SophosLabsの研究者、ソフォスの脅威ハンター、ラピッドレスポンス担当者、クラウドセキュリティおよびAIの専門家から見たサイバー攻撃のトレンドを多角的に解説

12月 3, 2020 —

ネットワークおよびエンドポイントセキュリティのグローバルリーダー企業である英国ソフォス(日本法人:ソフォス株式会社 東京都港区 代表取締役 中西 智行)は本日、2021年ソフォス脅威レポートを公開しました。このレポートでは、高度な攻撃から初歩レベルの攻撃まで、急速な変化を続けるランサムウェアとサイバー攻撃者の行動が、2021年に脅威環境とITセキュリティにどのような影響を及ぼすのかを解説しています。当脅威レポートは、SophosLabsのセキュリティ研究者のほかに、ソフォスの脅威ハンティング担当者、ラピッドレスポンス担当者、クラウドセキュリティとAIの専門家によって執筆されており、セキュリティの脅威とトレンドについて、その発生源から実環境に及ぼす影響まで多角的な視点で解説しています。

2021年版ソフォス脅威レポートでは、以下の3つの重要なトレンドについて分析しています。

1. スキルやリソースの違いによって生じるランサムウェア運用者間の格差:最も高度なスキルと潤沢なリソースがあるランサムウェア運用者は、TTP(戦術、技術、手順)の改良と変更を続け、大規模な標的を対象に数百万ドルの身代金を要求し、高度な回避能力を備えた国家レベルの高度な攻撃を今後も継続することが予測されます。2020年では、RyukおよびRagnar Lockerなどのランサムウェア群がこれらのハイエンドのカテゴリに該当します。一方で、小規模な標的を大量に攻撃することを可能にするDharmaのように、簡単なメニューで操作可能なレンタルランサムウェアを悪用した初歩レベルのスキルしか持たない攻撃者も増加するとソフォスは予測しています。

もう1つのランサムウェアの傾向は「第二の恐喝」です。これは、データを暗号化しながら、要求が聞き入られない場合には、機密情報を公開すると脅す行為です。2020年にソフォスは、このように情報を晒すと恐喝する手法を使用しているMaze、Ragner Locker、NetwalkerREvilなどのランサムウェアを報告しています。

ソフォスの主任リサーチサイエンティストのChester Wisniewskiは次のように述べています。「ランサムウェアのビジネスモデルは刻々と変化し、複雑になっています。2020年には、スキルや攻撃の標的についてサイバー攻撃者が差別化されていく明確な傾向が確認されました。一方で、ランサムウェア群が最良のツールを共有し、緊密に連携するカルテルを形成する状況も確認されています。Mazeのように活動を終了して、既に悠々自適な生活を迎えているグループもありますが、このグループが利用していたツールや手法の一部は、新たに登場したEgregorランサムウェアで再び悪用されています。“自然は真空を嫌う”という定説は、サイバー脅威の環境にも当てはまります。1つの脅威が消えれば、別の脅威がすぐにその場所を埋めるべく登場します。ランサムウェアがどのように進化し、何を標的とするのかを予測することは非常に困難ですが、ソフォス脅威レポートで説明している攻撃の傾向は2021年まで継続するでしょう」

2. ローダーやボットネットを含む汎用マルウェアなどの一般的な脅威や、人間の手による操作によって組織への最初の侵入を行う仲介者に対して細心の注意を払うことが、組織に求められています。:汎用マルウェアのような脅威は、日々大量に検出され、些細な問題のように思われるかもしれません。しかし、標的の組織への足場を確保し、機密データを収集し、C&Cネットワークでデータを共有し、さらなる攻撃を指示するように設計されています。このような脅威の背後に人間の運用者が存在していると、セキュリティが侵害されたすべてのマシンの地理情報や価値の高い標的か否かを判断するための情報が検証され、最も価値の高い標的のシステムに不正アクセスできる権利が、大規模なランサムウェア運用者などに高額な入札価格で販売される場合があります。たとえば、2020年にはRyukは、Buer Loaderを使用してランサムウェアを配信していました。

先述のWisniewskiは次のように述べています。「汎用マルウェアは、それほど深刻ではなく、セキュリティアラートシステムにおける砂嵐のように思われるかもしれません。しかし、これらの汎用マルウェアからさまざまな攻撃が派生しており、防御側の組織は、これらのマルウェアに真剣に対策する必要があることが、ソフォスの分析によって明らかになっています。ある感染症が、他の感染症へ連鎖することがありますが、これはマルウェアでも同じです。多くのセキュリティチームが、マルウェアが阻止または削除され、感染したマシンから除去されていれば、重大なインシデントの発生を防止できたことに気づくことになるでしょう。このような攻撃が単体のマシンではなく、より広範な標的を攻撃していることや、EmotetやBuer Loaderのような毎日検出されるマルウェアがRyukやNetwalkerなどの高度な攻撃に連鎖する可能性を見逃していると、深夜や週末などランサムウェアが実際に展開されるまで組織のIT部門は攻撃が進行していることを把握できない恐れがあります。軽度の感染を過小評価していると、その代償が大きくなることがあるのです」

3. あらゆるスキルレベルの攻撃者が、正規のツール、よく知られているユーティリティや一般的なネットワークの宛先を悪用して、検出とセキュリティ対策を回避し、分析と攻撃の発生源の特定を妨害するケースが増加しています。攻撃者は、正規のツールを悪用することで、検出されずに、ネットワーク内を移動し、ランサムウェアなどの攻撃のための本体を稼働させる準備が整うまでの時間稼ぎをすることが可能になります。国家の支援を受けている攻撃者にとっては、一般的なツールを使用することで、攻撃の帰属(攻撃源)の特定が困難になるという付加的な利点もあります。ソフォスは2020年に、現在、サイバー攻撃者によって使用されているさまざまな標準的な攻撃ツールを報告しました

Wisniewskiは次のように述べています。「一般的に使用されるツールや手法を悪用して、進行中の攻撃を偽装する方法は、2020年にソフォスが調査した脅威環境のレポートでも頻繁に取り上げられています。この手法は、既知のツールを利用するため、自動的に警告フラグが表示されることがなく、従来のセキュリティ対策を回避するうえで効果的です。このような攻撃を検出・防止するために、セキュリティ専門家による脅威ハンティングやマネージド脅威レスポンスが急速に重要視されるようになりました。セキュリティ専門家は、正規のツールであっても、通常とは異なる時間帯や場所で使用されている場合など、攻撃の兆候や痕跡となる微細な異常を把握して追跡できます。トレーニングを受けた脅威ハンターやEDR(Endpoint Detection and Response)機能を使用しているIT管理者にとって、これらの兆候は侵入者や攻撃が進行している可能性をセキュリティチームに警告できる貴重な情報です」

2021年版ソフォス脅威レポートでは、その他にも以下のトレンドについて分析しています。

  • サーバーへの攻撃:攻撃者はWindowsとLinuxの両方のサーバープラットフォームを標的としており、これらのプラットフォームを利用して組織を攻撃しています。
  • 新型コロナウイルスのパンデミックが、ITセキュリティに大きな影響を与えています。たとえば、個人の自宅のネットワークで使用されているセキュリティレベルは大きく異なっており、テレワーク環境にはセキュリティの課題が多く存在します。
  • クラウド環境が直面するセキュリティ上の課題:クラウドコンピューティングは、コンピューティング環境の保護に関する企業の多くのニーズに対応してきましたが、従来型の企業ネットワークのセキュリティでは対応できない問題に直面しています。
  • RDPやVPNコンセントレータのような一般に利用されているサービスは、今もなお、ネットワーク境界に対する多くの攻撃の標的となっています。攻撃者は、RDPを使用して、セキュリティが侵害されたネットワーク内で水平方向に移動することもできます。
  • 膨大な広告を配信していたため、これまでは、不要と思われるアプリケーション(PUA)として扱われてきたアプリケーションが、マルウェアと同じような活動を行うようになっています。
  • 古いバグであるVelvetSweatshop(初期のバージョンの Microsoft Excel で使用されていたデフォルトのパスワード機能)の驚くべき復活劇もありました。このバグは、文書にあるマクロやその他の悪意のあるコンテンツを隠し、高度な脅威の検出を回避するために使用されていました。
  • 疫学的なアプローチを適用することで、目に見えない未知のサイバー脅威を定量化し、検出のギャップを解消し、リスクを評価し、優先順位を定義できるようにすることが求められています。

Wisniewskiは、以下のビデオで2021年版ソフォス脅威レポートの概要を説明します。

 

2020年版ソフォス脅威レポートの全文は、こちらでご覧いただけます。

その他の参考資料

受賞歴のあるソフォスのニュースサイトNaked SecuritySophos Newsで最新のセキュリティニュースとソフォスの解説をご覧ください。

ソフォスについて

ソフォスは、次世代サイバーセキュリティの世界的リーダーとして、150か国以上のあらゆる規模の400,000社以上の企業を今日の最も高度なサイバー脅威から保護しています。SophosLabsのグローバルな脅威インテリジェンスおよびデータサイエンスチームにより、ソフォスのクラウドネイティブでAIによって機能拡張されたソリューションは、ランサムウェア、マルウェア、エクスプロイト、データ流出、自動化されたアクティブな攻撃、フィッシングなど進化するサイバー犯罪技術からエンドポイント(ラップトップ、サーバー、モバイルデバイス)とネットワークを保護します。クラウドネイティブな管理プラットフォームであるSophos Centralは、Intercept XエンドポイントソリューションやXG次世代ファイアウォールなど、ソフォスの次世代製品ポートフォリオ全体を、APIのセットを介してアクセス可能な単一の同期セキュリティ(Synchronized Security)システムに統合します。ソフォスは、クラウド、機械学習、API、自動化、MTR(Managed Threat Response)などの高度な機能を活用して、あらゆる規模の企業にエンタープライズレベルの保護を提供し、次世代サイバーセキュリティへの移行を推進しています。ソフォスは、53,000社以上のパートナーおよびマネージドサービスプロバイダー(MSP)からなるグローバルチャネルを通じて製品を販売しています。ソフォスはまた、革新的な商用テクノロジーをSophos Home経由で消費者に提供しています。ソフォスの本社は英国オックスフォードにあります。詳細については、www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp)をご覧ください。

ソフォスについて

ソフォスは、MDR (Managed Detection and Response) サービス、インシデント対応サービス、およびエンドポイント、ネットワーク、メール、クラウド セキュリティ テクノロジーの幅広いポートフォリオなど、サイバー攻撃を阻止する高度なセキュリティソリューションを提供する世界的なリーダーであり、革新的な企業です。ソフォスは、最大手のサイバーセキュリティ専門プロバイダーの 1つであり、全世界で 60万以上の組織と 1億人以上のユーザーを、アクティブな攻撃者、ランサムウェア、フィッシング、マルウェアなどから保護しています。ソフォスのサービスと製品は、Sophos Central 管理コンソールを介して接続され、企業のクロスドメイン脅威インテリジェンスユニットである Sophos X-Ops を利用しています。Sophos X-Ops のインテリジェンスは、Sophos ACE (Adaptive Cybersecurity Ecosystem) 全体を最適化します。このエコシステムには、お客様、パートナー、開発者、その他のサイバーセキュリティおよび情報技術ベンダーが利用できる豊富なオープン API セットを活用する一元化されたデータレイクが含まれます。ソフォスは、フルマネージド型のソリューションを必要とする組織に、Cyber​​security-as-a-Service を提供します。お客様は、ソフォスのセキュリティ運用プラットフォームを使用してサイバーセキュリティを直接管理することも、脅威ハンティングや修復などソフォスのサービスを使用して社内チームを補完するハイブリッドアプローチを採用することもできます。ソフォスは、リセラーパートナー、MSP (マネージド サービス プロバイダ) を通じて販売しています。ソフォス本社は英国オックスフォードにあります。詳細については www.sophos.com をご覧ください。