Cylance Japanは4月22日、最新のセキュリティ動向レポート「BlackBerry Cylance 2019年脅威レポート」日本語版を公開した。併せて2月に発表されたBlackBerryによる同社の買収についてもコメントした。
レポートは、同社のコンサルティングや脅威調査、情報活動、ユーザーのフィードバックを通じて得た独自の調査結果をとりまとめたもの。脅威解析チーム アジア太平洋地域マネージャーの本城信輔氏は、幾つかの注目すべき点として「マルウェアの全体数:10%増加」「ランサムウェアの被害企業数:26%減少」「暗号通貨マイニングの感染企業数:47%増加」という結果を示した。なお、同社では流行規模の判断基準に感染件数ではなく感染企業数を採用しており、理由を「セキュリティレベルが低い企業が何回も感染しても、そのマルウェアが大流行しているということにはならない」(本城氏)としている。
2018年の標的型攻撃の傾向
同氏が指摘した注目点では、ランサムウェア「Gandcrab」やトロイの木馬「Emotet」で大幅な進化がある。Gandcrabは、「RaaS(Ransomware-as-a-Service)」として提供されるオンラインで利用できるランサムウェア作成サービスといったもので、実際に観測されているのは、これを使って作成されたランサムウェアということになる。
攻撃の実行者がこのサービスを利用して、幾つかのパラメーターなどを目的に合わせて設定、カスタム版のランサムウェアを作成し、使用するという。実際に作成されるランサムウェアは、基本的には同じコードになるが、サービス自体がバージョンアップを繰り返しており、2018年中に5つのメジャーバージョン(バージョン1~5)がリリースされたという。こうしたバージョンの違いや、作成されるごとにファイルの内容が微妙に異なることからハッシュ値も変わるため、従来型のパターンファイル/シグネチャ方式での検知は簡単ではないと指摘する。
Cylance Japan サイランス脅威解析チーム アジア太平洋地域マネージャーの本城信輔氏
また、トロイの木馬に分類されるEmotetは、2014年に最初に報告された古いマルウェアになるが、2018年に大幅なアップデートが行われ、以後は多数の攻撃が検出されているという。金融サービスなどを利用する際のパスワードを盗み出すことが主目的とされるが、最新版では、その他のマルウェアを拡散させるためのインフラとしての機能も組み込まれ、Emotetに感染したPCには、それ以外のさまざまなマルウェアがEmotet経由でダウンロードされていくという。
Advanced Persistent Threat(APT:高度で持続的なサイバー脅威)攻撃などでは、「陽動作戦」と呼ばれる新しい手法が見られたという。これは、本来の攻撃から標的の目を逸らさせたり、証拠隠滅を図ったりするなどの目的で、別の目立ちやすい攻撃手法を組み合わせるというもの。南米の銀行を狙ったAPT攻撃では、1000万ドルの不正送金を実行するタイミングに合わせて、「MBRKiller」と呼ばれるHDDのマスターブートレコードを消去するマルウェアを銀行内に大量感染させ、大量のPCを起動不能に陥れた。
この例では、標的にされた銀行がMBRKillerへの対処に追われることで、不正送金に気付くのが遅れることを攻撃者が期待したものと見られるという。さらには、MBRKillerを消去するために銀行がPCの再インストールなどを行うことで、攻撃者が不正送金で実行した手口の痕跡や証跡がPC上から消去されることも狙った可能性もあるという。
本城氏は、今後もこうした高度な攻撃が続くものと予測する。その一方、ランサムウェアについては、このまま減少するのではなく、再び増加に転じるのではないかとの予想を明らかにした。その理由として、一時流行したコインマイナーは仮想通貨の市況の影響を受けてあまり収益が見込めなくなっているなどの経済環境の変化を挙げている。
なお、レポートの説明に先立って取締役社長の金城盛弘氏が、BlackBerryによる同社の買収が完了したことを説明。買収後も同社は独立した事業会社(BlackBerry Cylance)として存続しており、BlackBerryが同社の株式を100%所有している形だという。
Cylance Japan 取締役社長の金城盛弘氏
また、買収によるメリットとして「独立した事業体として存続が認められる」「キャッシュ・リッチなBlackBerryの資金力により、Cylanceの研究開発がさらに加速する」という2点を挙げ、「金持ちの家に養子に入ったようなもの」(金城氏)と表現した。現在のBlackBerryは、QNXのソフトウェアを軸とする車載向け組み込みシステムなどへ注力しているが、Cylanceのセキュリティ技術をこうした分野に活用していく一方、Cylanceの従来のエンタープライズ市場向け事業などは継続され、買収前に企画されていた新製品など今後順次発表していく計画だという。