Elasticは11月5日、「2025年版 Elasticグローバル脅威レポート」を発表した。このレポートは、実運用環境から収集された10億件以上のデータポイントに基づいて作成された。その概要は以下のとおり。
AIを利用して構築されたローダー型の汎用的な脅威が前年比で15.5%増加、また、Windows環境での悪意あるコード実行はほぼ倍増し、32.5%に達した。
AI生成マルウェアや窃取されたブラウザー認証情報への容易なアクセスにより、ステルス攻撃に依存しない新たな脅威攻撃者層が台頭し、企業ネットワークへの侵入を狙った継続的かつ執拗なスキャンが行われている。
■主な調査結果
◎新たな攻撃対象の前線となるブラウザー
・マルウェアサンプルの8分の1がブラウザーデータを標的とし、認証情報の窃取が最も一般的なアクセス手法として確立
・インフォスティーラー(情報窃取型マルウェア)は、Chromiumベースのブラウザーを悪用し、組み込みのChromium系ブラウザーの保護機能を回避する傾向が拡大
◎防御回避を上回る実行戦術
・Windows環境での実行戦術が約2倍の32%に増加し、過去3年間で初めて防御回避を上回る値を記録
・GhostPulseが全シグネチャイベントの12%を占め、LummaやRedline(それぞれ6.67%)などの情報窃取型マルウェアを配信
◎AIが参入障壁を低下
・脅威攻撃者が大規模言語モデル(LLM)を活用して、簡易ながら有効な悪意あるローダーやツールを大量生成し、汎用的な脅威は15.5%増加
・RemCos(9.33%)やCobalt Strike(最大2%)など既製のマルウェアファミリー依然として広く使用
◎攻撃対象となるクラウドアイデンティティ
・クラウド関連のセキュリティイベントの60%以上が、初期アクセス、永続性または認証情報アクセスに関連
・Microsoft Entra IDにおける認証の脆弱性が際立ち、異常なAzureシグナルの54%が監査ログに起因し、Entra全体のテレメトリーを含めると約90%に到達
関連リンク