シマンテックは2月27日、記者説明会を開催し、最新の年次脅威レポート「インターネットセキュリティ脅威レポート(ISTR)第24号」のポイントを紹介した。同レポートは、2018年のグローバルな脅威活動、サイバー犯罪の傾向、攻撃者の動機に関する洞察など、脅威の現状を包括的に説明したもの。
マネージドセキュリティサービス 日本統括の滝口博昭氏は、同レポートのポイントとして、「フォームジャッキングの増加」「クリプトジャッキングとランサムウェアによる利益の減少」「プライバシーの重要性に対する認識の高まり」「依然として高いIoTのリスク」「クラウドにおけるリスク」「現地調達型攻撃とサプライチェーン攻撃の活発化」を挙げた。
2019年も続くことが見込まれるフォームジャッキング攻撃
フォームジャッキング攻撃は、ATMスキミングと同様に、犯罪者が悪意のあるコードを小売業者のWebサイトに書き込んで、購入者のペイメントカード情報を盗み出すというもの。
フォームジャッキング攻撃を受けたWebサイトは月平均で4800以上に上り、同社は2018年にエンドポイントで370万件以上のフォームジャッキング攻撃をブロックしたという。
フォームジャッキング攻撃は新しい攻撃手法ではないが、2018年はミドルウェアやCMSの脆弱性が狙われたという点で特徴的だったという。滝口氏は、フォームジャッキング攻撃によって甚大な被害を受けた企業として、ブリティッシュ・エアウェイズとチケットマスターを挙げた。38万人以上の乗客のクレジットカード情報が盗取されたブリティッシュ・エアウェイズへの攻撃だけでも、犯罪者は1700万ドル以上の利益を得た可能性があるという。
フォームジャッキングはサイバー犯罪者にとって容易に早く金銭を奪取する手法であることから、2019年も続く見通しとのことだ。
クリプトジャッキングとランサムウェアによる利益の減少
消費者や企業から盗用した処理能力やクラウド内のCPUの稼働率を悪用して仮想通貨を採掘する「クリプトジャッキング」とランサムウェアは、仮想通貨の価値の下落とクラウドコンピューティングやモバイルコンピューティングの導入増加により攻撃の有効性が低下したことから、攻撃者の活動が停滞するとともに利益も減少したという。
しかし、全体的な減少傾向とは反対に、企業のランサムウェア感染が12%増加しており、企業においてはランサムウェアの脅威が継続していることが明らかになった。
滝口氏は、2018年にランサムウェアが進化した点として、「メールに添付されるMicrosoft Officeによる拡大」「SamSamなど、企業を標的にしたランサムウェア」「PowerShellの利用 」を紹介した。
プライバシーの重要性に対する認識の高まり
2018年は、EUで一般データ保護規則(GDPR)が施行されたが、Facebookによるデータ不正流用、AppleのFaceTime機能などの広く利用されているアプリによる位置情報追跡など、ユーザーのプライバシーに対する注目が高まった。
滝口氏は、カメラ、盗聴器、位置情報の監視機能が一体化していて、ユーザーが常に携行しているスマートフォンは、これまで作られたデバイスの中で最もスパイ活動しやすいデバイスになりうるとして、注意を呼び掛けた。
AndroidとiOSを比較すると、Androidのほうが個人情報を窃取されるリスクが高いという。
滝口氏は、アプリの中には必要以上の機能にアクセスすることを要求するものがあることから、インストールを行う際には、アクセス許可をよく確認するべきだとアドバイスした。
依然として高いIoTのリスク
IoTデバイスを狙うマルウェア「Mirai」が史上最悪とも言われている大規模なDDoS攻撃を引き起こしたのは2017年のことだが、IoTデバイスに対する攻撃の量は2017年と変わらないという。
ただし、IoT攻撃の傾向は変化を見せている。滝口氏は、IoTの脅威の進化の例として、ルータを狙うマルウェア「VPNFilter」を挙げた。このマルウェアは、これまでのIoTデバイスを狙うマルウェアが備えていなかった「デバイスの破壊・消去」「認証情報やデータの窃盗」「SCADA通信の傍受」が可能となっており、機能が豊富だ。
加えて、標的型攻撃の実行グループが侵入口として、IoTに注目しており、新たなIoTデバイスのリスクとなりつつある。さらに今後、5Gが普及することで、IoTデバイスが増えるとともに、リスクも高まることが予想される。
クラウドにおけるリスクが明確に
2018年は、クラウドにまつわるさまざまなリスクが明らかになった。滝口氏は、クラウドにおけるセキュリティのリスクとして、「設定を誤ったリソースを検索できる状況にあること」と「クレデンシャルの設定が不十分なケースが多いこと」を挙げた。
攻撃者がインターネット上で設定を誤ったクラウドリソースを特定できるオンラインツールが数多く存在するほか、2018年はクラウドストレージ「Amazon S3」の設定の不備から、7000万以上の記録が窃盗や漏洩にあったことがわかっている。
現地調達型攻撃とサプライチェーン攻撃の活発化
現地調達型(LotL)攻撃とサプライチェーン攻撃は広く利用されている手口だが、サプライチェーン攻撃は2018年に78%急増したという。先に挙げたチケットマスターへのフォームジャッキングによる侵入は、サプライチェーン攻撃によるものだった。
また、現地調達型攻撃とは、攻撃先で調達できる一般的なツールを用いた攻撃のことをいう。この手法により、攻撃者は、目立たず、大量の合法なプロセスの中に攻撃活動を隠すことができる。例えば、悪質なPowerShellスクリプトの使用は、昨年で1000%増加したという。
滝口氏は、「PowerShellは業務において利用されているため、止めることができない。また、利用されているPowerShellのうち、問題があるのは1%だけという側面もある。悪質なPowerShellに対処するには、EDRなどを使って見つけ出す必要がある」と説明した。