開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2021/07/28

「Emotet終息」も安心できない理由 レポートから読み解くサイバー攻撃最新動向

猛威を奮っていたマルウェア「Emotet」は2021年1月、ネットワークのテイクダウン(C&Cサーバ停止)が行われた。しかし、ランサムウェアなどのサイバー攻撃被害は収まる気配がない。特にソーラーウィンズ社やKaseya社のインシデント事例からわかるように、ITソリューションの管理インフラへの攻撃など、バックドアやエクスプロイトの事案が増えている。本記事では、最新のサイバーセキュリティレポートや各種専門機関の開示情報を読み解き、サイバー攻撃最新動向を解説する。

フリーランスライター 中尾真二

フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

photo
ランサムウェアの感染経路が変わってきた
(Photo/Getty Images)

活発化するバックドアやエクスプロイトを利用した攻撃

 ランサムウェアの感染経路は、これまではメール添付やフィッシングメールが主流だった。被害者はランサムウェア本体を直接ダウンロードしていたということだ。しかし近年、Emotetや暴露型ランサムウェアのように、標的のPCにひっそりと侵入し、バックドアやエクスプロイト(脆弱性利用型不正プログラム)を内部展開してマルウェアやランサムウェアをばらまくような、いわゆる「トロイの木馬」型ウイルスが増えている。

 この動向はセキュリティベンダーESETが発表した「ESET Threat Report T1 2021」にも表れている。レポート自体は、2021年1月から4月までのグローバルでの脅威動向がまとめられている。主なトピックとして、「高度かつ執拗な標的型攻撃」(APT)を行うグループのラザルスとTurlaの新しい動き、iOS/Androidに関する脅威情報、ランサムウェアやエクスプロイトの動向、仮想通貨関連の脅威をあげている。

 ラザルスは北朝鮮が関与していると言われるAPTグループである。セキュリティエキスパートのリクルーティングを狙った新しい攻撃キャンペーンを展開しているという。また、フロリダに登記された企業(2 TOY GUYS LLC)のコード署名がある実行可能ファイルも確認されたと報告している。

 この実行可能コードは、求職者にヘッドハンターを装ったWordドキュメントとして送付される。機能はドロッパーであり攻撃の初期段階に使われるものだ。ラザルスとの接点は、署名されたコードパターンに共通点があること。またドロッパーの名前が「アガメムノン」だったこともラザルス関与を疑わせる。アガメムノンはミケーネの王で、ギリシャ神話のトロイ戦争でギリシャ連合軍の司令官を務めた人物。ラザルスは、トロイの木馬系のマルウェアにギリシャ神話関連の名前を付けることが知られている。

 ラザルスグループを含め、アジア、中国系のAPTグループは、アフリカでも活動を活発にしている。中国はアフリカ各国への投資、介入を強めているが、米国やEUがそれを中国の覇権主義とする声も挙がっている。

 Turlaは東ヨーロッパで活動が確認されているグループで、「Epic」というバックドアを使うことが知られている。今回は東ヨーロッパのある国の外務省で新しいマルウェアが発見されたという。PowerShellを悪用するもので、Microsoft OneDriveにバックドアをしかけ、攻撃用アカウントを生成する機能を持つ(認証情報を盗まないで横展開や攻撃ができる)。

 2つのAPTグループの動きの背景は不明だが、国家支援型と思われる動きにも、バックドアやエクスプロイトの活発化が示唆されている。


ランサムウェア報道では見えない攻撃者の動向

画像
セキュリティベンダーの統計はニュースでは見えにくい攻撃動向がわかる
(Photo/Getty Images)

 レポートは、RDPに関連したエクスプロイトの検知が2020年9月から12月までと比較して56%も増えているとする。また、ESETでは「Infostealers」(情報窃取マルウェア)として分類されるスパイウェア、バックドア、暗号通貨窃取マルウェアの脅威も増加傾向にあり注意が必要だとする。

 それ以外のマルウェアや攻撃は全体として減少傾向にあるという。2021年1月には、FBI、ユーロポール他の活動によりEmotetの大規模ボットネットがテイクダウンされたため、ランサムウェアやダウンローダーの脅威は32.4%も下がった。

 ただし気になる動きもある。Emotetテイクダウンによるダウンローダーの減少は見られたものの、VBAダウンローダーのスパイクが1月から2月にかけて観測されている。実際、「Nemucod」というダウンローダーがポーランドと日本で増えたという。VBAダウンローダーの動きはESETジャパンの資料からも確認できる。Nemucodは、「Dridex」、「Ursnif」、「TickBot」などのマルウェアをダウンロードすることで知られている。

 ESETのアナリストは、取材に対して「ESETでは、ランサムウェアの背景にあるゼロデイ、RDP攻撃、悪性マクロの攻撃はダウンローダー、エクスプロイトなどとして検出・処理しているため、ランサムウェアの統計は攻撃の最終段階で実行された場合の数値となっている。VBAダウンローダーの動きは、Emotetテイクダウン直前の大規模キャンペーンのものと予想される。RDP攻撃は、2020年からの動きと比べると2021年1~4月の増加傾向が確認できる」とした。

 つまり、Emotetによってもたらされるランサムウェアの被害は減っているが、Emotet以外のバックドア、トロイの木馬の攻撃は相変わらずであり、RDP、VPN、クラウドストレージやシステム管理インフラを狙った侵入が増えている可能性があるということだ。

 一般的な被害報告やニュースは、目に見える実害が生じて報じられることが多いが、セキュリティベンダーの統計は検知システムなどのデータがベースとなるため、ニュースでは見えにくい攻撃動向がわかる。

【次ページ】古典的手口で狙われるECサイトと不審なDDoS攻撃の痕跡

セキュリティ総論 ジャンルのセミナー

セキュリティ総論 ジャンルのトピックス

セキュリティ総論 ジャンルのIT導入支援情報

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!