threat-research

フォーティネットが2019年第3四半期版脅威レポートを発表

エッジサービスに対する攻撃とMalware-as-a-Serviceサービスの増加が、2019年第3四半期版の作成にあたってFortiGuard Labsが確認した脅威の上位に

夏の数か月間は多くの人にとって休暇シーズンですが、サイバー犯罪者はこの間も休むことなく、我々のネットワーク、デバイス、サービスを標的にし、悪用する新たな方法を探していました。フォーティネット脅威レポートは、FortiGuard Labsチームが発見し、追跡してきた上位の脅威とトレンドに関する実用的なインテリジェンスを提供するものであり、前の第2四半期版のレポートは、サイバー犯罪者が敵であるサイバーセキュリティのプロフェッショナルの一歩先を行く方法を常に探していることを示していました。

サイバー犯罪と聞くと、高度なマルウェアが使われたり、ゼロデイ脆弱性が悪用されたりした、過去に発生した注目度の高いイベントを多くの人が思い浮かべるものです。もちろん、それらの分野ではいくつかの進展がありましたが、ほとんどの犯罪者は既存のリソースの活用に重点を置くようになっており、第3四半期の上位の脅威にも同じ傾向が見られました。


サイバー犯罪者はフィッシング戦略の強化を進めている

サイバー犯罪者はエッジサービスを標的にしている

現在でも90%以上のマルウェアが引き続き電子メール経由で送り込まれていることから、多くの組織がユーザー向けトレーニングを積極的に実施し、電子メールの添付ファイルをクリックしないよう呼びかけ、フィッシングメールを識別する方法を教育するようになりました。また、電子メールセキュリティソリューションの重要性についても、より一層認識されるようになっています。その結果、犯罪者は戦術を拡大し、これまでは注目していなかった他の攻撃対象領域を標的にするようになりました。

例えば第2四半期に、FortiGuard Labsは外部に公開されているエッジサービスを標的とする、リモートコード実行のエクスプロイトによる攻撃を確認しました。エッジで足場を確立した攻撃者は、その攻撃ベクトルを使ってマルウェアをネットワークの内部の標的に送り込みます。方法は異なるものの、結果としてはフィッシングを使ってそのペイロードを送り込むのと同じです。


アドブロッカーを回避して不正サイトをホワイトリストに登録する

これは、アドブロッカーセキュリティツールによって不正コンテンツへのアクセスがブロックされないようにする戦略です。例えば、Adblock Plusは、Firefox、Chrome、Internet Explorer、Edge、Opera、Safari、Yandex、Androidなどのすべての主要ブラウザに対応する、コンテンツフィルタリングと広告ブロックの機能を持つオープンソースのブラウザ拡張機能です。キーを使って承認済の広告サイトをタグ付けし、ホワイトリストに登録する機能もあります。ところが、このキーに目を付けた攻撃者が、不正サイトをホワイトリストに登録する目的で悪用するようになりました。ホワイトリストへの登録が完了すれば、Webページを使って不正広告を配信したり、アドブロッカーソリューションに利用して不正サイトやコンテンツをブロックしているユーザーに対するフィッシングページとして使ったりできるようになります。

これらのWebページを検知するIPSシグネチャであるHTML/Framer.INF!trが、世界のすべての地域において2019年第3四半期に最も多く検知されたマルウェア亜種の首位に立ちました。ただし、これらの検知の中には誤検知が含まれている可能性があります。これは、Adblockは完全に信頼できるシグネチャの作成が困難な設計であるためです。


Malware-as-a-Serviceの利用が引き続き拡大している

ダークウェブで取引される新たなRaaS

GandCrabランサムウェアとそのRansomware-as-a-Service(RaaS)サービスの開発者が、昨年の引退までに20億ドルも荒稼ぎしたことが明らかになっています。その成功を知った多くのサイバー犯罪集団が、このサービスの悪用に次々と参入するようになりました。FortiGuard Labsは第2四半期に、少なくとも2つの重要なランサムウェアファミリーであるSodinokibiとNemtyがRaaSとしてダークウェブで入手できるようになったことを確認しました。このRaaSモデルを使用すれば、これらのマルウェアツールの作成者はオーバーヘッドと専門知識の両面でこれらの攻撃を簡単に開始できるようになります。


Emotetに新たなMaaSの機能が追加される

金融機関を標的にするトロイの木馬として成功を収めたEmotetが、このEmotetトロイの木馬に感染したデバイスへのアクセスをレンタルするサービスを開始しました。これが特に悪質であるのは、Emotetの開発者が不正ワークロードを送り込む機能をこのマルウェアに追加したためです。つまり、この新しいMaaSを使用する攻撃者は、すでに感染しているデバイスから、トロイの木馬であるTrickbotやRyukランサムウェアなどの追加のマルウェアを使った攻撃を開始することで、標的であるネットワークを感染させることが可能になります。

Emotetには、フィッシングによるマルウェアの拡散の効率を大幅に向上させる別の機能も新たに追加されています。当然ながら、サイバー犯罪者は開いてもらえる可能性が最も高いフィッシングメールを送ろうと考えます。Emotetのこの新しいフィッシング戦略は、感染されたデバイスからメールアドレスだけでなく電子メールのスレッドを不正取得します。そして、スレッドに含まれるいずれかのユーザーからの返信を作成し、スレッドの一部であるかのように偽装して、スレッドの他の参加者に送信します。この方法は、新規でフィッシング攻撃を開始したり、標的型スピアフィッシング戦略で被害者を誘導したりするケースに比べて格段に効果が高いことが証明されています。


古い攻撃が今も脅威として存在している

新しい方法でなければ攻撃が成功しないわけではないことを覚えておく必要があります。2019年第3四半期版脅威レポートによれば、FortiGuard Labsが検知した、2007年に発見された脆弱性を標的にする活動の件数が、2018年と2019年の脆弱性の数の合計を上回りました。この間、いずれの年も2018年と2019年と同じレベルで推移してきました。このトレンドは、発見からの年月に関係なく、パッチの適用されていない脆弱性のリスクがいかに高いかを物語っています。この事実から明らかな点は、攻撃者(および攻撃ツール)は古い脆弱性であっても見逃さないため、防御側も無視してはならないということです。


今すぐできる対策

ネットワークをセグメント化する

このような攻撃とエクスプロイトの多くが成功したのは、脆弱なシステムが適切に保護されていないためです。FortiGuardセキュリティレーティングサービスを利用してリスク評価を実施し、悪用される可能性があるデバイスを順位付けることで、古い脆弱性の適切な保護が可能になります。デバイスへのパッチの適用やアップグレードに加えて、インテント ベースト セグメンテーションとゼロトラストアクセス戦略の実装を検討し、重要なデバイスや脆弱なシステムのエクスプロイトを防止することも重要です。セグメンテーションには、標的にされる可能性がある攻撃対象領域を少なくすることで、侵入が成功するリスクを最小限に抑える効果もあります。


すべての攻撃ベクトルに対応するセキュリティ ファブリックを導入する

また、最新の脅威トレンドだけに保護を集中すればよいわけではありません。エッジサービスが標的にされていることからもわかるように、総合的アプローチによる分散ネットワーク環境の保護が不可欠です。そのためには、包括的なセキュリティ ファブリックを導入し、一元的な監視、管理、構成を可能にするソリューションを実装すると同時に、リアルタイムの脅威インテリジェンスを統合することで、最新の脅威に対抗できるようにネットワークを常に調整できるようにすることが重要です。


パッチの適用、アップグレード、リプレース、保護の強化も忘れずに

繰り返し言われることではありますが、ネットワークやデバイスの感染の半数以上が、脆弱なシステムへのパッチの適用、アップグレード、リプレース、あるいは適切な近接制御の実装の不備や失敗を直接的な原因として発生しています。もちろん、何千台ものデバイスや重要システムを停止しなければ簡単にアップデートすることのできない組み込みシステムが存在するような環境では、パッチの適用は容易なことではないでしょう。


脅威レポートの全文で、ここまで説明した2019年第3四半期における脅威トレンドの詳細をご確認ください。

FortiGuard LabsおよびFortiGuardセキュリティサービスのポートフォリオの詳細については、こちらをご覧ください。FortiGuard Labsは、脅威インテリジェンスブリーフ(英文)を毎週お届けしています。ぜひご購読ください。

セキュリティ監査とベストプラクティスを提供するFortiGuard セキュリティレーティングサービスについては、こちらをご参照ください。