•観測されたインシデントの88%は、輸送、通信、医療、製造を含む重要インフラセクターの組織を標的としていました。•侵入の63%近くがインターネットに接続されたシステムのエクスプロイトから始まっており、外部に露出したインフラのリスクがあらためて浮き彫りになりました。•観測されたアクティビティの半数以上が西側経済圏に影響し、米国の事例だけで22.5%を占めていました。
観測されたインシデントの88%は、輸送、通信、医療、製造を含む重要インフラセクターの組織を標的としていました。
侵入の63%近くがインターネットに接続されたシステムのエクスプロイトから始まっており、外部に露出したインフラのリスクがあらためて浮き彫りになりました。
観測されたアクティビティの半数以上が西側経済圏に影響し、米国の事例だけで22.5%を占めていました。
AIサイバーセキュリティの世界的リーダーであるダークトレース(本社:英国ケンブリッジ、CEO:エド・ジェニングス)は本日、本日、新たな調査レポート、「Crimson Echo: ビヘイビア分析を通じて中国系サイバー諜報技術を理解する」の内容を発表しました。 同社の顧客ベースにおける3年間分のデータの分析に基づき、このレポートは中国系サイバーアクティビティ[1]が実際にどのような仕組みで展開し、どのように進化しているかについてデータドリブンの分析結果を提供します。
ダークトレースの調査は、サイバーリスクをどのように理解すべきかについての根本的変化を明らかにしています。個別のインシデントや短期的な侵害ではなく、ほとんどの国家支援型作戦は戦略的に重要なシステムへの永続的アクセスを確立するように設計されており、サイバーアクティビティはある種の長期にわたる戦略的な策略と位置付けられています。
2022年7月から2025年9月までのビヘイビアデータの分析では、多くの事例において、即座に混乱を引き起こす、またはデータを抜き出す代わりに、アクセスを獲得し維持することが中国系脅威アクターの侵入の主要な目的となっていることが示されています。
これはサイバー作戦全体の進化を反映しており、デジタル環境へのアクセスがサプライチェーン、産業プロセス、重要インフラへの持続的な可視性をもたらすことを意味しています。この調査結果はインシデントや侵害への対応に集中した従来型のセキュリティモデルに課題を突き付けています。この調査では、サイバーリスクは継続した、構造的露出であり、長期的に管理しなければならない問題であることが指摘されています。
ダークトレースのセキュリティおよびAI戦略担当VP、ナサニエル・ジョーンズ(Nathaniel Jones)は次のように述べています。「多くのサイバーオペレーションはもはや、押し入ってデータを盗み出す、あるいは短期的な混乱を引き起こすことではなく、そこにとどまることを目的としています。私たちが目にしているのは、戦略的資産としての永続的アクセスへのシフトです。防御者はインシデント対応の先へ進み、長期的な侵害の兆候であるかもしれない、かすかな挙動の変化を検知することに重点を置く必要があります」
1.“スマッシュアンドグラブ(Smash and Grab)型” (短期的作戦):
“スマッシュアンドグラブ(Smash and Grab)型” (短期的作戦):
スピードと規模のために最適化された、短期間の、機会主義的な侵入です。これらの作戦はインターネットに接続されたシステムをエクスプロイトすることが多く、すばやいデータアクセスや情報収集に重点を置いています。滞留時間の中央値は10日間程度であり、データの抜き出しはしばしば48時間以内に発生します。
永続化と戦略的配置に重点を置いた、より隠密的作戦です。これらの侵入はアイデンティティのコントロールや正規の管理ツールの使用を重視しています。そして長い休眠期間を特徴とし、重要インフラ環境内で数か月間、あるいは数年間にわたって継続します。
観測されたケースのほとんどは短期的作戦に分類されますが、長期的作戦は多くの場合、通信、輸送、デジタルインフラ等の高価値な標的に集中しており、将来にわたる戦略的影響力を重視していることがうかがわれます。
また、同じ作戦エコシステムにおいて両方のモデルを並行して利用し、標的の価値、緊急性、意図するアクセスに基づいて適切なモデルを選択する場合もあります。“スマッシュアンドグラブ” モデルが見られたからといって諜報活動が失敗したとのみ解釈すべきではなく、むしろ目標に沿った作戦上の選択かもしれないと見るべきでしょう。“ローアンドスロー” 型は粘り強い活動のために最適化され、“スマッシュアンドグラブ” 型はスピードのために最適化されています。どちらも意図的な作戦上の選択と見られ、必ずしも能力を表していません。
•観測された侵入の88%は、CISAが定義する重要インフラに分類される組織に関係していました。•主要なセクターには、輸送、通信、重要製造業、医療、ITサービスが含まれます。
観測された侵入の88%は、CISAが定義する重要インフラに分類される組織に関係していました。
主要なセクターには、輸送、通信、重要製造業、医療、ITサービスが含まれます。
この標的選択のパターンは地政学的および経済的優先度と一致しており、サイバー作戦がますます長期的な戦略的競争に組み込まれようとしていることを表しています。
このレポートでは、作戦の主な焦点が西側経済にあり、観測されたケースの半数以上(55%)が米国およびヨーロッパの主要国(ドイツ、イタリア、スペイン、英国)であることが明らかにされています。
データセット全体で、侵害の2/3近く(~63%)がインターネットに接続されたインフラのエクスプロイトから始まっていました。
エッジデバイス、エンタープライズ/SaaSアプリケーション、露出したサービス等の侵入ポイントが、これまで同様に組織へのスケーラブルなアクセスを攻撃者に提供しています。一旦侵入すると、攻撃者はしばしば正規の管理ツールや「環境寄生」テクニックを使って水平移動し、永続性を維持するとともに検知を免れます。
外部への露出と内部でのステルス活動の組み合わせは、従来型のセキュリティツールにとって特に検知を難しくしています。
ジョーンズは次のように付け加えています。「組織は、リスクとは何かについて、考え直す必要があります。それは単に侵入を防止するだけの問題ではありません。誰がすでにアクセス権を持っている可能性があるか、どの程度の期間持っているか、そしてそのアクセス権によって経時的に何が可能になるかを理解する必要があります」
Crimson Echo調査の主な差別化要因は、個別の脅威グループやマルウェアファミリーではなく、ビヘイビア分析に的を絞っていることです。複数の侵入事例から、攻撃のテンポ、アクセス方法、キルチェーンのシーケンスを含むパターンを精査することにより、ダークトレースの脅威調査チームはツールや脅威アクター、インフラが変化しても持続している一貫した作戦的行動を特定しました。
Crimson Echoレポートのエグゼクティブサマリーは、ここからダウンロードすることができます。
Crimson Echoはダークトレースの脅威調査チームが実施した2022年7月から2025年9月までの3年間のデータに対する回顧的分析に基づいており、世界の顧客ベースで見られた異常なアクティビティと侵入パターンを精査したものです。この調査はビヘイビアAIの検知結果、構造化された脅威ハンティング、複数の柱を持つアトリビューションフレームワークを組み合わせることにより、中~高確度の中国系サイバーアクティビティ事例を明らかにしています。Darktrace Cybersecurity Attribution Frameworkの詳しい手法と内容はレポートの付録セクションに記載されています。
ダークトレースはAIサイバーセキュリティのグローバルリーダーであり、日々変化する脅威ランドスケープに立ち向かう組織を支援しています。2013年に設立されたダークトレースは、それぞれの顧客固有の生活パターンからリアルタイムに学習する独自のAIを使用して未知の脅威から組織を保護する、必要不可欠なサイバーセキュリティプラットフォームを提供しています。Darktrace ActiveAI Security Platform(TM) はサイバーレジリエンスに対するプロアクティブなアプローチを提供し、ネットワークからクラウド、Eメールに至るまでデジタルエステート全体でビジネスを守ります。顧客のセキュリティ体制に対する先制的可視性を提供し、Cyber AI Analyst(TM)でオペレーションを変革し、脅威を検知しリアルタイムに自律遮断します。英国のケンブリッジおよびオランダのハーグに所在するR&Dチームが生み出す画期的イノベーションにより、200件以上の特許申請がなされています。ダークトレースのプラットフォームおよびサービスは世界で2,300名を超える従業員により支えられ、世界でおよそ10,000社の主要なすべての産業分野にわたる組織を保護しています。詳細はhttps://www.darktrace.com/jaをご覧ください。