【Bitsight脅威インテリジェンス】2025年に脅威アクターが活用した主要なTTP（戦術・手法・手順）

この記事はBitsightのブログを日本語に翻訳したものです。

原題：Bitsight Threat Intelligence Briefing: Top TTPs Leveraged by Threat Actors in 2025

https://www.bitsight.com/blog/top-cybersecurity-ttps-used-by-threat-actors-in-2025

世界のサイバー脅威ランドスケープが進化する中、攻撃者は自らの戦術に磨きをかけ、改良を重ねています。Bitsightの脅威インテリジェンスによると、攻撃者により頻繁かつ継続的に使用されているTTP（戦術・手法・手順）は複数存在することが示されています。

こうした攻撃はそれぞれが独立したものではなく、体系化されているのが特徴です。
攻撃者は、エンタープライズ系システムと産業系システムの相互接続性が高まっている点に着目し、それを悪用することで侵入、侵入拡大、機密データの窃取、さらには事業継続上重要な業務の妨害を行っています。

Bitsightでは、これらのTTPをMITRE ATT&CKフレームワークにマッピングすることで、攻撃者の行動についてインテリジェンスに基づく体系的な情報を提供しています。こうした情報を活用することで、防御する側はキルチェーンのより早い段階で脅威を検知・阻止することが可能になります。

主要手法のMITRE ATT&CKへのマッピング

以下は、最近のキャンペーンにおいて観測頻度が最も高い手法を、MITRE ATT&CKのカテゴリ別に分類したものです。

初期アクセス

• 対外向けアプリケーションの悪用（T1190 / Exploiting Public-Facing Applications）
  インターネットに公開されている脆弱性は、初期アクセスおよびコードのリモート実行を可能にする手段として、継続的に悪用されています。
  2025年には、新たに発見されたCVE-2025-58360などの欠陥（GeoServerに存在する重大なXML External Entity（XXE）の脆弱性）の悪用が頻繁に確認されました。この脆弱性はCISAの「Known Exploited Vulnerabilities」（悪用が確認された既知の脆弱性）」カタログに追加されており、修正プログラムが適用されていない場合、未承認のファイルアクセスをはじめとする悪意のある行為が可能になります。
• フィッシング（T1566.001 / Phishing）
  フィッシングは、依然として攻撃者にとって最も一般的な侵入経路の一つとなっています。
  Bitsightの脅威インテリジェンスおよび観測された調査結果によると、攻撃者は正規の社内コミュニケーションを装ったフィッシングや標的型スピアフィッシングキャンペーンに引き続き依存し、認証情報を窃取して初期アクセスを獲得しています。こうしたキャンペーンの多くは、被害者を不正なログインポータルや、そのほかのなりすましリソースへ誘導し、個人を特定できる情報（PII）などの機密情報を窃取します。

実行

• コマンドとスクリプティングインタープリター（T1059 / Command and Scripting Interpreter）
  多くの場合、侵入に成功した攻撃者は、PowerShell（T1059.001）を介してペイロードを実行し、偵察や永続化、データの窃取を自動化しつつ、従来型のアンチウイルス検知を回避します。

認証情報へのアクセス

• OS認証情報のダンプ（T1003.001 / OS Credential Dumping）
  Mimikatzなどのツールを使うとシステムメモリから認証情報を直接窃取でき、特権昇格や企業ネットワーク内での侵入拡大が可能になります。

永続化

• タスクまたはジョブのスケジューリング（T1053 / Scheduled Task/Job）、レジストリ実行キー（T1547.001 / Registry Run Keys）
  ジョブのスケジュール化やレジストリキーの変更は、今なお最も一般的な永続化手法の一つです。
  こうした手法を用いることで、システムの再起動後もマルウェアは常に有効化されます。

データ窃取・影響

• Webサービス経由のデータ窃取（T1567.002 / Exfiltration Over Web Services）
  攻撃者は、検知を回避し正当なネットワークトラフィックに紛れ込ませようと、信頼されたプラットフォーム（例：クラウドストレージ）を介してデータを窃取しています。
  CISAのエビクション戦略に関するドキュメントには「Exfiltration to Cloud Storage」（クラウドストレージへの持ち出し）に関する記述があり、攻撃者はDropboxやGoogle Docsなどのサービスを悪用して窃取したデータを転送する可能性があると指摘しています。こうしたサービスは、すでに被害ネットワーク内のホストと通信している場合が多く、怪しまれる可能性が低いためです。
• 影響を意図したデータ暗号化（T1486 / Data Encrypted for Impact）・データ破壊（T1485 / Data Destruction）
  ランサムウェアやワイパーによる攻撃は依然として主要な脅威であり、攻撃者は被害者への恐喝や業務妨害を目的として、データを暗号化または破壊します。

インフラの悪用

• リフレクション・増幅（T1498.002 / Reflection/Amplification）
  攻撃者は、設定不備や外部に公開されたネットワークサービスを悪用し、送信元を偽装したリクエストを増幅する、リフレクションおよび増幅という手法により大量のDDoSトラフィックを生成します。こうしたボリューム型攻撃は、数秒でアップストリーム通信を圧迫し、金融サービスといったさまざまな業界のオンラインサービスを停止させる可能性があり、また、インシデント対応を複雑化させるためのカムフラージュとして用いられることも少なくありません。
  Aisuruなどのボットネットに関する最近の報告では、UDPを使ったハイパーボリューム型攻撃が、ISP、ゲームプラットフォーム、ホスティングプロバイダー、金融機関にまたがる二次的な混乱を引き起こす可能性が示唆されています。

サプライチェーンの侵害

• リソースのハイジャック（T1496 / Resource Hijacking）
  攻撃者は、サービスプロバイダーを標的としてサプライチェーンに侵入しています（例：npmのサプライチェーン攻撃）。パートナーのインフラを乗っ取ることで、複数の組織にまたがって同時にマルウェアを拡散したり、ステルス性の高いC2オペレーションを実行したりすることが可能になります。

防御回避

最近の攻撃者は、侵入と同程度に、防御回避を重視しています。
Bitsightでは、以下のような挙動を繰り返し観測しています：

• Microsoft Defenderを無効化し、EDRプロセスを改変する。
• グループポリシーオブジェクト（GPO）を変更し、企業規模の制御を弱体化させる。
• フォレンジックの痕跡を消去するため、イベントログを改変または削除する。

新たに出現した攻撃者の活動

北朝鮮と緊密に連携した攻撃者

北朝鮮と緊密に連携した国家支援型の攻撃者は、朝鮮民主主義人民共和国の軍事および核開発計画を支援する目的で、世界規模のサイバー諜報活動やランサムウェア攻撃を実施しています。CISA、FBI、NSA、ならびに海外パートナーによる共同勧告によると、こうした攻撃者の主な標的は、防衛、航空宇宙、原子力、エンジニアリング分野の組織であり、その目的は機密の技術情報や知的財産の窃取です。
攻撃のパターンとしては、Log4j等の広く利用されているソフトウェア、外部に公開されたWebサーバーに存在する既知の脆弱性を悪用して初期侵入し、続いてWebシェルの展開、システム探索、権限昇格を実行します。さらに、カスタムマルウェアやリモートツール、デュアルユースツール（訳注：正当な目的とサイバー攻撃の双方に用いられるツール）を用いて、実行・侵入拡大・データの窃取を実行します。こうした攻撃者は、悪意のあるLNKおよびHTA添付ファイルを用いたフィッシングも行っており、米国の医療機関を標的としたランサムウェア攻撃により、諜報活動に対し部分的な資金調達を行っています。

中国と緊密に連携した攻撃者

通信、製造、エネルギー分野での活動が増えている、中国と密接に連携した攻撃者は、エッジデバイスを悪用し、フィッシングや認証情報の窃取を行っており、長期の永続化とサプライチェーンへの侵入に引き続き注力しています。

MITRE ATT&CKの手法一覧

カテゴリ	手法（MITRE ID）	説明／観測された用途
初期アクセス	対外向けアプリケーションの悪用 （T1190 / Exploiting Public-Facing Applications）	Log4jなどのWebアプリやSonicWallの脆弱性を侵入に悪用。
	フィッシング （T1566.001 / Phishing）	スピアフィッシングやQRコードを使った「クイッシング」による認証情報の窃取。
実行	コマンドとスクリプティングインタープリター （T1059 / Command and Scripting Interpreter）	PowerShellを使ったペイロードの実行・回避。
認証情報へのアクセス	OS認証情報のダンプ （T1003.001 / OS Credential Dumping）	Mimikatzを使ったシステムメモリからの認証情報の窃取。
永続化	・タスクまたはジョブのスケジューリング （T1053 / Scheduled Task/Job） ・レジストリ実行キー （T1547.001 / Registry Run Keys）	リブートまたは再起動後も永続性を確保。
データ窃取	Webサービス経由のデータ窃取 （T1567.002 / Exfiltration Over Web Services）	信頼されたプラットフォームを介したデータの窃取。
影響	・影響を意図したデータ暗号化 （T1486 / Data Encrypted for Impact） ・データ破壊 （T1485 / Data Destruction）	ランサムウェアやワイパーを使った恐喝および業務妨害。
インフラの悪用	リフレクション・増幅 （T1498.002 / Reflection/Amplification）	DNS/NTPの悪用によるDDoS攻撃。
サプライチェーン	リソースのハイジャック （T1496 / Resource Hijacking）	攻撃対象に近づく手段として、取引先のインフラに侵入。
防御回避	GPOの改変／セキュリティツールの無効化	エンドポイントの防御を無効化し、システムポリシーを改ざん。

戦略的な推奨事項

次のような事前対応的な対策を講じることで、防御体制を強化し、上で述べたリスクを軽減できます。

1. パッチ（修正プログラム）管理を優先的に行う
   既知のエクスプロイトが存在するものを優先に、リスクの高い脆弱性に優先的に修正プログラムを適用します。
2. フィッシング対策を強化する
   高度なメールフィルタリング、ユーザー向け意識向上トレーニング、QRコードを悪用したフィッシング（クイッシング）対策を実施します。
3. 多要素認証（MFA）を導入する
   MFAは、認証情報を悪用した侵入の大半を回避できます。
4. 構成の完全性を徹底する
   GPO（グループ・ポリシー・オブジェクト）、ファイアウォールルール、エンドポイント保護などの重要な設定を監査・監視します。
5. MITRE ATT&CKの枠組みに沿って検知する
   上記に示した特定のTTPを監視するよう、EDR／SIEMソリューションを構成します。
6. エンドポイント検知・対応（EDR）を強化する
   高度な振る舞い分析と自動対応を提供するツールに投資します。
7. インシデント対応計画を検証・アップデートする
   MITRE ATT&CKの枠組みに沿った机上演習を実施し、検知および封じ込め能力を検証します。

まとめ

現代の脅威ランドスケープでは、継続的な状況把握、インテリジェンスの活用、そして適応力が求められます。攻撃者は、技術的な弱点だけでなく、組織およびその取引先・パートナーに存在する運用上の盲点をも悪用しています。

Bitsightの脅威インテリジェンスを活用し、MITRE ATT&CKの枠組みに沿った防御体制を構築することで、検知と予防の間にあるギャップを埋め、脅威データから実行可能な防御戦略を導き出すことができます。

事前対応的なセキュリティ態勢管理、サプライチェーンにおけるセキュリティリスクの可視化、そして振る舞いベースの監視は、2025年以降においてもレジリエンスの基盤となることは間違いありません。

Bitsightの脅威インテリジェンスについて

Bitsightは、業界トップクラスのサイバーリスクおよび脅威に関するインテリジェンスプラットフォームを提供・運用し、組織におけるセキュリティ態勢そして組織のデジタルエコシステムを標的とする脅威の可視化を支援しています。

Bitsightの脅威インテリジェンスチームは、攻撃者の振る舞いを切れ目なく分析し、新たに出現する脆弱性、エクスプロイトの動向、攻撃者のインフラに関する知見を生み出しています。こうした知見をセキュリティ運用に取り入れることで、組織は次のことが可能になります。

• 動きが活発な不正な動きを早い段階で検知する。
• 影響度の高いリスクの緩和を優先する。
• 進化し続けるグローバルな脅威に対し、レジリエンスを強化する。