FortiGuardインシデント対応チームは、金銭目的の脅威アクターによる複数の業界にわたる数十件のセキュリティ侵害を調査しました。これらの調査から明らかになったのは、攻撃者が複雑でマルウェアに依存した手法を捨て、盗まれた認証情報を使用してログインし、正規のリモートアクセスツールを悪用して通常の業務にシームレスに溶け込むという、欺くほどシンプルな手法に移行しているという顕著なパターンです。この変化は、現代のサイバー犯罪者の手口における根本的な変化を示しています。洗練されたインプラントやゼロデイエクスプロイトを展開するのではなく、金銭目的の攻撃者は、防御側が見過ごしがちな正規のユーザーアカウントやリモート管理ソフトウェアを武器にしています。この調査結果は、2025年上半期のFortiRecon脅威インテリジェンスレポートのデータと密接に一致しており、外部への認証情報漏洩の傾向が、多様な業界セクターにおけるアクティブなインシデント対応中に観察されたものと類似していることを示しています。
初期アクセスと被害業界
調査されたほとんどのケースにおける初期アクセス経路は、一貫した手口に従っていました。攻撃者は、認証情報窃取型フィッシングキャンペーン、パスワードの使い回し悪用、または初期アクセスブローカーから驚くほど低価格で侵害されたアカウントを購入することによって、有効な認証情報を入手していました。収益が1億ドル未満の組織の場合、新興経済国では盗まれた認証情報の費用はわずか100〜500米ドルであり、この攻撃ベクトルは脅威アクターにとって経済的に抗しがたいものとなっています。被害者ネットワークに侵入すると、攻撃者は多要素認証が設定されていないVPNサービスを悪用して足がかりを確立しました。
手動操作とステルス性
特に憂慮すべき発見は、永続性を維持するために、正規のインスタンスと並行してAnyDesk、Splashtop、Atera、ScreenConnectといった正規のリモート管理ツールが広範に使用されていたことです。この手法は、セキュリティチームが悪意のあるツール展開と正規のIT運用を区別するのに苦労することが多いため、壊滅的な効果を発揮しました。これらの侵入を特徴づけていたのは、手動でオペレーター主導のアプローチでした。脅威アクターは、RDP、SMB、WinRMなどの組み込みツールを使用してネットワーク内を体系的に移動し、日常的な管理活動に似た偵察を実行しました。ある注目すべきケースでは、盗まれたドメイン管理者認証情報を持つ攻撃者が、MFAなしで被害者のVPNにアクセスし、その後、グループポリシーとRDPセッションを介してシステム全体にAnyDeskを展開し、正規のITトラフィック内に侵入を効果的に隠蔽していました。
データ流出の手法
データ流出も同様に控えめなパターンに従っていました。検出アラートをトリガーする自動化された流出メカニズムを使用するのではなく、攻撃者はリモート管理ツールのドラッグ&ドロップ機能を利用して、機密データを手動で自身のインフラストラクチャに直接転送していました。このアプローチは、フォレンジック上の痕跡を最小限に抑えるため、従来の流出手法よりも検出を著しく困難にしています。
防御のギャップと低いスキル障壁
この攻撃手法の普及は、重大な防御ギャップを反映しています。ステルス性が最重要であり、セキュリティチームが厳格な行動ベースラインと異常検出を維持しない限り、攻撃者の活動は正規のユーザー行動と区別がつきません。ほとんどのエンドポイント検出および対応ソリューションは、複数のシステムにわたるIDベースの異常ではなく、マルウェアのシグネチャとエンドポイントの動作に焦点を当てています。さらに、実行に必要なスキル障壁が低いため、これらの攻撃は広く利用可能です。盗まれた認証情報を持つ攻撃者は、VPNアクセスと基本的なRDPナビゲーションの知識のみで目的を達成するために最小限の技術的専門知識しか必要としません。地下市場での認証情報の入手しやすさと相まって、これはさまざまな洗練度の脅威アクターにとって魅力的な侵入経路となっています。
認証情報ベースの攻撃に対する防御策
効果的な防御には、ID中心のセキュリティ戦略への根本的な転換が必要です。組織は、内部ネットワークやVPNインフラストラクチャを含むすべてのアクセスポイントで多要素認証を強制する必要があります。行動監視は、ありえない移動シナリオ、同時多システムログイン、および通常の操作と矛盾するアクセスパターンをフラグ付けする必要があります。さらに、リモート管理ツールの明示的な制限と監視は、それらの展開とネットワーク活動の検出メカニズムと組み合わせることで、悪意のある操作に対する重要な可視性を提供します。これらの調査によって裏付けられた不都合な真実は変わりません。最も危険な侵害は、多くの場合、侵害そのものではなく、単に攻撃者が盗まれた認証情報で正常にログインすることによって引き起こされるのです。