テキサス州オースティン、2024 年 9 月 18 日 /CyberNewsWire/-- 調査によると、インフォスティーラー マルウェア感染はランサムウェア攻撃の前兆となることが多いようです。サイバー犯罪分析のリーダーである SpyCloud は本日、感染したデバイスからデジタル ID データ、ログイン認証情報、セッション Cookie を盗み出すように設計されたマルウェアの一種であるインフォスティーラーの脅威が増大し、警戒すべき状況にあることを強調した新しいサイバーセキュリティ調査を発表しました。
SpyCloud の最新の調査結果では、インフォスティーラーによって引き起こされる驚異的な規模の個人情報漏洩、この種のマルウェアがランサムウェア事件の急増に及ぼした影響、そして世界中の企業に及ぼす重大な影響が明らかになりました。
SpyCloud によると、過去 1 年間に発生したデータ侵害の 61% はマルウェア関連であり、情報窃盗犯は 3 億 4,378 万件の認証情報を盗んだとのことです。
盗まれた認証情報は、さらなる攻撃に使用するために犯罪者コミュニティで販売されます。
調査では、5人に1人がインフォスティーラー感染の被害者になっていることも判明した。
平均して、感染ごとに 10 ~ 25 件のサードパーティ ビジネス アプリケーションの資格情報が公開され、特にランサムウェア操作者によるさらなるアクセスと悪用の温床が生まれます。
「当社の最新の調査結果は、サイバーセキュリティの状況における重大な変化を明らかにしています」と、SpyCloudの最高製品責任者であるデイモン・フルーリー氏は述べた。
「インフォスティーラーは、わずか数秒で貴重なデータを盗み出す能力があり、SSO、VPN、管理パネル、その他の重要なアプリケーションへの膨大なアクセスを盗み出してランサムウェアなどのサイバー攻撃の足掛かりを作ることから、サイバー犯罪者にとって頼りになるツールとなっています。」
インフォスティーラーとランサムウェアの関連性はますます明らかになっています。
SpyCloud は、再取得されたインフォスティーラー ログの詳細な分析を通じて、憂慮すべき傾向を発見しました。インフォスティーラー マルウェアに感染した従業員や請負業者がいる企業は、ランサムウェア攻撃を受ける可能性が大幅に高くなります。
実際、昨年ランサムウェア攻撃を受けた企業の約3分の1は、以前にインフォスティーラー感染を経験していました。
報告書によると、これは公に知られているインシデントと確認されたランサムウェア イベントに基づいています。ランサムウェア インシデントのすべてが公開されているわけではないため、実際の露出はさらに高くなる可能性があります。
「インフォスティーラー感染とそれに続くランサムウェア攻撃の相関関係は、企業にとって警鐘となる」と、SpyCloud の SpyCloud Labs 副社長、トレバー・ヒリゴス氏は述べた。
「しかし、この分野は信じられないほど複雑で、変化が速いです。今年は、高度な暗号化などの拡張機能を利用してステルス性を維持したり、期限切れの認証クッキーを復元してより永続的なアクセスを可能にしたりする新しいインフォスティーラー ファミリーが登場しています。」
インフォスティーラーの脅威は、MaaS (Malware-as-a-Service) の台頭によりさらに深刻化しています。この既成モデルにより、スキルの低いサイバー犯罪者でもインフォスティーラーなどの高度なマルウェアを簡単に購入して展開できます。
MaaS を通じて、これらの犯罪者は最新の正確な ID データを大量に取得し、サイバー犯罪のサイクルを加速させることができます。
SpyCloud の調査結果は、インフォスティーラーを利用したアカウント乗っ取り (ATO) 攻撃の進化にも光を当てています。
盗まれた資格情報 (ユーザー名とパスワードの組み合わせ) に依存する従来の ATO とは異なり、次世代の ATO は盗まれたセッション クッキーを活用して、セッション ハイジャックと呼ばれる従来の認証方法を回避します。
サイバー犯罪者は、すでに認証されているセッションを乗っ取ることで、正当なユーザーになりすまし、気付かれずにネットワークに侵入することができます。
この方法は攻撃の成功率を大幅に高め、組織のセキュリティに深刻な脅威をもたらします。
「インフォスティーラーによって盗み取られる認証情報とセッション クッキーの量は膨大です」とヒリゴス氏は言います。
「過去 90 日間だけで、SpyCloud は 54 億件以上の盗まれた Cookie レコードを回収しました。感染したデバイス 1 台あたり平均で約 2,000 件のレコードが露出しました。この膨大なデータの山は、ランサムウェアのオペレーターや初期アクセス ブローカーによる攻撃にますます利用されており、高度な防御戦略の必要性が浮き彫りになっています。」
2024 年上半期にインフォスティーラーに感染したデバイスの少なくとも 54% に、ウイルス対策またはエンドポイント検出および対応 (EDR) ソリューションがインストールされており、現代のサイバー犯罪者が使用する手法に対抗する上で従来のサイバーセキュリティ対策には限界があることが浮き彫りになっています。
さらに、インフォスティーラーやセッションハイジャック攻撃により、多要素認証 (MFA) やパスキーなどのパスワードレス認証方法が無効になります。
すでに認証されているセッションを乗っ取ることで、サイバー犯罪者は正当なユーザーになりすまし、最も堅牢な認証方法さえも回避することができます。
SpyCloud の調査結果から、従来のマルウェア対策ではもはや十分ではなく、問題を無視するとビジネスへの影響が悪化するだけであることが明確にわかります。
組織は、感染を除去するだけにとどまらず、公開されたデータによってもたらされる長期的なリスクの修復に重点を置く必要があります。
これには、侵害されたアプリケーションの資格情報をリセットし、インフォスティーラーによって盗み出されたセッション クッキーを無効にすることが含まれます。
インフォスティーラーがもたらすリスクを理解し、流出したデータを軽減するよう努めることで、組織は盗まれたデータから生じるランサムウェアなどの壊滅的なサイバー攻撃の可能性を抑えることができます。
SpyCloud は、組織がこれらの課題を乗り越え、デジタル資産を保護できるよう支援することに引き続き尽力します。
読者は全文をダウンロードできる
SpyCloudが組織をランサムウェアから守る仕組みについて詳しくは、次のサイトをご覧ください。
このために
このレポートでは、ランサムウェアの主な懸念事項と実際の影響について、一般的な侵入ポイント、身代金の支払い、これらの攻撃が企業に与える累積コストなどを含めて調査しています。
また、これらの専門家によって特定された主要なサイバー脅威防止戦略と将来のセキュリティの優先事項についても強調しています。
SpyCloud の侵害、マルウェアに感染したデバイス、成功したフィッシングからのデータは、多くの人気のあるダーク ウェブ監視および個人情報盗難保護サービスにも活用されています。
顧客には、Fortune 10 企業の半数以上のほか、世界中の何百ものグローバル企業、中規模企業、政府機関が含まれます。
テキサス州オースティンに本社を置く SpyCloud には、200 人以上のサイバーセキュリティ専門家が在籍しており、その使命は、現在犯罪者が標的にしている盗難された ID データから企業や消費者を保護することです。
企業の公開データに関する詳細と洞察については、以下のサイトをご覧ください。
広報担当副社長
ケイティ・ハヌシク
SpyCloudに代わってREQ
メールアドレス
このストーリーは、HackerNoonのビジネスブログプログラムの一環としてCyberwireから配信されました。プログラムの詳細については、こちらをご覧ください。