編集部からのお知らせ
新着記事まとめPDF「ランサムウェア」
注目の記事まとめPDF「Chrome OS」

ランサムウェアの脅威が後退傾向--Trellixの脅威レポート

國谷武史 (編集部)

2022-08-05 06:00

 セキュリティ企業のTrellixは8月4日、2021年1~3月期のセキュリティ脅威動向レポートを発表した。それによれば、主たるランサムウェアの活動が後退傾向にあることが分かったとしている。

Trellix セールスエンジニアリング シニアディレクターの櫻井秀光氏
Trellix セールスエンジニアリング シニアディレクターの櫻井秀光氏

 同日記者会見したセールスエンジニアリング シニアディレクターの櫻井秀光氏によると、1月にランサムウェア犯罪を行う「REvil」グループのメンバーが逮捕されたことで、ランサムウェア被害組織の身代金の支払いが減少したという。主たるランサムウェアファミリーの「Lockbit」では44%、「Conti」では37%、「Cuba」では55%と、それぞれにインフラへのクエリー数が2021年10~12月期よりも減少していた。

 この結果について櫻井氏は、主たるランサムウェアファミリーで感染が減少していることを示唆していると解説。ランサムウェア攻撃の主な目的が被害者から金銭を獲得することにあるため、「対策が進み、身代金を支払わないことが犯罪者を弱体化させる有効な対処法になる」とした。

Trellixの分析による2021年1~3月期のランサムウェア動向
Trellixの分析による2021年1~3月期のランサムウェア動向

 ただ、期中にランサムウェアが多く検出された業界は、通信の53%を筆頭に、コンサルティングやITなどの法人向けサービス事業者、メディア、金融、運輸および流通の順に多かった。この傾向はマルウェア全体も同様で、サイバー攻撃者が複数の業界・企業を同時多発的に狙う特徴的な動きだという。

 また期中にはサイバー犯罪者グループ「Conti」に関すると見られる内部資料がインターネット上に流出した。セキュリティ各社の分析から、Contiはかねてから指摘されていたようにロシアの諜報組織との関係性が裏付けられたとし、同グループがロシア側に忠実であることや、ロシアの諜報組織がContiにさまざまな指示を行っていたことが明るみなった。

 2021年4~6月期にはContiのサイバー攻撃インフラが解体された。ただし、Contiの主要メンバーらが拘束されてはおらず、櫻井氏はConti側が今後インフラを再構築して活動を再開させる可能性があると指摘し、「金銭の獲得や支援国家の意思を受けた攻撃を引き続き実行すると見られ、Contiが用いる戦術や手法、技術などを理解して事前に備える必要がある」と解説した。

 この他には、OSなどに標準搭載されている正規ツールを悪用する「環境寄生型」と呼ばれる攻撃も引き続き活発だった。期中に頻繁に使用されたツールは、「Windows Command Shell」が41.9%、「PowerShell」が37.14%、「Remote Access Tool」が20.48%だった。環境寄生型を用いるのは、「APT41」(39%)や「Gamaredon Group」(39%)、「APT35」(33%)といった攻撃者になるという。

 Trellixは、旧McAfeeの法人向け事業部門と旧FireEyeのセキュリティ機器部門の統合で発足しており、今回の発表では旧FireEyeが担っていたメールセキュリティ領域の動向も紹介された。

 櫻井氏によると、攻撃者にとってメールが標的のコンピューターへまず侵入するための主な手段になる。現在でも同社セキュリティ製品で検知される悪質なメールの大半に、フィシングサイトへの誘導やマルウェアダウンロードのためのURLが記載されており、URLだけなく悪質なファイルを添付して送り付けるケースも依然として少なくない。同社が検知した悪質な添付ファイルは、リッチテキスト(RTF)が50.76%で最も多く、Office関連が31.25%、Object Linking and Embedding(OLE)が17.99%と続いた。

 また、正規ユーザーになりすましてクラウドサービス上で不正行為をするために、認証情報(クレデンシャル)を盗む目的でもメールによるフィッシングが多用されている。櫻井氏は、こうした手法ではメール内のURLから誘導される偽サイトの多くが「HTTPS」の暗号化通信を導入していると指摘した。従来のメールセキュリティ対策では、暗号化通信の中身を復号して検査することが難しい(機能が対応していない、処理負荷による運用支障で機能が使われていない、などの理由が考えられる)としている。

 不審なメールやファイルなどがユーザーの手元に到達する前に「サンドボックス」と呼ばれる仮想コンピューター空間で実行することで悪性を検知する対策についても、攻撃者側はサンドボックスが対応していないアーカイブ形式やスクリプトを用いて検知を回避するようになってきているという。

サンドボックスを回避する攻撃者の動向
サンドボックスを回避する攻撃者の動向

 このようにメールを悪用するサイバー攻撃手法は高度化しており、櫻井氏は、URLのクリックから誘導されるウェブサイトの状態までも詳細に解析して悪性かどうかを判断する対策技術や、不審なファイルを実行することで具体的にどのような流れで攻撃が行われるかを分析する動的解析技術などを活用することが重要だとした。

 ビジネスシーンではメールによるコミュニケーションが今も中心であるだけに、「メールが脅威の主要な侵入口であり、メールセキュリティ対策を強く意識していただきたい」と述べている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    マンガでわかる―Webサイトからの情報搾取を狙うサイバー攻撃「SQLインジェクション」、どう防ぐ?

  2. 経営

    迫られる改正電子帳簿保存法対応--中小・中堅企業に最適な簡単&現実的な運用方法とは

  3. 運用管理

    AWS、GCP、Azureを中心としたクラウドネイティブ環境における5つのセキュリティ強化策

  4. 運用管理

    5G時代におけるクラウドサービスの問題点、通信の最適化・高速化を実現する「MEC」の活用事例を紹介

  5. コミュニケーション

    情報が見つからない&更新が進まないFAQページは絶対NG!効果的なFAQを作成・運用するために

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]