脅威リサーチ

脅威のコンバージェンスの実態

投稿者 Derek Manky | 2023年1月12日

組織のデジタルトランスフォーメーションへの対応が進むにつれて、コンバージェンスの形態が多様化しています。例えば、ユースケースの開発が一層進む中で、これまで個別に独立していた技術(ITやOTなど)が統合されつつあります。

ただしこれは、あらゆる組織にとって諸刃の剣となります。業務の効率化、コスト削減、従業員のWFA(Work From Anywhere:場所に縛られない働き方)の実現など、ビジネスは間違いなくデジタルトランスフォーメーションの恩恵を受けています。しかし、こうした急激な変化によって、サイバー犯罪者への歯止めがきかなくなっています。今や彼らは、かつてないほど広範囲な攻撃対象領域を思い通りに利用して不正な活動を行えるのです。

犯罪者たちがそれに気づき、より多くの利益を得ようとしているのも驚くことではありません。拡大を続けるデジタル攻撃領域を標的にするために、サイバー犯罪者がより複雑で破壊的な攻撃をしかけることで、被害はより広範囲に及んでいます。

その一方で、脅威もまたコンバージされています。最近の攻撃の傾向として、サイバー犯罪者は徐々に進化しており、これまではAPT(高度な持続的脅威)グループでしか使われていなかったモデルを「借用」し、コンバージしています。このブログでは、FortiGuard Labsチームが把握している現状と、絶えず変化する組織のリスクを管理するうえでの課題を検証します。

高度な持続的脅威とサイバー犯罪のコンバージェンス

従来の攻撃者は、トロイの木馬や比較的シンプルなマルウェアを配信するなど、単純な方法でネットワークに侵入しますが、APT攻撃者はもっと高度な手法を用います。一例を挙げると、APT攻撃者は長期にわたって巧妙なスパイ戦術を使用して、組織の複数の関係者を巻き込み、その会社のファイアウォールを突破するなど特定の目的を果たします。

現実にはあらゆる規模のビジネスが標的になり得ますが、過去の有名なAPT攻撃は著名な企業公人、または政府を標的にしていました。ところが、APT方式、つまりコンバージを利用するタイプの攻撃は増加傾向にあります。そこで懸念されるのが、従来型のサイバー犯罪グループも今ではAPT攻撃を実行している点です。

APT方式の攻撃と一般的なサイバー犯罪をコンバージした例としては、まずワイパー型マルウェアが挙げられます。ワイパーは、国家的犯罪グループが使用する戦術としてたびたび観測されています。一方、APT以外のサイバー犯罪グループは、通常、ランサムウェアなどのマルウェアを配信します。

ワイパー型マルウェアは目新しい攻撃ではなく、最初に発見されたのは2012年です。ただし、FortiGuard Labsの観測によると、より破壊的で高度なワイパーの攻撃手法を使用し、その攻撃をOT環境で行うサイバー犯罪者が増える傾向にあります。2022年の前半6ヵ月間に、FortiGuard Labsは少なくとも8つの重大かつ新しいワイパー亜種、すなわちWhisperGate、HermeticWiper、AcidRain、IsaacWiper、DesertBlade、CaddyWiper、DoubleZero、Industroyer.V2を観測しました。これらは政府、軍、民間団体に対するさまざまな標的型攻撃で使用されていました。この8という数は重要です。なぜなら、過去10年間で正式に認知されたワイパー亜種の総数とほぼ同じだからです。この攻撃ベクトルの使用は、ウクライナでの戦争と関連して大幅に増加していますが、それ以外の24ヵ国でもディスク消去マルウェアの使用は検知されています。

最近の傾向:標的はプレイブック、戦術の破壊力とステルス性が増大

攻撃者が新たな破壊的目標を達成するため脅威をコンバージすることに加えて、一般的なサイバー攻撃のプレイブックが標的にされる傾向が強まっています。これは一般的なサイバー犯罪に見られる変化です。通常、プレイブックを標的にするのはAPTグループが得意とする手法だからです。

ランサムウェアの活動を調べると、この傾向が特に明確になります。実は、最近の調査によると、85%の組織が他のサイバー脅威よりもランサムウェア攻撃により大きな不安を感じています。

そして攻撃者は、組織の監視をかいくぐるためにステルス性を強化しています。FortiGuard Labsによる過去6ヵ月間の観測で、マルウェア開発者が最も多く採用した戦術は防御回避であることがわかりました。悪意のある隠蔽は、マルウェア開発者が習得すべき基本スキルの一つです。したがって、そのために彼らがコマンドを隠蔽し、企業の防御を回避しようとするのも当然です。

セキュリティプロフェッショナルの課題

高度な持続的脅威と一般的なサイバー犯罪のコンバージェンスが進むにつれて、サイバー犯罪者はセキュリティ、検知、インテリジェンス、および制御の回避へと徐々に重点を移しています。サイバー犯罪者は偵察により多くの時間を費やし、新しい技術を武器化する方法を探っています。

あらゆるセキュリティの課題と同様に、このタイプの攻撃から組織を保護するための唯一の解決策や即効薬はありません。我々が取り得る最良の保護対策は、最新かつリアルタイムの脅威インテリジェンスに基づいて、振る舞いベースの検知手法をプロアクティブに構築することです。こうした実用的インテリジェンスによって、組織は攻撃者の多様なツールキットに対抗する態勢を整えることができます。統合型でAIおよびML主導のサイバーセキュリティプラットフォーム、高度な検知 / レスポンス機能、そしてそれらを補強する実用的脅威インテリジェンスは、ハイブリッドネットワークのあらゆるエッジを保護するうえで重要な役割を果たします。

破壊力が増したランサムウェアを防御するには、組織の業種や規模に関係なく、ランサムウェアに合わせて進化できるプロアクティブなアプローチが必要です。リアルタイムの可視化、保護、および修復機能と連動する高度なEDR(Endpoint Detection and Response:エンドポイントの脅威検知とレスポンス)も不可欠です。ファイアウォールのインラインサンドボックスでは、ネットワーク上での安全性が確認できるまで、疑わしいファイルを保持してマルウェア分析を行うことができます。

さらに、DRPS(デジタルリスク保護サービス)などのサービスを使用すると、外部脅威対象領域の評価や、セキュリティ問題の検知 / 修復を実行できます。また、現在および差し迫った脅威について、コンテキストに基づく実行可能なインテリジェンスを入手することも可能です。

「オフィス勤務」か「WFA(Work-From-Anywhere(場所に縛られない働き方)」か、あるいは仕事や研修がどこで行われているかに関係なく、アプリケーションへのアクセスを保護するにはZTNA(ゼロトラストネットワークアクセス)が不可欠です。

絶えず進化を続ける脅威、戦術、手法に対処していると、しばしば大海原を漂流しているような気持ちになります。海底に足がつかず、次にいつ船が通りかかるかもわかりません。しかしながら、周囲の状況をよく知り、組織を保護するための措置を講じれば、次の嵐の到来が避けられないとしても、十分な備えをしておくことができます。