サイバー攻撃者は、多数のユーザーが使用しオンライン状態にあるアプリケーションに群がる

最新のフォーティネット脅威レポートで、脅威の60%近くが少なくとも1つのドメインを共有しており、ボットネットの大半が既存のインフラストラクチャを利用していることが明らかに

フォーティネットジャパン株式会社 - 2019年6月14日


幅広い適用領域で(Broad) システム連携し(Integrated) 自動化された(Automated) サイバーセキュリティソリューションの世界的リーダーであるフォーティネット(Fortinet®、NASDAQ:FTNT)は本日、最新のグローバル脅威レポートの研究結果を発表しました。このレポートでは、サイバー犯罪者が引き続き攻撃手法をさらに巧妙なものへと進化させており、一部の攻撃ではカスタマイズされたランサムウェアやカスタムコーディング、さらに環境寄生(LoTL:Living off The Land)やインフラストラクチャの共有によって攻撃機会を最大化させていることが明らかになっています。2019年第1四半期のエクスプロイト、マルウェア、そしてボットネット各々の指標とサブ指標を示したFortinet Threat Landscape Index(TLI)、企業のCISOが注目すべき重要項目については、ブログでもお読みいただけます。また、本レポート(日本語)の全文は、こちらでご覧いただけます。

本レポートのハイライト


感染前と感染後のトラフィック:サイバー犯罪者には、曜日によって異なる攻撃フェーズを実行する傾向があるのかどうかを調査したところ、彼らは常に最大限の利益を得る方法を模索していることがわかりました。サイバーキルチェーンの2つのフェーズのWebフィルタリングの件数を平日と週末で比較したところ、感染前の活動は約3倍の確率で平日に発生する可能性が高いのに対し、感染後のトラフィックにはそのような顕著な差は認められませんでした。この主な理由は、エクスプロイトではフィッシングメールをクリックするなどのユーザーによる操作が必要とされることが多いのに対し、コマンドアンドコントロール(C2)にはこのような操作は必要なく、曜日や時間を選ばないためです。サイバー犯罪者はこのことを理解しているので、成功率を高めるためにユーザーのインターネット上での活動が活発な曜日を狙います。このため、平日と週末でWebフィルタリングの方法を変えることが、さまざまな攻撃のキルチェーンを完全に理解する上で重要になります。

多数の脅威によるインフラストラクチャの共有
:異なる脅威がインフラストラクチャをどの程度共有しているのかを理解することで、いくつかの重要なトレンドが明らかになります。一部の脅威は、独自あるいは専用のインフラストラクチャと比較して、コミュニティで共有しているインフラストラクチャを高い割合で利用しています。脅威の60%近くが少なくとも1つのドメインを共有しており、このことからボットネットの半数以上が既存のインフラストラクチャを利用していることがわかります。IcedIDには、このような「借りられるものを買ったり作ったりしない」という攻撃者の心理がよく現れています。さらに、いくつもの脅威がインフラストラクチャを共有する場合、インフラストラクチャの共有がキルチェーンの同じステージで見られる傾向があります。ある脅威がエクスプロイトの目的であるドメインを利用し、その後にC2トラフィックにもそのドメインを利用することは珍しいため、使用されたインフラストラクチャが攻撃において何らかの役割や機能を果たしていることがわかります。インフラストラクチャを共有するのがどの脅威であり、攻撃チェーンのどの段階であるのかを理解することで、マルウェアやボットネットの将来の進化の可能性を予測できます。

コンスタントな管理が必要とされるコンテンツ管理
:サイバー犯罪者は、エクスプロイトが成功した脆弱性やテクノロジーを標的にすることで次から次へ標的を見つけ、効率的かつ迅速に攻撃を実行しようとする傾向があります。最近、サイバー犯罪者の大きな注目を集めている新しいテクノロジーの1つにWebプラットフォームがあります。これは、Webプレゼンスを高める効率的な手段として多くの個人ユーザーや企業が利用しているためです。Webプラットフォームのみならず、関連するサードパーティのプラグインまでもが攻撃の標的にされています。このことから、パッチを速やかに適用すること、またエクスプロイトの継続的な進化を完全に理解して先手を打つことの重要性を再認識することが重要です。

ランサムウェアの脅威の継続
:2019年第1四半期全体としては、ランサムウェアから標的を限定した攻撃への移行が進んだものの、ランサムウェアがなくなったわけではありません。複数の攻撃によって証明されたのは、価値の高い標的に合わせたカスタマイズが進み、ネットワークへの特権アクセスを攻撃者が手に入れるようになっているということでした。LockerGogaは、攻撃を複数のステージで実行する、標的型ランサムウェアの一例です。機能の高度化という点では、LockerGogaは他のランサムウェアと大きな違いはありませんが、ほとんどのランサムウェアツールが何らかの難読化を使って検知を回避しようとするのに対し、我々が分析に使用したLockerGogaサンプルには難読化の機能はほとんど確認されませんでした。このことから、この攻撃に標的型の特性が備わっていること、そしてマルウェアが簡単には検知されないだろうことがわかります。またAnatovaの場合は、他のほとんどのランサムウェアと同様に攻撃したシステムでできるだけ多くのファイルを暗号化することを主な目的としていますが、独自の特徴としてシステムの安定性に影響する恐れのあるものについては暗号化の対象から除外するよう設計されていることが挙げられます。マルウェア分析を目的としたり、ハニーポットとして使用されていたりすると思われるコンピュータについても感染させないようになっています。どちらのランサムウェア亜種も、コモディティ化されたランサムウェアへの重要な対策として、セキュリティ担当者がパッチの適用とバックアップを継続する必要があることを示していますが、このような標的型脅威の対策としては攻撃方法に合わせて防御もカスタマイズすることが不可欠です。

環境寄生型(Living off the Land)攻撃のツールと手法
:攻撃者は攻撃対象と同じビジネスモデルを使って活動するため、最大限の成果を上げるために最初の侵入時以降も継続的に攻撃方法を変化させます。そのために、すでに標的とするシステムにインストールされている正規のツールを、本来とは異なる目的で悪用するサイバー犯罪者が増加しています。この環境寄生型(LoTL:Living off the Land)の戦術によって、ハッカーは自らの活動を正規のプロセスに隠せるようになり、防御側による検知が困難になるだけでなく、これらのツールによって攻撃者の属性の特定もさらに困難になります。残念ながら、攻撃者はさまざまな正規のツールを使って目標を達成し、検知を逃れようとします。そのため、セキュリティ担当者は使用している管理ツールへのアクセスを制限し、自社環境での使用状況を記録する必要があります。

動的かつプロアクティブな脅威インテリジェンスに対するニーズ
現在の脅威トレンドへの対策はもちろん、長期的な攻撃の進化と自動化に備えられるようにするには、動的かつプロアクティブな脅威インテリジェンスを分散ネットワーク全体で利用できるようにしておく必要があります。このような知識、つまり脅威インテリジェンスによって、デジタル攻撃対象領域を標的にする攻撃方法の進化のトレンドを特定し、サイバー攻撃の標的となる可能性の高い領域の対策を優先的に強化できるようになります。脅威インテリジェンスがあらゆるセキュリティデバイスでリアルタイムに活用できなければ、その価値と有効性は著しく低下します。広範囲をカバーし、システム同士を統合し、運用を自動化するセキュリティ ファブリックでなければ、IoT、エッジ、ネットワークコア、さらにはマルチクラウドまでのネットワーク環境全体を保護することはできません。

フォーティネットのCISO(最高情報セキュリティ責任者)、Phil Quade(フィル・クエイド)は、次のように述べています。
「残念ながら、私たちは国家機関による攻撃者の戦略や手法をサイバー犯罪者のコミュニティが模倣している状況、そして彼らが標的としているデバイスやネットワークの進化に引き続き直面しています。企業組織は、将来にわたりデジタル世界のリスクを確実に管理するために、これまでのセキュリティ戦略を再考する必要に迫られています。最初のステップとして重要なのは、サイバーセキュリティに対して科学的に取り組むこと、つまりセキュリティの基盤をしっかりと確立することです。これには、高速処理と優れた接続性を兼ね備えたサイバースペース基盤を防御に活用することが求められます。  セキュリティに対するファブリック的アプローチの導入、ミクロとマクロのセグメンテーション、そしてAIの構成要素として機械学習および自動化を活用することによって、サイバー攻撃を阻止してその脅威を無にすることが可能になるのです」


レポートおよび指標の概要

この最新のフォーティネット脅威レポートは、2019年第1四半期における全世界、そして地域別の視点を網羅する研究データに基づいた、FortiGuard Labs(フォーティガード ラボ)のインテリジェンスを説明するものです。また、本レポートはFortinet Threat Landscape Index(TLI)をご紹介しています。Fortinet Threat Landscape Index(TLI)は、エクスプロイト、マルウェア、ボットネットの3つを中心に、その現状を補完する側面に関する個別の指標で構成されており、2019年第1四半期における検知率と規模について解説しています。

フォーティネットについて (www.fortinet.com)

フォーティネット(NASDAQ: FTNT)は、世界中の大手企業、サービスプロバイダ、そして政府機関を守っています。フォーティネットは、拡大するアタックサーフェス(攻撃対象領域)に対するシームレスな保護とインテリジェンスを提供し、外部との明確な境界が消滅したネットワークでの、増え続けるパフォーマンスの条件に応じるパワーで、現在もまた将来も、お客様に貢献します。ネットワーク上でも、アプリケーションやクラウド、またはモバイル環境であっても、妥協することなく、極めて重大なセキュリティ上の問題に対応するセキュリティを提供できるのはフォーティネットのセキュリティ ファブリックのアーキテクチャだけです。フォーティネットは世界で最も多くのセキュリティアプライアンスを出荷し、世界400,000以上のお客様がビジネスを守るためにフォーティネット に信頼を寄せています。

フォーティネットジャパンについては、fortinet.com/jp をご覧ください。

Copyright© 2019 Fortinet, Inc. All rights reserved. 「®」および「™」マークはいずれも、Fortinet, Inc.とその子会社および関連会社の米国における登録商標および未登録商標であることを示します。フォーティネットの商標には、Fortinet、FortiGate、FortiGuard、FortiCare、FortiManager、FortiAnalyzer、FortiOS、FortiADC、FortiAP、FortiAppMonitor、FortiASIC、FortiAuthenticator、FortiBridge、FortiCache、FortiCamera、FortiCASB、FortiClient、FortiCloud、FortiConnect、FortiController、FortiConverter、FortiDB、FortiDDoS、FortiExplorer、FortiExtender、FortiFone、FortiCarrier、FortiHypervisor、FortiIsolator、FortiMail、FortiMonitor、FortiNAC、FortiPlanner、FortiPortal、FortiPresence、FortiProxy、FortiRecorder、FortiSandbox、FortiSIEM、FortiSwitch、FortiTester、FortiToken、FortiVoice、FortiWAN、FortiWeb、FortiWiFi、FortiWLC、FortiWLCOS、FortiWLMなどが含まれますが、これらに限定されるものではありません。その他の製品名およびサービス名等は、各社の商標である場合があります。フォーティネットは、本プレスリリース内の第三者に帰する声明、認可またはテストについては、検証を行っておらず、また、このような第三者に帰する声明を承認するものではありません。本プレスリリースは、保証または債務保証、または契約として一切拘束を受けるものではなく、記載された製品仕様または製品性能は、ある特定の環境や条件のもとで計測されていることがあります。また、本プレスリリースには、将来の見通しに関して不確実性および仮説を伴う記述が含まれている場合がありますが、本不確実性が現実になったり、あるいは本仮説が正しくないことが判明したりする場合、明文的あるいは暗黙的に記述された内容と異なる結果が生じることがあります。これには、サイバー犯罪活動の動向予測に関する記述などが含まれますが、これに限定されるものではありません。このような動向は予測することが困難であり、また、このような動向に関する公開予測や期待事項は結果として正しくないことがあります。フォーティネットは、このような将来見通しを改正する義務を一切負うものではなく、また改正を発行することもありません。