業界トレンド
FortiGuard Labsが脅威レポートでランサムウェアが10倍に増加したと報告
FortiGuard Labsが先日発表した2021年上半期版のフォーティネットグローバル脅威レポートで、2021年上半期に、個人や組織、さらには重要インフラストラクチャを標的にする攻撃の件数が増加し、巧妙化していることがわかりました。この半期レポートのハイライトを以下に紹介します。
ランサムウェアが10倍に増加し、攻撃の範囲が拡大
昨年のこの時期には、攻撃者が企業で使用されるインフラストラクチャのデバイスから一般ユーザーの自宅のネットワークや製品にリソースを集中させるようになりましたが、今回のレポートで、その両方が標的にされていることがわかりました。例えば、上位のIPS検知数は、サイバー犯罪者が小規模企業や一般ユーザー向けのテクノロジーを標的にし、在宅勤務者を攻撃している一方で、企業のネットワークやコンテンツ管理、アプリケーション開発プラットフォーム(CMS)なども再び標的にするようになっていることを示しています。
ボットネット活動が2021年上半期に急増
FortiGuard Labsがレポートで指摘した、この半年間のもう1つのトレンドが、攻撃数の激増です。例えば、ボットネットの活動が検知された組織の割合が、この半年間で35%から51%に跳ね上がりました。
急増の大きな要因となったTrickBotは、金融機関を標的にするトロイの木馬として登場した後に、さまざまな不正活動を支援する、高度なモジュール設計の多段階ツールキットへと進化しました。Miraiは、最も活発に活動したボットネットで、2020年初めにGh0stから奪った首位を今なお維持しています。Miraiには新しいサイバー兵器が次々と追加されていますが、首位を維持している要因の1つとして、WFA(work from anywhere:場所を問わない勤務)や遠隔学習で使用されているIoTデバイスを悪用しようとする犯罪の増加が挙げられます。首位の座は譲ったものの、Gh0stは今なお、ボットネット活動で重要な役割を果たしています。
増加し続けるランサムウェア
サイバー脅威で最も増加の度合いが高いランサムウェアは、この1年で10倍以上という驚異的な増加を記録しました。その大きな要因となったのが、RaaS(Ransomware-as-a-Service)の継続的な増加です。ランサムウェアのレンタルに加えて、最近は、侵害された企業ネットワークへのアクセスを販売するサービスもあるため、技術スキルの低い犯罪者でも簡単に攻撃を開始できます。
2021年上半期に最も標的にされた分野は通信業界で、政府機関、マネージドセキュリティサービスプロバイダー、自動車、製造の順に続きました。大きく報道された数々の攻撃で重要分野の組織が機能停止に追い込まれ、日常生活、生産性、商取引に多大な影響を及ぼしました。例えば、コロニアルパイプラインへの攻撃では米国東海岸の石油やガソリンの流通が中断し、JBS Foodsへの攻撃では世界的な食肉不足が懸念され、Kaseya VSAへのサプライチェーン攻撃では下流の顧客が影響を受けました。
件数の増加だけでなく、ランサムウェア攻撃の凶悪化も進み、サイバー犯罪者は、恐喝のレベルを上げて支払いを迫るようになりました。例えば、暗号化とドキシング(内部データを公開すると脅迫する行為)を組み合わせたり、DDoSを追加したりすることで、標的である組織の顧客や関係者に直接働きかけ、その組織に支払いを迫ることもあります。
グローバル脅威レポートのその他のハイライト
OTはITの影の存在ではなくなった
オペレーショナルテクノロジー(OT)は、注目度という点ではITほどではないものの、重要インフラストラクチャなどの物理世界に直結するため、日常生活にも影響する恐れがあります。FortiGuard Labsが指摘したように、OTの脆弱性が次々と特定されてエクスプロイトツールに組み込まれるため、スクリプトキディと呼ばれる初心者でも、保護されていない、あるいはパッチが適用されていないICS(産業用制御システム)を悪用することを目的としたAPTグループと同様に、OTデバイスを見つける可能性が高くなっています。
悪いニュースばかりではない
サイバーセキュリティは長期戦であり、どれもが即効性のある対策というわけではありませんが、批判の声が効果を上げつつあるようです。ホワイトハウスは、ランサムウェアのインシデントが増加し、米国民の安全とセキュリティを脅かし続けていることを受けて、防御と攻撃によるランサムウェア対策の策定と調整にあたるタスクフォースを立ち上げると発表しました。インターポール(国際刑事警察機構)や世界経済フォーラムのサイバーセキュリティセンター(Centre for Cybersecurity)などのグループも、脅威やサイバー犯罪組織の検知と阻止に向けて協力を強化するための地域の垣根を超えた国際的な対話を開始しました。2021年上半期のこのような官民合同の行動が状況を大きく変えることになるかもしれません。公的な組織が業界ベンダー、脅威インテリジェンスの組織、およびグローバル組織と協力し、リソースとリアルタイムの脅威インテリジェンスを組み合わせて、サイバー犯罪者に対する直接的な行動を起こすようになっています。フォーティネットもこのような活動の多くに積極的に参加しています。
例えば、官民合同の行動の成果として、最も活動が活発だったマルウェアの1つであるEmotetが解体され、Egregor、NetWalker、Cl0pなどのランサムウェアの活動も同様に停止に追い込まれたことは、サイバー犯罪を抑え込もうとする世界中の政府や法執行機関の大きな勝利と言えるでしょう。DarkSide、Avaddon、Ziggyなどの一部のサイバー犯罪集団が自ら姿を消したことや、コロニアルパイプライン攻撃の後に一部の地下フォーラムがランサムウェアの取引を拒否するようになったことも、朗報と言えるでしょう。6月には、TrickBotを最初に開発した犯罪者が複数の容疑で召喚されました。また、米国司法省は、2,800万ドルを手にしたNetWalkerのアフィリエイトを告発した際に、強いメッセージを発信しました。高まる世論に応えたこれらの行動は、政府や法執行機関によるサイバー犯罪抑制の取り組みが大きく前進したことの表れです。
しかしながら、このような取り組みにテクノロジーや脅威インテリジェンスの進歩を組み合わせることも必要です。FortiGuard Labsは、脅威サンプルを活動させることで、検知したマルウェアに組み込まれた機能を分析し、その目的を特定する作業を開始しました。その結果をまとめた以下のリストにあるように、現在のマルウェアには、特権の昇格、防御の回避、内部システムの水平移動(ラテラルムーブメント)、不正取得したデータの持ち出しなどのさまざまな機能が組み込まれています。
このような詳細な脅威インテリジェンスを文書化して、攻撃手法の進化の過程を明らかにすることで、重要なデジタルリソースの保護に役立つ貴重なヒントが得られます。例えば、観測された特権昇格の機能の55%でフッキングが、そして40%でプロセスインジェクションが利用されていました。これは、サイバー犯罪者が防御回避と特権昇格の戦術に重点を置いていることを示しています。
グローバル脅威レポートを活用した、ランサムウェア対策の強化
グローバル脅威レポートで使用されているデータは、フォーティネットのセンサーが世界中から収集した数十億件の脅威イベントに基づくものであり、FortiGuard Labsのインテリジェンスにこのデータは集約されています。このレポートは、2021年上半期の脅威トレンドとサイバーセキュリティの世界全体と地域別の現状を報告し、MITRE ATT&CKフレームワークを活用してサイバー犯罪者の戦術と手法を分類することで、サイバー犯罪者がどのように脆弱性を見つけて攻撃のためのインフラストラクチャを構築し、標的を攻撃するかを解説しています。これらのナレッジを活用することで、今日のグローバル経済におけるリスクとなる現在および新規の脅威を正しく認識し、対応できるようになります。
FortiGuard Labsの脅威リサーチとインテリジェンス部門、FortiGuardセキュリティサブスクリプション / サービスのポートフォリオの詳細を参照してください。
フォーティネットのTraining Advancement Agenda(TAA)のイニシアチブである無料のサイバーセキュリティトレーニング、またはフォーティネット技術者認定プログラム、Security AcademyプログラムおよびVeteransプログラムの詳細を参照してください。FortiGuard Labsのグローバル脅威インテリジェンスと調査、そしてFortiGuardセキュリティのサブスクリプションとサービスのポートフォリオの詳細を参照してください。
