近年特に被害が拡大しつつある「Emotet」と「ランサムウェア」

近年特に被害が多発しているサイバー攻撃の1つに「Emotet」を使った攻撃があります。Emotet自体はかなり以前から存在するマルウェアですが、最近特に被害が拡大しており、弊社にも数多くの問い合わせが寄せられています。官公庁も警戒を呼び掛けており、2022年3月にはIPA、JPCERT/CC、警視庁から相次いで注意喚起が出されています。

これだけ被害が拡大している最大の原因は、その「感染手口の巧妙さ」にあります。Emotetはいったん感染するとアドレス帳やメール本文、メールシステムの認証情報などメール関連の情報を盗み取り、あたかも通常業務のやりとりであるかのようなメールを偽造して、もしくは企業のメールサーバを乗っ取り、巧妙ななりすましメールを送りつけ、添付ファイルの開封や不正リンクのクリックへと巧みに誘導するのです。

この攻撃者は短期間で攻撃手法を変化させており、少し前まで多用されていたWindows PowerShellを悪用したファイルレス攻撃もセキュリティ製品側での対応が進んだことで、今年の3月はPowerShellを使用しない方法に変えセキュリティの回避を試みていました。

一方、ランサムウェアの被害も相変わらず後を絶ちません。2022年3月の1カ月間だけでも日本を代表する大手製造業が次々と被害に遭っており、特にトヨタの国内14工場が一斉に稼働停止に追い込まれた事件は大きな話題を呼びました。

ランサムウェアもEmotetと同様、防御側とのいたちごっこを繰り返しながら急速な進化を遂げています。さらにその攻撃を行っている攻撃者たちはそのブランド名を変えながら攻撃を繰り返しています。2021年の米コロニアルパイプライン社に対する攻撃で一躍知られるようになった「DarkSide」と呼ばれる攻撃グループは、その後当局により活動停止に追い込まれました。しかし、「Blackmatter」さらにその後に「ALPHV（BlackCat）」というグループが出現し、使用するランサムウェアの特徴や攻撃手法の傾向から、DarkSideに関連していると考えています。

「MaaS」「RaaS」の普及で誰もが攻撃を仕掛けられる時代に

こうした攻撃が増えている背景の1つに、「MaaS（Malware as a Service）」「RaaS（Ransomware as a Service）」と呼ばれるサービスの普及があります。どちらもその名の通り、マルウェア開発やランサムウェア攻撃をSaaSなどのようなクラウドサービスとして代行するというもので、丁寧にサポート窓口まで用意しているサービスもあります。これらを使えば、たとえ攻撃者自身が高度な知識や経験を有していなくても手軽にEmotetに感染した端末を悪用したりランサムウェアを使った攻撃を実行したりできるのです。

また「サプライチェーン攻撃」と呼ばれる侵入手法が多く用いられるようになったのも、近年のサイバー攻撃の特筆すべき特徴です。その名の通り、攻撃目標の企業のサプライチェーンに目を付けた手法で、攻撃目標へ直接侵入するのではなく、感染対策が比較的手薄そうな関連企業や取引先などサプライチェーンを構成する別の企業にまずは侵入し、そこを足掛かりにして最終攻撃目標の企業に侵入するのです。

もう一点、金銭を目的とした一般的な攻撃に紛れて、国家が主体となって実行していると強く疑われる攻撃が発生していることに注意が必要です。こうした攻撃の中で、機密情報を窃取した後にランサムウェアと同様の機能を持つマルウェアを使って痕跡を消去（ワイプ）するといった手法が確認されています。被害に遭った企業側からすると一見ランサムウェアに感染したように見えますが、実はその裏で国家による機密情報の窃取が行われている可能性が高いのです。

「感染防止」と「感染後の検知」の両面から対策を考える

こうした最新のサイバー攻撃から自社の貴重な情報資産を守るために、真っ先にすべきこととは一体何でしょうか？　まずはEmotetなどのOfficeファイルのマクロ機能を悪用する攻撃対策として、業務で利用するOfficeファイル以外のマクロ機能を有効化しないことを社員教育で徹底し、Officeマクロを悪用したEmotetの感染を防止することをお勧めします。

ランサムウェア対策としては、万が一データを暗号化されてしまった事態に備え、データのバックアップをきちんと取っておくことが第一です。しかし近年のランサムウェアは、バックアップを暗号化・削除してデータ復旧を困難にするものも多いため、オンラインバックアップだけでなくオフラインバックアップも定期的に取っておくことを強く推奨します。

さらにはシステムの状態を常に最新に保って脆弱性対策を確実に行う、なりすまし攻撃に備えてアカウント権限を最小限に設定しておくなど、基本的な対策を怠らないようにすることももちろん重要です。しかしどれだけ注意を払っても、急速な進化を続ける近年のサイバー攻撃の侵入を100％防ぐのは困難です。そのためEDRをはじめ、内部に侵入した脅威を検知・排除するための対策を強化しておく必要もあります。

弊社では国内シェアNo.1のEDR製品「Cybereason EDR」のほか、現在の感染状況を診断するサービスや、セキュリティ対策全般の体制やプロセスを評価するサービスなども提供しています。自社のセキュリティ対策に少しでも不安のある方は、製品のみならずこうした各種サービスを利用して自社のセキュリティ対策状況を一度根本から見直してみることをお勧めします。

RansomOps〜複雑なランサムウェアオペレーションの内側とランサムウェア経済〜

昨今脅威を増しているランサムウェア攻撃により大きなインシデントに見舞われる事例があとを断ちません。ランサムウェアオペレーションは、ここ数年で非常に複雑なビジネスモデルへと劇的に変化しています。

今回の資料では、ランサムウェアの攻撃者がどのようにランサムウェアオペレーション(RansomOps)の役割を実行するのか、またサイバーリーズンがどのようにソリューションを用いてランサムウェアなどの進化する攻撃に対処するのかについてご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/8110/