フォーティネットの2019年第2四半期版脅威レポートで、前年からの脅威環境の変化が明らかに

米国時間2019年8月6日に掲載されたフォーティネットセキュリティブログの抄訳です。

このほどフォーティネットは、2019年第2四半期版脅威レポートを発表しました。四半期毎にフォーティネットが発表している本レポートは、脅威のトレンドやサイバー犯罪者の行動に関する重要かつ実用的なインテリジェンスを提供し、進化し続ける脅威への対策と保護に取り組む組織を支援することを目的にしています。

常に進化する脅威への対策が困難であることの証明として、インターネットにおける脅威の活動を示す指標である、Fortinet Threat Landscape Index（TLI）が過去最高の値を記録し、昨年の同時期から4%上昇しました。

巧妙化する回避機能

最新のマルウェアツールの多くに、アンチウイルスやその他の脅威検知手法を回避する機能が既に組み込まれていますが、サイバー攻撃はこれまで以上に高度な難読化によって検知を逃れたり、分析を回避したりするようになりました。

たとえば、あるスパム攻撃からは、攻撃側が防御側に対してこれらの手法をどのように利用し、調整するようになっているかを知ることができます。この攻撃には添付ファイル付のフィッシングメールが使用されており、分析の結果、その添付ファイルが不正マクロを含む武器化されたExcel文書であることがわかりました。このマクロには、セキュリティツールを無効にして任意のコマンドを実行し、メモリの問題を発生させ、日本のシステムでのみ実行されるようにするための属性が設定されていました。たとえば、xlDate変数を検索するあるプロパティは、一般公開されている文書に記載のないもののようです。

また、金融機関を標的にするトロイの木馬であるDridexの亜種の場合は、被害者がログインするたびにファイルの名前とハッシュを変更し、感染したホストシステムでのマルウェアの検知を困難にしていました。

分析回避や広範な回避機能の使用の増加は、振る舞いベースの脅威検知だけに依存しない多層型防御の必要性を再認識させるものです。

検知を逃れ、長期間にわたって活動を続けるマルウェア

あるスピアフィッシング攻撃の要として利用された情報窃盗マルウェアであるZegostには、いくつかの興味深い方法が使われています。他の情報窃盗マルウェアと同様、被害者のデバイスに関する情報を収集し、取得することがZegostの主な目的です。他の情報窃盗マルウェアと比べると、Zegostは独自の構成によってレーダーに検知されることなく潜伏できるように設計されています。たとえば、Zegostにはイベントログをクリアするための機能が含まれていますが、自らの痕跡を消すこのような方法は、一般的なマルウェアでは見られないものです。Zegostにはこれ以外にも、実行を2019年2月14日まで「停滞状態」にした後に感染ルーチンを開始するコマンドが追加されているという興味深い点があります。

Zegostの背後にいる攻撃者は、いくつものエクスプロイトを利用して標的への接続を確立し、維持することで、同時期の類似するマルウェアよりはるかに長期間にわたって活動を継続します。

標的型ランサムウェアの継続的な増加

第2四半期に発生した、複数の地方自治体や教育関連のシステムに対する攻撃は、ランサムウェア全体の件数は減少した一方で、ランサムウェアが多くの組織にとって今後も深刻な脅威となることを示唆しています。ランサムウェア攻撃は、無差別型から脱却し、身代金を支払う能力あるいは理由があると思われる組織に対する標的型攻撃へと移行しつつあります。場合によっては、サイバー犯罪者が綿密な偵察活動を続けた後に、標的とするシステムを注意深く選択してランサムウェアを送り込むことで、攻撃の成功率を最大限に高めようとすることもあります。

たとえば、RobbinHoodマルウェアには、組織のネットワークインフラストラクチャを攻撃し、データの暗号化を妨害するWindowsサービスを無効にしたり、共有ドライブから切断したりする機能が含まれています。

また、Sodinokibiと呼ばれる別の新しいランサムウェアの場合は、組織にとって別の脅威になる可能性があります。機能的には、他の多くのランサムウェアツールと大きな違いはありませんが、厄介なのは、このランサムウェアで悪用されている新しい脆弱性が任意のコードの実行を可能にするものであり、他のランサムウェアのようにフィッシングメールで送り込まれるのではなく、ユーザーとのやり取りを必要としないものである点です。

攻撃対象を問わず、ランサムウェアは今後も組織にとっての深刻な脅威となり続けるものであり、パッチの適用と情報セキュリティの意識向上の教育に優先的に取り組むことの重要性を我々に教えてくれます。さらに、BlueKeepをはじめとするRDP（Remote Desktop Protocol）の脆弱性の増加は、リモートアクセスサービスがサイバー犯罪の標的になるだけでなく、ランサムウェアを拡散する攻撃対象領域として使われる可能性もあることを警告するものです。

デジタル攻撃対象領域における新たな攻撃の機会

家庭用プリンターと重要インフラの中間に位置する、住宅や小規模企業向けの制御システムが増えています。これらのスマートシステムは、攻撃の標的とされることは比較的少ないものの、環境制御、セキュリティカメラ、安全システムなどのこれらの制御デバイスを標的とする活動が増加していることから、そのような状況に変化の兆しがあることを示しています。ビル管理ソリューションに関連するあるシグネチャが、1%の組織でトリガーとなっていることが確認されています。それほど大きい数字ではないように思えるかもしれませんが、これはICSやSCADAの製品で一般的に確認される数よりもはるかに大きい数字です。

次なる脅威に備える

四半期毎に発表しているフォーティネット脅威レポートの目標は、最新の脅威からネットワークを適切に保護し、変化する攻撃のトレンドに備え、デジタルリソースを標的とする次の脅威を予測する上で必要な情報をお届けすることです。このレポートが、最新の脅威インテリジェンスの収集と脅威保護戦略において重要な役割を果たし、フォーティネットの脅威インテリジェンスサービスから提供されるリアルタイムの脅威フィード、FortiGuard Labsが毎週お届けしている脅威インテリジェンスブリーフ、および他のインテリジェンスソースと併せて活用していただけることを願っています。

脅威インテリジェンスを適切な計画や統合セキュリティソリューションを組み合わせることで、進化する脅威からの保護を可能にする最良の戦略を策定できます。

サイバーセキュリティの脅威の最新トレンドと進化する脅威の現状の詳細を、最新の2019年第2四半期版脅威レポートでご確認ください。