McAfee Enterpriseは10月21日、脅威状況の調査レポート「McAfee Enterprise 2021年第2四半期Advanced Threat Research Report」について、報道関係者向けにオンライン説明会を開催した。
同社 執行役 セールスエンジニアリング本部 本部長の櫻井秀光氏は冒頭、FireEyeとの統合について言及。McAfeeの法人向け事業は2021年3月に、FireEyeの製品部門は同年6月に、それぞれ米国の投資企業であるSymphony Technology Groupに売却されている。FireEyeの製品部門の売却が完了した10月8日付けで、McAfee EnterpriseとFireEyeの製品部門の統合が発表された。
McAfee Enterprise 執行役 セールスエンジニアリング本部 本部長の櫻井秀光氏
なお、「今回からレポートの形式が大きく変わり、マルウェアに関する統計情報は載せず、最新の脅威動向の解説に重きを置いた内容にした」(同氏)とのことだが、この変更自体はFireEyeとの統合の影響というわけではないとのことだ。
第2四半期の脅威状況に関する解説として、まず取り上げられたのは「ランサムウェアのまん延」で、Ransomware as a Service(RaaS)として提供された「DarkSide」が紹介された。DarkSideは5月に米国で大きな被害につながったColonial Pipelineに対する攻撃で使用されたもの。なお、対策としては侵入された後、実際の攻撃動作が始まる前に検出することが重要であり、Endpoint Detection&Response(EDR)が効果的だとされた。一方、同社はDarkSideに関して「ちょっとやり過ぎた」と分析、米国政府などの対応によってDarkSideの運用が停止に追い込まれたことも明かされた。
ランサムウェアのファミリー別検出数(出典:McAfee Enterprise)
次に紹介された「REvil」は2019年から継続的に活動しており、2021年第2四半期に最も多く見られたランサムウェアで「最も有名なRaaSプロバイダーの1つ」だという。REvilが広く利用されている理由について、櫻井氏は「ランサムウェアとしての機能が優れているから」だと指摘。侵入に関してはDLLサイドローティングなどの高度な機能を駆使するという。対策としては、ファイルの定期的なバックアップと、それをネットワークから分離しておくことが推奨された。
3番目に紹介された「Babuk」はRaaSとして「Linux/UNIXおよびESXi/VMwareシステムを対象としたクロスプラットフォームバイナリーを開発中」だと発表するなど技術力をアピールしていたが、復号ツールの開発が後回しになった結果、身代金を支払ってもデータをちゃんと復号できないという事態を引き起こしたことで信頼を失墜。結果的にランサムウェア基盤の提供・開発という役割を諦めて流出させたデータの管理を担当するように位置付けが変化したという。
なお、第2四半期の検出数については「REvilがダントツで多い状況だった」としつつ、注目すべき動きとして「REvilとDarkSideがいったん影を潜め、7月にDarkSideとREvilの機能をそのまま流用するような形の新たなRaaSファミリーとして『BlackMatter』が出現してきた」ことを紹介、RaaSの世界でも栄枯盛衰が激しいことを指摘した。なお、現状は二重脅迫型が大半で暗号化するのみというランサムウェアはほぼなくなっているため、データのバックアップだけでは不十分で、侵入を迅速に検知する仕組みが必要だと指摘している。
次に、クラウドに対する脅威について、同氏はCloud Access Security Broker(CASB)製品「MVISION Cloud」での検出結果を紹介。最多だったのが「異常な場所からの過度の利用」で、普段とは異なるロケーションからのアクセスまたは普段は行わないような大量データのダウンロードなどだったという。対策としては、ユーザーの振る舞いを検知するUser and Entity Behavior Analytics(UEBA)や重要データへのアクセスを監視するData Loss Prevention(DLP)が有効だとした。併せて、こうした対策に加えて設定ミスを発見するCloud Security Posture Management(CSPM)などの活用も必要だとされた。
クラウドでの脅威の状況(出典:McAfee Enterprise)
