threat-research
2019年第1四半期の脅威環境を振り返ると、サイバー犯罪の攻撃方法やツールが高度化しただけでなく、非常に多様化していることがわかります。攻撃者は、標的型ランサムウェアからカスタムコーディング、環境寄生型(LoTL:Living off The Land)、インフラストラクチャの共有による攻撃機会の最大化、さらには攻撃開始前のネットワークの密かな水平移動(ラテラルムーブメント)といった、広範な攻撃戦略を駆使するようになっています。
本レポートでは、これらの戦略のそれぞれに関する実用的インテリジェンスを提供し、サイバーセキュリティの専門家やシステム管理者がネットワークを適切に保護する上で理解しておくべき、いくつかの脅威トレンドを詳しく分析します。
ランサムウェアの脅威の継続:2019年第1四半期全体としては、ランサムウェアから標的を限定した攻撃への移行が進んだものの、ランサムウェアがなくなったわけではありません。複数の攻撃によって証明されたのは、価値の高い標的に合わせたカスタマイズが進み、ネットワークへの特権アクセスを攻撃者が手に入れるようになっているということでした。LockerGogaは、攻撃を複数のステージで実行する、標的型ランサムウェアの一例です。機能の高度化という点では、LockerGogaは他のランサムウェアと大きな違いはありませんが、ほとんどのランサムウェアツールが何らかの難読化を使って検知を回避しようとするのに対し、我々が分析に使用したLockerGogaサンプルには難読化の機能はほとんど確認されませんでした。このことから、この攻撃に標的型の特性が備わっていること、そしてマルウェアが簡単には検知されないだろうことがわかります。また、Anatovaの場合は、他のほとんどのランサムウェアと同様に攻撃したシステムでできるだけ多くのファイルを暗号化することを主な目的としていますが、独自の特徴としてシステムの安定性に影響する恐れのあるものについては暗号化の対象から除外するよう設計されていることが挙げられます。マルウェア分析を目的としたり、ハニーポットとして使用されていたりすると思われるコンピュータについても感染させないようになっています。どちらのランサムウェア亜種も、コモディティ化されたランサムウェアへの重要な対策として、セキュリティ担当者がパッチの適用とバックアップを継続する必要があることを示していますが、このような標的型脅威の対策としては攻撃方法に合わせて防御もカスタマイズすることが不可欠です。
図1:Fortinet Threat Landscape Index(上)とボットネット / エクスプロイト / マルウェアのサブ指標(下)
サイバー脅威対策の確実な実践:繰り返し警告されていることではありますが、セキュリティの責任者は、新しい脆弱性、特に多様なユーザーが利用する新しいテクノロジー(CMSプラットフォームなど)に存在する脆弱性に関して、脅威インテリジェンスを優先的に取り入れ、対処する必要があります。攻撃者は、パッチの公開から時間が経過した後であっても脆弱性が存在するデバイスを探し続け、保護されていないデバイスやシステムを見つけ出します。
選択型のランサムウェア防御:ランサムウェアの検知と防御が、「運頼み」から「意図的に選択する」方式へと移行しつつあります。セキュリティの責任者は、ランサムウェアの攻撃の標的となる地域と脆弱性を理解して、パッチを優先的に適用し、バックアップ、データの保存、およびリカバリの手順を確実に実行する必要があります。
プリインストールされたツールに対する注意:PowerShell、VB、IronPythonなどのプリインストールされたツールや、権限の昇格、不正コードや攻撃の隠蔽を可能にするその他のツールには、特に注意する必要があります。インテント ベースト セグメンテーションは、ネットワーク、デバイス、ユーザー、アプリのビジネスロジックを使ったセグメンテーションによって、LoTL攻撃のラテラルムーブメントを防止することで、重要なデータやインフラストラクチャへのアクセスを防ぎます。
脅威インテリジェンスの重要性:脅威インテリジェンスでは、脅威を単に分析するだけではなく、その分析結果を活用してそのマルウェアの潜在的な進化の可能性を予測する必要があります。セキュリティの責任者にとっては、広さと深さを追求するだけでなく、AIやML(機械学習)も活用して将来の状態をモデリングしてくれる脅威インテリジェンスを採用することが重要です。さらに、そのような外部のインテリジェンスをローカルデータと組み合わせ、サンドボックステクノロジーなどを利用して、これらの「新しい」脅威が環境に影響を与える前に検知し、ブロックする必要があります。
急速に進化する脅威環境で正しい防御を確立し維持するためには、発生前に脅威を理解する必要があり、そのためには、信頼性が高くタイムリーな脅威インテリジェンスの活用が不可欠です。現在の脅威トレンドへの対策はもちろん、長期的な攻撃の進化と自動化に備えられるようにするには、動的かつプロアクティブな脅威インテリジェンスを分散ネットワーク全体で利用できるようにしておく必要があります。このような知識、つまり脅威インテリジェンスによって、デジタル攻撃対象領域を標的にする攻撃方法の進化のトレンドを特定し、サイバー攻撃の標的となる可能性の高い領域の対策を優先的に強化できるようになります。脅威インテリジェンスがあらゆるセキュリティデバイスでリアルタイムに活用できなければ、その価値と有効性は著しく低下します。広範囲をカバーし、システム同士を統合し、運用を自動化するセキュリティ ファブリックでなければ、IoT、エッジ、ネットワークコア、さらにはマルチクラウドまでのネットワーク環境全体を保護することはできません。
2019年第1四半期のボットネット、マルウェア、およびエクスプロイト各々の指標とサブ指標を示した、Fortinet Threat Landscape Indexについては、こちらをご覧ください。
Fortinet Threat Landscape Indexの変動の要因となっている、変化する脅威とイベントの詳細を週単位でご覧になりたい場合は、脅威インテリジェンスブリーフ(英文)を参照してください。FortiGuard LabsおよびFortiGuardセキュリティサービスのポートフォリオの詳細については、こちらをご覧ください。セキュリティ監査とベストプラクティスを提供するFortiGuard セキュリティレーティングサービスについては、こちら(英文)をご参照ください。
金融機関を標的とし、特にクレジットカード業界で使われているデータの不正取得で知られているサイバー犯罪集団「Silence Group」については、こちらのAdversary Playbook(英文)を参照してください。
URLが変更されました。ブックマークされている場合は、移動先の以下の環境で、改めて登録をお願いします。