Trellixは3月9日、2022年第4四半期(2022年10月~2022年12月)のサイバーセキュリティ動向の調査結果をまとめたレポート「The Threat Report:February 2023」を発表した。

同日には記者向け説明会がハイブリッド形式で開かれ、ランサムウェアや国家が支援するAPT(Advanced Persistent Threat)、電子メールに対する脅威、正規のセキュリティツールを悪用する環境寄生型(LOTL、Living off the Land)攻撃などの脅威動向が紹介された。

【関連記事】
≪アンダーグラウンド調査から判明、ランサムウェア攻撃グループの実態とは≫
≪トイレ姿が拡散の危機、掃除ロボットから画像や個人情報流出を防ぐ方法≫

最も影響力のあったランサムウェアはLockBit 3.0

同レポートは、Trellixが提供する製品の遠隔観測(テレメトリ)情報の統計データのほか、セキュリティ業界から発表されたレポート、同社の脅威インテリジェンスチームがランサムウェアグループのリークサイトなどから収集した情報を基にしている。

Trellix 執行役 セールスエンジニアリング本部 シニアディレクターの櫻井秀光氏は、「さまざまなデータソースを総合的に分析し、当社は第4四半期に最も影響力のあったランサムウェアグループはLockBit 3.0だったと判断した」と述べた。

  • Trellix 執行役 セールスエンジニアリング本部 シニアディレクター 櫻井秀光氏

    Trellix 執行役 セールスエンジニアリング本部 シニアディレクター 櫻井秀光氏

LockBit 3.0は、身代金を要求する際の脅迫行為として、リークサイトでの情報公開を積極的に行うグループだという。同グループから最も攻撃を受けたセクターは産業財・サービスで、最も被害を受けた企業は米国の企業だったと同社は分析した。

特定の国家が関与しているとみなされる国家主導型攻撃について、最も活発だった攻撃者の拠点国は中国で、北朝鮮、ロシア、イラン、レバノンが続いた。一方で、最も攻撃のターゲットとなった国は米国だった。また、最も攻撃を受けたセクターは運輸・海運だった。

櫻井氏は、「国家主導型の攻撃ではマルウェアが主流だが、第4四半期はリモートアクセスツールが多用された。企業や組織に対して攻撃を横展開していくにあたり、攻撃の足場となる端末を確保するために同ツールを利用していると考えられる」と説明した。

  • 2022年第4四半期の国家主導型攻撃の動向

    2022年第4四半期の国家主導型攻撃の動向

環境寄生型攻撃では、Windows Command Shellの悪用が続く

正規のOSバイナリや管理用ツールを悪用する環境寄生型攻撃は、端末への初期侵入からマルウェアの実行、組織内での横展開と維持、情報を窃取して外部に送信するなど、サイバー攻撃のすべてのフェーズにおいて観測されたという。

最も活用されたOSバイナリはWindows Command Shellで、47%とほぼ半数を占めた。次いで多かったのがPowerShell(32%)、Rundl32(27%)だった。

また、セキュリティ製品によるマルウェアの検出を回避するために、無料・オープンソースのツールのパッカーにマルウェアを仕込んで再パッケージ化する、といった攻撃手法も観測された。

攻撃者はセキュリティ専門家が使用するツールを継続的に悪用している。説明会では、その一例としてCobalt Strikeの動向についても触れられた。環境寄生型攻撃に悪用されたCobalt Strike Beacon(Cobalt Strikeが導入されているデバイス)のうち、多くは正規ライセンスが導入されているものだったという。

「トライアルライセンスのほうが、端末に侵入した後に活用できる機能が多いものの、セキュリティ製品で検知されやすくなるため、トライアルでないバージョンが使用される」(櫻井氏)

  • 2022年第4四半期のCobalt Strikeの動向

    2022年第4四半期のCobalt Strikeの動向

CEOになりすましたビジネスメール詐欺に注意

悪意のあるメールによって攻撃を受けたセクターは通信で、政府、教育、金融が続いた。また、最も多く見られた攻撃手法はフィッシングメールだったという。

説明会では、ビジネスメール詐欺(BEC)が取り上げられた。同期におけるBECの78%は、CEOがよく用いるフレーズを使った偽の電子メールだったと同社は指摘する。併せて同社は、前期に比べて同タイプのメール詐欺が64%も増加したことを観測した。

  • CEOになりすましたビジネスメール詐欺が増加

    CEOになりすましたビジネスメール詐欺が増加

また、メールやSMSに電話番号を記載し、悪意のあるサイトへの誘導や情報の盗み出しを図るボイスフィッシング(ビッシング)メールも、前期に比べて142%も増加したという。同攻撃手法は、本文にURLが含まれないためセキュリティ製品の検知をすり抜けやすい。

BECとビッシングは、どちらも送信先のメールアドレスが無料のメールサービスによるものが多い。そのため、企業が利用する正規のドメインかどうか確認することが、メールによるサイバー攻撃の回避につながるという。

説明会の最後には、TrellixのXDR(Extended Detection and Response)製品のセンサで検知した脅威動向も紹介された。同期に検知された主要な脅威のうち、最も多かったのはLog4jの脆弱性を狙ったものだったという。

櫻井氏は、「2021年12月にLog4jのCVE(Common Vulnerabilities and Exposures)が公表され、その後もパッチが出された。だが、脆弱性を突くことで得られる利益は大きく、攻撃者はパッチを当てていない企業や組織を今も探している。同じような既知の脆弱性はほかにもあり、2022年第4四半期にはそれらを探し出して攻撃する傾向が見られた。迅速なパッチ適用が求められるが、さまざまな理由でパッチ適用を行えない企業もあり、脆弱性を狙った攻撃が後を絶たない」と指摘した。

  • TrellixのXDR製品で検知した2022年第4四半期の脅威動向

    TrellixのXDR製品で検知した2022年第4四半期の脅威動向