「スウォーム」型のIoT攻撃、クリプトジャッキング、ランサムウェアの急激な増大

FortiGuard Labsは、2017年度第4四半期版脅威レポートを発表しました(日本語版もfortinet.co.jpにて近日公開予定)。今回も、CISO(最高情報セキュリティ責任者)が注目すべき課題が多数ありましたが、特に重要な課題として、企業が受ける攻撃が1社あたり82%増大したこと、そしてIoTを対象とした「スウォーム」型のサイバー攻撃が激しさを増していることが挙げられます。

サイバー攻撃は空前の勢いで企業を狙っており、2017年第4四半期の調査では、企業が受ける攻撃は1社あたり平均274件、前期比で82%も増大しました。既存のマルウェアファミリー数は25%増加して3,317に達し、固有のマルウェア亜種も19%増加して17,671に達しています。この調査結果は、マルウェアの数が劇的に増えているだけでなく、マルウェア自体も進化していることを示しています。

 

この傾向をより詳しく分析すると、攻撃件数の急増はおそらく計画的なものだということがわかります。アップデートしたAVやIPSシグネチャを活用するといった対応策を講じる前に、脆弱なターゲットを最大数攻撃するには、ほかの組織にも急速に拡大できるよう大量のマルウェアが必要です。

ところが件数だけが問題なのではありません。フォーティネットCISOのPhil Quade(フィル・クエイド)は次のように述べています。「サイバー脅威の数、複雑さ、種類は、グローバル経済のデジタル・トランスフォーメーションが進むことでますます拍車がかかるでしょう。サイバー犯罪も同様に、トランスフォーメーションによって攻撃方法が強化され、多くの人がツールを利用できるようになっているのです」。ますます巧妙になった攻撃は、対策を講じていない多くの組織を狙っています。例えば、IoTを対象とした新たな「スウォーム」型の攻撃は、マルウェアファミリー内で拡大し、多方向で広がるため対処が難しく、しかも新たな亜種を急速に展開かつ伝搬しています。

第4四半期レポートの重要なポイントをいくつか紹介します。


IoTボットネット

第4四半期に特定された上位20の攻撃のうちの3つはIoTボットネットでした。ところが、1カ所の脆弱性を標的としていたこれまでの攻撃とは異なり、ReaperやHajimeといった新たなタイプのIoTボットネットは、複数の脆弱性を同時に攻撃します。このような多方向の攻撃は、対処が非常に困難です。さらに、ReaperはフレキシブルなLuaエンジンとスクリプトを使用して攻撃をしかけます。つまり、Reaperのコードは臨機応変に容易に更新できるため、従来のようにあらかじめプログラムされた静的攻撃だけでなく、より悪意のある新たな攻撃をしかけることができるのです。

特に、Wi-Fiカメラなどのデバイスはサイバー攻撃の標的になりやすく、前期と比べて4倍を超える攻撃の試みが検出されています。ところが、検出されたこれらの攻撃は、既知の(つまり識別番号のある)CVEとは関連性がありません。これは、IoTを構成する多数の脆弱なデバイスの重大な問題点の1つと言えます。

このほかにも多くの重大な問題が発生しているため、IoT業界は、攻撃の急増に対応が追い付いていません。第一に、ほとんどのIoTメーカーは、新たな脆弱性に迅速に対応するPSIRT (製品セキュリティ・インシデント対応チーム)を構築していません。ということは、自社または他社のリサーチャーがデバイスの脆弱性を検出してからその情報を組織内の適切なチームに提供するため、非常に複雑なプロセスを踏まなければならないのです。第二に、IoTセキュリティに関する規制が不十分であるため、既知の脅威を優先しなければならないことにIoTメーカーはいら立ちを感じています。このことは、この数カ月間に既知の脆弱性に多数の攻撃が仕掛けられているにもかかわらず、正式なCVE識別番号が割り当てられていないことからも明らかです。


クリプトジャッキング

仮想通貨への関心が高まっていることも、サイバー犯罪の拡大に拍車をかけています。その結果、この分野を標的とした攻撃が急増しています。クリプトジャッキングにはさまざまな形態があり、悪意のある感染によって、ブラウザのハングアップ、システムのクラッシュ、ネットワークパフォーマンスの低下、データ窃盗、ランサムウェアなどあらゆるトラブルが引き起こされます。クリプトジャッキングには主に3つの傾向が見られ、対応方法はそれぞれ異なります。

一つ目は、脆弱なウェブサイトに悪意のあるJavaScriptを取り込んだり、eメールに悪意のあるJavaScriptのマルウェアを添付したりして、デバイスのCPU処理能力を奪い、攻撃者の代わりにクリプトマイニングを行うタイプ。なかでも最も荒っぽい攻撃は、標的となるあらゆるCPUを攻撃して、デバイスを事実上使用不可能にしてしまうものです。もちろん、ユーザーはすぐにデバイスをオフにして攻撃を取り除く方法を探すため、こういったタイプの攻撃は有効期間が非常に短いという特徴があります。より高度で新しいタイプの攻撃は、デバイスのCPUを監視して処理能力を制限し、すぐにCPU処理能力の50%程度を消費してしまいます。

二つ目は、仮想通貨の数が急増し、その価値も劇的に増大しているというニュースが世界中で話題になっていることから、この新たな機会に飛びついて換金を求めている人を狙ったサイバー犯罪が発生しています。例えば、新たな仮想通貨の「ウォレット」としてリンクを添付することで、ユーザーにマルウェアをダウンロードさせる、というソーシャルエンジニアリング型の新たな攻撃が検出されています。ユーザーは、偽の登録をすることで「ウォレット」に個人情報を提供し、それと同時にランサムウェアなどの悪意のあるマルウェアをデバイスにダウンロードしてしまいます。皮肉にも、犯罪者は偽の仮想通貨を悪用してデバイスにアクセスし、アンロックするために別の合法の仮想通貨で支払いを要求するのです。

最後に、ダークネット上にも変化が見られており、これまでは支払いには価値が予測できないビットコインのみが承認されていましたが、別の形式の仮想通貨も利用されるようになっています。例えば、モネロなどの仮想通貨での支払いを求めるランサムウェアが検出されています。


ランサムウェア

数が増え、ますます高度化しているランサムウェアは、これまでに発表された脅威レポートで共通の脅威となっています。マルウェア亜種のリストの上位は、いくつかのタイプのランサムウェアが占めています。最も広範囲に見られるマルウェア亜種はLockyで、GlobeImposterがこれに続いています。新たなタイプのLockyは、身代金を要求する前に受信者をスパムに感染させるという攻撃を仕掛けています。ランサムウェアは変形し続け、ソーシャルエンジニアリング(例えば、クリプトマイニング)などの新たなチャネルを利用して拡大を続けています。また、「サービスとしてのランサムウェア(Ransomware-as-a-Service)」モデルの出現によって、犯罪者は容易に標的にアクセスできるようになっています。


ステガノグラフィー

ステガノグラフィーとは、画像に悪意のあるコードを埋め込んだタイプの攻撃のことです。ここ数年はあまり登場していませんでしたが、最近復活の兆しが見られています。Sundownと呼ばれる脆弱性攻撃ツールは、ステガノグラフィーを利用して情報を盗みます。このタイプの攻撃は昔から存在しており、ほかの攻撃ツールよりも多く報告されています。また、複数のランサムウェア亜種に分かれていることもわかっているため、今後も注意深く観察していく必要があります。


重要なポイント

従来の脅威検出ツールおよびシグネチャベースのアンチウィルスでは、数も種類も多く、迅速に拡大する現在のマルウェアに対応することができません。Phil Quade(フィル・クエイド)は次のような見解を述べています。「従来のセキュリティ戦略およびアーキテクチャではデジタル依存型の組織に対応することはできない、という厳しい現実に直面しています。デジタル・トランスフォーメーションに取り組んだように、セキュリティ・トランスフォーメーションにも取り組み、新たな攻撃に対応することが急務となっています。個々に機能していた従来のソリューションでは十分に対応することはできません。ポイントプロダクトや静的防御策ではなく、規模と速度を兼ね備えた統合型・自動型のソリューションが必要になります」

現在の組織が直面している数々の問題に取り組むため、セキュリティチームは、危機を予測した積極的な策を講じなければなりません。具体的には、次のようなアプローチを検討する必要があります。

  • 脆弱性に対処する 組織は、件数の多いマルウェアから優先的に対処する必要があります。それと同時に、サンドボックスなど、高度な脅威保護ソリューションを実装して、ネットワークを攻撃される前に未知の脅威に対応する必要があります。
  • 常に準備をする クリプトジャッキングなどの攻撃が勢いを増しているなか、組織はソーシャルエンジニアリング型の攻撃を認識する方法をユーザーに指導するなど、サイバーセキュリティに関する啓発プログラムに注力する必要があります。さらに、新たな仮想通貨に関連するサイバー犯罪が増大しつつあるため、組織は、仮想通貨のトレンドに関する情報をできるだけ多く入手する必要があるでしょう。
  • 相手と同じ手段を用いる マルウェアは進化を続けており、IoTを狙った新たな攻撃は、複数のアクセスポイントで複数の脆弱性やデバイスを同時に一斉攻撃しています。こういった多方向脅威に対抗するには、統合型・連携型・自動型のセキュリティ対策を講じ、集団で立ち向かう必要があります。例えば、フォーティネット セキュリティ ファブリックは、分散型ネットワーク全体に「スウォーム」型の防御策を提供します。セキュリティ技術と自動化機能を統合したこのソリューションは、イベントや通知を検出・共有し、脅威インテリジェンスをユビキタスに関連付け、セキュリティ・インフラストラクチャ全体に展開されているリソースを組み合わせて組織的に対応し、広範囲で弾性の高い攻撃領域のあらゆる場所で検出される攻撃を撃退します。

レポート全文(英文)はこちらからご覧ください。