GReATが語る2017年と2018年

Kaspersky Labのグローバル調査分析チーム(GReAT)のリサーチャーが、2017年と2018年の標的型攻撃について語りました。

Kaspersky Labは、多様な専門分野のリサーチャーを擁するグローバル調査分析チーム(Global Research and Analysis Team:GReAT)を抱え、最新のサイバー脅威の追跡および分析にあたっています。

チームを構成するメンバーは40名以上(2017年現在)。世界各地に点在し、グローバルなサイバー脅威や各地域におけるサイバー脅威に関する調査および分析を行っています。細かな断片的証拠を集めて調査を深めていくGReATの活動は、古代生物を研究する学者の取り組みにもたとえられる地道な取り組みです。

2017年12月開催のカスペルスキー サイバー セキュリティ フォーラムでは、グローバル調査分析チーム(GReAT)ディレクターのコスティン・ライウ、およびGReAT 副リーダーのヴィセンテ・ディアスが来日し、標的型攻撃(APT)に関する2017年の総括と2018年の予測を述べました。また、日本で調査活動に携わるGReAT セキュリティリサーチャーの石丸傑が、日本における標的型攻撃の一例を紹介しました。(動画の後、本文続く)

2017年の総括

2017年に起きた世界的な主な出来事およびそれが示すものについて、ディアスが振り返りました。

・エクスプロイトと脆弱性
ゼロデイ脆弱性が発表された後、関連するエクスプロイトの使用を急ぐ複数攻撃者の動きが観測されました。脆弱性公表からエクスプロイト使用の観測に至る期間の短さから見て、攻撃者たちが「ゼロデイ」エクスプロイトを隠し持っていたと考えられます。一方で、比較的調査の対象となっていないテクニック(マクロやDDE)や既知の脆弱性も、攻撃者によって使われています。

・WannaCry、Expetr/NotPetya
大規模な流行を見せたのがこれらランサムウェアで、いずれもエクスプロイトを介した攻撃です。特に、Lazarusグループとの関連が指摘されるWannaCryは感染規模の大きさが目立ち、何らかの実験が制御不能に陥った可能性や、何らかの陽動作戦であった可能性が推測されています。今後IoT化が進む中で、身近な家電やガジェットがこのような攻撃の影響を受ける事態も想像に難くありません。対照的に、Expetr/NotPetyaは入念に標的を絞った攻撃でした。

・金融機関への攻撃
2017年、金銭的収益を主目的とするAPTグループ(BlueNoroff)による攻撃が複数回観測されています。このほか、ファイルレスマルウェアやオープンソースの侵入テスト用ツールを使用して検知を逃れようとする、APT的手法を使う攻撃グループが複数観測されています。綿密な内部調査を実施のうえで、標的ごとに異なる方法で情報窃取を行っています。また、金融機関は金銭関連以外にも重要情報を抱えており、こうした情報を狙うタイプの攻撃も行われています。

・金銭目的以外のランサムウェア利用
Expetrの例にも見られたように、ランサムウェアは強力な破壊ツールとしても機能しました。破壊的攻撃を別の目的の攻撃に見せかける意図や、証拠抹消の意図もうかがえます。

・サプライチェーン攻撃
企業システム内で利用されているサードパーティソフトウェアを見きわめ、それにマルウェアを埋め込んで攻撃する事例が見られました。セキュリティ対策がしっかりしている企業システムの盲点を突く、気付かれにくく防御の難しい攻撃であり、例としてはShadowPad、CCleaner、Expetr/NotPetyaが挙げられます。

・オープンソースの悪用
GitHubなどで公開されているオープンソースのツールや一般に流通している侵入テスト用のツールが、標的型攻撃で利用されました。こうしたツールの活用は、攻撃側にとって、ツールの開発にリソースを注ぎ込む必要がないことに加え、検知逃れや攻撃元特定の回避が可能だというメリットもあります。

・プロパガンダ
昨年の米国選挙でサイバー攻撃集団による妨害があったように、APTグループがプロパガンダの目的で標的型攻撃に及んでいます。今年選挙が相次いだ欧州では、プロパガンダ目的のサイバー攻撃への警戒が高まりました。

・偽旗作戦
攻撃側が攻撃痕跡中に偽の証拠を残し、解析をかく乱する動きがあります。攻撃の出所や攻撃者の素性を突き止める際に重要な証拠となる脅威痕跡(IOC)の信頼性が揺らぐ事態です。

2017年に観測された新たなAPTグループは必ずしも高度な技術を備えているわけではありませんでしたが、急速に技術をキャッチアップしており、来る年にはさらに存在感を増すグループが出てくるかもしれません。一方、先進的な攻撃者は一般に利用可能なテクニックを使いつつも、エクスプロイトを隠し持った状態です。WikiLeaksによるリーク活動(Vault7、Vault8)は、セキュリティ業界にとっても、攻撃者にとっても、多彩な情報を提供する結果となりました。また、標的型攻撃の目的はもはやサイバー諜報活動にとどまらず、金銭や破壊活動、プロパガンダを目的とするようになってきました。

2018年の予測

標的型攻撃に関する2018年の予測として、ライウからは以下の項目が挙げられました。

・サプライチェーン攻撃の増加
2017年に見られたような、企業の堅牢なセキュリティの突破口としてサードパーティソフトウェアを悪用する事例が、2018年は増えてくるでしょう。

・モバイルマルウェアの高度化
高度化するモバイルマルウェアは、モバイルOSのゼロデイ脆弱性と組み合わさると大きな脅威となり得ます。現時点で、モバイルマルウェアの攻撃は、殊にiOSプラットフォームにおいて、あまり可視化が進んでいません。2018年は、攻撃自体の増加もさることながら、検知能力の向上により、より多くのモバイルマルウェアが可視化されることでしょう。

・Webプロファイリングツールによる侵害の増加
ゼロデイ脆弱性の価格が急上昇していること、また、防御側がゼロデイ脆弱性に対して警戒を強める風潮から、ブラウザーの侵入テスト用ツールBeEF(Browser Exploitation Framework)のような手に入りやすいツールが攻撃に使われる事例が増加し、新たに発見されるゼロデイエクスプロイトは減少すると考えられます。

・高度なUEFI攻撃
Unified Extensible Firmware Interface(UEFI)はアンチウイルスプログラムよりも先に起動する領域で、ここで動作するマルウェアは検知が困難です。検知回避のため、より多くのUEFIマルウェアが開発されると見られます。一方で、セキュリティベンダー各社による検知の能力が向上し、その意味でも2018年はUEFIへの攻撃が多く観測されることになるでしょう。

・破壊型攻撃が引き続き増加
昨年は、数年の沈黙を破ったShamoonや、StoneDrillなど破壊型マルウェアを使った攻撃が見られました。ExPetrも、本質はワイパーでした。2018年も破壊型攻撃は続くでしょう。

・暗号の危機
2017年の話題の中に、WPA暗号化プロトコルの脆弱性(KRACK)およびRSA鍵生成の脆弱性(ROCA)がありました。2018年も暗号化の脆弱性が見つかり、願わくば修正されていくことになるでしょう。

・電子商取引IDの信頼性後退
2017年は、大規模な情報漏洩事件が相次ぎました。これはデジタルな身元確認の信頼性を揺るがすものであり、政府や企業はデジタルサービスにおけるセキュリティの強化を推進するか、デジタルサービスの縮小かを迫られることになり、ネット利用による業務スリム化の鈍化という影響も出てくるでしょう。

・ルーターとモデムに対する攻撃
ルーターやモデムは内部ネットワークとインターネットの重要な接続点である一方で、パッチも当てられず放置されたままになりがちです。攻撃者がそこに目を付け、ルーターやモデムのセキュリティ侵害を行う可能性があります。

・ソーシャルメディアの政治利用
APTグループほか攻撃者がボットを利用し、何らかの世論操作や主張を目的としてフェイクニュースをソーシャルメディアにて拡散する傾向が、2018年も引き続き見られるでしょう。

全体として、2017年の傾向が継続すると見られます。APTグループがテクニックに磨きをかける一方、新たなAPTグループも数多く現れています。防衛のためには、信頼に足る脅威インテリジェンスと情報共有が必須となるでしょう。また、サイバーセキュリティに関する教育も、重要となってくるでしょう。

2018年サイバー脅威の予測(APT攻撃の予測)については、Kaspersky Security Bulletin 2017も合わせてご覧ください。

日本を脅かす標的型攻撃「The Dark Knight Rises

セキュリティリサーチャーの石丸傑は、「The Dark Knight Rises」の活動を例に、日本における標的型攻撃について説明しました。この攻撃グループは日本と韓国を標的とし、行政機関、エネルギー・ユーティリティ、重工業、貿易、情報通信サービス、製造業などの業種を攻撃しています。攻撃の目的は情報の窃取であり、感染経路は主に標的型攻撃メールや水飲み場型攻撃で、国産ソフトの脆弱性を突くものもあります。

この攻撃グループの特徴は、標的の環境を入念に調査したうえで攻撃を仕掛けていること、洗練された高度なマルウェアや指令サーバーが攻撃に使われていることです。攻撃に使用されるマルウェアと、そのマルウェアが検知を避けるために取るテクニックについては、こちらの記事にて一部を解説しています。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?