攻撃者が"低リスクモデル"へ転換　IBMのセキュリティレポートから最新の動向を探る：認証情報の大規模な盗難が増加

　IBMが運営するサイバーセキュリティの専門チーム「IBM X-Force」は、ダークウェブフォーラムで最も多く言及された共通脆弱性識別子（CVE）を検証し、上位10件のうち4件に国家レベルの攻撃者を含む高度な攻撃グループが関与していることを確認した。

　これらのCVEのエクスプロイトコード（ソフトウェアやシステムの脆弱性を悪用するスクリプト）は、多くのフォーラムで公然と取引されており、電力網、医療ネットワーク、産業システムに対する攻撃の拡大に拍車を掛けているという。IBM X-Forceは「脆弱性が悪用される前に潜在的な脅威を検知し、効果的なパッチ管理をするには、ダークウェブの監視がますます重要になっている」と指摘している。

ターゲットは“認証情報”に集約？

　IBM X-Forceは、2024年に、認証情報を狙った「情報窃取型マルウェア」を配信するフィッシングメール（認証情報フィッシング）が増加していることを確認した。2025年4月時点のデータでは、2023年と比較して80％増加しているという。アカウントの乗っ取りに関する被害が拡大している背景には、攻撃者がAI（人工知能）を活用して大規模にフィッシングメールを作成している可能性があるとIBM X-Forceは分析している。

　このような認証情報フィッシングと情報窃取型マルウェアを組み合わせた攻撃は、攻撃者にとって安価で拡張性も高く、高い利益を得られる手法となっている。情報窃取型マルウェアは、データを素早く流出させ、攻撃者が標的にとどまる時間を短縮し、ほとんど痕跡を残さないという特徴がある。2024年は上位5つの情報窃取型マルウェアによる流出分だけでも、800万件を超える認証情報がダークウェブ上で売買されており、1件ごとに数百の認証情報が含まれている可能性があるという。

　さらに、攻撃者はMFAを回避するためのサービスをダークウェブで販売している。正規のログインページと利用者の間に入り込んで認証情報を盗む「敵対的中間者」（AITM）フィッシングキットやカスタマイズされたAITM攻撃サービスなどだ。

　「盗まれた認証情報とMFA回避ツールがダークウェブで活発に取引されていることは、攻撃者の間で不正アクセスに対する需要が高止まりしており、その活動が収束する兆しが見られないことを示している」とIBM X-Forceは説明している。

ランサムウェアを使った攻撃者は“低リスクモデル”にシフト

　IBM X-Forceによると、2024年は、2023年と比較してランサムウェアのインシデントが全体的に減少していることを確認している。だが、その穴を埋めるように認証情報を狙う攻撃が急増しているという。

　攻撃者たちは、従来のランサムウェア攻撃が国際的に取り締まられたことを受けて、より目立ちにくい認証情報の窃取や不正アクセスといった「低リスクモデル」へと戦術をシフトしているという。例えば、「ITG23」（別名Wizard Spider、Trickbot Group）や「ITG26」（QakBot、Pikabot）を含む、これまでよく使われていたマルウェアファミリーが、完全に活動を停止するか、別のマルウェアに移行していることをIBM X-Forceは確認している。そこには、一時的に使われる使い捨てのマルウェアも含まれており、同チームは「2023年に壊滅させられたbotネットの代替を見つけようとするサイバー犯罪グループの動きだ」としている。

Linuxにおけるパッチ適用の課題と新たな脅威

　IBM X-ForceがRed Hat Insightsと共同で調査した結果によると、「Red Hat Enterprise Linux」の顧客の環境の半数以上が、少なくとも1つの重要なCVEに対してパッチをデプロイしておらず、18％は5つ以上のCVEに対してパッチをデプロイしていなかった。さらに、活発なランサムウェアファミリー（Akira、Clop、Lockbit、RansomHubなど）が、「Windows」と「Linux」の両方に対応していることも発見した。