トレンドマイクロ株式会社は4月6日、2021年の国内外におけるセキュリティ動向を分析した報告書「2021年年間セキュリティラウンドアップ」を公開した。あわせて、年間の主なトピックとして、「標的型ランサムウェアの増加」「Emotetの復活」「クラウドサービスの設定ミスによる潜在的脅威の存在」の3つを挙げている。
「ビジネスサプライチェーン攻撃」の脅威を指摘
報告書の副題は「『サプライチェーン』を経由した攻撃と被害の連鎖」。「サプライチェーン攻撃」とは、攻撃対象を直接攻撃するのでなく、サプライチェーンを利用し、攻撃対象が信頼する別の組織を狙って攻撃する手口を指すが、これには2通りの構図がある。
1つは、ハードウェアの製造過程でマルウェアに感染させられ、導入したユーザーの企業で被害が起きるような、提供者とエンドユーザーとの関係で起こる攻撃。もう1つは、自社のグループ企業や仕入れ先など、エンドユーザーとの関係でいえば提供側にいる企業の間で、セキュリティ対策が手薄な企業が攻撃され、そこから関係先に広がっていく攻撃だ。
同報告書で言及されているのは主に後者で、「法人組織間のビジネス上の繋がりを悪用する『ビジネスサプライチェーン攻撃』」との言及もある。同報告書のトピックとして挙げられている3点のうち、標的型ランサムウェアとEmotetは、ビジネスサプライチェーン攻撃の代表的なものとして挙げられる。
外部との接点への対策を徹底し、標的型ランサムウェアの侵入防止を
近年のランサムウェアは、不特定を対象ととして大量に攻撃する「ばらまき型」でなく、絶対数は少ないが特定のターゲットを入念に調査した上で攻撃を行う「標的型」が目立っているという。2017年以前はばらまき型のランサムウェアが多く見られ検出台数が多かったが、以降は減少傾向にあった。しかし、再び国内の法人組織のランサムウェア検出台数は増加傾向に転じ、2019年~2021年の3年間で7割近く増加しているという。
日本の法人におけるランサムウェア検出台数推移(プレスリリースより)
トレンドマイクロが2021年にインシデント対応支援を行ったランサムウェア攻撃のほぼ全てが、「Human-Operated型(人が操作する)のランサムウェア攻撃」であったという。日本では「標的型ランサムウェア攻撃」「人手によるランサムウェア攻撃」「侵入型ランサムウェア攻撃」などとも呼ばれる。
同社がインシデント対応で確認したランサムウェア攻撃の概要(2021年年間セキュリティラウンドアップ P.10より)
日本国内のランサムウェア被害事例において原因となったランサムウェアでは「Cring」と「LockBit」の2種が目立ち、被害事例の6割近くを占めた。また、主なネットワークへの侵入手法は、VPNやRDP(リモートデスクトップ)に対する、事前に奪った認証情報を使って、または総当たり攻撃などを使用しての侵入であり、従来は見られていたメール経由の侵入と断定できるものはなかったという。
グローバルでの標的型ランサムウェアの検出台数を見ると、「REvil」「LockBit」「Conti」の3種が主要であり、2020年と比べて検出台数が287%増、日本においても167%増だったという。
世界と日本における標的型ランサムウェア攻撃で用いられる主要なランサムウェア3種の検出台数推移(プレスリリースより)
標的型ランサムウェア攻撃を目的としたネットワーク侵入の対策として、外部ネットワークとの接点部分にあたるシステムへのセキュリティ対策を徹底することが必要であるとしている。また、万が一侵入された場合の対策として、EDR/XDR(Endpoint Detection and Response/eXtended Detection and Response)の導入などにより社内ネットワーク監視体制の強化やサーバー攻撃の可視化を行い、対応を支援することも有効であるという。
Emotetは新手法による攻撃にも注意を含めてメール全般への注意を
Emotetは、メールの添付ファイルを主な感染ルートとするマルウェアで、感染したPCの連絡先情報を窃取し、取引先などに対して攻撃メールを送信する。
2021年1月に欧州刑事警察機構(EUROPOL)などによるテイクダウン(停止)が発表され、活動が見られなくなっていたが、11月に活動再開が確認された。2022年2月には、日本国内の検出台数が1万9000台近くにまで激増。「活動再開後すぐに、ほぼテイクダウン前の状況に戻った」としている。
日本におけるEmotet検出台数の推移(プレスリリースより)
Emotetは、攻撃を受けたメール受信者にとって「以前に見たことのある送信元やメール本文」である可能性があり、このことから誤ってメールを開くなどしてしまうことにつながるという。
攻撃手法としは、新たに発見された脆弱性の悪用など、新しい攻撃手法を試してくる場合があるとしている。2021年12月には、Microsoftの正規インストーラーである「Windows App Installer」の脆弱性を悪用するケースも確認されたといい、メール全般に注意を怠らないようにと呼び掛けている。
Windows App Installerの脆弱性を悪用し、Adobeの正規コンポーネントを偽装したEmotetによる攻撃の例(2021年年間セキュリティラウンドアップ P.15より)
準備中の環境を含めたクラウドのセキュリティ対策見直しを
Amazon Web Services(AWS)、Microsoft Azure、Google Cloud Platform(GCP)といったクラウドサービスの設定ミスによる情報漏えいや、設定の隙を突いたサーバー攻撃が多数報告されている。トレンドマイクロが設定ミスの発生率を調査したところ、最も設定ミス率が低いAWSのAmazon EBS(Elastic Block Store)でも29%、最も高いGCPのCloud IAM(Identity and Access Management)では98%だったという。
クラウドサービスプロバイダー(CSP)は、「責任共有モデル」を用いて、ユーザー側での対策を促している。責任共有モデルとは、CSPが提供するクラウドインフラやサービスに責任を負い、ユーザーはサービス上のデータのセキュリティやコンプライアンスに責任を負うことで、領域を分担して互いが責任を負うかたちを指す。
今後もクラウドサービスの利用用途拡大に伴い、クラウド環境への攻撃はより盛んになることも懸念されるとしており、稼働中のクラウドサービス、および準備中の環境を含めて、セキュリティ対策の見直しをトレンドマイクロでは推奨している。
主要クラウドサービスの設定ミス検出数上位3件と、設定ミス発生率(プレスリリースより)
