はじめに
悪意あるハッカーたちは、常に進化するテクノロジーを駆使して、検出を逃れる巧妙なサイバー攻撃を仕掛けています。これらの攻撃は、従来のセキュリティ対策を巧妙にかわす特徴を持っており、組織や個人に深刻な被害をもたらす可能性があります。
記事の翻訳
他のサイバー攻撃にくらべ、発見されにくい攻撃が存在します。多くの攻撃は、脅威シグネチャにもとづいて識別およびブロックできますが、組織が通常配置している防御の初期レイヤーを簡単に通過してしまうものもあります。また、AIの可用性が急速に高まっているため、脅威アクターは検出メカニズムに迅速に適応する手段を増やしています。
検出および防止システムをバイパスすることが可能な、悪名高い4つのサイバー攻撃を見てみましょう。
これらの脅威は、他のより高度な手法よりも標準的で洗練されていないように見えるかもしれませんが、検出を回避するのに非常に優れているため、組織と消費者の両方にとって大きな懸念の材料となりえます。
ウェブサイトのクローン作成
Webサイトのクローンは、ブランドのWebサイトのなりすましコピーであり、疑いを持たないユーザーをだましてログイン資格情報または個人データを送信させ、悪意のある攻撃者に収集することを許してしまいます。
これらの攻撃は、正当なブランドのWebサイトを装い、フィッシング戦術を使用して顧客を誘惑することにより、検知をかいくぐることがよくあります。
場合によっては、攻撃者は、ユーザーが詐欺サイトに情報を入力した後、本物のWebサイトへのリダイレクトを使用して疑いを回避し、検出をさらに困難にします。
Webサイトのクローン作成とその潜在的な影響の重大さにもかかわらず、組織はWebサイトのセキュリティの重要性を見落としがちで、代わりに内部ネットワークを優先します。彼らは通常、顧客レポートまたは事後脅威インテリジェンスソリューションを通じてのみ、サイトの複製バージョンについて学習します。クローンサイトがデータの盗難や風評被害、顧客の大量流出につながることを考えれば、これはあってはならないことであるはずです。
この問題による被害を軽減するために、組織はGoogleアラートを設定して、ウェブサイトやブランドになりすましたように見えるものが最近オンラインで公開されていないかどうかを確認できます。また、組織は、同様の疑わしいドメインを検出できるWebサイトスプーフィング保護ソフトウェアに投資できます。
これらのソリューションはブランドに警告しますが、アクティブなままになっているクローンWebサイトの潜在的な脅威から顧客を必ずしも保護できるわけではありません。クローンWebサイトの削除プロセスは、検索エンジンから完全にリストから削除されるか、ホスティングプロバイダーによってオフラインになるまでに数日、数週間、さらには数か月かかる場合があります。
組織は、この問題にもっと効果的に対処するために、リアルタイムの検出および保護ツールを検討する必要があります。Memcycoは、Webサイトのクローン作成を検出し、組織に即座に警告し、攻撃の詳細を提供し、クローンサイトが削除されるまでレッドアラートポップアップを発行することで、顧客が罠に陥るのを防ぐリアルタイムプラットフォームです。
現在、Webサイトのクローン作成を防ぐことができるソリューションはありませんが、組織ができる最善のことは、できるだけ早く被害を軽減することです。
ファイルレスマルウェア
メモリベースのマルウェアとも呼ばれるファイルレスマルウェアは、ターゲットデバイスのストレージデバイスに書き込む必要さえない悪意のあるソフトウェアです。デバイスのランダムアクセスメモリ(RAM)に感染するか、Windowsレジストリを操作するだけでよいため、検出が非常に困難になります。それは、すでにシステム内にある正当なプロセスとツールの下に身を隠すことによって、慎重に動作します。
サイバーセキュリティプロバイダーのMorphiesecは、ファイルレスマルウェアが静的および動的分析を含む既存の検出システムを簡単に回避できることを認めています。
ホワイトリストはファイルレスマルウェア感染の機会を減らすことができますが、攻撃者はホワイトリストをバイパスする方法を見つけることができるため、絶対確実な対策とは言えません。また、リベラルなホワイトリストは、組織の運用の柔軟性を損なう可能性があります。
ファイルレスマルウェアに対抗するには、組織は戦略の組み合わせを採用する必要があります。これには、ファイルまたはアプリの動作の分析、高度な EDR、ネットワーク トラフィック分析、特権管理、分離とセグメント化、メモリ分析が含まれます。
また、ゼロトラスト戦略を実装して、アクセスや権限を付与する前に、すべてのアクション、ファイル、またはアプリケーションが危険であると推定され、精査されるようにすることが重要です。
自動移動ターゲット防御(AMTD)などの予防的サイバーセキュリティテクノロジーも、脅威アクターが悪用する前にアプリケーションレベルで攻撃経路をブロックするため、役立ちます。
資格情報の窃取
多くの場合、組織がユーザー名とパスワードの盗難などのデータ侵害に見舞われたことに気付くまでに数週間または数か月かかります。盗まれた資格情報の検出は、通常、盗まれた資格情報を使用してアカウントにログインしようとした場合にのみ発生します。
この問題を防止し、改善することは可能です。定期的なパスワード変更や多要素認証などのセキュリティメカニズムは、サイバー犯罪者が盗まれたログインの詳細を使用するのを防ぐための効果的な方法です。
また、十分に信頼できる「Have I been Pwned」などのサービスを使用すると、アカウントが侵害されているかどうかを判断するのに役立ちます。
ただし、ほとんどの組織や個人の問題は、資格情報の窃取による脅威を軽視する傾向があります。
政府機関や銀行などの民間機関が、最近発生した特定のセキュリティ・インシデントのためにパスワードを変更するよう勧告を発表しても、多くの人は自分のアカウントが危険にさらされているかどうかを確認しようとはしません。
したがって、組織がアカウントに関するサイバーセキュリティのベストプラクティスをよりしっかりと守れば、この脅威の蔓延は緩和される可能性があります。
ポリモーフィック型マルウェア
ポリモーフィックマルウェアは、そのフレーズが示すように、コードと外観を絶えず変更して、シグネチャベースおよびパターンベースのソリューションがそれを検出できないようにする悪意のあるソフトウェアです。マルウェアの各インスタンスは異なって見えるため、従来の方法で特定することは困難です。言い換えれば、マルウェアは頻繁に進化または変異するため、シグネチャベースの検出や行動分析でさえ、ほとんど効果がありません。
ポリモーフィック型マルウェアの問題を悪化させているのは、生成型AIの台頭です。最近報告されたように、ChatGPTは、ほとんどのEDRソリューションを回避できるポリモーフィックマルウェアを生成することができます。
サイバーセキュリティ会社のHyasは、大規模な言語モデルを活用して、実行時にコードを動的かつ自律的に変更できるポリモーフィックマルウェアを作成できることを示した簡単な概念実証であるBlackMambaを作成することで、この可能性を実証しました。
コマンドアンドコントロールインフラストラクチャを必要とせずに機能します。
ポリモーフィック型マルウェアに対するソリューションには、行動分析、ヒューリスティック分析、サンドボックス、メモリ分析、ネットワークトラフィック分析、AI支援検出が含まれます。
AIの敵対的利用に対抗するためにAIを活用することも不可欠です。HyasのJeff Sims氏がブログ投稿で主張しているように、「組織は警戒を怠らず、セキュリティ対策を最新の状態に保ち、この分野で行われている最先端の研究を運用化することによって出現する新しい脅威に適応することが重要です。」
まとめ
サイバーセキュリティの技術と戦略が進化したことは間違いありません。ただし、脅威と攻撃も進歩しており、従来のサイバーセキュリティ慣行のコンテキストでは、それらを検出することでさえ非常に困難な場合があります。しかし、多くの問題に対する解決策がすでに存在していることを知っていれば安心です。
これらのソリューションが実装されていることを確認するだけです。ベストプラクティス、特にサイバーセキュリティ教育は必須です。また、新たな脅威に対抗するために設計された最新のセキュリティテクノロジーを最大限に活用し、すべての組織のセキュリティ体制の重要な部分として浸透させる必要があります。
出典
4 Cyber Threats that Frequently Evade Detection and How to Address Them
https://cybersecuritynews.com/cyber-attacks-that-frequently-evade-detection/
注意書き
本ブログでは、個人的な情報収集・学習を目的に元の記事を翻訳・要約して掲載していますが、記事内容の正確性について、当方は一切の責任を負いません。必ず出典元の情報をご確認の上、各自の責任にてご利用ください。
コメント