国際競技大会開催前後のサイバー攻撃に注意 セキュリティ専門家が説くマルウェアの脅威と最新動向

この記事をシェア

2020年2月5日から7日にかけて、ナノオプト・メディア主催「Security Days Spring 2020 Tokyo」が開催されました。本イベントでは、各社セキュリティスペシャリストによる講演が行われ、最新セキュリティ対策やサイバー脅威の動向について紹介しました。「最新のマルウェアによる脅威と今後の動向」と題した本パートには、キヤノンマーケティングジャパン株式会社 セキュリティエバンジェリスト西浦が登壇。2020年に気をつけるべきサイバー攻撃について詳しく解説しました。

国際競技大会開催前後のサイバー攻撃に注意 セキュリティ専門家が説くマルウェアの脅威と最新動向

研究・教育機関と連携して、サイバー攻撃やマルウェアの動向を調査

みなさんこんにちは。キヤノンマーケティングジャパン、セキュリティエバンジェリストの西浦と申します。本日はお集まりいただきありがとうございます。本日は、「最新のマルウェアによる脅威と今後の動向~2020年に備えるべき脅威とは~」と題して、お話しさせていただきます。

それでは本題に入る前に、私が所属しております「キヤノンマーケティングジャパン サイバーセキュリティラボ」について紹介させてください。昨年までマルウェアラボという名称で活動していましたが、今年からサイバーセキュリティラボに名称を変更しています。サイバーセキュリティラボは大きく3つの活動を実施しております。

図1

まず1つ目、研究です。研究機関、教育機関と連携して、サイバー攻撃やマルウェアの動向の調査を行っております。2つ目は解析です。マルウェアの解析やアプリケーションの脆弱性調査などを行い、発見した脆弱性を報告するといった活動を実施しております。

さらに発信に関しては、研究・解析の中で得られた情報を、レポートや論文として発表させていただいております。それ以外にも、本日のような講演というかたちでお話しさせていただくこともあります。

我々が確認した情報のレポートは、「サイバーセキュリティ情報局」というWebサイトで公表しておりますので、もしご興味ありましたら、のちほど検索してアクセスしていただければと思います。

マルウェア検出数は継続的に増えている

それではさっそく、本題に入っていきたいと思います。大きく3つに分けて、お話を用意させていただいています。

図2

まず1点目が「マルウェアによる最新の脅威」、そして「2020年に備えるべき脅威」、そしてそれらを踏まえて「脅威への対策」について考えていきたいと思います。

それではさっそく、最初の話題に入っていきましょう。マルウェアによる最新の脅威について見ていきます。まずマルウェアの動向です。まずマルウェアの検出数から見ていきたいと思います。

こちらは、ESET製品が検出した国内のマルウェア検出総数の推移です。直近2年分を用意させていただきました。

図3 マルウェアの動向

半期ごとにどれくらい検出数が変わっているのかを見るために、2018年上半期を100パーセントとして、その後半期ごとの値を出させていただいています。半期ごとに100パーセント、108パーセント、116パーセント、そして直近の2019年下半期では、120パーセントになっています。

劇的に増えているというわけではありませんが、継続的に増えているような状況となっています。マルウェアに触れる機会が多くなってしまっているという点から、「危険な状況が続いている」と言えるかと思います。

みなさまが気になるのは、「その中身って何なの?」というところかと思いますので、本日は2019年に見られた傾向から特徴的なものを2つご紹介します。

図4

まず1点目は「進化するランサムウェア」。そして2点目は「Emotet(エモテット)の再来」です。順に見ていきたいと思います。まず進化するランサムウェアです。

まず、ランサムウェアの脅威についてお話しさせていただきます。「ランサムウェア」という言葉自体はセミナー等でも非常に多く聞かれているかと思いますし、Web等で見られているかと思います。

ニュースを見ていますと、1週間のうち「ランサムウェア」という単語を見ない日はないんじゃないかというくらい、メジャーな話になってきていると感じています。つい先日も、IPAから2020年の「情報セキュリティ10大脅威」が公表されていますが、今年も「ランサムウェアによる被害」が第5位にランクインしている状況です。

ランサムウェアのターゲットは個人から法人へ変わってきている

このランサムウェアには傾向の変化が見られています。その大きなものの1つが、個人から法人へと狙いが変わってきているところです。

(スライドを指して)こちらは2018年から2019年にかけて見られている傾向ではあるんですが、狙いが個人から法人に変わることによって1件あたりの被害金額、身代金の要求金額が変わってきていることが挙げられます。

前に出させていただいたグラフ、こちらは米国の数値ですが棒グラフと折れ線グラフの複合グラフになっています。棒グラフがランサムウェアの被害発生件数を表しており、折れ線グラフが1件当たりの被害金額を表しています。見ていきますと、2016年がピークで被害件数自体は下がっているんですね。

ランサムウェアというと一番最初にイメージされるのは、「WannaCry」とか「WannaCryptor」と言われているものかと思います。こちらは2017年になりますので、ランサムウェアとしては件数が減りつつあった中に登場したものになります。

一方、折れ線グラフも見ていただきますと、件数が減っているのにもかかわらず、金額は上がり続けている状況です。この折れ線グラフは1件あたりの被害金額になっており、平均しますと、2018年の値で2,436ドル、日本円で27万円くらいです。ただし、大企業に向けては5億円以上の身代金が要求されたケースも確認されています。

アメリカの被害パターンが、少し遅れて日本に入ってくる

2019年、米国中心に非常に多くのランサムウェアの被害が報告されました。5月にはボルチモア市政府、7月にはルイジアナ州の公立学校、それ以外にも、病院など、さまざまな被害が報告されております。

被害報告を確認していきますと、米国を中心に多くの被害が報告されています。日本の場合、個人情報保護法があるので個人情報が絡む事件・事故が発生した場合は報告されますが、「自分のPCが暗号化されてしまいました」というだけだと、なかなか公表しないケースが多いのではないでしょうか。

でも、文化的に米国の企業は、基本的にこういった被害を発表します。さらに高額な身代金が要求されたときに、支払う組織が比較的多いと言われています。このため、攻撃者のターゲットも米国の企業に集中していると考えられます。

とはいえ、欧米で確認された被害は少し遅れて日本に入ってくることが非常に多いです。今後日本も、公共機関や病院のようなミッションクリティカルなところが狙われることも多くなってくる可能性が考えられます。

類似性が見られる2つのランサムウェア「GandCrab」「Sodinokibi」

非常に多くのランサムウェアが昨年も確認されていますが、本日はその中の1つ、「Sodinokibi(ソディノキビ)」というランサムウェアを取り上げて中身を見ていきたいと思います。

図5

Sodinokibiは、昨年の4月以降、全世界で数多く感染が確認されているランサムウェアです。2018年から2019年に猛威を振るった「GandCrab」とプログラム上で類似性が見られることから、なんらかのかたちでGandCrabの開発者が関わっている、もしくはそのグループが関わっていると関係性が示唆されています。

ここで、参考までにGandCrabのほうも見ていきたいと思います。GandCrabは、2018年から2019年にかけて全世界で猛威を振るったランサムウェアです。日本でも2018年10月に奈良県宇陀市立病院で電子カルテシステムが暗号化されてしまったことが被害として報告されております。

このGandCrab、昨年の5月末に突如として開発者から開発終了のアナウンスが出されています。

アナウンスの内容を見ていきますと、「身代金として20億ドル」……日本円にすると2,184億円もの金額を稼いだと主張していました。

このGandCrabとSodinokibiの検出数の推移から、関連性があるのかどうかを見ていきたいと思います。こちらはESET製品で検出したGandCrabとSodinokibiの検出数の推移を表したものになります。緑色がGandCrab、ピンク色がSodinokibiです。

図6 GandCrabとSodinokibiの検出数の推移

Sodinokibiは昨年の5月の中下旬ごろから観測されはじめまして、その直後、5月末にGandCrabの開発終了がアナウンスされております。その後、GandCrabは半月ほどで検出されなくなり、以降は、Sodinokibiのみが検出されている状況です。ちょうど入れ替わりで登場したようなランサムウェアとなっています。

多種多様な感染ルートを持つ「GandCrab」

このGandCrabの特徴は、多種多様な感染ルートを持っていることでした。(スライドを指して)確認された代表的な感染ルートを、それぞれ順に詳細を見ていきたいと思います。

図7 Sodinokibiの特徴:多種多様な感染ルート

まず最初はメール経由の感染です。最もオーソドックスな感染経路なので、イメージがつきやすいかと思います。我々が確認した事例で申し上げますと、実在の運送会社を装った日本語メールが使われておりました。

図8 メール経由の感染

出荷ラベルを送付するという名目で、受信者が添付ファイルを開くように誘導するんです。この添付ファイルの中に実行ファイルが入っており、それを実行するとランサムウェアに感染してしまうという流れになっています。

2つ目は、改ざんされたWordPressサイトが使われた事例です。WordPressサイトというのはCMS(コンテンツマネジメントシステム)になっていまして、Webサイトを作成したり管理するようなソフトウェアやサービスです。

図9 改ざんされたWordPressサイト経由

我々が確認した事例では、JavaScriptを使ってこのWebサイトがまるごと偽のコンテンツで上書きされていました。上書きされた偽のコンテンツ上でユーザーがファイルをダウンロードすると、ダウンロードしたファイルにスクリプトが含まれており、実行するとSodinokibiがダウンロード、実行されてしまいます。

ユーザーの操作が一切不要な感染経路

3つ目は、Exploit Kitが設置されたWebサイトを経由する事例です。Exploit Kitは脆弱性を悪用するツールのことを指します。我々が確認した事例では、Adobe Flash Playerの脆弱性が使われていました。

図10 Exploit Kitが設置されたWebサイト経由

攻撃者は攻撃の前段階として広告配信ネットワークを乗っ取ることで、ユーザーのPCに対して偽の広告を表示します。ユーザーがこの広告をクリックしてしまうと、別サイトに転送されますが、このWebサイトにExploit Kitが設置されています。お使いのAdobe Flash Playerが脆弱性を含んだバージョンであった場合、脆弱性によりコードが実行されてしまい、Sodinokibiがダウンロード・実行されてしまうという流れとなっています。

最後に紹介させていただく感染ルートは、Webサーバーの脆弱性を悪用した外部からの攻撃です。我々が確認した事例は、Oracle WebLogic Serverの脆弱性を使ったものでした。先ほどまで確認した事例と少し異なり、ユーザーの操作が一切不要な感染経路になっています。

図11 Webサーバーの脆弱性を悪用した外部からの攻撃

脆弱性を含んだバージョンをOracle WebLogic Serverを実行しているWebサーバー、これに対して攻撃者は細工したHTTPリクエストを送信します。そうしますと、それだけでSodinokibiがダウンロードされて実行されてしまいます。

ユーザーが一切操作しなくても脆弱性を含んだアプリケーション、これがインターネットに対して公開されているだけで感染してしまうという非常に恐ろしい例です。

誰でもランサムウェアを使えてしまうインフラサービスが発達

このようなランサムウェアが多数確認され、猛威を振るう背景として、「攻撃を後押しするエコシステム」があると言われています。代表的なものを申し上げますと、RaaS(Ransaomware as a Service)があげられます。

図12 攻撃を後押しするエコシステム

メールやオンラインストレージなどを、インターネットを通じたサービスとして利用するSaaSは、日常的に利用されている方も多いかと思います。RaaSというのはそれのランサムウェア版だと考えてください。

RaaSでは、ランサムウェアのプログラムであったり、C&Cサーバーなどインフラがサービスとして提供されます。

これまでこういった攻撃を実施しようとしても、マルウェア自体を開発する、もしくは自分に合わせてカスタマイズすることであったり、それらを実行するためのC&Cサーバーを用意するという、技術的な障壁がありました。しかし、RaaSのようなサービスを利用することで、まったく知識のない方でも簡単にランサムウェアの攻撃ができてしまうような状況となっています。

さらに、脆弱性を悪用するツールキットも多数確認されております。多くはダークウェブなど、隠されたページ上で公開や取引されています。ファイル圧縮展開ソフトウェアの脆弱性を悪用するものであったり、Microsoft Officeの脆弱性を悪用するファイルを作成するようなツールキットなどを確認しています。

400円でマルウェアが作られる時代に

左下の画像をご覧ください。こちらはファイル圧縮解凍ソフトの脆弱性を悪用するファイルを作成するようなツールとなっています。

図13 攻撃を後押しするエコシステム

右側の画像はOfficeの脆弱性を悪用するファイルを作成したものになっていまして、これはサービス型として提供されていました。最低利用料金が0.0005ビットコインになっていますので、日本円で400円くらいで作成できるような状況となっています。

当然ながら、正当な理由なしにマルウェアを作成する、保管するという行為は犯罪となりますので、万が一こういったものを見つけたとしても興味本位で触らないようにしていただければと思います。

ランサムウェアの脅威動向のまとめです。狙いが個人から法人に変化していることによって1件あたりの被害額が増加しております。

図14 最新のランサムウェアによる脅威のまとめ

さらに感染経路も一般的なメールからの感染のほか、メール以外のものも多数確認されております。脆弱性などを悪用することによって、ユーザーの操作が不要な感染経路も確認しています。

ランサムウェア被害が増える背景として、ランサムウェアプログラムやインフラを提供するようなサービスや脆弱性を悪用するツールが発達してしまっていることがあげられます。今後もランサムウェアの被害はしばらく続くと予想されます。

マルウェア「Emotet」の感染被害が2019年から爆発的に増加

続いて、「Emotetの再来」について紹介させていただきます。Emotetは、昨年の10月ごろから非常に多くの感染被害が報告されています。さまざまな組織、機関から注意喚起されていますので、今日いらっしゃっているみなさんも、Emotetという名前は非常に多く耳にされているんじゃないかと思います。

本日はEmotetの概要、感染経路、そして想定される被害についてご紹介させていただきます。まず、タイムラインから見ていきたいと思います。上側が主なEmotetのイベント、下側が、ESET製品が全世界で検出したEmotetの検出数の推移になっています。

図15

Emotet自身は、2014年の5月にバンキングマルウェアとして最初に観測されました。バンキングマルウェアというのは、インターネットバンキングの認証情報やクレジットカード情報を盗むマルウェアです。

そして2014年11月ごろに、モジュール型に進化しています。モジュール型になったことにより、さまざまな付加機能を追加できるようになり、非常に多くの攻撃で利用されるようになりました。翌年の7月頃まで非常に多く観測されておりました。

その後あまり観測されなくなっていましたが、2017年の5月に新しいバージョンが登場しています。この新しいバージョンでは、拡散手段の強化、ターゲットが拡大しているといった点が挙げられます。

このあたりから、ほかのマルウェアをダウンロードするようなツールとしても使われるようになってきています。

再登場後しばらくは、米国を中心に主に観測されていましたが、2018年11月ごろから日本でも新バージョンが観測され始め、去年の10月、日本での感染被害が爆発的に増えているという状況です。

ちなみにこのEmotetの観測数を見ていきますと、昨年末から今年の年初にかけての3週間ほど、ほとんど観測されない時期があったんです。おそらくEmotetの攻撃者は、年末年始休暇を取っていたのかなぁと推測しています。3週間もバカンスを取れるって、もしかしたら我々よりホワイトな環境で働いているのかもしれません(笑)。そんなEmotetです。

メーラー上、ブラウザ上など、さまざまな場所で情報を盗んでいく仕組み

Emotetについて、今まで観測されたものから確認された特徴をいくつか紹介させていただきます。

図16

まず最初の特筆すべき特徴として、タイムラインでも触れたとおり、モジュール型であることが挙げられます。Emotetの構造を見ていきますと、マルウェア本体とそれに対して付加機能を追加できるモジュールというものによって構成されています。

このモジュール、非常に多くのものが確認されています。代表的なものを紹介させていただきますと、情報窃取モジュールというものがございます。これはどんなものかと言うとメーラーに保存されているメールの本文、件名、アドレス帳の情報を盗んで外部に対して送信する機能を持っています。

それ以外にもメーラー上に保存されている認証情報を盗むことを確認しています。さらにこの認証情報に関してはメーラーだけではなく、Webブラウザに保存されている認証情報も盗むことが確認されています。

ブラウザ上に、オンラインサービスのユーザIDやパスワードを保存されている方もいらっしゃるかと思いますが、メーラーだけではなく、そうしたWebブラウザ内の情報も盗まれてしまいますのでご注意ください。

それ以外にもスパムメールの送信であったり、ほかのマルウェアをダウンロードする、などさまざまな機能を持つモジュールが存在することが確認されています。

また、頻繁な更新と機能拡張がなされている点も、Emotetの特徴の1つです。マルウェア本体自体の更新も頻繁に行われているほか、モジュールの追加も行われています。このように、バージョンアップや機能拡張が行われるたびにEmotetの感染活動が活性化することが確認されています。

URL、Word、PDFなど、多岐に渡る感染経路

3つ目の特徴は感染拡大の経路です。多くの感染拡大手段を持っています。代表的なものを申し上げますと、ネットワーク内部に侵入したEmotetはWindowsのファイル共有プロトコル(SMB)の脆弱性を悪用したり、パスワードリスト攻撃を行うことによって感染を拡大することが確認されています。

1台でも侵入を許してしまうと、添付ファイルを開いていない他のWindows端末もこうした機能により感染してしまう場合があります。さらに外部に対しては、スパムメールを使って次々と感染を広げていくことが見られます。

それでは続いて、Emotetの感染の流れを見ていきたいと思います。まず最初、侵入の段階です。現在、日本で確認されているEmotetの侵入経路は大きく2つです。

図17 感染の流れ

両方ともメール経由となり、1点目がメール本文についているURLからWordファイルをダウンロードさせるケース、もう1つがメールにWordファイルがそのまま添付されているケースです。

現在多く確認している感染経路はメールからのWordファイルが使われていますが、過去にはPDFやZIPファイルが使われていたケースもありますので、今後新たなパターンが出てくる可能性も考えられます。Word以外だから大丈夫とは言い切れないので、ご注意ください。

過去にやりとりしたことがある人の名前で返信型メールが来る

それでは、どのようなメールが来るのか見ていきたいと思います。いくつかのパターンが見つかっていますが、まずは、オーソドックスなスパムメールです。「請求書」、「支払通知」のような、一見ビジネスメールに見える件名が多く使われています。

図18 スパムメール例:一般的なスパムメール

Emotetではこのような件名をよく使われますので、このようなシンプルな件名のメールを受け取った方はぜひそれが本物かご確認いただければと思います。

とはいえ、ちょっと特徴的なところを申し上げますと、昨年12月に確認されたEmotetのメールでは、本文中に「賞与」という単語や、フライドチキンを主力商品とした某大手ファーストフードチェーンの略称が使われているものがありました。

年末の賞与支給や、クリスマスにフライドチキンを食べるというのはおそらく日本だけの文化だと思いますが、Emotetの攻撃者がこういった日本の文化を研究して攻撃メールを作成していることが見て取れます。今後もバレンタインデーなどさまざまなイベントがありますが、このような日本文化、風習を研究し、日本人をターゲットにした攻撃が登場する可能性が考えられます。

次は、大きく話題となっている返信型です。正規メールの返信を装い、過去にメールのやりとりをしたことがある、実在の相手の氏名であったり、メールアドレス、さらにはターゲット自身が送ったメールに対する返信のようなかたちでメールが送られてくることを確認されています。

図19 スパムメール例:大きく話題となった返信型

自分が送ったメールの返信で来た場合、それが偽物とはなかなか気付きづらいかと思います。警戒心を下げることで添付ファイルやURL先のファイルを実行される可能性を高めていると推測されます。

メールに添付されたWordファイルを開いてマクロ実行することで感染

マルウェアの一部は、「コンピューターウイルス」と呼ばれることがありますが、1月末から話題になっている実在のウイルス、新型コロナウイルスを題材にしたメールも見つかっています。さまざまなパターンが見つかっていまして、非常に流暢な日本語になっています。

今日出させていただいた例ですと、「感染者が○○で見つかった」という、いわゆる根も葉もないデマのメールですが、地名を変えたさまざまなパターンがあることが確認されています。このようなメールを受け取られた方は、ぜひご注意いただければと思います。

このようなメールに付いているWordファイルを実行し、マクロを有効化すると、Emotetに感染してしまいます。先ほどのようなWordファイルを実行しますと、いくつかのパターンがあるんですが、こういった画像が表示されます。

マクロを有効化するようにと記載されており、ユーザーが「コンテンツの有効化」をクリックして、マクロを実行してしまうと、ダウンローダーが実行され、Emotetに感染してしまいます。

図20

感染したEmotetは、感染を永続化してまいります。Windowsのサービスに対して自身を登録したり、レジストリのランキーに登録することによってPCが再起動したとしてもEmotetが再度実行されるように活動していきます。

そして起動したEmotetは攻撃者が用意したサーバーにアクセスし、新しいバージョンのEmotetがあった場合には自分自身をアップデートします。

その後、さまざまなモジュールをダウンロードして実行することによって、悪さをしていく流れとなっています。

情報窃取だけでなく、芋づる式に他ウイルス感染の危険性が高くなる

それでは、Emotetで感染してしまうことでどのような被害があるのか、想定される被害について見ていきたいと思います。さまざまな被害が考えられますが、想定されるものは大きく2つあります。

図21 想定される被害

まず1点目が、ほかのマルウェアをダウンロードされてしまうケースです。バンキングマルウェアやランサムウェアなどがダウンロードされることによって、さらなる被害を生む恐れがあります。

実際に、Emotetにより、別のバンキングマルウェアであるTrickBotに感染、最終的にそこからRyukというランサムウェアに感染してしまった例も報告されています。

2点目が情報窃取です。メール本文が漏れてしまいますので、メール本文からの情報漏洩が発生することもございますし、漏洩してしまった認証情報を使われてオンラインサービスへ不正ログインされるようなケースも考えられます。

さらに漏えいしたメール本文や件名、アドレス帳の情報が、ほかの方に対して送られる「なりすましメール」に使われる可能性がございます。自組織だけではなく、取引先や、ほかの組織に対して被害を広げるために悪用される可能性があります。

Emotetはモジュールによって非常に多くの機能が追加されてしまいますので、今挙げさせていただいた代表的なもの以外にも、さまざまな被害が発生し得る、非常に危険な脅威となっております。

東京で行われる国際競技大会など、ビッグイベント開催に付随する脅威

それではここから、2020年に備えるべき脅威について考えていきたいと思います。Emotetも、今現在継続中の備えるべき脅威の1つですが、本日は別のテーマでもう1つお話しさせていただければと思います。

本日取り上げさせていただくのは、ビッグイベントに関連する脅威です。今年は東京で行われる国際競技大会という非常に大きなイベントが控えています。残念ながら、このような大きなイベントにはセキュリティ上の脅威というのも付き物になっています。

図22 ビッグイベントで想定される被害

この国際競技大会で想定される、代表的な脅威を表に分類しました。もちろんこれが全てではありませんが、事業者に対して行われるもの、消費者に対して行われるもの、2つに分けて記載しています。

事業者に対する攻撃として代表的なものは「DDoS攻撃」です。DDoS攻撃は非常に多くの端末から、ターゲットのサーバーであったりシステムに対して一斉に通信を行うことによって、主にシステムの停止を目的として行われる攻撃です。

そのほか、システムやサーバーへの不正アクセスが、機密情報の窃取や、システムの停止を目的に実施される可能性があります。

事業者向けの攻撃の攻撃主体は、ハクティビストと呼ばれる政治的な主張を行う活動家や、愉快犯、大規模な犯罪者グループによって行われた事例が多く確認されています。

一方、消費者向けに関しては、フィッシングメールやフィッシングSMS、当選詐欺などが行われる可能性があります。

これらの攻撃は、個人情報や、より直接的に金銭を窃取する目的で行われます。これらの攻撃は国際競技大会とは関係なしに日頃から行われてますが、国際競技大会の時期には特に増加すると予測しています。

国際競技大会開催地に見られる、DDoS攻撃・不正アクセスなどのサイバー攻撃

まず事業者に対する攻撃から考えていきたいと思います。近年の国際競技大会を見ていきますと、事業者に対する脅威がはじめて大きな話題となったのは、2002年のソルトレークシティで行われた国際競技大会でした。

図23 事業者に対する脅威

この国際競技大会では、選手失格に対する抗議として、IOCやアメリカのテレビ局をターゲットとしたサイバー攻撃が観測されました。その後、近年の国際競技大会を見ていきますと、DDoS攻撃は毎回のように観測されています。踏み台となる端末の増加や、攻撃手法の巧妙化により、DDoSのトラフィックは年々増大しています。

それぞれ個別の事例をいくつか見ていきたいと思います。2016年のリオデジャネイロで行われた国際競技大会では、WADA(世界アンチ・ドーピング機関)システムへの不正アクセスが確認されています。こちらがスピアフィッシングメールによりシステムの認証情報が盗まれてしまった結果、アスリートの医療データがWebに公開されてしまうといった被害が発生しました。

みなさまの記憶に新しいところで言いますと、2018年の平昌で行われた国際競技大会では、マルウェアを用いた攻撃が確認されています。この国際競技大会の開会式において一部のシステムがサイバー攻撃を受けて停止する被害が発生しております。

攻撃者の狙いはシステムの破壊とみられています。そのとき使われたマルウェアが「Olympic Destroyer」と呼ばれるマルウェアです。メールの添付ファイルを経由して感染したとみられています。

図24 2018 平昌 マルウェアを用いた攻撃

左の画像が、実際のOlympic Destroyerの感染経路になった添付ファイルです。Emotetと同様にWordのマクロを実行すると感染するものになっています。こちらのファイル名を見ていきますと、韓国語で「平昌での国際競技大会に向けて農林省が会議を開催」というタイトルが付けられています。ソーシャルエンジニアリング的な手法であると言えます。

一般ユーザーにおける「フィッシング詐欺」「当選詐欺」の脅威

続いて、消費者向けの攻撃を見ていきたいと思います。最初は、フィッシングメール、フィッシングSMSです。国際競技大会関係者を装ったフィッシングメールやSMSが届く可能性がありますのでご注意ください。

昨年5月に早稲田大学が発表した調査結果では、東京で行われる国際競技大会の公式サイトの類似ドメインが956件確認されていました。

類似ドメインというのは、例えばゼロがO(アルファベットのオー)になっているとか、ドメイン文字列の順番を一部入れ替えるなど、非常に似たドメインです。このようなドメイン名を使ったフィッシングサイトが作成される可能性があります。

昨年実施されましたラグビーワールドカップにおいても偽のストリーミングサイトであったり、アプリが多数確認されています。東京で行われる国際競技大会でもそういった手法が使われる可能性があります。

さらに当選詐欺が行われる可能性も考えられます。当選詐欺というのは景品等に当選したとユーザーを騙して個人情報を盗み取る詐欺のことです。国際競技大会のチケットは非常に希少ですよね。抽選に申し込まれて取れなかった方も非常に多いんじゃないかと思います。

図25 消費者に対する脅威

このように希少性の高いチケットなどが、格好の餌として使用される可能性があります。こういったものを受け取られた方も、それが本物か改めて確認したうえで慎重に対応してください。

一般家庭にあるIoTデバイスがDDoS攻撃の踏み台にされる可能性も

さらに少し話が変わりますが、IoTデバイスに対する攻撃が増加する可能性がございます。先ほど事業者向けの攻撃で紹介させていただいたとおり、国際競技大会等の大きなイベントに関しましてはDDoS攻撃というのは非常にメジャーな攻撃となっています。

DDoS攻撃は複数の端末から通信を行う必要がありますが、その通信を行う端末として、みなさんの家庭にあるIoTデバイスが狙われる可能性があります。家庭にあるIoTデバイスというと、ブロードバンドルーターであったり、インターネット接続機能があるテレビであったり冷蔵庫、ビデオレコーダーなどです。このような機器が狙われる可能性があります。

IoTデバイスを使ってDDoS攻撃を行ったマルウェアとしては、2016年に猛威を振るった「Mirai」が非常に有名かと思います。Miraiの亜種は現在も活動しています。

昨年の9月に行われたWikipediaへのDDoS攻撃に関しても、Miraiの亜種であるMoobotが使われていたと言われております。その攻撃の際にはDDoS攻撃の様子をTwitterで実況する攻撃者のアカウントも確認されています。このように組織的な犯罪者、ハクティビストなどとは別に、愉快犯的な活動も確認される可能性がございますので、ぜひご注意いただければと思います。

では国際競技大会関連の脅威をまとめさせていただきます。まず事業者に対する脅威といたしましては国際競技大会の委員会だけではなく、それに関連するすべての企業が標的となる可能性がありますのでご注意ください。

図26 脅威のまとめ

実施される攻撃としてはDDoS攻撃や、システムやサーバーへの不正アクセス、マルウェアを用いた攻撃が行われる可能性があります。

さらに一般消費者に対する攻撃としては、ビッグイベントに便乗し、攻撃が増加する可能性があります。フィッシングメールやSMS、当選詐欺、IoTデバイスへの攻撃が増加する可能性がございますので、ご注意いただければと思います。

セキュリティ製品の効果を最大限に発揮するために必要なこと

それでは最後に、脅威への対策について簡単にご紹介させていただきます。本日は主に4つの観点でご紹介させていただければと思います。

図27 脅威への対策

まず1点目が脆弱性への対応です。本日ご紹介させていただいたとおり、脆弱性はありとあらゆる攻撃の糸口になってしまいます。

脆弱性への対応として、セキュリティパッチが出ている場合は必ず適応してください。とくにオフライン端末は、なかなかセキュリティパッチを適応されてないケースがあるかと思います。

しかしながら、そういった端末に関しても、「USBメモリーなどの記録媒体を媒介としてマルウェアに感染してしまいました」というご相談をいただくケースが多々あります。リアルタイムは無理だとしても、せめて定期的に適応するなど、運用について改めて考えていただければと思います。

さらに、脆弱性診断などのサービスを活用されることも、非常に有効な手段になってまいります。このようなサービスを使うことで、みなさんがお使いのシステムやサーバーに対応漏れの脆弱性があるかどうかを確認することができます。そういったものを見つけ、対応していくことで、攻撃を受けてしまうリスクを最小限にすることができます。

続いてセキュリティ製品の適切な利用です。セキュリティ製品をただ入れているだけでは、効果を発揮できない場合もあります。セキュリティ製品の効果を最大限に利用するためには、常に最新の状態に保つことを心がけていただければと思います。定義ファイルの更新であったり、ファームウェアの更新などがしっかりできているのか、運用を改めて考えていただければと思います。

さらに複数の層で守ることも重要です。セキュリティ上の脅威は非常に高度なものになってきています。1つのセキュリティ製品ですべての脅威を守るというのは、なかなか難しい状況になってきていますので、例えばゲートウェイとエンドポイント、最近でしたらEDRなどの複数のセキュリティ対策を組み合わせることで最適なセキュリティ対策を考えていただければと思います。

例えば、本日はランサムウェアを取り上げさせていただいたんですけれども、ランサムウェアの対策としては、バックアップの自動化ソリューションとかも有効なセキュリティ対策の1つになってくるかと思います。

知らない脅威の対策はできないが、知っていれば防げるもの

続いてセキュリティ教育と体制構築です。「セキュリティ上の最大のリスクは“人”だ」とも言われています。知らないことに対して備えることができる人は多くありませんが、知っていることに対しては多くの人が「危険だ」と気づくことができます。

例えば「こんなフィッシングメールが流行っている」ということを知っているだけで、それに対して気づいてクリックしない、という対策を取ることができます。フィッシングメールの情報は、さまざまなWeb媒体で公開されておりますので、ぜひ定期的に確認していただければと思います。

さらに、インシデント発生時の対応を明確化するのも、非常に有効な対策になってくるかと思います。どうしても人のミスはゼロにできませんので、どれだけ注意していたとしても、万が一の事態が発生する場合があります。そんなときに何から対処すればいいのか、何を優先して守るのか、インシデント発生時の対応を明確にしておけば、万が一の事態が発生してしまったとしても、慌てずに対処することができます。ぜひご検討ください。

最後に情報収集と情報共有です。最新の脅威に対抗するためには、日々の情報収集が欠かせません。我々も収集したセキュリティ情報、セキュリティ脅威の情報は「サイバーセキュリティ情報局」というサイトで発信させていただいておりますので、ぜひご確認いただければと思います。

さらに組織内、組織間の情報共有が非常に重要です。せっかく本日これだけ集まってくださっていますので、本日聞いた内容をぜひ組織内でも共有いただければと思います。また、組織間の情報共有に関して、とくに同じ業種・業界の企業は、同じ攻撃者グループに狙われる可能性が高いと考えられます。同じ攻撃者グループに狙われるということは、同じマルウェアが使われたり、同じ戦略が使われたりする可能性が高いと考えられるため、分野ごとのISACにおける情報共有は特に効果的です。

情報を共有することによって、組織が受けてしまう被害を最低限にすることが可能です。同じ業種・業界内の情報交換もぜひご検討ください。

セキュリティ脅威が日々高度化、巧妙化している中で、セキュリティ対策の重要性はますます高まっております。我々、キヤノンマーケティングジャパングループでは、製品、サービスの双方で今後もみなさんのセキュリティ向上に寄与できればと考えております。

それでは私のセッションは以上で終了とさせていただきます。ご清聴ありがとうございました。

(会場拍手)

(提供元「ログミー株式会社」)

この記事をシェア

ランサムウェアのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!