国内セキュリティ業界で影響力のある有識者として徳丸 浩氏(EGセキュアソリューションズ株式会社 代表取締役)を招き、現代の企業が直面するセキュリティリスクと、その回避・解消のためのポイントを解説する当企画。後編となる今回は、企業を狙ったサイバー攻撃の手法として最もポピュラーなものと言えるマルウェア。その感染の手口や動向について取り上げます。
※当記事は2021年5月、徳丸氏へ行った取材をもとに、Tech+(ライター:小池 晃臣)が執筆・編集した内容を掲載しています。
マルウェア感染のほとんどはインターネット経由
マルウェア感染のリスクについては、サイバーセキュリティを語るうえで最重要事項というのは言うまでもありません。しかしながら、マルウェアがどこからどこへ入るのか、その経路をはっきりとつかみ、整理できている人は、IT部門の担当者であろうとなかろうと意外といないのではないでしょうか。
マルウェア感染と言うと、未だにUSBメモリーが危ないとか言われることが多いですが、現実にはほぼそのような経路で感染するケースは無くなっています。現在起きているマルウェア感染のほとんどは、インターネット経由によって引き起こされているのです。まずはその点を理解したうえで、とくにリスクの高いマルウェアに絞り、現実的な対策を行うことが最も効果的だと言えるでしょう。
マルウェア感染の経路を考える際、重要なのが、PCを使う人(ユーザー)がどれだけ感染に関与するかです。マルウェアの感染経路は、ユーザーの関与度が低いものから、以下の3つに分類できます。
- 能動的攻撃(ワームなど)
- 脆弱性を悪用した受動的攻撃(ドライブバイダウンロード、水飲み場型攻撃)
- メール添付ファイルを開かせる受動的攻撃
ユーザーの関与度に応じたマルウェア感染1:能動的攻撃
それではユーザー側の関与度に応じたマルウェア感染経路について見ていきましょう。
まず最もPC利用者側の関与度の低い能動的攻撃(ワームなど)は、ユーザー側は“何もしていなくても”感染してしまいます。たとえばマルウェア「WannaCry」は2017年5 月12日以降、世界中の23万台以上のWindowsPCに感染して、PC内部のファイルを暗号化してしまいました。そして、コンピュータの身代金として暗号通貨ビットコインを要求します。
WannaCryの感染には、Windowsの脆弱性MS17-010が悪用されますが、このMS17-010に対する修正プログラムは、実はそれ以前の2017年3月14日にマイクロソフトより提供されていたのです。つまり、この2ヶ月近くもあった猶予期間中にも、多くのPCで脆弱性が放置されていたことになります。
WannaCryは、445/tcpポートに接続して自動的に感染を広げる能動的攻撃ですが、このポートを塞ぐのと、先のWindowsアップデートの2重のセキュリティ対策を施せば感染は防ぐことができるのです。しかし、多くの組織でそうした最低限の対策も行われていなかったのが実情です。
ただし日本においては境界防御が一般的であることから、グローバルIPアドレスが社内ネットワークに振られているようなケースはまずないため、感染もほとんどありませんでした。こうしたユーザーの関与度の低い能動的な攻撃は、Windowsを自動アップデート設定にしておけば被害に合わないケースも多いため、実は対処もしやすいと言えます。
ユーザーの関与度に応じたマルウェア感染2:脆弱性を悪用した受動的攻撃
実は本当に問題なのは、人(=ユーザー)が介在する受動的な攻撃です。まずその1つが、脆弱性を悪用した受動的攻撃で、ドライブバイダウンロードや水飲み場型攻撃などが相当します。以前と比べると被害は少なくなりましたが決してゼロではありません。
2019年前半には、WebブラウザのFirefoxに発覚した深刻な脆弱性を巡って、未解決の脆弱性を突く「ゼロデイ攻撃」が相次いでいた実態が明らかになりました。この問題を悪用したMacマルウェアは、macOSに標準装備の“門番”の監視の目もすり抜けていたのです。これを受けてMozillaがFirefox の更新版を公開して重大な脆弱性を修正したのは6月18日ですが、実はその前日の17日に米仮想通貨取引所のCoinbase は、この脆弱性を悪用しようとするゼロデイ攻撃を検出し、阻止していました。おそらくEDR(Endpoint Detection and Response)などのセキュリティ機器を導入していたものと思われます。
ブラウザの脆弱性(ゼロデイ含む)は、ときどき発見・悪用されているので、速やかなアップデートは必須と言えるでしょう。そして先にも延べたように、ドライブバイダウンロードや水飲み場型攻撃が最近では減っている理由も、以前と比べて大幅にブラウザの脆弱性が解消されたことにあります。とりわけAdobe FlashやJRE(Java Runtime Environment)はかつてサイバー攻撃の温床でしたが、現在ではサービスが停止されたため、攻撃者にとって脆弱性はかなり“貴重なもの”となりつつあります。
ユーザーの関与度に応じたマルウェア感染3:ユーザー操作を必要とする受動的攻撃
そしていま、最も対策が困難なのが、ユーザー側の操作を必要とする受動的攻撃です。2014年に初めて発見されて以降、かたちを変えつづけ、現在でも猛威を振るっている「Emotet(エモテット)」がその代表例と言えます。
Emotet は、主にメールの添付ファイルを感染経路としたマルウェアであり、過去にやり取りしたメールへの返信を装ったメールを送信し、ユーザーに添付ファイルの開封を促します。PCがEmotetに感染すると、メールアカウント、パスワード、メール本文などの情報を窃取し、これらの情報を悪用して、さらなる感染拡大を目的としたメールを周囲に送信します。
このようにEmotetの主な感染経路はメールの添付ファイルですが、メールにはパスワード付きZIP形式で圧縮された文書ファイル(Word文書ファイルなど)が添付されており、パスワードはメールの本文に記載されています。この文書ファイルを開くと、ファイルに埋め込まれたマクロの実行を促す内容が表示され、実行するとEmotetに感染します。また、過去には、メール本文に記載されたURLリンクや、メールに添付された圧縮されていない状態の文書ファイル等から Emotetに感染する事例も確認されています。
この攻撃には脆弱性は使われておらず、利用者の行動により感染してしまうのがポイントで、最近のマルウェア感染被害では一番多い攻撃パターンとなります。
またEmotetだけでなく、SNSを利用した標的型攻撃によって企業の機密情報を盗み出してしまう攻撃も増えています。たとえば三菱重工業のセキュリティ侵害事件のケースでは、SNSを悪用したソーシャルエンジニアリングが発端となっているため、その具体的内容を社内に周知し、注意喚起しています。
マルウェア感染経路に応じた対策とは
このように、ユーザー側の関与度に応じてマルウェア感染経路には大きく3パターンがあるわけですが、それぞれ対策が異なってきます。
まず1つ目の能動的攻撃(ワームなど)に関しては、外部から感染対象の脆弱性を突くのがきっかけとなるため、ファイアウォールでの対策や脆弱性への対処が効果を発揮します。一方、ユーザー側の対応としては、先ほども述べたアップデートの設定が“自動”になっているかを確認するなど、最低限の対応を促すことが大切になります。
2つ目の脆弱性を悪用した受動的攻撃については、メールで受信したURLや添付ファイルから、機器の脆弱性に付け込むが感染のトリガーとなります。そのため、ファイアウォールでの対策は効果がありませんが、その一方で脆弱性の対処は有効です。また、Webサイトなどを閲覧するだけで感染してしまうケースが多いことから、ユーザー側の注意はかなり困難と言えるでしょう。
そして3つ目のユーザー側の操作を必要とする受動的攻撃では、メールで受信したURLのファイルや添付ファイルをユーザーが開いてしまうことに起因するので、ファイアウォールでの対処や脆弱性への対処では効果がありません。対策として有効なのは、とにかくユーザー側の注意を促すことにつきます。まずは、「怪しい添付ファイルは開かない」という基本を徹底することが大事でしょう。
これら3つのマルウェア感染経路における対策方法を見ていくと、特段マルウェア対策製品を使わなくても、基本的な対応だけでもかなりの感染が防げると言えます。また、ゼロデイ脆弱性や利用者の不注意は完全にはなくせないことから、複合的な対策の必要性も実感できるのではないでしょうか。
ユーザー一人ひとりのリテラシーや行動だけでもかなりのマルウェア感染を防ぐことができる──この事実を知ったうえで、ぜひ自社のセキュリティ対策を見直してみてはいかがでしょうか。
Tech+ 企業IT『セキュリティ最前線』
ITの進歩、またそれを攻撃する脅威の巧妙化により、サイバーセキュリティの最新情報は日々アップデートされています。このTech+「セキュリティ最前線」では、刻々と更新されるアップデートを最前線の情報として、日々公開しています。
▽あわせて読みたい! おすすめ記事
[PR]提供:キヤノンマーケティングジャパン