ソフォスは12月3日、「2021年版ソフォス脅威レポート」の日本語版を公開した。これに合わせて同社は記者説明会をオンラインで開催。ソフォス セールスエンジニアリング本部担当部長の丸山龍一郎氏が、レポートの内容をもとに2020年のセキュリティ脅威動向について解説するとともに、注意すべきポイントを紹介した。
ソフォス脅威レポートは、同社の分析機関であるSophosLabsのセキュリティ研究者をはじめ、脅威ハンティング担当者、緊急対応サービスであるラピッドレスポンスの担当者、クラウドセキュリティおよび人工知能(AI)の専門家チームからのフィードバックによって作成されたもの。レポートをもとに丸山氏は「ランサムウェア」「日常の脅威」「COVID-19(新型コロナウイルス感染症)」「新しいプラットフォーム」の4つの観点から、昨今の脅威動向を解説した。
ランサムウェアについては、2020年は被害が続々と発覚している状況であるが、現在攻撃側のランサムウェアを運用する「アクター」は、いかにエンドポイントセキュリティを回避するかに重点を置き、侵入した後に高速に拡散させていくかを模索しているとのこと。具体的な手法としては、ダウンローダーを侵入させた後、さらなる脅威をクラウド経由で送り込むという形である。
一方狙われる企業側は、インターネットと接続するリモートデスクトップ(RDP)ポートの監視・遮断や、バックアップをオフラインで取るなど、しっかりと対策を行うケースが増えてきている。その結果、アクターは暗号化して人質を取る従来の形から、侵入されている事実を元に脅迫してお金を払わせようとする方向に動き、二次的な恐喝市場が生み出されているという。
攻撃者がデータを窃取する際には、クラウドに送信するために使われているツールや外に持ち出す際の移動先として一般的に使われているツール/ストレージサービスが利用され、ファイアウォールや統合脅威管理(UTM)で遮断されずに持ち出しが容易になっているという。
丸山氏はこのような状況下でのランサムウェア被害対応例として、「MAZE」というランサムウェアが使われて700台のサーバーを対象に1500万ドルの身代金が要求された海外でのユーザー対応事例を紹介。
まず攻撃者は、メール経由で3日かけて社内ネットワークに侵入。管理者のいない日曜日を選んで攻撃が実行され、発覚したのは翌日の7日目だったという。その段階でソフォスに緊急対応サービスを依頼し、侵害されたアカウントを特定。攻撃者の通信先へのコールバックを止め、翌日攻撃を無力化した。すると9日目に、別の侵害されたアカウントを通じて第2段の攻撃が行われ、それをブロックすると同日さらに第3弾の攻撃も行われたが、早期の対策によって暗号化被害を免れたとしている。
ランサムウェア攻撃を受けてからソフォスのサービスを利用して回避するまでの動き
※クリックすると拡大画像が見られます
こういった攻撃は特別なものではなく、実際に企業を狙った攻撃は日常的に行われている。ささいな攻撃であっても見逃してしまうと、突然ダウンローダー経由で危険なマルウェアが送り込まれてしまうので、「ちょっとした変化に対するリスク管理をしっかりと行っていくべき」と丸山氏は訴える。実際にこの1年間で、ランサムウェアで要求される費用は大きくなっているとのことである。
ソフォスはその注意すべき“コモディティー型のマルウェア”として、ダウンローダーの「Dridex」と「Zloader」と、「RAT」と呼ばれるリモートアクセス型トロイの木馬およびそこでダウンロードされる「Agent Tesla」という情報搾取マルウェアをリストアップしている。
マルウェア配信の仕組みはメールが多いが、最近はクラウドシフトでIaaS環境を管理するためにRDPプロトコルを使用するケースが増えたため、RDPに対する総当たり攻撃が多く見受けられるという。「RDPはセキュリティが担保されていないので、素のままでは使えない。VPN(仮想私設網)とパスワードだけの認証では簡単にクラッキングされてしまうので、多要素認証は必要。インターネットに接している限り、ターゲットになっているという意識を持つべき」と丸山氏は警告する。
RDP活用時には強固なセキュリティ対策が必須になる
※クリックすると拡大画像が見られます
さらに2020年は、新型コロナウイルス感染症(COVID-19)により在宅勤務が増えたことでビジネスメール詐欺(BEC)が増え、被害が増えているという。また、かつてMicrosoftの「Office」を対象として使われていた手法が再度使われる事象が散見されたとする。過去のファイルを作成するツールが用意されていて、それに対するシグネチャーが最近のセキュリティ対策ツールに実装されていないケースがあるため、効力があるのだという。
COVID-19に便乗した攻撃も多く、分析の結果、2020年2月に攻撃するためのサーバーを立ち上げる動きが確認されたとのこと。状況面では家庭が社内ネットワークにおける新しい境界となり、スパムやフィッシングメールが急増。セキュリティ強度の弱い在宅勤務者が狙われた。また、クラウドサービスもオンプレミス環境と同様に攻撃を受けていて、「これまで以上にクラウドセキュリティが重要になる」と丸山氏は展望する。
「COVID-19」や「コロナウイルス」に言及するスパムメールが急増
※クリックすると拡大画像が見られます
新しいプラットフォームに対する脅威としては、自宅のインフラ、ルーターやスマートフォン、テレビのセットトップボックス(STB)などのIoTセキュリティ問題を指摘。中でもスマートフォン向けのマルウェア「Android Joker」の増加が目立ったという。アプリストアのチェックをすり抜け、当初は安全を装いアップデートの際にマルウェア化する亜種も存在していて、利用者のPCと接続した際に入り込み社内ネットワークに侵入していく。
また、新たな攻撃パターンとしてセキュリティツールが犯罪に使われるケースが増えているという。侵入後にダウンロードしてくるツールが普段IT管理者の使っているようなものであるため、マルウェアとして認識されず攻撃を許してしまう。例えば、「Netwalker」というランサムウェア攻撃では、攻撃のさまざまな段階でオープンソースやフリーウェア、商用ユーティリティーが使用されたという。
丸山氏は、「こういった状況の中で、軽微なことにも目を向けてきちんと対応していくのがランサムウェア被害を抑える1つの方法」として、注意を喚起している。
