編集部からのお知らせ
動画セミナー「Security Trend Winter」公開中!
最新記事まとめ「医療IT」
調査

ランサムウェア被害の兆候は「ちょっとした変化」--ソフォスの2021年版脅威レポート

石田仁志

2020-12-04 11:15

 ソフォスは12月3日、「2021年版ソフォス脅威レポート」の日本語版を公開した。これに合わせて同社は記者説明会をオンラインで開催。ソフォス セールスエンジニアリング本部担当部長の丸山龍一郎氏が、レポートの内容をもとに2020年のセキュリティ脅威動向について解説するとともに、注意すべきポイントを紹介した。

 ソフォス脅威レポートは、同社の分析機関であるSophosLabsのセキュリティ研究者をはじめ、脅威ハンティング担当者、緊急対応サービスであるラピッドレスポンスの担当者、クラウドセキュリティおよび人工知能(AI)の専門家チームからのフィードバックによって作成されたもの。レポートをもとに丸山氏は「ランサムウェア」「日常の脅威」「COVID-19(新型コロナウイルス感染症)」「新しいプラットフォーム」の4つの観点から、昨今の脅威動向を解説した。

 ランサムウェアについては、2020年は被害が続々と発覚している状況であるが、現在攻撃側のランサムウェアを運用する「アクター」は、いかにエンドポイントセキュリティを回避するかに重点を置き、侵入した後に高速に拡散させていくかを模索しているとのこと。具体的な手法としては、ダウンローダーを侵入させた後、さらなる脅威をクラウド経由で送り込むという形である。

 一方狙われる企業側は、インターネットと接続するリモートデスクトップ(RDP)ポートの監視・遮断や、バックアップをオフラインで取るなど、しっかりと対策を行うケースが増えてきている。その結果、アクターは暗号化して人質を取る従来の形から、侵入されている事実を元に脅迫してお金を払わせようとする方向に動き、二次的な恐喝市場が生み出されているという。

 攻撃者がデータを窃取する際には、クラウドに送信するために使われているツールや外に持ち出す際の移動先として一般的に使われているツール/ストレージサービスが利用され、ファイアウォールや統合脅威管理(UTM)で遮断されずに持ち出しが容易になっているという。

 丸山氏はこのような状況下でのランサムウェア被害対応例として、「MAZE」というランサムウェアが使われて700台のサーバーを対象に1500万ドルの身代金が要求された海外でのユーザー対応事例を紹介。

 まず攻撃者は、メール経由で3日かけて社内ネットワークに侵入。管理者のいない日曜日を選んで攻撃が実行され、発覚したのは翌日の7日目だったという。その段階でソフォスに緊急対応サービスを依頼し、侵害されたアカウントを特定。攻撃者の通信先へのコールバックを止め、翌日攻撃を無力化した。すると9日目に、別の侵害されたアカウントを通じて第2段の攻撃が行われ、それをブロックすると同日さらに第3弾の攻撃も行われたが、早期の対策によって暗号化被害を免れたとしている。

 こういった攻撃は特別なものではなく、実際に企業を狙った攻撃は日常的に行われている。ささいな攻撃であっても見逃してしまうと、突然ダウンローダー経由で危険なマルウェアが送り込まれてしまうので、「ちょっとした変化に対するリスク管理をしっかりと行っていくべき」と丸山氏は訴える。実際にこの1年間で、ランサムウェアで要求される費用は大きくなっているとのことである。

 ソフォスはその注意すべき“コモディティー型のマルウェア”として、ダウンローダーの「Dridex」と「Zloader」と、「RAT」と呼ばれるリモートアクセス型トロイの木馬およびそこでダウンロードされる「Agent Tesla」という情報搾取マルウェアをリストアップしている。

 マルウェア配信の仕組みはメールが多いが、最近はクラウドシフトでIaaS環境を管理するためにRDPプロトコルを使用するケースが増えたため、RDPに対する総当たり攻撃が多く見受けられるという。「RDPはセキュリティが担保されていないので、素のままでは使えない。VPN(仮想私設網)とパスワードだけの認証では簡単にクラッキングされてしまうので、多要素認証は必要。インターネットに接している限り、ターゲットになっているという意識を持つべき」と丸山氏は警告する。

RDP活用時には強固なセキュリティ対策が必須になる RDP活用時には強固なセキュリティ対策が必須になる
※クリックすると拡大画像が見られます

 さらに2020年は、新型コロナウイルス感染症(COVID-19)により在宅勤務が増えたことでビジネスメール詐欺(BEC)が増え、被害が増えているという。また、かつてMicrosoftの「Office」を対象として使われていた手法が再度使われる事象が散見されたとする。過去のファイルを作成するツールが用意されていて、それに対するシグネチャーが最近のセキュリティ対策ツールに実装されていないケースがあるため、効力があるのだという。

 COVID-19に便乗した攻撃も多く、分析の結果、2020年2月に攻撃するためのサーバーを立ち上げる動きが確認されたとのこと。状況面では家庭が社内ネットワークにおける新しい境界となり、スパムやフィッシングメールが急増。セキュリティ強度の弱い在宅勤務者が狙われた。また、クラウドサービスもオンプレミス環境と同様に攻撃を受けていて、「これまで以上にクラウドセキュリティが重要になる」と丸山氏は展望する。

 新しいプラットフォームに対する脅威としては、自宅のインフラ、ルーターやスマートフォン、テレビのセットトップボックス(STB)などのIoTセキュリティ問題を指摘。中でもスマートフォン向けのマルウェア「Android Joker」の増加が目立ったという。アプリストアのチェックをすり抜け、当初は安全を装いアップデートの際にマルウェア化する亜種も存在していて、利用者のPCと接続した際に入り込み社内ネットワークに侵入していく。

 また、新たな攻撃パターンとしてセキュリティツールが犯罪に使われるケースが増えているという。侵入後にダウンロードしてくるツールが普段IT管理者の使っているようなものであるため、マルウェアとして認識されず攻撃を許してしまう。例えば、「Netwalker」というランサムウェア攻撃では、攻撃のさまざまな段階でオープンソースやフリーウェア、商用ユーティリティーが使用されたという。

 丸山氏は、「こういった状況の中で、軽微なことにも目を向けてきちんと対応していくのがランサムウェア被害を抑える1つの方法」として、注意を喚起している。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]