McAfee Enterpriseは10月22日、「Advanced Threat Research レポート:2021年10月」を発表し、オンラインで同レポートを解説した。
冒頭、McAfee Enterprise セールスエンジニアリング本部 本部長の櫻井秀光氏は「社名がMcAfee Enterpriseとなり、先日には総額12億ドルの現金取引でFireEyeの買収を完了し、統合が完了したことを発表した。7月末に同氏を含めたメンバーはMcAfee Enterpriseに転籍しており、これまでのMcAfee Labsとしての活動報告が終了し、今後はMcAfee EnterpriseのAdvancedThreat Researchチームの新しいレポートになる。今回から新しいレポートの形態となっており、2021年第2四半期中のランサムウェアや医療機器の脆弱性、クラウドの脅威に着目している。これまでのマルウェア統計情報などは掲載しておらず、最新の脅威動向の解説に重きを置いた」と話す。
ランサムウェアはREVil/Sodinokibiがトップの検出数
同社は研究、調査分析、世界中の脅威経路における10億超のセンサを通じてMcAfee Global Threat Intelligence クラウドに収集された脅威データに基づき、サイバー脅威の状況を四半期ごとに評価している。
2021年第2四半期はランサムウェアが蔓延し、特に注目を浴びたランサムウェアファミリーは「DarkSide」「REVil/Sodinokibi」「Babuk」の3つ。
DarkSide
DarkSideは2021年5月にコロニアル・パイプラインに対して攻撃し、米国過去最大のサイバー攻撃による重要インフラ被害をもたらしたランサムウェア。
RaaS(Ransomware as a Service:サービスとしてのランサムウェア)で、ネットワークアクセスを提供し、ランサムウェアを配布・実行する侵入テスターにより拡大した。データ漏洩の脅威に加え、復旧するために企業が交渉を必要とする二重脅迫を行い、被害者に対して身代金を支払わない場合はデータを公開すると脅し、最も標的とされた地域は米国、主に対象となった業界・産業は法曹、小売、製造業となり、石油、ガス、化学などの業界が続く。
対策としては、ランサムウェアペイロードが実行される前の早期検出が重要となる。その点、EDR(Endpoint Detection and Response)は有効であり、特権のエスカレーション、悪意あるPowerShell、コマンド&コントロール、および攻撃チェーンに沿った、そのほかの戦術の可視性など、攻撃で仕様される多くの動作の検出を可能としている。
この影響に対する政治的対応により、DarkSideグループは運用を突然停止し、他の犯罪グループもターゲットから特定のセクターを除外すると発表しており、その1週間後には最も影響力のある2つの地下フォーラムのXSSとExploitがランサムウェア広告の禁止を発表した。
REVil/Sodinokibi
REVil/Sodinokibiについては、2019年から継続的に活動し、2021年第2四半期で最も多く見られたランサムウェア。最も有名なRaaSプロバイダーの1つとなり、DLL(ダイナミックリンクライブラリ)サイドローディング技術(正当なDLLを偽装する悪意のあるDLLを実行)を使用し、同手法は検出を回避するために多くのAPT(Advanced Persistent Threat:高度で継続的な脅威)で使用されている。ユーザーのキーボードレイアウトをチェックし、ロシアやウクライナなど特定国のマシンのランサムウェア感染をスキップ。
最近ではREVilがDLLサイドローディングを悪用し、ランサムウェアの実行にリモートIT管理(RMM)ソリューションのKaseyaのVSA(Virtual System Administrator)アプリケーションを使用していることが確認されている。
ランサムウェア感染に複数の脆弱性が存在するアプリケーションを使用しているが、暗号化技術は同じものを用いている。対策としてはファイルの定期的なバックアップを作成し、それらをネットワークから分離して常に最新の状態でウイルス対策を実施することだという。
Babuk
2021年初に登場し、RaaSモデル、二重脅迫型であり、これまでランサムウェアは主にWindows OS向けだったが、Linux/UNIX、ESXi/VMwareシステムを対象としたクロスプラットフォームバイナリを開発していると発表。復号化ツール設計とコーディングは十分に開発されておらず、企業が身代金を支払うことにした場合、暗号化されたすべてのファイルが回復可能であるという保証がない見制jy九九な一面もある。
RaaSは「Initial Access Broker(攻撃先への侵入担当)」「Ransomware Affiliates(ネットワーク内の横展開、情報流出を担当)」「Ransomware Operatorrs/Developers(ランサムウェア基盤の提供・開発)」「Data Managers(流出させたデータの管理)」があるが、今年4月末にBubukはアフィリエイトとの協力を停止し、Ransomware Operatorrs/Developersから別の役割に移行すると発表。
その後はデータ窃取にフォーカスし、身代金要求に応じなかった被害者のデータ公開、他のグル^王のデータをホスト・公開するData Managersの立場に移行し、今年5月末には2月に漏えいが報道されたゲーム「Cyberpunk 2077」のソースコードを公開している。
一方、2021年第2四半期におけるランサムウェアファミリー別の検出数では、REVil/Sodinokibiがトップとなり、トップ10の73%を占めたという。また、DarkSideとRevilは一旦影を潜め、7月にはDarkSideの生き写しであるBlackMatterが出現し、DarkSide、REvil、Lockbitの要素を取り込んだRaaSの系列プロフラムでイタリア、インド、ルクセンブルク、ベルギー、米国、ブラジル、タイ、英国、フィンランド、アイルランドなどで確認している。
さらに、重要データを獲得したうえでデータの暗号化を行い、二重脅迫を行うことが主流となり、重要データの獲得に軸足を億RaaSも出現。櫻井氏は「ランサムウェア対策としてデータのバックアップだけでは不十分であり事前にデータ盗難活動を迅速に検知して対処するための総合的な仕組みが必要だ」と述べていた。
医療機器の脆弱性とクラウドの脅威
次に、櫻井氏は世界中で使用される独B.Braunの輸液ポンプに関する脆弱性と、クラウドの脅威に話が移された。輸液ポンプに関する脆弱性については、McAfee EnterpriseのAdvancedThreat Researchチームが成人・小児医療施設で使用されるB.Braunの医療機器「InfusomatSpace Large Volume Pump」と「SpaceStation」をCulinda社の支援を受けて調査。
結果として、これまでに報告されていない医療システムの次の5つの脆弱性を発見し、外部からハッキングすることで被害者に規定量の2倍の薬剤投与が可能な状態となっていた。そこで、同社の脆弱性開示ポリシーに従い、今年1月11日にB.Braunに最初の調査結果を報告し、B.Braunとの継続的な対話を開始した。
そして、同5月にB.Braunは報告された古いバージョンのソフトウェアを使用する少数のデバイスに関連した潜在的な脆弱性に対処する情報を、顧客とHealth Information Sharing & Analyssi Center(H-ISAC)に開示した。櫻井氏は「医療施設の製品更新はコストと手間がかかるため困難だ。数年前のファームウェアを備えたデバイスが展開されることも珍しくなく、今回の報告が現状を改善する一助となり、セキュリティファーストと定期的なパッチ適用の必要性の意識が高まることを期待している」との認識を示していた。
クラウドへの脅威に関しては、オンラインでの業務遂行能力を強化するためコロナ禍においてテレワーク利用者が増加する中、クラウドセキュリティ強化の課題につけ込み、サイバー犯罪者は多くの攻撃をし変えるようになっているという。2021年第2四半期で最も多く見られたクラウド脅威のトップは、異常な場所からの過度の利用が62%に達し、次いでインサイダーデータの漏えい、特権アクセスの誤用、高リスクのデータ漏えい、特権アクセスの誤用に起因したデータ漏えいと続く。
他方、グローバルでターゲットとなった業種は1位が金融サービス、続いて医療、製造業、小売業、プロフェッショナルサービス、旅行&ホスピタリティ、ソフトウェア&インターネット、テクノロジー、コンピュータ&エレクトロニクス、非営利団体となる。報告されたクラウドインシデントで最も標的とされたのは金融サービスであり、トップ10業種の33%を占めていることから多業種を大きく上回る結果となった。
これらの脅威に対して同社は、企業は対策としてデータのバックアップだけでなく、侵入・横展開・データ流出を可能な限り防御し、防御できなかったものを早期発見・対処することが必要だという。
また、デバイスもセキュリティを意識した設計やデバイス設置後のアップデートができるような仕組みなど、プロアクティブな脆弱性の調査研究が重要との見立てだ。
さらに、コロナ禍における在宅勤務の浸透・増加に伴い、クラウド上のデータに対する脅威も増加していることから、インシデント発生前のCSPM(設定監査)や脆弱性チェックなどの対策と、インシデント発生後に迅速に検知するためのUEBA、DLPをはじめとした両方の対策実施を推奨している。