ソフォスは5月15日、2022年にサイバー攻撃者が取った行動や攻撃手法の変化について解説した「ビジネスリーダーのためのアクティブアドバーサリ」レポートを公開した。同レポートは、米国、カナダ、英国、ドイツ、スイス、イタリアをはじめとする31カ国22の業界における152件のインシデント調査に基づいて作成されている。
同社が実施したインシデント対応(IR)の事例データを分析したところ、118個の「環境寄生型」バイナリ(LOLBin)など500以上の新しいツールや手法が確認された。マルウェアとは異なり、LOLBinはOS上に元から存在している実行ファイルであるため、攻撃に悪用されると、防御側がブロックすることが非常に困難だという。
攻撃者によって最初に標的システムにアクセスされる根本原因としては、パッチが適用されていない脆弱性が悪用されるケースが最も多いことも明らかになっている。同レポートの調査したインシデントの半数は、攻撃者はProxyShellとLog4Shellの脆弱性(2021年の脆弱性)を悪用して、組織に侵入している。根本原因として2番目に多かったのが漏洩した認証情報だった。
同社のインシデント対応チームが調査した攻撃の68%でランサムウェアが使用されており、依然としてランサムウェアは企業が最も警戒すべき脅威の1つになっている。また、過去3年間におけるソフォスのインシデント調査では4分の3近くをランサムウェアが占めているという。
ランサムウェアは依然として最も拡散している脅威となっているが、攻撃者が組織のネットワークに滞留する時間は、2022年には15日から10日に減少しており、滞留時間は11日から9日に減少し、ランサムウェア以外の攻撃では減少幅はさらに大きくなっている。ランサムウェア以外の攻撃の滞留時間は、2021年には34日だったが、2022年にはわずか11日にまで減少している。しかし、過去の年のデータとは異なり、2022年のデータでは規模や業種が異なっていても、滞留時間に大きな差異は見られない結果となった。
