- 2016/12/13
- サイバー攻撃
中小企業はコモディティ型のアドウェアによる攻撃の対象なる
Post by : FRED O'CONNOR
中小企業の方はご用心ください。攻撃者は貴社を標的としています。特に、貴社がコモディティ型のマルウェアに感染している場合、攻撃者はそれを利用することで、貴社へのアクセス権を取得できます。
サイバーリーズンのCISOであるIsrael Barakは次のように話しています。「中小企業の中には、自社が有名な大手企業でないという理由で、攻撃者の対象リストから今後も除外され続けるだろうと考えている方もいらっしゃいます。しかし、貴社が市場に参入するだけで、コモディティ型のアドウェアに感染します。そしていったん市場に参入したならば、すぐに標的となります」。
Barakは、あるWebセミナーでこの問題を提起しました。同セミナーでは、いかにして脅威アクターがコモディティ型のマルウェアをエンドポイントに感染させるか、そしてそれらの感染したコンピュータやサーバーを運用している組織を特定した後、それらのマシンに関する情報をブラックマーケットに公開し、犯罪活動を行う脅威アクターに情報を売り渡しているかなどのトピックが取り上げられました。
「アドウェアに感染したマシンは、数日または数時間以内に標的型攻撃の脅威となり、それらのマシンは24時間から48時間以内にブラックマーケットで売りに出されます」とBarakは話しています。
攻撃が標的型であるかそれとも非標的型であるかは重要ではない
攻撃者はコモディティ型のアドウェアのような非標的型の脅威を標的型の脅威へと変えることができるため、インシデントの検知後に、その脅威が標的型であるかそれとも非標的型であるかを判定することには意味がないと、Barakは話しています。そして、ハッカーがいったん自分のコモディティ型のプログラムが高い価値を持つ標的に侵入したと判断したならば、ハッカーはそのマシンへのアクセス権をxDedicのような闇取引サイトで売りに出すでしょう、とBarakは話しています。
買い手は、xDedic上にある膨大な在庫リストの中から、必要なものを見つけることができます。同サイトを最近訪問した際に、Barakは、3万件もの感染したマシンが売りに出されていることを発見しました。これには、米国の規模の大きな大学が使用しているコンピュータや、Microsoftの関連会社のサーバー、クレジットカード処理会社が使用しているサーバーなどが含まれていました。
たとえば、攻撃者は、ワシントン大学のネットワーク上に存在するパブリックIPアドレス付きのコンピュータおよび実行中のPOSソフトウェアへのアクセス権を30ドルで購入できるようになっていました。
「POSプログラムが処理しているクレジットカードの詳細情報や、同大学で行われている研究に関する情報を求めている攻撃者にとって、このマシンは非常に興味深いものとなるでしょう」とBarakは述べています。
感染したコンピュータやサーバーへのアクセス権を購入できるならば敢えてフィッシングを行う理由はない
クレジットカード処理会社であるEC Suiteが所有しているサーバーも売りに出されていました。同サーバーは、アリゾナ州フェニックスにある同社のデータセンターに置かれているものであり、14ドルで売られていました。EC suiteは、クレジットカード業界ではVisaのような大手企業に比べると小規模な企業に過ぎませんが、「特に価格がわずか14ドルであり、しかも誰かがすでにドアを開けているためより少ない作業で済むのならば、100万件のクレジットカードに不正アクセスできるのは悪くない儲け話です」とBarakは述べています。
もう1台の感染したサーバーは、Microsoftの関連会社でデータ分析ソフトウェアを開発している企業であるInformaticaが所有しているものでした。攻撃者はこのサーバーへのアクセス権を14ドルで購入することで、同社の知的財産を盗み、Informaticaの製品に侵入し、それらを通じてマルウェアを拡散できるようになっていました。
また、Barakは、xDedicを調べている際に、大企業が所有しているマシンをいくつか見つけました。たとえば、彼は、Intelが使用しているサーバーを見つけました。このサーバーは、オレゴン州ヒルズバロにある同社のデータセンターに置かれているものであり、Intelの製品に侵入することや、同社の知的財産を盗むことに関心がある脅威アクターにとって興味を引くものとなるでしょう。標的のデータセンターに直接アクセスすることは、従来型の攻撃ベクターを使用する場合に比べて、侵入を実施するための非常に簡単な方法である、とBarakは述べています。
「データセンターへのダイレクトな接続を購入できる場合、検知されるリスクを冒してまで、ユーザーネットワークでのラテラルムーブメントを必要とする、フィッシングにかかったユーザー経由で侵入を試みる理由があるでしょうか?」とBarakは述べています。
コモディティ型のマルウェアが奇妙な行動を起こさないかどうか監視する
より悪質な活動を実行する可能性のあるコモディティ型の脅威の場合、企業や組織は、それらのプログラムへの対処方法を見直す必要があります。セキュリティ専門家は、自社のIT環境に感染している一見無害に感じられる不要なプログラムを、他のセキュリティ上の問題に比べてそれらが重要度の低い脅威であると見なされる場合であっても、それらを無視することはできません。
ただし、アドウェア、クリック詐欺マルウェア、およびその他のコモディティ型の脅威が普及していることを考慮すると、企業や組織には、あらゆる感染したマシンを調査し修復するためのスタッフ、リソース、時間が欠けています。企業や組織は、このような新興の脅威に対処するための実用的な方法を必要としていると、Barakは調査報告書で述べています。
企業や組織は、すべてのコモディティ型のプログラムを削除するのではなく、それらのプログラムの行動の変化を念入りに監視し、奇妙な行動を取るプログラムを調査する必要があります。どんなに些細なものであっても、奇妙な行動を無視することがあってはなりません。
感染したシステム上のアドウェア、マルウェア、コマンドおよび制御に対する変化が見つかった場合、セキュリティチームは、その問題により高い優先順位を与え、より詳細な調査を実施し、必要ならば修復を行う必要があります。コモディティ型のマルウェアの進化に関する詳細を知りたい方は、Barakによる調査報告書をご覧ください。
ホワイトペーパー「情報漏洩」
多くの企業はサイバーセキュリティの保護および検知ソリューションに数100万ドルも費やしていますが、Ponemon Instituteの調査によれば、情報漏洩が発生してから平均256日間も検知されないとのことです。
情報漏洩が明らかになった後、セキュリティチームがその攻撃による全体的な被害と重大度を調査するのに通常、さらに1ヶ月間を要します。これにより、対応時間が大幅に引き延ばされた結果、ビジネスに対して壊滅的な経済的損失を及ぼすことになります。
なぜ情報漏洩を阻止できないかの原因を本書を通じて、理解することができます。
https://www.cybereason.co.jp/product-documents/white-paper/1036/