2018年のサイバー脅威の振り返り
パロアルトネットワークスは、日々進化する攻撃者と脅威をよりよく理解し適切に対応するため、様々なデータの収集・分析を行なっている。クラウド脅威解析サービス「WildFire」と脅威インテリジェンスサービス「AutoFocus」から得られたデータを元に2018年の振り返りを行った。
国・地域別で最も脅威の検出数が多かったのはICTに関わる様々な企業・サービス・施設が集中しているアメリカで、日本はワースト2位となっている(図)。続くブラジル、イタリアと日本を合わせた3か国はそれぞれの国を狙ったサイバー犯罪者によるばらまき型攻撃が年間を通して発生しているため上位にきている。
図:国・地域別攻撃検出数
業界別検出数ではハイテク、専門・法律サービス、教育がワースト3となっている。ワースト10は以下のとおり。
●業界別検出数
- ハイテク
- 専門・法律サービス
- 教育
- 卸・小売
- 製造業
- 電気通信
- 自治体
- 保険
- 金融
- サービス
2018年に見られた3つの攻撃傾向は次のとおり。
■メールによる文章ファイルを使った攻撃
メールによる攻撃は今にはじまったものではない。攻撃者は長年、WindowsであればEXEファイルなどの実行ファイルをメールに添付して標的に送付してきた。しかし、2017年以降は文章ファイルによる攻撃が主流になった。現在、日本では実行ファイルより文章ファイルが利用されるケースが圧倒的に多く、グローバルと比較しても比率は突出していることがわかる。
- 日本での検出数:文章ファイル=3,976,742/Windows 実行ファイル=687,537
- グローバルでの検出数:文章ファイル=22,281,844/Windows 実行ファイル=11,041,490
メールに添付される実行ファイルによる攻撃の危険性が国内で認知され、対策と周知が進んだため、攻撃者が戦術を変更したと考えられる。しかし、文章ファイルはメールに添付されていても不自然ではなく、マクロや脆弱性が悪用できるため攻撃者にとっては都合のよいファイルフォーマットといえる。
・対応策
- 文章ファイルであっても危険性があることを認識する
- マクロ機能はデファルトで無効になっている。メールや文章内で有効にするように促されても本当に必要か再考し、可能であれば送信者に確認をとるなどする。
- 古い脆弱性を悪用した攻撃は続いている。パッチの適用により攻撃を未然に防ぐことができる。
- ゼロデイ脆弱性を悪用した攻撃も継続している。侵害されても被害を最小限に抑える対策をすすめる。
■ランサムウェアから仮想通貨採掘への移行
Unit 42で観測しているデータによると、ビットコインが最高値を出した2017年末から2018年にかけて、ランサムウェアと仮想通貨採掘マルウェアの検出数が逆転している。
現金に比べ、仮想通貨が攻撃者にとって都合の良い価値交換手段であることはあきらかだ。ランサムウェアは標的の状況や支配下においたデータやシステムの価値により身代金を被害者が支払い可能な範囲で高額にすることが可能だ。
しかし、仮想通貨の単価が十分に高ければ、検出されるリスクが低く、長い期間採掘できるクリプトジャッキングの方が巨額の利益を得ることが可能になる。Unit 42の調査では、感染端末上で仮想通貨採掘を行っていた上位10のウォレットは、当時のレートで約200億円相当を攻撃者が得ていたことがわかっている。
2018年は前年に比べ仮想通貨の価値が大幅に下落した。今後もこの傾向が続くようであれば、攻撃者は状況に応じてランサムウェアとクリプトジャッキングを使い分けると思われる。
■商用マルウェアとビジネスメール詐欺(BEC)
低価格もしくは、無料で入手可能な商用マルウェアは多くの攻撃者によって利用されてきた。この傾向は一層高まっており、特に金銭を目的としたサイバー犯罪者による悪用があとを立たない。Unit 42は継続的な調査により、3万以上の商用マルウェアを使い1か月平均17600回攻撃している約300人のナイジェリアの攻撃者について特定した。
この攻撃者たちは商用マルウェアを利用して、ビジネスメール詐欺を展開していることがわかっている。FBIは、2013年以降のビジネスメール詐欺による被害を約120億ドル(約1兆3000億円)と推測しており、世界的な問題になっている。その一端を商用マルウェアが担っている。
日本国内でも商用マルウェアを使った攻撃を多数確認しており、流暢な日本語を使う攻撃メールも確認されている。商用マルウェアを使った攻撃は、サイバー犯罪だけでなく情報窃取を目的とした標的型攻撃と推定されるような攻撃も発生しているため、注意が必要だ。
2019年のサイバー脅威予測
サイバー犯罪や標的型攻撃などは2019年も継続することが考えられる。ここからは2019年以降増加・拡大すると思われる項目について紹介する。
■予測1:仮想通貨を狙った攻撃の継続
2017年末に史上最高額を記録してから一転、年間を通じた価格下落、相次ぐ取引所の巨額窃盗など、2018年は仮想通貨にとって暗い話題が続く年になった。しかし、攻撃者の視点から見ると、現在の仮想通貨をとりまく状況はいまだ魅力的だといえる。
仮想通貨を代表するビットコインは、執筆時点において2017年1月当時の4倍の価格で取引されており、世界中で市場が確立している。 サイバー犯罪者にとって必須な一定の匿名性がある。 物理的な制約を受ける現金とは異なり、デジタルの利便性と恩恵を受けられる仮想通貨は国境を超える犯罪者にとって好都合。
上記の理由により、2019年以降もサイバー犯罪者達は仮想通貨をターゲット、または悪用した攻撃を継続すると考えられる。ターゲットとなるのは引き続き、取引所、ユーザー、そしてICT全般。特に、取引所は常に多額の仮想通貨を取り扱うため攻撃者のターゲットとなる。
・対応策
- 取引所は常に多額の仮想通貨を取り扱うため攻撃者のターゲットとなる。
- 仮想通貨取引に必要なIDやパスワードといった認証情報の価値は持っている資産と同じかそれ以上に高額。推測されたり奪われたりすることで、持っているもの以上を失ってしまう可能性がある。十分な強度のパスワードと多要素認証の導入で悪用されるリスクを低減させる。
- 仮想通貨を要求するランサムウェアや、感染端末のリソースを使い仮想通貨を採掘するマイニングマルウェアは、PC、モバイルデバイス、IoTをターゲットにしており、またオンプレミスとクラウドの双方で発見されている。これらのマルウェアに感染した場合、潜伏能力が高い他のマルウェアに侵害されることも考えられる。安易に削除だけですませず、原因の追究と適切な対策を講じる必要がある。
■予測2:見えない攻撃の拡大
近年、ファイルレスと呼ばれる攻撃が増加してきている。一般には、オペレーティングシステムに組み込まれている機能を悪用し、悪意のあるコードをファイルに保存することなくメモリ上に読みこみ実行する手法をさす。
エンドポイントにおける古典的なアンチウイルス製品がファイルスキャンによる検出・駆除を目的としているため、攻撃者がこれを回避する手段として発展してきた。攻撃者による検出回避はネットワーク分野にも拡大してきている。
1つ目はSSL/TLS化の加速。ブラウザや検索エンジンにより一般サイトでも常時SSL化が求められており、今後大半のトラフィックがHTTPからHTTPSに移行する。その場合、HTTP通信を使っていると逆に目立ってしまうため、攻撃者も無料もしくは低価格の証明書を使い、感染経路や感染後のC2通信などをSSL化する割合が高まることが考えられる。
配信されるコードが暗号化される割合も高まる可能性がある。ファイルレスの場合、多くはモジュラー型の構造になっており、ペイロードと呼ばれる実際の攻撃コード部分を時期や対象によって変更できるようになっている。
このペイロードモジュールを事前に暗号化してネットワーク配信するものがある。エンドポイントのメモリ上で配信されたペイロードモジュールを復号し実行することで、ネットワークおよびファイルの双方で検出を回避しようとする。一見して怪しいようには見えない画像データに、悪意のあるコードを埋め込むステガノグラフィーと呼ばれる手法を使い、検出を逃れようとする攻撃者も増えてきている。
コンテンツを共有・公開できる正規サイトも、攻撃者が検出から身を守る手段として悪用されている。こうした正規サイトから暗号化したデータを配信することで、ドメイン単位のブロックや管理者による監視の目を逃れようとしている。このようなネットワークレイヤーにおける検出回避手法が一般化し、さらに新たな手法が開発されていくと考えられる。
・対応策
- ネットワークトラフィックのSSL/TLSを復号することで、そのなかに潜む脅威を検出できる。
- 単一のソリューションでは検出できない攻撃が増加するため、ネットワーク・エンドポイントの双方で一貫した監視とポリシーの適用が必要。
- 最新の攻撃者の手法、リソースの理解を深め、自組織の防御を見直すため、脅威インテリジェンスを活用する。
■予測3:日本国内における破壊型攻撃
国内外から関心を集める社会的行事、国際会議、スポーツ大会など大きなイベントが2019年以降日本で多数開催される。過去の国際的スポーツ大会開催時には、DDoSなどの妨害型攻撃だけでなく、Wiper型マルウェア等を使った破壊型攻撃が見られた。破壊型攻撃は、現在では珍しいものではなくなってきており、特に政治的またはハクティビスト的動機に基づくと思われる破壊型攻撃が、ここ数年世界中で観測されている。
こうした動機を持つ攻撃者によって、日本国内でも破壊をともなう攻撃がもたらされる可能性がある。破壊型攻撃が起きた場合、業務遂行不能となり、最悪の場合、インフラ停止など標的組織以外にも大きな被害をもたらす可能性がある。
- 攻撃者は、事前の偵察行動からターゲットの情報収集を行う。早期検出と防止によって攻撃者の最終目的を達成できないようにすることが重要。
- 攻撃者は最終的なターゲットだけを攻撃するわけではない。そのターゲットに到達するため、サプライチェーンの弱い部分を狙うことがある。組織の内外を問わず無条件の信頼は成立しなくなっている。そうしたサプライチェーンが、自社の要求するセキュリティ水準を満たしていることを確認する。
- 重要なデータやシステム、インフラはバックアップや代替を持つなどして事業継続計画を立てる。
■予測4:流出した個人情報の悪用
スマートフォンの普及やICTを活用したサービスによって生活の利便性は高まったが、同時に以前では考えられなかったほど、頻繁に個人情報の提供を求められるようになった。これにともない、個人情報やパスワードを含む認証情報の流出も世界中で繰り返し発生している。
一度流出した情報は決して元にもどることはなく、売買されたり無償で公開されたりするなどして、不特定多数に渡っていくことがある。認証情報を得た攻撃者は、それを再利用してなりすまし、必要なものを奪うことができる。このため、流出した認証情報はただちに変更し、二要素認証など追加の認証技術を取り入れる必要がある。
個人情報に含まれる名前やメールアドレス、生年月日については変更できないものも多い。今後も情報流出は繰り返され、より多くのデータが蓄積されていくことになると予想される。
そればかりか、近年急速に発達したデータ分析や機械学習の技術をもとに、流出した個人情報の断片を集計・分析・活用することによって、個人を特定する情報を得るだけでなく、自分ですら気づいていなかった嗜好や行動パターンを攻撃者に把握され、より効率的な詐欺や不正アクセスなどの攻撃に悪用されるかもしれない。
・対応策
- 利用者は、個人情報を求める組織の規約を理解し、提供する情報と提供先を精査する必要がある。
- 利用者は、文字列パスワードだけでなくサービス提供組織の用意する指紋認証や多要素認証など複数の認証方式を取り入れ、流出した情報だけでは本人確認が成功しないようにする。文字列パスワード以外の認証方式が普及することにより、攻撃者にとっては認証を悪用する難易度があがり、別の攻撃手法に移らなければならないようになる。
- 日本以上に厳格な規制と罰則を持つEU一般データ保護規則(GDPR)や中国のサイバーセキュリティ法など、今後も多くの国や地域で個人情報保護規則が施行される可能性がある。企業は、文字列パスワード以外の認証方式を追加提供し、収集する個人情報の利用方法を規約で明文化し、必要かつ最低限の情報に限定して収集を行い、こうして得た情報を厳格に管理する必要がある。そうでなければ情報流出リスクと対応コストの増大を招く場合がある。
■予測5:クラウドにおけるインシデントの増加
総務省発行の平成30年版 情報通信白書によると、クラウドサービスを利用している企業は2017年度には半数以上にのぼっている。また、効果を実感していると答えた企業も85%以上あるため、今後もクラウドの利用率は増加すると考えられる。
クラウドは、これまで主流であったオンプレミスとは様々な点で異なる。特にセキュリティとコンプライアンスに関して、利用者とサービス事業者の間で責任を共有するという責任共有モデルはオンプレミスにはなく、利用者は責任をもって適切な対策をとる必要がある。
「2022年までにクラウドでのセキュリティインシデントの95%はユーザー起因によるもの」というガートナー社のレポートがあるように、これまでの外部からの脅威に対しての対策が中心だったが、加えて、クラウド環境内部で発生しうる「設定ミスの危険性」等についての対応が求められる。
実際、クラウドセキュリティレポートにおいても、これまでクラウドで発生した情報漏えいなどのインシデントの多くが、利用者による対策不足を原因としている。このため、今後新しくクラウドを利用しはじめる組織が増えるとともに、クラウド利用に必要な知識や経験のとぼしい利用者によるインシデントの増加が予想される。
さらに、そうした組織に適切な監視体制がない場合、被害が長期化する可能性もある。これまで、オペレーティングシステムやCPUといった極めて低いレイヤーの脆弱性がいくつも発見・悪用されてきたのと同様、クラウド基盤そのものも攻撃者のターゲットとなり、今後新しい攻撃手法が開発され悪用される可能性もある。
・対応策
- クラウドとオンプレミスの相違を理解し、適切なセキュリティ対策、コンプライアンス対策を実施する。
- クラウドの技術動向とセキュリティ動向を注視する。
