ランサムウェアだけではない——ウクライナ侵攻を背景にしたサイバー攻撃の最新動向
国内では連日のようにサイバー攻撃による被害が報じられている。実在する組織・人物の名前を騙り、かつこれまでのやりとりをコピーした巧妙なメールで受信者をだまし、感染を広げる「Emotet」のほか、業務に不可欠なデータを暗号化したり、盗み取って外部に公開すると脅して多額の金銭を要求するランサムウェアが猛威を振るっており、誰もが知る大手企業も被害者リストに名前を連ねるほどだ。
こうした攻撃に対処するには、攻撃者の手口を知ることが重要だ。相手がどのような攻撃を展開しているかを把握しなければ、効果的な対策も実施できない。こうした観点から、スロバキアに本拠を置くESETでは、4カ月ごとに「三半期レポート」をまとめ、公開してきた。日本および米国発の情報だけでなく、日本国内ではあまり詳細が得られない東欧・ロシア語圏や中東地域の動向を踏まえたサイバー攻撃に関する知見も得られることが特徴だ。
2021年第3三半期版レポートでは、ランサムウェアの動向をまとめ、「最も注視すべき脅威である」と警告を呼びかけるとともに、国内の報道ではあまり耳にしないが警戒すべき攻撃についても警告している。その一例が、PCの起動を司るUEFI(Unified Extensible Firmware Interface)を悪用し、スパイ活動を行うマルウェア「ESPecter」だ。同社は少なくとも2012年からUEFIを悪用した攻撃を確認しており、今後の動向に注意が必要だとしている。
イーセットジャパン株式会社
シニアマーケティングマネージャー&
セキュリティエバンジェリスト
曽根 禎行氏
2022年第1三半期版のレポートでは、2022年2月24日の侵攻開始のはるか以前から、ロシアがウクライナを標的に激しいサイバー攻撃を展開してきたことを解説している。2013年の「BlackEnergy」、2015年の「Sandworm」による電力網への攻撃、2017年の「NotPetya」のアウトブレイクといった活動が展開された末に侵攻が起こり、DDoS攻撃やシステムのデータを消去して起動不能に陥れるワイパー「HermeticWiper」の登場につながっていることが時系列で把握できる形だ。
同社の日本法人であるイーセットジャパンでシニアマーケティングマネージャー&セキュリティエバンジェリストを務める曽根禎行氏は「30年にわたってセキュリティベンダーとして活動し、脅威の「検知」と「予防」に強みを持つだけでなく、グローバルでの最新の脅威を把握するリサーチ力がESETの強みです。昨今では、地政学的動向を踏まえた、ロシアによるウクライナ侵攻がサイバーセキュリティに与える影響の分析などがその一例です。国外で発生する脅威が、日本に展開されるケースも少なくないことから、セキュリティベンダーとしてグローバルの脅威動向を把握する必要があります。」と述べている。
「100%の防御は不可能」でも、侵入前の対策を改善し続けるべき理由
ESETによれば、ウクライナ侵攻は日本企業にとっても対岸の火事ではない。直接攻撃を受けるケースはまれにしても、ウクライナの惨状に便乗したフィッシングメールやスパムメールが増加し、金銭をだまし取ったり、新たなマルウェアに感染させようとする動きが広がっている。つまり、この数ヶ月におけるEmotet急増の背景にはウクライナ侵攻に便乗しようとする攻撃者の思惑がある、というわけだ。しかも、不正なWordファイルに対する警戒が呼びかけられたことを受け、ショートカットファイルを用いる新たな手口を用いて対策をかいくぐろうとしているという。
パターンファイルによる検知が広がれば亜種を作成し、振る舞い検知が採用されればPCにもともとインストールされているツールを悪用したファイルレス攻撃を用いるという具合に、企業側が導入した対策を見越し、それをすり抜ける手法を用いるのが当たり前となっており、攻撃と防御はいたちごっこを繰り返している。
こうした背景から、セキュリティベンダー各社からは「脅威を100%防ぐのは不可能だ」と主張している。侵入を完璧には防ぎきれない前提に立ち、システム内に奥深く潜入され機密情報や個人情報の持ち出しやデータの暗号化といった深刻な事態に至る前に、不審な挙動を検知し対処することで、致命傷を防ぐ部分に注力すべきだというアプローチで、それを具現化したのが「EDR」と呼ばれるセキュリティ製品だ。
だが、いざEDR製品を導入してみたものの、今度は運用管理の複雑化に悩まされるという課題が顕在化している。イーセットジャパンが行った調査によると、回答企業の7割が、感染・侵入後の対策において運用管理が複雑化し、「複数のソリューションが混在して混乱している」「機能を最大限に使い切れていない」と回答している。背景には、長年指摘されているセキュリティに関する知識や人材不足が横たわっている。このため、「ツールを買ってきて自分たちで運用するのが非常に難しくなっている状況があります」(曽根氏)
調査からは同時に、そもそもの侵入前の対策も不十分である実態が浮かび上がっている。「侵入前の対策について、65%がどちらかというと十分ではないと回答しています。やはり継続的に侵入前の対策を改善し続けなければいけないという意識を、多くの企業が抱いています」(曽根氏)
現実問題として、マルウェアに感染し、侵害された後に対応する場合、ログを洗い出して影響範囲の調査を行う必要もあって工数もコストも膨らんでいく。逆に、可能な限り予防を強化し、侵入を試みた段階で脅威を見つけて対処できればリスクも抑えられ、インシデント対応に要するコストも抑制される。こう考えていくと、脅威がシステム内に侵入してこないよう予防の部分をあらためて見直し、いっそう強化していくことが重要だ。それができてはじめて、対応に目を向けるべきと言えるだろう。