「Qakbot」を用いたフィッシング攻撃の被害が拡大傾向に

サイバーリーズンが運営するグローバルSOC(GSOC)において最近、「Qakbot」と呼ばれるマルウェアの活動をお客さまの環境で確認しました。Qakbotは別名「Qbot」としても知られ、既に10年以上前から存在が確認されているマルウェアです。もともとはバンキング型トロイの木馬として開発されたものですが、長年経つうちに膨大な数の亜種が開発され、さまざまなタイプの攻撃に利用されてきました。

2020年以降、このQakbotによる被害が拡大傾向にあります。弊社のGSOCが確認した事例では、「Cobalt Strike」と呼ばれるツールを悪用した攻撃が行われていました。Cobalt Strikeはもともと、ペネトレーションテストやインシデント対応訓練のために使われる商用ツールだったのですが、攻撃者によって悪用されるケースも多く、今回発見された事例でも感染端末から情報を窃取するために悪用されていました。

今回確認された攻撃の手順は次の通りです。まず攻撃者は、ターゲットに対して正規の業務メールを装ったフィッシングメールを送信します。このメールには、マルウェアのダウンローダーが仕込まれたExcelファイルが添付されており、受信者がこれを開きマクロを有効化するとダウンローダーが実行され、Cobalt Strikeの攻撃ペイロードがメモリ上に展開されます。

この際、サンドボックスなどのセキュリティ製品による検知をすり抜けるために、感染してもすぐには活動を開始せず、しばらくの間サスペンド状態で待機してからペイロードを実行します。実際に弊社のGSOCで観測した事例では、感染から14時間経った後にようやくメモリ上のペイロードのコードが実行されていました。

こうして一度不正コードが実行されると、その後は感染端末上のさまざまな情報や内部ネットワーク情報が窃取され、外部のC&Cサーバに送信されます。具体的には「端末名」「IPアドレス」「所属ドメイン」「ドメインコントローラー名」「ドメインコントローラーの管理者ユーザー名」などの情報を収集していることが確認されています。またこれらの情報の窃取に成功すると、今度は感染端末から他の端末へと横展開を行い、ドメインコントローラーなどネットワークまた組織全体をターゲットにした感染・攻撃へと広がる恐れがあります。

マルウェア感染を前提とした対策を練っておくことが大事

このような手口を用いた攻撃を防ぐためには、一体どのような対策が有効なのでしょうか。まずは何より、感染の直接的なきっかけとなるフィッシングメールに対するユーザーの危機意識を醸成することが大切です。社内の従業員に対してメールセキュリティに関する教育やトレーニングを施すとともに、定期的に注意喚起を行う必要があります。

また今回紹介した攻撃の手口は、Microsoft Officeのマクロを悪用して感染を図ります。Qakbot以外にもマクロを悪用して感染を狙うマルウェアは非常に多いため、ユーザーにマクロ機能を決して有効化しないよう周知を徹底するとともに、場合によってはグループポリシーでマクロ実行に対して一律に制限を加えることも必要でしょう。もちろん、セキュリティソフトウェアの状態を常に最新に保つことや、業務上不要なポートやサーバへの通信を遮断するためのネットワークポリシーの見直しを行うことも大事です。

ただし、フィッシングメールを用いた近年のサイバー攻撃は極めて手口が巧妙化しており、中にはよほど注意して見なければ不正メールだと見抜けないものも存在します。そうしたメールを通じた感染や侵入を100%完ぺきに防ぐのは、現実的には極めて難しいと言わざるを得ません。そのため、万が一感染してしまった場合に備えた事後対策を練っておくことも欠かせません。

そのために現時点で最も有効だと考えられているのが、EDR(Endpoint Detection and Response)です。EDRはPCやサーバといったエンドポイント端末を常時監視し、マルウェア感染が疑われるような不審な動きがあったら即座に検知してくれます。アンチウイルス製品などとは異なり、未知の攻撃やゼロデイ攻撃なども高い確率で検知できるため、高度な標的型攻撃に対抗するには極めて有効な手段だと言えるでしょう。

なお弊社が提供するEDR製品「Cybereason EDR」は世界中で数多くの実績を持ち、日本国内のEDR製品市場においてトップクラスのシェアを持っています。今回紹介したQakbotの事例もこのCybereason EDRを用いて検知されたものであり、その実績は折り紙付きです。また弊社では製品を提供するだけでなく、お客さまの環境を24時間×365日監視して脅威を検知・解析するマネージドサービス「Cybereason MDRサービス」も提供しています。これら製品・サービスの具体的な内容については弊社のサイトで詳しく紹介していますので、興味を持たれた方はぜひ参照していただければと思います。

ホワイトペーパー「すべての組織が狙われている」

企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=606

ホワイトペーパー「すべての組織が狙われている」