ニュース

日本への攻撃総数が3四半期連続で世界3位に――BlackBerryの脅威インテリジェンスレポート

  • 藤本 京子

2024年5月15日 10:37

 BlackBerry Japan株式会社は14日、グローバル脅威インテリジェンスレポートの最新版を発表した。同レポートは四半期ごとに発行されており、今回の調査対象期間となったのは2023年9月から12月となる。

 説明にあたったBlackBerry Japan 主任脅威解析リサーチャー 工学博士の糟谷正樹氏は、「攻撃者にとって日本は魅力的な攻撃対象だ」と話す。阻止された攻撃総数の国別順位で、日本が3四半期連続で世界第3位となったためだ。

 「以前は言語的な障壁によって日本は狙われにくいと言われていたが、今はAIなどにより言語的バリアがなくなってきた。攻撃者としては、日本が今でも経済大国であることから価値のある国のひとつとなっている」と、糟谷氏は説明する。

 また、日本はユニークマルウェアによる攻撃でも第3位となった。アジア太平洋地域では、ユニークマルウェアを使用した攻撃が増加しているという。

攻撃者にとって日本は魅力的な攻撃対象

 攻撃対象となった業界は、直近の3四半期で1位が金融、2位が医療、3位が政府機関となっている。糟谷氏によると、いずれの業界においても情報搾取型のマルウェアが使われており、医療、政府機関に対してはランサムウェアの被害も目立ったという。

攻撃対象となった業界

 よく利用されていたマルウェアとして糟谷氏は、情報窃取型マルウェア、ローダ型マルウェア、そしてモジュール型マルウェアを挙げる。中でも情報窃取型マルウェアのAmadey、ローダ型マルウェアのPrivateLoaderおよびSmokeLoaderに関しては、日本の研究員も独自に調査しているという。

よく利用されていたマルウェア

 Amadeyは、2018年ごろに出現したマルウェアで、BlackBerryでは2019年後半より長期間にわたって動向を調査している。観測当初はそれほど流行っておらず、ばらまきもほとんど見られなかったというが、「2021年後半からばらまきが目立つようになり、2023年では前年までの数倍以上ばらまかれている」と糟谷氏。このことから、「数年の潜伏期間を経て活発になることがあるため、それを認識しておくべき。流行っていない時期は対応を見過ごしがちだが、事前に対策を練っておく必要がある」とした。

 Amadeyを使ってばらまかれたマルウェアは、過去50カ月で100種類にのぼり、5422個のユニークなサンプルを取得しているという。「こうした傾向はしばらく続くだろう」と糟谷氏は予測している。

Amadeyを使ったマルウェアのばらまき状況

 ばらまかれるマルウェアの保存先は、一般的に使われるサービスを悪用するケースが目立つという。中でも、DiscordとBitbucketが圧倒的に使われており、GithubやGitlab、transfer.sh、uploadgram.meなども使われていたことから、「怪しいドメインには近づかない人も多いが、一般的なサービスにマルウェアが保存されていると、そこからダウンロードしてしまうこともある。ダウンロードしたファイルが妥当なファイルかどうか、エンドポイント側でも確認する必要がある」と、糟谷氏は警告している。

ばらまかれるマルウェアの保存先に関する分析

 ローダ型マルウェアについては、「いったん感染すると複数のマルウェアに感染する」と糟谷氏。例えば、ローダ型マルウェアのPrivateLoaderに感染すると、SmokeLoaderをはじめとするさまざまなマルウェアに感染し、そのSmokeLoaderも同様に次々とほかのマルウェア感染を引き起こすことから、「できるだけ早く攻撃を止めなければ復旧作業も困難になるため、いかにして前段階で防ぐか検討してもらいたい」としている。

 インシデントレスポンスを通じた分析によると、セキュリティパッチの未適用やデフォルトパスワードの利用、多要素認証の未利用など、不十分なネットワーク機器の管理が攻撃の起点となるケースが多いという。このことから糟谷氏は、「基本的な対策を徹底して侵害のリスクを低減することが重要だ」と述べている。

 今回の分析から、糟谷氏は「マルウェアを使った攻撃は衰えを知らず、生成AIの普及によって新しいマルウェアが出現するスピードも上がるだろう」と指摘。また、情報搾取型マルウェアが頻繁に利用されており、ランサムウェアグループによる脆弱性の悪用スピードが加速していることから、「脆弱性やパッチマネジメントが徹底できない場合、モニタリングを強化して怪しい動きを早急に把握できるようにする必要がある」としている。

 糟谷氏は、2024年の脅威についても予測。ディープフェイクやVPN製品を起点としたインシデントの発生、サプライチェーン攻撃の増加、アジア太平洋地域への攻撃の増加を挙げている。

 その詳細について糟谷氏は、「ディープフェイクは場合によってはプロパガンダに利用され、世論を間違った方向に誘導することがあるため惑わされないように。また、VPN製品を起点としたインシデントの発生は今後も続く。いつも利用するソフトウェアなどの脆弱性が発見されると影響も大きいため、パッチマネジメントを徹底してほしい。そして、サプライチェーン攻撃はこれからも増加する。通常のビジネス範囲ではセキュリティレベルを下げることもあるが、セキュリティとビジネスのしやすさのバランスを再検討してもらいたい。最後に、アジア太平洋地域の攻撃も引き続き増加する。北朝鮮が外貨を稼ぐ方法としてサイバー攻撃を仕掛けているという報告もあり、その攻撃の余波が日本に及ぶこともあるだろう」と警告した。

BlackBerry Japan 主任脅威解析リサーチャー 工学博士 糟谷正樹氏