CONTENTS 2017 年脅威動向 Top 年脅威予測 Top5

Size: px

Start display at page:

Download "CONTENTS 2017 年脅威動向 Top 年脅威予測 Top5"

あきみこしの
4 years ago
Views:

2 CONTENTS 2017 年脅威動向 Top 年脅威予測 Top5

3 2017 年脅威動向 Top ランサムウェアパラダイムシフトサプライチェーンの攻撃が日常化仮想通貨の台頭と新たなリスクの浮上世界情勢の動きがセキュリティイベントに影響スミッシングとなりすましアプリ

4 2017 年脅威動向 Top5 01 ランサムウェアパラダイムシフト規模感染ルート世代交代 2017 年情報セキュリティ業界の話題の中心には常にランサムウェアがあった今年のランサムウェア攻撃の特徴は広範囲な被害規模感染ルートの変化活動中断や新型の登場にまとめられるだろうまず被害規模に関してみると歴代トップクラスのランサムウェアが登場した世界 150カ国 30 万台以上のシステムを感染させた WannaCry( 別名 WannaCrypt) からヨーロッパ15カ国に拡がった Bad Rabbit に至るまでランサムウェアは地域や企業に関係なく同時多発的に大規模な被害を与えている韓国で悪名高いランサムウェアとしてはまず行政機関を狙った VenusLocker があったまた大手ホスティング社のLinuxサーバを感染させた Erebus は約 3000サイトをストップさせるなど社会的に大きな衝撃を与えた感染ルートの面ではWebアプリケーションの脆弱性を突くケースが減少した反面メールによる感染が急増したその代表的な例としてランサムウェア Locky がある Windowsシステムの脆弱性を利用して配布されたランサムウェア WannaCry と Petya は類を見ない手法を駆使しただけでなく金銭目的に加えてシステム自体を損傷させる目的を持って製作されたことが分かったこのようなシステム破壊を目的としたランサムウェアの登場はまさにパラダイムの変化といえるだろう 2017 年の冒頭から世界各地で感染の報告があったランサムウェア Cerber は 9 月末以降姿を消したしかし Cerberの後を継ぐように Magniber ランサムウェアが現われた同ランサムウェアは韓国語 Windowsでのみ実行されることが特徴だ 4

5 2017 年脅威動向 Top5 02 サプライチェーンの攻撃が日常化正常なパスを利用した大胆な手法 2017 年はサプライチェーンを利用したサプライチェーン攻撃 (Supply Chain Attack) が続々と登場したサプライチェーン攻撃とは企業や機関で使用するソリューションのネットワークや供給網をハッキングして悪意あるコードを侵入させる攻撃手法である攻撃者がプログラムのアップデートサーバーをハッキングして悪意あるコードを挿入するためユーザーがプログラム更新を実行すれば通常プロセスの中でマルウェアに感染されてしまうまたプログラムの開発元をハッキングしてソースコードをビルド配布するなどソリューション製作段階から悪意あるコードを挿入することもあったほとんどの企業や機関は外部から侵入するファイルには警戒するものの使用中プログラムの関連ファイルには比較的管理が緩い点を狙った攻撃だソフトウェアメーカーを介した攻撃のほかメンテナンス業者など対応メーカーを通じる攻撃もまた広範のサプライチェーンの攻撃に含まれる前述したランサムウェアPetyaもウクライナの税務会計ソフトウェアを介して配布された韓国では大手ネットワーク管理プログラムとシステム最適化プログラム CCleaner を利用したケースがあったこれらすべてはプログラム製作段階からマルウェアが挿入されていたこの他 macosを狙ったマルウェアとして HandBrake Eltima Playerなどの悪質なコードが動画変換プログラムに挿入されこれらのプログラムの公式ホームページから配布された 5

6 2017 年脅威動向 Top5 03 仮想通貨の台頭と新たなリスクの浮上お金になりそうなモノではなくお金そのものが標的に 2017 年はビットコイン (Bitcoin BTC) をはじめとするイーサリアム (Ethereum) Monero(XMR) などの仮想通貨 (Virtual Currency または暗号通貨 Crypto Currency) 取引市場が活況を呈し年初 1BTC 当たり10,000ウォン台だったビットコインが年末には9,000,000ウォン台を突破した通常ビットコインとイーサリアムのような仮想通貨はコンピューターで採掘 (mining) して取得することができるしかし最近仮想通貨の金銭的な価値が急騰したことにより密かに他人の PCを利用して仮想通貨を採掘する採掘 ( マイナー miner) マルウェアが多数発見されている Windowsの更新ファイルに偽装したり圧縮ファイル形式で正常なファイルと一緒に配布されるなどその手法も様々だその他 Linuxサーバシステムで動作する採掘マルウェアも発見された仮想通貨市場の規模が大きくなり取引所を直接攻撃する事件も相次いで発生した仮想通貨取引所を狙った攻撃は仮想通貨の奪取取引所の会員アカウント情報を奪取取引所サイトへのDDoS 攻撃などがあった 6

7 2017 年脅威動向 Top5 04 世界情勢の動きがセキュリティイベントに影響エクスプロイトキットの休止符と脆弱性攻撃の多様化 2016 年まで主なセキュリティ脅威は Webをベースに多様なエクスプロイトキット (Exploit Kit 以下 EK) を使ってくることが多かったしかし2017 年に入ってエクスプロイトキットの活動が徐々に沈静化し Webベースの攻撃も比較的弱まりつつあるまた今年は特定の脆弱性が際立って狙われるよりは様々なタイプの新しい脆弱性が利用される様相を見せた韓国では政治社会問題に絡んだ脆弱性攻撃が特に多かった年初中国との政治関係が悪化した時にはApache Struts2 脆弱性 (CVE ) を利用した中国発の攻撃が発生したそして今年確認された多くの Microsoft Officeプログラム脆弱性 (CVE CVE CVE CVE ) は北朝鮮の核問題冬季オリンピックなどの話題性のあるトピックを利用した標的型攻撃とランサムウェアの拡散に使用された Microsoft Officeで新たに発見された脆弱性のうちCVE 脆弱性はロシア政府を狙った標的型攻撃 FINSPY マルウェア配布事件と 2017 年最悪のランサムウェア WannaCry の配布パスと密接な関わりがあるとされるさらに EternalBlue という名前の脆弱性(CVE ) もまた今年知名度を上げたこれはWindowsのSMB( 共有フォルダー ) 脆弱性でシステムに侵入したランサムウェアが同脆弱性を通じて拡散され内部システムを追加感染させる方式として大きく注目された同脆弱性はハッキンググループ Shadow Brokers が公開した多数の脆弱性攻撃ツールに含まれていた 7

8 2017 年脅威動向 Top5 05 スミッシングとなりすましアプリモバイル脅威の進化が加速化増加を続けるモバイル脅威は 2017 年さらに高度化が進んだ元は迷惑メッセージに添付されたリンクから悪意あるアプリをダウンロードするように誘導する手法がメジャーであったが 2017 年はボイスフィッシングと連携するようになった手法としてはまずローンの勧誘など社会工学手法で攻撃対象と通話し不正アプリをインストールさせる不正アプリのインストールが完了するとスマートフォンに保存された個人情報を流出して電話やメッセージの送受信を遮断するなどの悪質な行為を行った他にもスマートフォンのアドレスに登録された対象にメッセージを送信し応答があればお金を要求するメッセージを再送するタイプの被害ケースが報告された Googleの公式アプリストアでも有名アプリに偽装したなりすましアプリが相次いで発見されたこれらのアプリは知名度の高い公式アプリのアイコンと非常によく似たアイコンに偽装してアプリ名に特殊文字を少しだけ追加したりラベルを変更してユーザーを騙したこれらのフィッシングアプリはインストール前に開発者情報を注意深く確認すると被害を防ぐことができる 8

9 2018 年脅威予測 Top 脅威カスタマイズのビジネスモデル定着サプライチェーンの攻撃増加実体の見えない敵ファイルレス攻撃スマートデバイスと IoT の時代に備えよ確実にマルウェアを拡散するためのルート開拓

10 2018 年脅威予測 Top5 01 脅威カスタマイズのビジネスモデル定着サイバー犯罪のプラットフォームベースサービス化ランサムウェアの暗躍が本格化したのが2016 年ならば 2017 年はランサムウェアが劇的に変化した年といえる年初から世界中で大規模な被害を引き起こしたランサムウェアが登場したり変種の数も類をみないスピードで相次いで発見されたこれらの劇的な変化を起こした最大の原因はランサムウェア製作配布の (Ransomware-asa-Service 以下 RaaS) サービス化にある RaaSがサイバー闇市場に定着したことで専門的な IT 知識がなくても比較的簡単にランサムウェア攻撃が可能となったこのため今は毎日のようにランサムウェアの新変種が登場してくる始末である RaaSがビジネスモデルとして華々しくデビューしサイバー犯罪のサービス化 (Crime-as-a-Service 以下 CaaS) が現実のものになりつつある CaaS 最大の特徴はサイバー犯罪組織がまるで企業のように開発販売流通マーケティングに至るまで細分化されたプロセス形態を備えていることだこれはサイバー犯罪の普及をもたらすプラットフォームと言っても過言ではない 2018 年は企業型サイバー犯罪組織の増加に伴い CaaSの活動が本格化して新変種ランサムウェアだけでなく脆弱な仮想通貨 ( 暗号通貨 ) 取引所の攻撃などお金を狙った攻撃がさらに増加すると予想される 10

11 2018 年脅威予測 Top5 02 サプライチェーンの攻撃増加標的型攻撃の新潮流昨年何度も成功しているサプライチェーンの攻撃 (Supply Chain Attack) は 2018 年も続く見通しだサプライチェーンの攻撃は組織で使用する製品またはサービスの供給プロセスに悪質なコードを侵入させる手法であるほとんどの企業や機関においてWebやメールなどの外部から入るファイルには敏感に対応するが使用中のプログラムと関連ファイルについては信頼しやすい点を狙った攻撃だ攻撃者からすれば様々なセキュリティシステムを構築している組織をダイレクトに攻撃するよりも標的が信頼する対象を利用したほうがはるかに効率が良いこの手法で侵入に成功すれば標的システムの内部ネットワーク上にある他のシステムまで掌握できるためより大きな効果を得られるプログラムの開発元やサービスプロバイダによるマルウェア感染への取り組みがいつにも増して求められている組織内部で使用中のプログラムやサービスについて持続的に検証し管理するための努力を怠ってはならない 11

12 2018 年脅威予測 Top5 03 実体の見えない敵ファイルレス攻撃文書ファイルを利用した攻撃手法の高度化数年前から.exeなど実行(PE) ファイル形式のマルウェアのほか Word ExcelなどのMS Office 文書やハングルファイルなどの非実行 (non-pe) 型ファイルを悪用したマルウェアが増加傾向にあるこれはセキュリティソリューションの検知を避けるために常日頃努力を傾けてきた攻撃者らの成果であろう非実行ファイルを利用した攻撃は今年さらに高度化されると思われるこれまでは主に悪意あるVisual Basicマクロコードを挿入するタイプが多かったが最近はXML 内のコード実行 DDE 機能やドキュメント内のオブジェクト挿入などを利用してマルウェアを実行するタイプが増えている今後は悪意ある行為の実行ファイルが従来のようにシステムに常駐する形ではなくプロセスメモリにインジェクションされて動作するファイルレス (Fileless) タイプが増加すると予想される 12

13 2018 年脅威予測 Top5 04 スマートデバイスとIoTの時代に備えよ攻撃対象のプラットフォームとデバイス多様化セキュリティ脅威の動向に敏感な情報システムやセキュリティ関係者であればもはやこれ以上 Linuxが安全なOSであるとは言わないだろうもちろんWindowsに比べてまだ少ないほうではあるが Linuxシステムで動作するマルウェアもその数やタイプが増加している昨年韓国ではホスティング会社と大手 IDC 会社のLinuxサーバがランサムウェアに感染し大規模な被害を受けた事件があったそしてLinuxシステムで仮想通貨を採掘するマルウェアまで登場しているアンラボのセキュリティ対応センターで 2017 年 1 月から11 月末まで検知したLinuxマルウェアは 327 個に達する Linux 同様かつては安全と思われていたmacOSを狙うマルウェアも持続的に増加中だ 2018 年も WindowsやLinux Mac Androidなど多様なシステムを狙うマルウェアがさらに増加する見通しだこれはLinuxやAndroid OSを使用するスマートデバイスやIoT 機器までセキュリティ上の脅威にさらされることを意味する昨年アンラボのセキュリティ対応センターが検知したLinuxマルウェアミライ (Linux/Mirai) は IoT 機器関連の代表的なマルウェアだったウェアラブルデバイスを含む主なIoT 機器は比較的セキュリティが脆弱で管理がうまく行われていないインターネット接続が可能なウェアラブルデバイスや家庭用のIoT 機器に対するセキュリティ脅威対策を講じる時期に来ている 13

2018 年脅威予測 Top5 05 確実にマルウェアを拡散するためのルート開拓スミッシング悪意あるメールなりすまし公式ストア登録 2018 年はモバイルマルウェアの配布拡散ルートが一層多様化する見込みだ日々増加するモバイル脅威の被害を最小化するため関連企業らの情報発信やサポートにより最近はユーザーのセキュリティ意識の向上が顕著になった

14 2018 年脅威予測 Top5 05 確実にマルウェアを拡散するためのルート開拓スミッシング悪意あるメールなりすまし公式ストア登録 2018 年はモバイルマルウェアの配布拡散ルートが一層多様化する見込みだ日々増加するモバイル脅威の被害を最小化するため関連企業らの情報発信やサポートにより最近はユーザーのセキュリティ意識の向上が顕著になっただが攻撃者もひるむことなくモバイル環境に侵入するための様々な攻撃手法を開発している特に最近目に付くのは公式ストアに悪意あるアプリを登録するためにOS 開発元のセキュリティスキャン技術を回避する方法が相次いで登場している点だこのような傾向は2018 年にも続きスミッシング悪意あるメール知名度の高いアプリのなりすましなど既存の手法に加えて Android 公式アプリストアに悪意あるアプリを登録しモバイルマルウェアを確実に配布するためのルートを開拓する動きはさらに拡大すると予想される 14

アンラボとは株式会社アンラボは業界をリードする情報セキュリティソリューションの開発会社です 1995年から弊社では情報セキュリティ分野におけるイノベーターとして最先端技術と高品質のサービスをご提供できるように努力を傾けてまいりました今後もお客様のビジネス継続性をお守りし安心できるIT環境づくりに貢献しながらセキュリティ業界の先駆者になれるよう邁進してまいります

15 アンラボとは株式会社アンラボは業界をリードする情報セキュリティソリューションの開発会社です 1995年から弊社では情報セキュリティ分野におけるイノベーターとして最先端技術と高品質のサービスをご提供できるように努力を傾けてまいりました今後もお客様のビジネス継続性をお守りし安心できるIT環境づくりに貢献しながらセキュリティ業界の先駆者になれるよう邁進してまいりますアンラボはデスクトップおよびサーバー携帯電話オンライントランザクションネットワークアプライアンスなど多岐にわたる総合セキュリティ製品のラインナップを揃えておりますどの製品も世界トップクラスのセキュリティレベルを誇りグローバル向けコンサルタントサービスを含む包括的なセキュリティサービスをお届け致します発行所株式会社アンラボ発行者 AhnLab Security Emergency Response Center 編集アンラボコンテンツ企画チーム東京都港区芝4丁目13-2 田町フロントビル3階 TEL: (代) 2018 AhnLab, Inc. All rights reserved. 著作権者の許可なくこのコンテンツの内容の全て又は一部をいかなる手段においても複製転載流用転売複写等することを固く禁じます AhnLab.com

Vol.71 政府機関を狙う連続ターゲット攻撃の目的は?

2019.11 Vol.71 政府機関を狙う連続ターゲット攻撃の目的は? THREAT ANALYSIS State Targeted Attack 政府機関を狙う連続ターゲット攻撃の目的は? 日韓輸出規制北朝鮮の相次ぐミサイル発射ロシア軍用機の領空侵害など韓国を取り巻く周辺国との対立が深刻化していた 7 月再び韓国政府機関を狙った標的型攻撃が発見されたアンラボがサンプルを分析したところ実はこの攻撃が