threat-research

フォーティネット脅威レポート最新版のご紹介:最新のセキュリティ対策のヒント

フォーティネット脅威レポート2019年第1四半期版の概要

2019年第1四半期の脅威環境を振り返ると、サイバー犯罪の攻撃方法やツールが高度化しただけでなく、非常に多様化していることがわかります。攻撃者は、標的型ランサムウェアからカスタムコーディング、環境寄生型(LoTL:Living off The Land)、インフラストラクチャの共有による攻撃機会の最大化、さらには攻撃開始前のネットワークの密かな水平移動(ラテラルムーブメント)といった、広範な攻撃戦略を駆使するようになっています。

本レポートでは、これらの戦略のそれぞれに関する実用的インテリジェンスを提供し、サイバーセキュリティの専門家やシステム管理者がネットワークを適切に保護する上で理解しておくべき、いくつかの脅威トレンドを詳しく分析します。


調査によって明らかになった実用的インテリジェンス

ランサムウェアの脅威の継続:2019年第1四半期全体としては、ランサムウェアから標的を限定した攻撃への移行が進んだものの、ランサムウェアがなくなったわけではありません。複数の攻撃によって証明されたのは、価値の高い標的に合わせたカスタマイズが進み、ネットワークへの特権アクセスを攻撃者が手に入れるようになっているということでした。LockerGogaは、攻撃を複数のステージで実行する、標的型ランサムウェアの一例です。機能の高度化という点では、LockerGogaは他のランサムウェアと大きな違いはありませんが、ほとんどのランサムウェアツールが何らかの難読化を使って検知を回避しようとするのに対し、我々が分析に使用したLockerGogaサンプルには難読化の機能はほとんど確認されませんでした。このことから、この攻撃に標的型の特性が備わっていること、そしてマルウェアが簡単には検知されないだろうことがわかります。また、Anatovaの場合は、他のほとんどのランサムウェアと同様に攻撃したシステムでできるだけ多くのファイルを暗号化することを主な目的としていますが、独自の特徴としてシステムの安定性に影響する恐れのあるものについては暗号化の対象から除外するよう設計されていることが挙げられます。マルウェア分析を目的としたり、ハニーポットとして使用されていたりすると思われるコンピュータについても感染させないようになっています。どちらのランサムウェア亜種も、コモディティ化されたランサムウェアへの重要な対策として、セキュリティ担当者がパッチの適用とバックアップを継続する必要があることを示していますが、このような標的型脅威の対策としては攻撃方法に合わせて防御もカスタマイズすることが不可欠です。

  • 感染前と感染後のトラフィック:サイバー犯罪者には、曜日によって異なる攻撃フェーズを実行する傾向があるのかどうかを調査したところ、彼らは常に最大限の利益を得る方法を模索していることがわかりました。サイバーキルチェーンの2つのフェーズのWebフィルタリングの件数を平日と週末で比較したところ、感染前の活動は約3倍の確率で平日に発生する可能性が高いのに対し、感染後のトラフィックにはそのような顕著な差は認められませんでした。この主な理由は、エクスプロイトではフィッシングメールをクリックするなどのユーザーによる操作が必要とされることが多いのに対し、コマンドアンドコントロール(C2)にはこのような操作は必要なく、曜日や時間を選ばないためです。サイバー犯罪者はこのことを理解しているので、成功率を高めるためにユーザーのインターネット上での活動が活発な曜日を狙います。このため、平日と週末でWebフィルタリングの方法を変えることが、さまざまな攻撃のキルチェーンを完全に理解する上で重要になります。
  • 多数の脅威によるインフラストラクチャの共有:異なる脅威がインフラストラクチャをどの程度共有しているのかを理解することで、いくつかの重要なトレンドが明らかになります。一部の脅威は、独自あるいは専用のインフラストラクチャと比較して、コミュニティで共有しているインフラストラクチャを高い割合で利用しています。脅威の60%近くが少なくとも1つのドメインを共有しており、このことからボットネットの半数以上が既存のインフラストラクチャを利用していることがわかります。IcedIDには、このような「借りられるものを買ったり作ったりしない」という攻撃者の心理がよく現れています。さらに、いくつもの脅威がインフラストラクチャを共有する場合、インフラストラクチャの共有がキルチェーンの同じステージで見られる傾向があります。ある脅威がエクスプロイトの目的であるドメインを利用し、その後にC2トラフィックにもそのドメインを利用することは珍しいため、使用されたインフラストラクチャが攻撃において何らかの役割や機能を果たしていることがわかります。インフラストラクチャを共有するのがどの脅威であり、攻撃チェーンのどの段階であるのかを理解することで、マルウェアやボットネットの将来の進化の可能性を予測できます。
  • コンスタントな管理が必要とされるコンテンツ管理:サイバー犯罪者は、エクスプロイトが成功した脆弱性やテクノロジーを標的にすることで次から次へ標的を見つけ、効率的かつ迅速に攻撃を実行しようとする傾向があります。最近、サイバー犯罪者の大きな注目を集めている新しいテクノロジーの1つにWebプラットフォームがあります。これは、Webプレゼンスを高める効率的な手段として多くの個人ユーザーや企業が利用しているためです。Webプラットフォームのみならず、関連するサードパーティのプラグインまでもが攻撃の標的にされています。このことから、パッチを速やかに適用すること、またエクスプロイトの継続的な進化を完全に理解して先手を打つことの重要性を再認識することが重要です。
  • 環境寄生型(Living off the Land)攻撃のツールと手法:攻撃者は攻撃対象と同じビジネスモデルを使って活動するため、最大限の成果を上げるために最初の侵入時以降も継続的に攻撃方法を変化させます。そのために、すでに標的とするシステムにインストールされている正規のツールを、本来とは異なる目的で悪用するサイバー犯罪者が増加しています。この環境寄生型(LoTL:Living off the Land)の戦術によって、ハッカーは自らの活動を正規のプロセスに隠せるようになり、防御側による検知が困難になるだけでなく、これらのツールによって攻撃者の属性の特定もさらに困難になります。残念ながら、攻撃者はさまざまな正規のツールを使って目標を達成し、検知を逃れようとします。そのため、セキュリティ担当者は使用している管理ツールへのアクセスを制限し、自社環境での使用状況を記録する必要があります。

図1:Fortinet Threat Landscape Index(上)とボットネット / エクスプロイト / マルウェアのサブ指標(下)

図1:Fortinet Threat Landscape Index(上)とボットネット / エクスプロイト / マルウェアのサブ指標(下)


対策の重要なヒント

サイバー脅威対策の確実な実践:繰り返し警告されていることではありますが、セキュリティの責任者は、新しい脆弱性、特に多様なユーザーが利用する新しいテクノロジー(CMSプラットフォームなど)に存在する脆弱性に関して、脅威インテリジェンスを優先的に取り入れ、対処する必要があります。攻撃者は、パッチの公開から時間が経過した後であっても脆弱性が存在するデバイスを探し続け、保護されていないデバイスやシステムを見つけ出します。

選択型のランサムウェア防御:ランサムウェアの検知と防御が、「運頼み」から「意図的に選択する」方式へと移行しつつあります。セキュリティの責任者は、ランサムウェアの攻撃の標的となる地域と脆弱性を理解して、パッチを優先的に適用し、バックアップ、データの保存、およびリカバリの手順を確実に実行する必要があります。

プリインストールされたツールに対する注意:PowerShell、VB、IronPythonなどのプリインストールされたツールや、権限の昇格、不正コードや攻撃の隠蔽を可能にするその他のツールには、特に注意する必要があります。インテント ベースト セグメンテーションは、ネットワーク、デバイス、ユーザー、アプリのビジネスロジックを使ったセグメンテーションによって、LoTL攻撃のラテラルムーブメントを防止することで、重要なデータやインフラストラクチャへのアクセスを防ぎます。

脅威インテリジェンスの重要性:脅威インテリジェンスでは、脅威を単に分析するだけではなく、その分析結果を活用してそのマルウェアの潜在的な進化の可能性を予測する必要があります。セキュリティの責任者にとっては、広さと深さを追求するだけでなく、AIやML(機械学習)も活用して将来の状態をモデリングしてくれる脅威インテリジェンスを採用することが重要です。さらに、そのような外部のインテリジェンスをローカルデータと組み合わせ、サンドボックステクノロジーなどを利用して、これらの「新しい」脅威が環境に影響を与える前に検知し、ブロックする必要があります。


動的かつプロアクティブな脅威インテリジェンスに対するニーズ

急速に進化する脅威環境で正しい防御を確立し維持するためには、発生前に脅威を理解する必要があり、そのためには、信頼性が高くタイムリーな脅威インテリジェンスの活用が不可欠です。現在の脅威トレンドへの対策はもちろん、長期的な攻撃の進化と自動化に備えられるようにするには、動的かつプロアクティブな脅威インテリジェンスを分散ネットワーク全体で利用できるようにしておく必要があります。このような知識、つまり脅威インテリジェンスによって、デジタル攻撃対象領域を標的にする攻撃方法の進化のトレンドを特定し、サイバー攻撃の標的となる可能性の高い領域の対策を優先的に強化できるようになります。脅威インテリジェンスがあらゆるセキュリティデバイスでリアルタイムに活用できなければ、その価値と有効性は著しく低下します。広範囲をカバーし、システム同士を統合し、運用を自動化するセキュリティ ファブリックでなければ、IoT、エッジ、ネットワークコア、さらにはマルチクラウドまでのネットワーク環境全体を保護することはできません。


2019年第1四半期のボットネット、マルウェア、およびエクスプロイト各々の指標とサブ指標を示した、Fortinet Threat Landscape Indexについては、こちらをご覧ください。

Fortinet Threat Landscape Indexの変動の要因となっている、変化する脅威とイベントの詳細を週単位でご覧になりたい場合は、脅威インテリジェンスブリーフ(英文)を参照してください。FortiGuard LabsおよびFortiGuardセキュリティサービスのポートフォリオの詳細については、こちらをご覧ください。セキュリティ監査とベストプラクティスを提供するFortiGuard セキュリティレーティングサービスについては、こちら(英文)をご参照ください。

金融機関を標的とし、特にクレジットカード業界で使われているデータの不正取得で知られているサイバー犯罪集団「Silence Group」については、こちらのAdversary Playbook(英文)を参照してください。