ニュース
フォーティネット、グローバル脅威レポート 2020上半期を公開
新型コロナウイルス感染症の不安につけ込むサイバー攻撃が急増
2020年10月5日 11:51
脅威インテリジェンスを提供するフォーティネットの調査研究組織FortiGuard Labsは2020年8月、2020年上半期のグローバル脅威レポートを公開した。同レポートは、これまで四半期ごとに公開されてきたが、今年からは上半期と下半期の年2回の公開になったという。
また同レポートの日本語版公開にあわせ、フォーティネットジャパン株式会社(以下、フォーティネット)は9月30日に、メディア向け説明会をオンラインで開催した。
フォーティネット セキュリティストラテジスト 寺下健一氏は、「2020年上半期を表す大きなキーワードは新型コロナウイルス感染症(COVID-19)であり、サイバーセキュリティにおいても大きな影響を与えている」と述べる。
新型コロナウイルスは世界中の人々の行動や働き方を変えたが、同じように攻撃者のターゲット手法といった行動にも変化をもたらしている。新型コロナウイルスへの恐怖や不安といった心理につけ込むような攻撃が増えており、フォーティネットはブログでこれらの情報を発信しているという。なお、ブログの記事は日本語にも翻訳されており、同社のサイトから無料で閲覧できるようになっている。
フィッシングメールはサイバー攻撃の入り口として多用される手段だが、新型コロナウイルスに関連して医療機関や政府機関をかたる偽メールも目立っているとのこと。寺下氏は「攻撃者はトレンドに追従して巧妙に攻撃を仕掛けてくる」と述べ、感染拡大が取りざたされていた初期段階では「受信者の地域で感染者を伝える」といった内容が、時間経過とともに「感染症対策の文書やリンク」や「景気刺激策や支払い遅延通知」といった内容に変化していったことを紹介した。まさに恐怖や不安の心理に付け込む攻撃と言えるだろう。
寺下氏は新型コロナウイルスに関連するGoogle検索トレンドと、新型コロナウイルスをテーマにした悪意のあるURLを比較したグラフを示し、「これらのドメインは『コロナウイルス』や『COVID-19』などの単語が含まれた紛らわしいものになっており、認証情報の収集やマルウェアなどの拡散を目的に使用されている」と説明した。
マルウェア検知のトレンドはオフィス外からのアクセス
マルウェアのトレンドにも、COVID-19を悪用する攻撃者の意図が反映されている。2020年上半期はフィッシングサイトをはじめ、JSのAgentやinjectorなどWebベースの攻撃が上位を占めているが、これはテレワークが増加したことでオフィス外からのアクセス、つまり企業セキュリティを通らないアクセスが狙われていることを示している。
寺下氏は「日本においても、BYODや自宅に持ち帰ったデバイスから、VPNや社内ネットワークを介して全社的に広がってしまった被害が報告されている」と述べ、自宅からアクセスしたWebサイトからの感染を警告した。
また、Webベースのマルウェアは、Windowsの実行ファイルを展開して実行する手法よりも敷居が低いことや、検知されにくいよう難読化することが容易であることも攻撃増加の要因になっていると寺下氏は説明する。
そのほかにもう一つ注目すべきマルウェアとして、Microsoft Officeの脆弱性を利用する「CVE-2017-11882」が3月以降に急速に増加していることを紹介している。名前の示す通り2017年に公開された脆弱性だが、COVID-19に対する不安感に付け込み、保健機関をかたって感染情報が送られてきたように見せかけたメールに、マルウェアを仕込んだOfficeファイルを添付するといった手法が報告されているという。
「3年前の脆弱性にもかかわらず、今でも多く攻撃に使われているのは、セキュリティパッチをいまだに適用していない利用者が多いことを示している。オフィス内で利用する端末は強制的にセキュリティパッチが適用されることもあるが、家庭で利用する端末は対象になっていないことが多い。そのため、家庭にある端末が企業を攻める最初のステップとして狙われることも増えている。フォーティネットはサービスを通じてお客さまの環境で脆弱性を発見した際には、なるべく早いセキュリティパッチの適用を呼びかけている」と寺下氏は説明した。
ボットネットも家庭用デバイスを標的に
ボットネットのトレンドは「Mirai」と「Gh0st」が検知数の上位を占めており、特にMiraiは5月初旬から急速に検知数が上昇している。MiraiはIoTデバイスの脆弱性を狙うことで知られているが、家庭用ルータや監視カメラなど家庭用デバイスに対するエクスプロイトの試みが多く観測されているという。
その要因として寺下氏は「テレワークの増加により、ネットワークの境界が家庭に広がっている。攻撃者は攻撃者は企業ネットワークへの足場として家庭用デバイスを狙っている」と説明する。
また、家庭用デバイスは、脆弱性が見つかっても、なかなかセキュリティパッチが適用されないことが多い。攻撃者は脆弱性が残っているデバイスを発見すると、コントロールを奪って、より悪質な攻撃をするための入り口として利用するという。
ランサムウェアは暗号化だけでなく“データを公開する”
ランサムウェアも相変わらず多く検知されている。RaaS(Ransom as a Service)と呼ばれるランサムウェアのクラウドサービスが提供されるようになったことで、攻撃者の技術的な敷居も下がっている。RaaS提供者は、攻撃の実行者を子分として多く抱え、身代金の受け取りに成功すると、その一部が実行者に分配される仕組みになっているという。
多くのランサムウェアは、RDP(Remote Desktop Protocol)を利用する。ブルートフォース攻撃などで漏えいした認証情報は、ブラックマーケットから入手することができる。セキュリティが不十分で、外部ネットワークからアクセスが可能なRDPサーバーは、攻撃者にとって格好の標的となってしまうという。
最近のランサムウェアは、データの暗号化だけにとどまらず、身代金の支払いを拒否することで、データがWebサイトに公開されてしまうという被害も数多く報告されている。実際にデータが盗まれていることを証明するため、攻撃者はリークサイトに奪取したデータの一部を公開し、企業に身代金の支払いを要求するという。
企業が保有するデータの中には、取引のあるほかの企業から提供された機密情報などが含まれていることも多く、データが公開されることで信頼関係が大きく揺らぎかねないため、身代金の支払いに応じてしまう企業も少なくないとのこと。
しかし実際に身代金を支払っても、暗号化されたデータが元に戻る保証はなく、漏えいデータが今後も公開されない保証もない。なお、いくつかのリークサイトには、すでに日本企業も掲載されているとした。
また、ITデバイス以外にも、OT(Operational Technology:運用・制御技術)製品を狙うランサムウェアも登場している。ちなみに、2019年後半に登場した「EKANS」(Snakeを逆さまにした名称であることから、「Snake」と呼ばれることもある)は、ICS(Industrial Control System:産業制御システム)などを狙うランサムウェアで、自動車メーカーが標的になったことで日本でも話題になったが、今のところEKANSへの対応を正式に表明しているのはフォーティネットの製品だけだという。