多種多様なマルウェアを使いこなすサイバー犯罪グループ

近年におけるサイバー犯罪の手口や手法はますます巧妙化していますが、そのかなりの部分が高度に組織化されたサイバー犯罪グループによって行われていると言われています。幾つかの犯罪グループが広く知られており、中には背後に国家の存在が疑われるような大規模かつ高度な攻撃を行うグループもあります。

サイバーリーズンのSOC（セキュリティオペレーションセンター）でも、これら犯罪グループの動向を定常的に監視していますが、中でも最近特に活動を活発化させている犯罪グループが「TA505」です。

このグループは多種多様なマルウェアを使うことで広く知られており、例えば「FlawedAmmyy（RAT）」「ServHelper（バックドア、ダウンローダー）」「Dridex（バンキングトロージャン）」「FlawedGrace（バックドア）」といったツールを巧みに組み合わせた攻撃を行います。

TA505の活動目的は金銭的な利益の獲得だと考えられており、金融機関を主たる攻撃のターゲットに据えていますが、それ以外の業界の企業や個人をターゲットにすることもあります。またターゲットとなる国や地域もさまざまなで、最近では米国や韓国、日本をターゲットにした攻撃が確認されています。

ちなみに日本をターゲットにした最近の攻撃は、2019年11月19日、12月3日、12月4日に観測されています。幸いなことに被害は報告されていないものの、マルウェアの感染やシステムへの侵入の痕跡が確認されており、いつ甚大な被害が発生してもおかしくない状況まで事態は進行していたと考えられます。そのため、今後もTA505の動向には十分注意を払っておくべきでしょう。

TA505によって実際に行われた攻撃の事例

サイバーリーズンのSOCで実際に観測した、TA505によるものと思われる攻撃の手口を幾つか紹介してみましょう。とある海外の金融機関では、フィッシングメールに添付されたエクセルファイルを使った攻撃が確認されました。このエクセルファイルにはペイロードをダウンロードするマクロが埋め込まれており、これが実行されると悪意のあるモジュールが端末にダウンロードされ、エクセルの起動時に自動的に読み込まれるようになっていました。

また韓国のとある製造企業でも、やはりメールに添付されたExcelファイルを使った攻撃が観測されています。このExcelファイルを開くと、マクロの有効化を促すメッセージが韓国語で表示されることから、明らかに当初から韓国のユーザーをターゲットにした攻撃だと思われます。

日本でも同様の手口を使った攻撃が確認されており、2019年12月4日に行われた攻撃では、タイトルが「12/04業務報告」、送信元が「内田」と記載されたメールが大量にばらまかれました。このメールには「営業報告入力フォーム2019」という名前のExcelファイルが添付されており、これを開くと悪意のあるモジュールをダウンロードするマクロが実行される仕組みになっていました。

これらの攻撃が観測された時期や場所、メールや添付ファイルで使われた言語などはそれぞれ異なるものの、ほぼ同じ手口が使われており、明らかに同じグループによる攻撃だと考えられます。ここで挙げた3つの事例では、幸いにもペイロードのダウンロードやその実行は確認されませんでしたが、過去にTA505が行った攻撃の例を見る限り、リーモトーアクセストロージャン（RAT）やバックドア、ランサムウェアといったマルウェアに感染する危険性が十分にあったと思われます。

侵入・感染を許してもEDRが水際でブロック

ではこうした攻撃から身を守るには、一体どのような対策を施しておけばいいのでしょうか。今回紹介した手口はどれも、メールに添付されたエクセルファイルに埋め込まれたマクロの中に、悪意のあるコードを潜ませていました。従って組織内でマクロの利用禁止を徹底するとともに、添付ファイルを開いた際にマクロの有効化を促すメッセージが表示されても、決して有効化しないよう周知する必要があります。

それとともに、「不審なメールは開封しない」「怪しい添付ファイルは実行しない」といったフィッシングメール対策の基本を改めて徹底するとともに、ランサムウェアなどに感染してデータが破壊されてしまうリスクを考慮し、データのバックアップを日ごろからきちんと行っておくことが大事です。

とはいえ、マクロを業務で使っていた場合はマクロを無効にすることはできず、いくら社員に対するセキュリティ教育を行っていても「いかにも怪しいメール」ではなく、普段の業務のやりとりに成りすましたメールを受け取った場合、どうしても感染を防ぐことはできません。従って、侵入されることを前提とした対策が必要です。

万が一マルウェアやランサムウェアに感染してしまったとしても、その事実をいち早く検知して適切に対処できれば、ほかの端末への感染を未然に防ぎ、被害を最小限に抑えることができます。前項で挙げた3つの事例では、どの企業も弊社のEDR製品「Cybereason EDR」を導入していたため、いち早く感染を検知して実被害の発生を食い止めることができました。

Cybereason EDRは、PCやサーバなどエンドポイント端末上で不審な動きがないか常時監視し、疑わしい挙動が見付かった際には管理者に即座に通知してくれます。これによって、巧妙な手口を使って内部ネットワークに侵入したマルウェアやランサムウェアが活動を本格化する前に検知・除去し、被害を未然に防ぐことができます。

TA505のようなサイバー犯罪グループはほかにも世界中に多数存在しており、日々新たな攻撃手法を編み出しています。こうした攻撃から自社の貴重な情報資産を守るためには、Cybereason EDRのようにエンドポイントの水際で確実に脅威を補足できる対策が不可欠だといえるでしょう。

「次世代エンドポイント（EDR）のメリット」とは？ Cybereasonの関連情報を公開中

CybereasonのEDR(Endpoint Detection and Response)プラットフォームが提供する7つのユニークな機能をご紹介するホワイトペーパーを公開しております。ぜひご活用ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=1033