BlackBerry Japanは4月15日、「2022年版BlackBerry脅威レポート」の日本語版を発表した。これは、同社の脅威解析チームの分析に基づき、2021年に起きたサイバー攻撃の技術と戦術を検証するとともに、今後のサイバーセキュリティを展望するもの。
同社 執行役員社長の吉本努氏はまず、警察庁が4月7日付で発表した「令和3年におけるサイバー空間をめぐる脅威の情勢等について」の内容を踏まえ、「日本におけるランサムウェアの被害は2021年下半期で前年比4倍」「復旧に要した費用は1000万~5000万円が全体の35%」データを紹介。
さらに、被害企業の傾向と課題として、92%がウイルス対策ソフトを導入するも、「83%が検出しなかった」「(検出した企業のうちの)76%は検出が被害軽減につながっていなかった」「(検出しても被害軽減につながらなかった企業のうち)46%は検出しても気づかなかった」といいう。
ランサムウェア被害の状況
ランサムウェア被害企業の傾向と課題
こうした状況について、吉本氏は「従来型のウイルス対策ソフトでは検出できないマルウェアが主流になっている。EDR(Endpoint Detection and Response:エンドポイントの脅威検知とレスポンス)で検出できても、実際の被害発生に間に合わなかった。あるいはそもそも検知したのに気づいていないなど、運用体制にも課題がある」と指摘した。
また、同社のインシデントレスポンスサービスでの対応事例から得られた傾向として、「インシデントとしてはランサムウェアとクリプトマイナーによる被害が多い」「在宅勤務者のためのVPN(仮想私設網)環境が大規模なインシデントにつながった例が多い」といった点も指摘された。
その上で、吉本氏は「ゼロトラストネットワークアクセスの導入」「検知・対応マネージドサービス(MDR)の導入」「シグネチャーに依存しない、新種を含めた検知能力を持つウイルス対策ソフトの導入」「インシデントに迅速に対応するための意志決定の明確化や社内統制、ベンダーの選定や、事前のインシデント対策マニュアルの策定」などを対策として推奨した。
BlackBerryのインシデントレスポンスサービスでの対応経験から得られた対策
続いて、同社 主任脅威解析リサーチャーの糟谷正樹氏が脅威レポートについて解説した。まずは2021年の振り返りとして、「サプライチェーン攻撃」「新しいプログラミング言語の活用など、脅威の進化」「ランサムウェア」「Emotet、Trickbotの復活」といったトピックを挙げた。
サプライチェーン攻撃に関しては以前からそのリスクが指摘されていたものの、KaseyaやSolarWindsといった大規模な被害例が出てきて顕在化した形だ。次に、新しいプログラミング言語(Go、D、Nim、Rustなど)で記述されるマルウェアが増加している理由としては、クロスコンパイル環境の進化があるという。一度作成したマルウェアをさまざまなOSに簡単に対応できるのに加え、言語やコンパイラーが変わることでバイナリーコードの内容も変わるため、既存のセキュリティソフトなどでのシグネチャーによる検知を無効化できる点、解析ツールの不足や解析者の経験不足などで解析に時間が掛かる点が攻撃者にとってのメリットになっているという。
また、攻撃者の分業化が進んでいる例として、イニシャルアクセスブローカー(IAB)という「組織ネットワークへの不正アクセスを目的とした団体」の活動も紹介された。組織内への最初の侵入口の確保を目的として活動し、実際に侵入に成功すると永続化のためにバックドアを設置するなどの工作を行い、そのアクセス情報をダークウェブで販売(25~数千ドル)するというものだ。
このほか、ランサムウェアによる二重脅迫が引き続き多数の被害を出しているほか、サービス拒否(DoS)攻撃と組み合わせたり、関係者に情報漏えいを暴露したりするなど、何とかして被害者から身代金を得るための工夫も行われているという。
こうした動向を踏まえて、糟谷氏は攻撃のライフサイクルを踏まえた対応の重要性を指摘し、「より手前の段階での攻撃の検知・遮断が重要。段階が進むと対処に時間を要し被害が拡大してしまう」とした。また、24時間体制のモニタリングが不可欠となることから、人工知能(AI)などを活用し、機械と人間による役割の分担も重要だとした。
2022年に注意すべき脅威トレンドとしては、「コロナ便乗のフィッシングメールもいまだに観測されている」「サプライチェーン攻撃も引き続き発生が予測される」「予防ファースト/ゼロトラストの採用」「名の知れたマルウェアに引き続き警戒が必要」といったポイントを指摘した。