2021年 サイバー脅威の動向予測:世界そして日本

2020年の動向を踏まえ、来る2021年のサイバー脅威の動向を展望します。

2020年、世界は大きな変化に直面しました。多くのサイバーセキュリティのエキスパートが指摘するように、物理的世界の変化はサイバー空間にも影響を与えます。

Kasperskyのエキスパートたちは、2020年の脅威の動向を振り返り、2021年の動向を予測しました。この記事では、世界全体の動きを概説し、続いて日本における動向に触れます。

世界的な脅威の動向と予測

ここで取り上げるのは一部分です。詳しくはSecurelistに掲載のレポート『Advanced Threat predictions for 2021』(英語)をご覧ください。

標的型化するマルウェア攻撃

2020年はランサムウェア攻撃に変化が見られました。数の増加のみならず、標的型の傾向を強める、データを暗号化するだけでなく暗号化の前に盗み出し、これを公開するという脅しで金銭の支払いを迫る、といった傾向が見られました。2021年もこの「標的型」で「威圧的」な傾向は続くでしょう。

ネットワーク機器に対する攻撃

組織のセキュリティが全体的に改善傾向にあること、テレワークへの移行によりVPNを導入する企業がさらに増えることから、VPNゲートウェイのようなネットワーク機器に存在する脆弱性に犯罪者の注目が集まると考えられます。ビッシング(電話によるフィッシング)などの現実世界におけるソーシャルエンジニアリングを通じてVPNの認証情報を聞き出すという、新たな攻撃経路が現れる可能性もあります。

破壊的な攻撃の増加

私たちの生活ではテクノロジーやインターネットに頼る局面が増しており、サイバー攻撃の対象となる領域が拡大しています。そのため、破壊的な攻撃をより多く目にすることになるでしょう。重要インフラに対する攻撃、または日常的に利用するサービスに対する大規模ランサムウェア攻撃が引き金となる可能性があります。

5Gの脆弱性の出現

今年は5G関連の話題が注目を集めました。今後5Gテクノロジーの採用が進み、5Gで接続するデバイスが増えるにつれ、サイバー攻撃者は悪用可能な脆弱性の発見に注力していくでしょう。

新型コロナウイルス感染症流行の悪用

新型コロナウイルス感染症(COVID-19)は、今年、私たちの生活に多大な影響を与えました。APT攻撃者をはじめ、多くのサイバー攻撃者がこの状況に便乗しています。この感染症の流行は今後も生活への影響を持ち続けると考えられ、長く人々の関心を集める話題となるでしょう。したがって、引き続き新型コロナウイルス感染症の話題はソーシャルエンジニアリングやフィッシングなどの攻撃に利用されると考えられます。

日本における脅威の動向と予測

日本をターゲットにした脅威について、2020年までの動向を振り返りつつ、2021年に予測される動きを見ていきます。

マルウェア「Emotet」の蔓延

マルウェア「Emotet」は、情報を盗むためだけでなく、他のマルウェアファミリーを感染させる目的でも使用されています。感染経路はメールで、正当な送信者になりすましたメールに添付されて感染を広げます。この添付ファイルはMicrosoft Wordドキュメントであり、Emotetをダウンロードして実行させる悪意あるVBAが埋め込まれています。2019年第4四半期から2020年第1四半期にかけて、Emotet関連のスパムメールが日本で広く拡散されました

2020年7月、当社はEmotet拡散を狙うスパムメールの配信が再び日本で始まったことを確認しました。感染手法には改良が加えられています。例えば、セキュリティ製品による検知を回避するために、添付ファイルとしてMicrosoft Wordドキュメントではなくパスワードで保護されたZIPアーカイブを使用し、パスワードをメール本文に記載していました。

Emotetを拡散させるスパムメールの例。パスワード保護されたZIPファイルが添付され、パスワードが本文に記載されている

Emotetを拡散させるスパムメールの例。パスワード保護されたZIPファイルが添付され、パスワードが本文に記載されている

2020年9月のJPCERT/CCの記事によると、Emotet関連スパムメールの大量送信に使用されたと見られる「.jp」ドメインのメールアドレスが急増しており、2020年9月初旬には、そうしたアドレスの件数が1日で3,000件以上に跳ね上がっています。Kasperskyでは、攻撃者がEmotetによって盗み取った認証情報を使用し、正規のメールサーバーを通じて悪意あるメールに返信していたことを確認しています。

それだけでなく、添付のWordドキュメントにて悪意あるマクロの有効化を促す通知が、英語ではなく日本語で表示されるようになっていました。ここからも、攻撃者が日本を主な標的国の1つとしていることが分かります。このサイバー犯罪グループは、2021年も引き続き日本を標的として、Emotetをはじめとするさまざまなマルウェアを感染させるためのスパムメールを拡散し続けるものと考えられます。

モバイル脅威の増加

Roaming Mantis」は、2017年から続いているサイバー犯罪活動です。犯罪者たちは強い金銭的動機をもって活動しており、プラットフォームに応じてフィッシング、仮想通貨マイニング、Androidマルウェアなどさまざまな手法を利用します。この犯罪グループは、DNS乗っ取りとスミッシング(SMSを使用したフィッシング)を悪用して、国内の物流企業を装った悪意あるランディングページへ人々を誘導していました。この犯罪活動で拡散されたAndroidマルウェアファミリーは、主に「Trojan-Banker.AndroidOS.Wroba」です。

2020年第1四半期および第2四半期のIT脅威の変化に関する当社統計によると(リンク先はいずれも英語)、モバイルバンキング型トロイの木馬のインストーラーパッケージの検知件数は、第1四半期が42,115件、第2四半期が38,951件となっています。Trojan-Banker.AndroidOS.Wrobaファミリーは、この両期間とも、検知件数が上から2番目でした。さらに、第1四半期にモバイルバンキング型トロイの木馬による攻撃を受けたユーザー数のシェアは日本が最大であり(0.57%)、第2四半期も日本は第2位でした。

標的となったプラットフォームはAndroidだけではありません。デバイスがiPhoneまたはiPadの場合、ランディングページからApple向けのフィッシングサイトへリダイレクトされます。2019年、攻撃者は悪意あるモバイル構成プロファイルを使用して、IMEI、UDID、ICCID、バージョンや製品などのデバイス情報を盗み取っていました(リンク先は英語)。

Roaming Mantisの長期にわたる攻撃活動は今なお活発であり、Androidマルウェア、Apple向けフィッシングサイトといった攻撃手法も、関連の悪意あるコンテンツも、短期間のうちに改良されています。2021年、Roaming Mantisは世界中で活動を広げ、特に日本で活動を拡大すると見込まれます。

APTの発展

2021年も引き続き、日本を狙う高度な標的型攻撃(APT)が進化し、増加すると考えられます。

現在、日本で最大の問題となっているのは標的型ランサムウェア攻撃ですが、2021年もその状況は続くでしょう。2020年第1四半期、Kasperskyは新しいランサムウェアファミリーである「VHD」を発見しました(ファイル形式のVHDとは関係ありません)。当社の調査では、このランサムウェアがPythonで記述されたダウンローダーを通じて展開されたことが明らかになっています。興味深いのは、ランサムウェアVHDのインシデントに、APTグループであるLazarusが関与していたと見られることです。VHD が使用されていたインシデントの中では、Lazarusグループと関係のある「MATAフレームワーク」が横展開に使用されていました。日本でLazarusグループが関与した攻撃の報告は今のところ少ないものの、2021年はこのような攻撃の増加が予想されます。

2019年12月、また別の高度なマルウェア「LODEINFO」が新たに発見されました。Kasperskyは2020年、LODEINFOの各種バージョンおよび亜種を多数収集しています。このマルウェアファミリーとそのインフラには、既知のAPT攻撃グループおよびAPT攻撃との重複が見られません。この攻撃グループは、攻撃のたびにクロスチェックを行う、横展開の段階で処理後に痕跡を消去するなど、かなり慎重な動きをしています。その一方、開発者の動きは非常に活発で、LODEINFOは頻繁に更新されています。さらに興味深いことに、これらマルウェアの検体は日本でしか確認されていません。標的となったのは外交機関、公共団体、メディア、防衛関連、シンクタンクです。2021年も、このマルウェアの拡散が日本で続く可能性が高いでしょう。

ヒント