1カ月で昨年1年間の半数もの脆弱性が見つかる
2016年の世界のセキュリティインシデントを振り返ってみると、とりわけ目立ったのが、国家レベルでのサイバー攻撃や諜報活動が頻繁に行われたことであった。また、ウクライナの電子制御系システムへの攻撃による停電の発生や、国際銀行間金融通信協会(SWIFT)への攻撃による約8,100万ドルの不正送金など、重要インフラへのサイバー攻撃も目立った。さらに、ルーターやWebカメラなどIoTデバイスにマルウェア「Mirai」が感染してボットネット化し、大規模なDDoS攻撃も行われている。
一方、国内に目を向けると、標的型メールをきっかけとした大手旅行代理店での大規模な情報漏えい事件を受けて、インシデントレスポンスへの関心が一層高まったほか、ランサムウェアが猛威を振るった年となった。
そして2017年にセキュリティ上の脅威が大きく高まることを予兆させる、あるデータがある。脆弱性報告機関のCVEに報告された脆弱性の数は2016年の1年間で10,312件にのぼったが、驚くことに2017年は1月11日の時点で、5,330件もの脆弱性が報告されているのである。つまりたった11日間で、昨年の約半分の件数に達しているのだ。
ソフォス マーケティング部 チャネル&フィールドマーケティング マネージャー、林 知典氏は「今年は脆弱性を利用した攻撃がますます増加するのは間違いないと言わざるを得ません」とコメントする。
2017年の攻撃予測傾向
では、こうした動向を踏まえながら、2017年の攻撃予測傾向の主だったものを見ていくことにしよう。
2017年の攻撃予測傾向(1) IoTデバイスからの破壊的なDDoS攻撃
今までボットといえば、感染したPCで構成されていたが、IoTデバイスへの感染ではボットの規模が何十倍、何百倍にも拡大することになる。2016年には先述したマルウェア「Mirai」により、セキュリティ情報サイトやサービスプロバイダーに史上最大級のDDoS攻撃が発生している。
「攻撃を受けた情報セキュリティサイトKrebsでは660Gbps、フランスのホスティング会社OVHでは瞬間最大1.5Tbpsという、これまでの常識をはるかに越えた、とてつもなく大規模なDDoS攻撃が行われました。一般的な企業のWebサイトでは1Gbpsでもサービスダウンしてしまうと言われますので、狙われたらお手上げだと言えるでしょう」(林氏)
そしてこの「Mirai」のソースコードが公開されてしまったことから、亜種が作成され、2017年には多くのIoTデバイスが乗っ取られてDDoS攻撃に悪用されるようになると林氏は予想している。
「IoTデバイスは攻撃を受けてもユーザーには気づきにくく、また通常はアンチウィルスソフトも導入されていないため被害が広がりやすいです。ユーザー側でできる対策としては、パスワードを初期設定から変更して再起動することが挙げられます。またデバイスメーカーには、ファームウェアのセキュリティアップデートの仕組みを取り入れることが求められてくるでしょう。併せて、今後法規制の整備も急がれます」(林氏)
2017年の攻撃予測傾向(2) 標的型かつ社会型の攻撃がさらに高度化
サイバー犯罪者がまず攻撃の足がかりとするのが、最も脆弱な存在である「人間」だ。だからこそ、高度に偽装された標的型攻撃による被害が増え続けているのである。実際にユーザーに金銭の支払いを要求するようなフィッシングメールには、金融機関や公的機関などをかたるものが多く、ユーザーの恐怖心をあおる効果的な手法として一般化している。そしてこれらのフィッシングメールは、偽装されたWebサイトや感染したWebサイトへと誘導し、ドライブバイダウンロードなどの攻撃を仕掛けてくるのである。
「2017年には、攻撃手法は同じであっても、きっかけとなるフィッシングメールの文面などがさらに巧妙かつ高度化すると予測されます。こうなると、たとえクリックしてしまったとしても、もはやユーザーによる明らかなミスだとは言えなくなってきているかもしれません」と林氏はコメントする。
2017年の攻撃予測傾向(3) 金融機関インフラへの攻撃リスクが高まる
2016年には、「ホエーリング」と呼ばれる攻撃手法が増加した。ホエーリングとは、SNS等から企業の役員などの情報を入手し、経理担当者に不正送金を指示して金銭を得る攻撃である。またホエーリングとは異なるが、2016年2月には、SWIFTのクライアントソフトが乗っ取られ、バングラデシュ中央銀行で8,100万ドルに及ぶ不正送金の被害が発生した。
「SWIFTは、このような攻撃がほかにも実行されていることを最近認めており、さらなる攻撃の増加を予測しています」(林氏)
こうした背景から、2017年は標的型攻撃にホエーリング手法を組み合わせて、業務システムを乗っ取り、業務プロセスの一部を巧妙に利用して、不正な送金指示を行うインシデントが増えると予想される。
2017年の攻撃予測傾向(4) ランサムウェアの進化
2017年には、ランサムウェアのさらなる進化が予測される。ユーザーがランサムウェアの脅威について把握するようになってきたことで、攻撃者もまた、別の方法を模索するようになっている。
例えば身代金の支払い後、しばらくしてから再感染させるタイプや、実行ファイルを使用せずに組み込みのツールを使うことでアンチウイルスを回避するタイプなど、新しいランサムウェアが登場してきている。
そして2017年初頭には、「Spora(スポラ)」と呼ばれる、手口や支払方法などがさらに巧妙化されたランサムウェアが登場した。
Sporaの特徴の1つ目は、支払・復旧オプションが豊富なことだ。まず、無料でランダムに2つのファイルだけを復号化することで、攻撃者が確かに複合化鍵を有していることを被害者に証明する。そしてその後は、30ドル支払えばいくつかの選択したファイルを復号化するといったオプションや、50ドルで「免疫(そのPCには感染させない)」を購入するというオプションなど、様々なオプションを用意。攻撃者は、ファイルのバックアップを取るなどある程度知恵を付けたユーザーからでも、少しでも金銭を詐取できるオプションを、ランサムウェアに対して多く用意しているのだ。
そして特徴の2つ目は、感染手段が向上している点である。Sporaでは、メール添付により、実行ファイルを含まないZipファイルを送りつけることで、ユーザーにファイルを開かせようと試みる。この時、Zipファイルに実行ファイルを含まないため、メールフィルタリングではそのまま通過してしまうことが多い。Zipファイルには、Exeファイルではなく、ユーザーが興味を持つようなファイル名のHTAファイルが含まれる。HTAファイルはHTMLアプリケーションの略で、これをWindowsは、閲覧時に課されるサンドボックスなどのセキュリティ対策の対象ではないWebページとして処理する。さらにHTAファイルにスクリプトが埋め込まれている場合、そのスクリプトはダウンロードされたプログラム(.EXEファイル)と同様の実行時権限を持つ。
「実際にこのHTAファイルには、close.jsという埋め込み型のJavaScriptファイルを作成・実行するVBScriptプログラムが含まれていて、これが実行されると、Sporaランサムウェアが組み込まれたプログラムが作成・実行されます。それにより、インターネット接続なしに攻撃の準備が完了してしまうこととなるのです」(林氏)
Sporaの特徴の3つ目は、攻撃者による"サポート"が充実していることだ。攻撃者は金銭を得ることを目的としているため、支払オプションや復旧オプションに対して、24時間365日のサポートを提供しているのだ。
Sporaについては、SophosのNakedSecurity Blogを翻訳しているSophos Insightも併せてご覧いただきたい。
「攻撃者にとって完全にビジネスとなっていることがうかがえます。Sporaのような新手のランサムウェアに対する構えが、2017年には求められることになるでしょう」と林氏は強調する。
ソフォスではほかにも、インターネット固有の古いプロトコルへの攻撃の増加や、より複雑な攻撃の増加、個人を標的にしたIoT攻撃の増加、暗号化を利用したセキュリティ対策製品の回避など、2017年における計12パターンの攻撃予測傾向を挙げている。また、このような新たな脅威に向けた有効な対策として、ソフォスでは、既存の他社製アンチウイルス製品と共存可能なエンドポイント向けのシグネチャーレスセキュリティ製品とも呼ぶべき「Sophos Intercept X」を打ち出している。
Sophos Intercept Xは、マルウェアが利用するエクスプロイト手法を検出して脅威をブロックする。またランサムウェアに対しては、暗号化と同時にファイルを自動バックアップし、悪意あるプロセスによって開始された暗号化と判断された時点で、自動的にファイルを元に戻す機能で保護する。またフォレンジックを支援する根本原因分析機能では、インシデントログをSophos Central上で自動的に分析し、侵入の経路やいつどこで何が行われたのかなどが、わかりやすく視覚化されるようになっている。さらには、マルウェアの変更したレジストリからファイルまでをすべて除去し、感染前の状態に戻すSophos Clean機能など、Intercept Xは次世代の脅威に最適なソリューションになっている。
「ソフォスはマシンラーニング機能の次世代エンドポイント製品を有するInvincea社を買収し、その機能を搭載した製品を市場に投入する予定です。2017年も脅威動向を常に見据えながら、セキュリティベンダーのリーダーとして、1つでも多くの企業・組織におけるセキュリティを、支え続けていくことを目指していきます」──林氏は最後に、こう力強く語った。
(マイナビニュース広告企画:提供 ソフォス)
[PR]提供: