この年次報告書は、2022年の脅威の状況を調査し、Recorded Futureの脅威調査チームであるInsikt Groupが作成した1年間のインテリジェンスをまとめたものです。 私たちは、世界的な傾向を分析し、重要なサイバーセキュリティイベント、地政学的な進展、脆弱性の開示などを評価し、2022年のサイバー脅威の状況を幅広く包括的に把握しています。

Executive Summary

ウクライナでの物理的な紛争と、それが2022年を通じてサイバー脅威の状況に与えた影響は、2022年に発生した重大なサイバー脅威イベントと地政学的傾向に関する議論を組み立て、サイバー脅威と地政学的な脅威の状況の収束が進んでいることを強調しています。

物理的な侵入の前と全体を通して、Recorded Futureは、分散型サービス拒否(DDoS)攻撃、ハクティビスト活動、およびワイパーマルウェアの広範な展開の事例の増加を観察しています。 また、ロシアのウクライナ侵攻がキネティック作戦とサイバーハイブリッド作戦の議論を支配する一方で、他の著名な国民国家、特にイラン、中国、北朝鮮に所属する脅威アクターは、地政学的な緊張、競争、政治的な提携が高まった時代に情報を得て、年間を通じてサイバー攻撃を実行しました。

また、サイバー犯罪グループによって実行されたものを含む、より広範な脅威の状況にわたるサイバー脅威イベントを分析しました。 フィッシングキャンペーンやランサムウェア攻撃は、さまざまな業界や地域を問わず組織を悩ませ続けていますが、Recorded Futureは、第1四半期から第4四半期にかけて、情報窃取マルウェアを介して販売された認証情報の数が600%増加し、組織のサプライチェーンで頻繁に使用されるソフトウェアを標的にすることが前年比で大幅に増加し、ダークウェブのマーケットプレイスやアンダーグラウンドで「as-a-service」の提供が急増するにつれて、ますますマネージドサービスモデルに移行していることを特定しましたフォーラム。 初期アクセスブローカーは、おそらくインフォスティーラーマルウェアの使用の増加と盗まれたデータを収益化する能力のために、ますます活発になっています。

インフォスティーラーの効果的な使用は、多くの場合、脆弱性の悪用の成功に依存しています。 2022年の脆弱性関連の注目すべき傾向には、ランサムウェアと中国の国家支援を受けた脅威アクターがゼロデイ脆弱性を急速に悪用したこと、2022年のすべての四半期でLog4Shellの継続的な悪用、およびマクロの自動無効化に関するMicrosoftの振動の影響が含まれていました。

最後に、ランサムウェアは2022年も常に存在する脅威であり続けました。 一部のランサムウェアギャングは解散しましたが、他のランサムウェアギャングはすぐにその優位性を主張し、その多大なリソースを使用して、さまざまな業界のあらゆる規模の組織に対するキャンペーンを実施しました。 ランサムウェアによる支払いは2021年から2022年の間に約60%減少しましたが、これはランサムウェアによる支払いを控えるという政府からのガイダンスの増加と、ランサムウェア攻撃の保険契約を引き受ける際の保険会社からのサイバーセキュリティ基準に関するデューデリジェンスの増加によるものと思われますが、ランサムウェアは2023年を通じて組織に大きな脅威を与え続けるでしょう。

Key Takeaways

• 草の根活動と国家支援活動が混在していると思われる自称ハクティビスト活動は、脅威アクターグループがロシアまたはウクライナへの忠誠に基づいて攻撃を実行したため、今年の上半期に急増しました。 この活動の大部分は、紛争に関与している組織や東ヨーロッパに近い地域に拠点を置く組織を標的にしたものに限定されていましたが、ハクティビスト活動の中には、他の地域の組織を標的にしたものもありました。
• ワイパーマルウェアの展開とハクティビスト活動の波及効果は、ウクライナでの戦争に直接関与していない組織にとって主要なサイバー脅威でした。
• 北朝鮮は2023年も弾道ミサイルの実験を続ける可能性が高い。 西太平洋における米軍の増強と、日本における防衛費と準備措置の増大は、中国も同様の措置を取る可能性が高い。
• 包括的共同行動計画(JCPOA、通称イラン核合意)をめぐる外交交渉は、進展しそうにない。 一方、イラン・イスラム共和国は、核兵器の達成に向けてウラン濃縮を続けている。 イスラエル政府は、シリアで活動しているイスラム革命防衛隊コッズ部隊(IRGC-QF)の一部に対する動的攻撃を継続する可能性が高いが、イラン国内の核施設への攻撃の選択肢は残している。
• 2022年は「as-a-service」の年であり、脅威の状況における新しいPaaS(フィッシング・アズ・ア・サービス)製品の存在、RaaS(Ransomware-as-a-Service)モデルの継続的な成功、MaaS(Malware-as-a-Service)製品の新種の開発と使用が確認されました。
• オープンソースまたはプロプライエタリなソフトウェアパッケージは、2022年を通して標的にされました。 過去1年間の有効性を考えると、この種の攻撃は2023年に深刻さを増す可能性があります。
• インフォスティーラーは脅威アクターによってますます使用されるようになり、インフォスティーラーによって収集された認証情報の広告の増加は、多要素認証(MFA)セキュリティソリューションにリスクをもたらします。
• マクロをデフォルトで無効にするなどの対策の採用は非常に効果的ですが、多くの脅威アクターは、新たに開発または実装されたセキュリティ保護を覆すために運用をピボットしており、多層防御セキュリティ戦略の実装の必要性が強調されています。
• 広く使用されている製品の悪用や、Log4Shellなどの以前に報告された脆弱性の継続的な悪用は、脅威アクターが長期間使用できる攻撃ベクトルに継続的に焦点を合わせていることを浮き彫りにしています。
• ランサムウェア攻撃の量は、2023年に減少する可能性は低いです。 しかし、2021年から2022年にかけて観察されたように、ランサムウェア攻撃による金銭的利益が減少し続ける場合、脅威アクターは、ランサムウェア攻撃に対する歴史的な金銭的インセンティブを引き続き実現するために戦術を調整する可能性があります。