ランサムウェアの攻撃総数は減少するも、悪質化によって1件あたりの被害額は上昇

　エフセキュア株式会社は11日、2019年下半期（7月～12月）における攻撃トラフィックに関する調査レポートを発表。都内においてメディア向けの解説セッションを開催した。

　上記期間中、エフセキュアが情報収集のために設置したグローバルハニーポット（攻撃者を誘惑するためのおとりサーバー）には、約28億件の攻撃イベントが発生し、2019年上半期の29億件と合計すると通年で57億件に上っている。

　この調査レポートは半期に一度発表されており、過去の調査結果によれば、2018年は10億件、2017年は8億件の攻撃があったことが報告されている。2019年に急増した攻撃トラフィックの多くはDDoS攻撃によるもので、全体の3分の2を占めている。

ハニーポットへの攻撃総数

攻撃の大多数はTCPポートを標的としている

　攻撃の発信源は米国、中国、ロシアの順で多いことが明らかにされているが、リモートで解説セッションに参加したフィンランドF-Secure Corporation、Tactical Defense Unit マネージャーのCalvin Gan氏は、「攻撃者は正体を明かされることを回避するため、自分が所属する国以外にあるプロキシを介して攻撃をルーティングする。必ずしもこれらの国に攻撃者がいるわけではない」と解説。

　逆に、攻撃の標的となった国としては、ウクライナ、中国、豪州の順となっている。ウクライナを標的とした攻撃の増加についてGan氏は、「ロシアからの攻撃が増加していることから、なんらかの政治的な理由があるのではないか」という予測を述べつつも、明確な理由は不明であるとした。

攻撃の発信源となった国

攻撃の標的となった国

　攻撃トラフィックの大多数はTCPポートを狙ったものであり、その標的となるTCPポートはSMB（Server Message Block）ポートの445、Telnetポートの23、SSHの22の順で多い。

　SMBは、主にWindowsを中心としたLAN環境でファイルやプリンタの共有に使用されるプロトコルだが、2017年に世界中で猛威を振るったランサムウェア「WannaCry」が使用したことで知られる、「EternalBlue」などのエクスプロイト（脆弱性を悪用した攻撃プログラム）がいまだに使用されているという。

　例えば、今回の調査期間中にとても多く観測された攻撃のひとつである「Trickbot」も、拡散手段にEternalBlueを使用する。

　このようにSMBに対する攻撃が多い理由についてGan氏は、「いまだにセキュリティパッチあてていないデバイスや、SMB v1への対策を行っていないシステムが数多く存在している」と指摘する。

　また、2位のTelnetポートへの攻撃については、増え続けているIoTデバイスを攻撃者も狙っていることを意味している。Telnetポートへの攻撃は、セキュリティが脆弱なIoTデバイスに対して、MiraiなどLinuxベースのツールを利用して行われるケースが多い。これらのツールは簡単に入手できてしまうため、高度で大規模な攻撃が行われてしまうという。

　Gan氏はMiraiなどのツールの特徴について、「パスワードが出荷時のデフォルトのまま変更されていないようなデバイスを狙って、ブルートフォース攻撃（総当たりでパスワードを入力していく攻撃）が行われることが多い」と指摘し、さらに攻撃の標的として3位であるSSHポートについても、IoTデバイスで使用されることが多く、Telnetポートへの攻撃と同様にブルートフォース攻撃の対象にされやすいと警告した。

　また、レポート内ではSQL関連ポートへの攻撃トラフィックについて、ハニーポットでブルートフォース攻撃として使用されたパスワードのトップは「admin」で、2位はDahua製DVRのデフォルトパスワードである「vizxv」だったと報告されている。

　そのほか「default」「password」「12345」などの単純なパスワードや、「TaZz@23495859」「1001chin」など出荷時のデフォルトパスワードも多く観測されたという。

　ちなみに2019年上半期の調査結果によると、攻撃トラフィックの標的ポートの1位は、このTelnetポートであった。

標的となったTCPポート

マルウェアの感染源は引き続きスパムがもっとも多い

　2019年に観測されてたマルウェアのほとんどはランサムウェアの亜種で、その拡散手法としてもっとも多く用いられたのは、Eメール/スパム（迷惑メール）で全体の43％であった。次に多かったのは第2段階ペイロード、あるいは主導で配信されたブルートフォースまたはRDP（Remote Desktop Protocol）攻撃で24％となっている。

　またエクスプロイトキットやマルバタイジング（クリックするとマルウェアに感染する悪質な広告）が10％、ソフトウェアクラック/偽のインストーラー/バンドルされたアプリを介した配信も10％観測されている。

　スパムに添付されているファイルの種類として、もっとも多く観測されたのはPDFファイルで、全体の34％を占めている。その他にもZIPが17％、WordやExcelのマクロドキュメントが21％となっている。

　さらにGan氏は、「まだ数はそれほど多くないものの、実行可能ファイルを含むISOおよびIMGファイルの増加を確認しており、今後増えていく可能性が高い」と警告を発した。

　また、スパムでみられるペイロードは、主にユーザーIDやパスワードなどを盗む「インフォスティーラー」と、別のマルウェアをダウンロードする「ダウンローダー」で構成されていた。

　これは、インフォスティーラーで標的とする環境を分析し、その結果に応じてダウンローダーが次の段階の攻撃を実行するマルウェアをダウンロードするという、多段階の攻撃を実行するモジュール型のマルウェアが横行していることを示している。よく知られているモジュール型の脅威としては、「Emotet」と「Trickbot」がある。

　高度なモジュール型バンキングトロイの木馬であるEmotetは、第1段階のペイロードの19％を占める。Emotetは、持続的で攻撃的な性質があることが広く知られており、標的に侵入が成功すると、「Trickbot」「Dridex」「Panda」などを含む6つの異なるマルウェアペイロードのいずれかを配信する。また、Eメールアカウントや資格情報の窃盗、スパマー、およびDDoS攻撃ツールとしても機能する。

　Trickbotはインフォスティーラーの機能を備えており、「Ryuk」など第2段階のペイロード配信にも利用されている。

マルウェアの拡散手法はEメール/スパムが43％

スパムの添付ファイルはPDFが34％。Emotetは、第1段階のペイロードの19％を占める

　2019年下半期、ランサムウェアの被害の総数は減少している。この理由についてGan氏は「Ransomware as a Service（RaaS）として知られる『GandCrab』が2019年5月にサービス提供を終了したことが挙げられる。もし継続していれば、もっと被害は大きかったのではないか」と説明する。また今後も、GandCrabのようなRaaSは増加することが予想されるという。

　さらに問題なのは、ランサムウェアを拡散させるスパムは減少しているにも関わらず、攻撃者は、第2段階のペイロードとエクスプロイトキットをマルバタイジングと組み合わせた感染手法に注力するなど、攻撃が悪質化していることである。

　攻撃者はターゲットをより大規模な企業や組織に絞り込み、1件あたりの被害総額はより大きなものとなっている。

GandCrab終了によりランサムウェアの被害総数は減少している

　Gan氏はレポートの中で「スパムは2019年も引き続き攻撃者の間でよく用いられる攻撃手法。受信したメールに疑いを持たない個人ユーザー、サイバー攻撃に対する認識の低い企業は、攻撃者にとって格好の標的となる。高度化するサイバー攻撃に対して、より強固な対策を施すことが重要」と述べている。

　また、セッション会場に同席したエフセキュア サイバーセキュリティ技術本部 本部長 島田秋雄氏は、日本におけるセキュリティリスクとして2018年10月に宇陀市立病院で確認されたランサムウェア（GandCrab）による攻撃を例に挙げ、「今後は病院などの医療機関を狙った攻撃が増えることが予想される」と警告する。

　多くの日本の病院は、ITにあまり予算をかけていないことが多く、「セキュリティパッチのあたっていないレガシーなデバイスも多く残っている。外部のインターネットに接続していないから安心だと思っている病院も多いが、実際には職員がUSBデバイスなどでデータを持ち込んだり、院内のWi-Fiが狙われることもある」と指摘した。