サイバーインシデントを予防する最も確かな方法は、マルウェアが企業インフラストラクチャーに侵入するのを防ぐことです。そのため、情報セキュリティ戦略を考える際、多くの専門家は、電子メールなど明白な攻撃ベクトルを重要視します。これまで、大多数の攻撃は電子メールで始まっていますが、巧妙なサイバー犯罪者は、マルウェアを拡散する様々な手口を知っています。カスペルスキーグローバル調査分析チーム(GReAT)は、最近観測されたマルウェアの感染やあまり例をみない手法について解説しています 。(英語記事)
タイポスクワッティング
「タイポスクワッティング」とは、ユーザーの入力ミスで、ユーザーの意図とは異なるウェブサイトに導くことです。AdvancedIPSpywareを複製したマルウェアの作成者は、システム管理者用のAdvanced IP Scannerツールに悪意のあるコードを埋め込み、元となるウェブサイトと全く同じデザインで、ドメイン名がたった1文字だけ違うウェブサイトを2つ作成しました。彼らは多くの人が、検索エンジンでローカルネットワーク監視ツールを探すときに、自分たちが作った偽のサイトに誤って偶然アクセスし、バックドア含むプログラムをダウンロードすることを想定しています。興味深いことに、悪意のあるAdvanced IP Scannerは、正規のデジタル認証がついていましたが、どうやら、これも盗まれたものだとみられています。
YouTube動画の説明欄にあるリンク
OnionPoisonの攻撃者は、独自に悪意のあるTorブラウザを作成しました。その偽のブラウザのリンクが多くの人の目に触れるために、人気YouTubeチャンネルを利用して、オンラインの匿名性に関する内容を発信する動画の下にTorのインストール方法を添え、リンクを張っていました。感染したTorブラウザでは、更新することができず、その他の悪意のあるライブラリをダウンロードするためのバックドアが含まれていました。その結果、攻撃者はシステムで任意のコマンドを実行したり、ブラウザの履歴やWeChatやQQのアカウントのIDを取得したりできるようになりました。
トレントを介したマルウェアの拡散
CLoaderの作成者は、海賊版ゲームや有用なソフトウェアに見せかけて、マルウェアインストーラーを配布していました。この手法の被害者は主に、自宅でデバイスを使用するユーザーです。ユーザーの中には、悪意のあるトレントを介して、海賊版ソフトウェアのダウンロードを試みる人も多くいます。海賊版のソフトウェアをダウンロードしようとする被害者が、プロキシサーバーを実行するのを可能にするマルウェアを拾ってしまうケースがあります。それによって別のマルウェアがインストールされたり、攻撃者に遠隔操作が許可されてしまい、不正アクセスの被害が発生することがあります。
正規ツールを悪用して拡散するマルウェア
今年確認されたランサムウェアBlackBastaの最新バージョンは、特定のMicrosoftのテクノロジーを使ってローカルネットワークで拡散されます。パソコン一台が感染すると、それはLDAPライブラリを用いてActive Directoryに接続し、ローカルネットワーク内の端末情報を取得し、それらにマルウェアを複製して、Component Object Model(COM)を使用して遠隔でマルウェアを実行します。この手法では、システム内に残る痕跡が少ないため、マルウェア検知は極めて困難です。
マルウェアから身を守るために
企業インフラストラクチャーには包括的な保護が必要です。フィッシング詐欺やファイルを開くだけで感染するウイルスの被害に遭わないために、すべての受信メールをスキャンするソリューションを使用することを推奨します。そうすることで、攻撃からデバイスを保護できます。また、インターネットにアクセスするいかなるパソコンには、独自のアンチマルウェア保護を追加で搭載させる必要があります。加えて、企業ネットワークで何が起きているのか、よりしっかり把握するためにはEDRクラスのソリューションも取り入れることをお勧めします。