Trellixは5月31日、過去6カ月間(2021年10月~2022年3月)のサイバー犯罪者の行動を調査した「Threat Labs Report:2022年4月版」を発表した。同日には、レポートに関連したメディア向け勉強会が開催され、調査期間のうち2021年第4半期(10~12月)に観測した脅威動向が解説された。
説明会では、Trellix 執行役 セールスエンジニアリング本部 ディレクターの櫻井秀光氏が、企業が注意を払うべき新たな脅威を3つ挙げた。
Trellix 執行役 セールスエンジニアリング本部 ディレクター 櫻井秀光氏
1つ目の脅威が、新型のワイパー型マルウェアの「HermeticWiper(ハーメティックワイパー)」だ。「HermeticWiperがシステムに感染すると基本的にシステムの復元は不可能だ。システムドライバーとWindowsファイルが削除されシステムが動作不能になる」と櫻井氏は述べた。
ワイパー型マルウェアは、金銭の取得を目的としない「破壊型」のマルウェアで、ターゲットのシステム、クライアントに感染することで企業のIT活動を停止させる。Trellix Threat Lab(脅威センター)はウクライナへのサイバー攻撃でHermeticWiperを確認しており、従前から確認されているワイパー型マルウェアのWhispergateと類似点を持つという。
「HermeticWiper」の感染例。感染後にデータの削除が完了すると、再起動が実行されてシステムは操作不能状態に陥る、出所:説明会の資料より抜粋
同マルウェアの対策として、Trellixでは、初期の侵入活動を防ぐ対策を推奨する。具体的には、短縮URLを利用したフィッシング/スピアフィッシング攻撃に対応するためにURLのアクセス先を確かめること、クラウドアカウントなどへのブルートフォースアクティビティを監視すること、そして、例外なくすべてのユーザーに対して多要素認証を実施することなどが挙がった。
また、昨今マルウェアの侵入手口として多い外部に公開されたシステムについては、脆弱性を付く攻撃の監視と適切なパッチ適用を行い、必要でないポート・プロトコルの利用は停止すべきだという。ほかにも、過去のサイバー攻撃で利用されたオープンソースツールの検出と削除なども有効だ。
2つ目の脅威が、正規のOSのプログラムや管理用ツールを悪用した「環境寄生型(Living off the Land、LotL)」攻撃の継続だ。同攻撃では、システムやネットワークへのアクセス権を持つ人物がねらわれる。
Trellixでは2021年11月後半から中国マカオの高級ホテルを標的に、ホテルの人事担当副社長、アシスタントマネージャー、フロントオフィスマネージャーなどの管理職を対象にしたスピアフィッシングメールを観測した。同メールには、Excelシートが添付されている。同シートを開くと悪意のあるマクロを有効にするように促される。マクロにより重要データが認識・リストアップされ、外部送信を行うためのタスクがスケジュールされる。その後、不正に遠隔操作を行うためのコマンド&コントロールサーバとの接続が確立され、重要データが外部送信されてしまうという。
「環境寄生型(LoTL)」攻撃のイメージ、出所:説明会の資料より抜粋
櫻井氏は、「セキュリティ対策ツールの検知を免れるために、正規のツールを隠れ蓑にすることで監視を逃れ、痕跡も残さないLotLが継続して使用されている。対策としては、不要/未使用のプログラムやツールがあれば利用停止することだ」と指摘した。
なお、2021年第4四半期に最も頻繁に使用されたNativeOSプログラムは、Windows Command Shell(53%)とPowerShell(44%)で、悪用されたツールとしては、AnyDesk、ConnectWise Control、RDP、WinSCP、UltraVNC、PuTTY、WinSCPなどをTrellixは確認したという。
LoTLは、攻撃フェーズに応じてマルウェアを使い分けて異なる目的を達成していく多段階の攻撃にも利用されている。西アジア地域の政府高官を対象としたExcelファイルを使用したスパイ活動では、初期ではExcel、中期ではOneDriveが悪用された。
攻撃の初期フェーズにはメールでExcelファイルが届き、ファイルを開くとスクリプトが走り、新たなマルウェアが起動し、リモートコード実行の脆弱性(CVE-2021-40444)を突く攻撃が実行される。その後、攻撃は中期フェーズに移行し、マルウェアが感染した環境の情報を収集してOneDrive上にコマンド&コントロールサーバを構築。同サーバから外部に収集した情報を送信しつつ、同時にRAT(Remote Administration Tool)タイプのマルウェアに感染させることで、後期フェーズとしてシステムの掌握が完了する。
西アジア地域の政府高官を対象とした多段階スパイ活動で観測された「環境寄生型(LoTL)」攻撃のイメージ、出所:説明会の資料より抜粋
「最初の侵入後の活動の痕跡をEDR(Endpoint Detection and Response)ツールなどで検知できるかが、このタイプの攻撃防ぐうえでのポイントとなる。攻撃の初期でブロックできれば、RATの感染までは至らないので、なるべく早い段階での検知が求められる」と櫻井氏。
説明会では、2021年第4四半期のランサムウェアの傾向も解説された。Trellixでは、RaaS(Ransomware as a Service)を提供していた大手ランサムファミリーのREvil/Sodinokibiにグローバルな警察の介入や内輪もめなどがあり、第4四半期では顕著な検出は見られなかったことから、REvil/Sodinokibiがテイクダウンしたと判断した。
一方で、新たにLockbitが最大手ランサムファミリーとして台頭してきているという。Trellixが2021年第4四半期に検出したランサムウェアファミリーは、Lockbit(23%)が最も多く、次いでCuba(19%)、Conti(17%)だった。
ランサムウェアの動向は移り変わりが激しい。5月19日にはContiが解散したとの観測が広まった。また、TrellixはREvil/Sodinokibiの関連メンバーが他のランサムウェアファミリーに所属して活動を継続していると見ており、継続的な監視が引き続き重要になるという。
Trellixが観測した2021年第4四半期のランサムウェアの傾向、出所:説明会の資料より抜粋
また、Trellixでは、政治的な意図の下で重要なデータを取得しようとする「国家主導のサイバー脅威」についても注視する。特に2021年第4四半期に国家主導の攻撃グループが使用したツールの中で、「ペンテストツールであるCobalt Strikeの使用が増えてきている(第3四半期から95%増)」ことについて櫻井氏は警鐘を鳴らした。
Trellixが観測した国家主導によるAPT(持続的標的型攻撃)活動のうち、ロシア政府機関を支援していると考えられているAPT29の検出数が30%を占めた。国家主導の攻撃は金銭を目的としないが、攻撃を受けた組織が対応のために費やす費用は、平均して1インシデントにつき1億円以上とされる。それにもかかわらず、組織の防御は後手に回っているのが実態だ。
Trellixと戦略国際問題研究所(CSIS)が共同で調査・発行したグローバルレポート「In the Crosshairs:Organizations and Nation-State Cyber Threats」では、回答者の86%が、「国家主導の攻撃グループによるサイバー攻撃の標的になっている」と回答している一方で、「自組織の既設の仕組みで、国家主導の攻撃グループによるサイバー攻撃とその他のサイバー攻撃を明確に区別できる」との回答者はわずか27%だった。
そのうえで、Trellixでは、前述のLoTLで見られるような、「組織を侵害する事前準備としての個人侵害」への対策を提言する。特に注意しなければいけないのは、重要情報を保有する職位が高い人物、または幅広いアクセス権を持つ人物へのサイバー攻撃だ。ソーシャルメディアやモバイル端末など、個人がデータや認証情報を保存しているサービスを通じて実行された攻撃も含めて、個人を標的としたサイバーインシデントが大幅に増加しているという。
「高度な脅威を防御・検知・対処するための技術的対策に加えて、個人のセキュリティリテラシーを高めるための教育などの対策も重要だ。また、実際の攻撃を模した訓練を経営幹部を含めて実施することも有効だ。攻撃を実際に受けた企業は、『こんなことになるのか』と身に染みて脅威の恐ろしさを理解する。そうした活動をセキュリティ担当者が実施しやすくなるように、CISO(最高情報セキュリティ責任者)を設けるなど、社内での体制整備は重要になる」(櫻井氏)