KasperskyのAnti-Malware Research(AMR)チームは、金融系マルウェア関連、Web経由の攻撃関連、エクスプロイト関連などさまざまなサイバー脅威に関するレポートを定期的に発表しています。私たちは具体的な脅威の数の増減を監視していますが、通常は、こういった変化を同時期に世界で起きている出来事に関連付けることはしません。例外は、そういった出来事が何らかのサイバー脅威に直接関連している場合です。例としては、大規模なボットネットの閉鎖とボットネット所有者の逮捕が、Web経由の攻撃の減少につながっている場合などが挙げられます。
しかし、COVID-19のパンデミックによって私たちは皆何らかの形で影響を被っており、サイバー犯罪者が例外であったとしたらむしろ驚きです。スパムを送る者やフィッシング詐欺を仕掛ける者は、当然ながらこの点に関して先駆者でしたが(詳しくは次回の四半期レポートをご覧ください)、サイバー犯罪の全体的状況としても、過去数か月間で変化が見られます。以下に示す変化をすべてこのパンデミックに関連付けるのは強引かもしれません。しかし、一定の関連性を見出すことは可能です。
テレワーク
最初に私たちの注意を引いたのは、テレワーク関連です。情報セキュリティの観点から見ると、会社のネットワーク内にいる従業員と、同じネットワークに自宅から接続している従業員は、まったく別のユーザーです。サイバー犯罪者も同じ見方をしていると見え、サーバーおよびリモートアクセスツールの利用が増えるのにつれて、これらに対する攻撃が増加しています。特に、データベースサーバーに対する1日あたりの総当たり攻撃の数は、2020年4月には同年1月と比べて23%の増加が見られました。
サイバー犯罪者は、総当たり攻撃を使って企業ネットワークへ侵入し、企業インフラ内部でマルウェアを起動します。私たちは、この策略を用いる複数のサイバー犯罪者グループを監視しています。そのペイロードは一般的にランサムウェアで、Trojan-Ransom.Win32.Crusis、Trojan-Ransom.Win32.Phobos、Trojan-Ransom.Win32.Cryaklのファミリーに属するものがほとんどです(リンク先は英語)。
リモートデスクトッププロトコル(RDP)に対する攻撃とその対策に関しては、ディミトリ・ガロフ(Dmitry Galov)によるSecurelist記事『Remote spring: the rise of RDP bruteforce attacks』をご参照ください(リンク先は英語)。
オンラインのエンターテインメント
人々が「リモート型」のライフスタイルへ移行するにつれ、オンラインエンターテインメントの活動が増加しました。増加具合が顕著であったため、YouTubeなど一部の動画ストリーミングサービスがトラフィックを抑えるためにデフォルトの動画品質を変更すると発表したほどです(リンク先は英語)。サイバー犯罪界は、Web経由の脅威を強化するという形で反応しました。KasperskyのWeb Anti-Virus(ウェブ保護機能)がブロックした1日あたりの攻撃数は、2020年1月と比較して同年4月は25%の増加となっています。
増加を牽引したWeb脅威を一つ選び出すのは、容易なことではありません。いずれの脅威も、程度の差はありますが相対的に増えています。ブロックされたWeb脅威のほとんどは、さまざまな悪意あるWebサイトへ人々をリダイレクトするリソースに端を発していました。その中には、フィッシングサイトや、訪問者を不要なプッシュ通知の表示に同意させるWebサイト(リンク先は英語)、または偽のシステムエラー警告を表示して訪問者を脅かそうとするWebサイトが含まれます。
このほか、Trojan-PSWの増加も観測しています。Trojan-PSWはさまざまな感染サイトで見つかっており、オンラインショッピング中に利用者が入力したクレジットカード情報をサイバー犯罪者の元へ送ることを主な目的としています。
アクセスした人のコンピューターにCookieファイルを密かにインストール(Cookieスタッフィング)するWebサイトや、利用者のトラフィックに広告スクリプトを挿入するWebサイトも、Web脅威増加の要因となっています。
対策
Web経由の脅威に関する対策
・Webサイトにアクセスする前に、そのWebサイトが正規のものであることを確認する。何かをダウンロードする場合には、URL内の企業名が間違っていないか、URLの形式に変なところはないかを見るのに加え、そのWebサイトに関する評判の確認、ドメイン登録データの確認を行って万全を期すと良いでしょう。
・さまざまなタイプのWeb脅威に対応するセキュリティ製品(たとえばカスペルスキー セキュリティ)を使用する。
企業ネットワークへの脅威に関する対策
自宅から会社のネットワークに接続する場合には、以下の対策をお勧めします。
・企業ネットワーク内のリソースにアクセスするためのパスワードは、リソースごとに別々の、強力なパスワードとする。
・自分の使用するデバイスのソフトウェアやOSは、すべて最新バージョンにする。
・可能であれば、業務で使用するデバイスではデータの暗号化を利用する。
・重要なデータのバックアップコピーを作成する。
・ネットワーク経由の脅威に対応可能な企業向けセキュリティ製品を使用する。当社では、エンドポイント保護にはKaspersky Endpoint Security for Business、クラウド環境の保護にはKaspersky Hybrid Cloud Securityをご用意しています。いずれもログ監視機能を備えており、総当たり攻撃やログイン失敗を監視・警告するルールを設定可能です。
従業員によるリモートデスクトップ接続を許可する必要のある経営者・IT管理者の方々には、以下をお勧めします。
・RDPへの接続は、企業VPNを通じてのアクセスとする。
・リモート接続する場合にはネットワークレベル認証(NLA)を使用した接続とする。
・可能であれば、多要素認証を有効にする。
・ネットワーク経由の脅威に対応可能な企業向けセキュリティ製品(たとえばKaspersky Endpoint Security for Business)を使用する。