米現地時間2月24日、IBM Securityは、IBM X-Force脅威インテリジェンス・インデックス2021を発表した。本レポートでは、2020年の新型コロナウイルス感染症による世界的なパンデミックに起因する社会・経済・政治的に困難な状況から利益を得ようとする脅威アクターが、その攻撃手法をどのように進化させているのかを調査したものである。
IBM Security X-Forceは、病院、医療・製薬会社、新型コロナウイルス感染症ワクチンのサプライチェーンを支えるエネルギー企業など、世界的に新型コロナウイルス感染症対策において重要な役割を果たしている企業に攻撃の矛先を向ける攻撃者を検知している。
医療、製造、エネルギー業界に対するサイバー攻撃は前年比で2倍増加しており、脅威アクターは、医療活動や重要なサプライチェーンを混乱させるリスクがあるため、ダウンタイムを確保できない組織を標的にしている。2020年に最も攻撃を受けた業界は製造業とエネルギー業界だとしている。これは金融・保険業界に次いで第2位となる。製造業とエネルギー業界が強く依存している産業用制御システム(ICS)の脆弱性が約50%増加し、攻撃者が利用していることが原因だという。
ニック・ロッソマン(Nick Rossmann)氏は「パンデミックによって現在重要であると認識されたインフラが何であるかが浮き彫りになり、そこに攻撃者が注目したということです。感染症の研究支援、ワクチンや食品のサプライチェーンの維持、個人用防護服の製造など、多くの組織が新型コロナウイルス感染症対応の最前線に立たされました。新型コロナウイルス感染症関連のタイムラインが明らかになるにつれて、攻撃者による被害者分析も変化を遂げ、改めてサイバー攻撃者の適応力、狡猾さ、永続性を示す結果となりました」と述べている。
主な調査結果
- サイバー攻撃者はLinuxマルウェアの利用を加速:Intezerによると、Linux関連のマルウェア・ファミリーの数は昨年比で40%増加し、Goプログラミング言語で記述されたマルウェアは2020年1月から6月までの6ヵ月間で500%増加している。攻撃者は、クラウド環境を含む様々なプラットフォームでより容易に実行可能なLinuxマルウェアへの移行を加速させているという
- 「なりすまし被害にあった上位ブランド」の被害がパンデミックでさらに拡大:ソーシャルディスタンスやリモートワークの年であった2020年、GoogleやDropbox、Microsoftなどのコラボレーション・ツールを提供するブランドや、Amazon、PayPalなどのオンライン・ショッピング・ブランドが、なりすましブランドのトップ10に入った。また、消費者が活用していたYouTubeとFacebookも上位に位置している。一方、2020年になりすましブランドの第7位として初登場したのはAdidasで、これはSuperstarやYeezyなどのスニーカーの需要に牽引されていると推測される
- ランサムウェア・グループが収益性の高いビジネスモデルで現金化:2020年にX-Forceが確認した攻撃のおよそ4件に1件近くがランサムウェア攻撃であり、その攻撃は二重の恐喝を用いたものへとさらに進化している。X-Forceでは、2020年に最も頻繁に観測されたランサムウェア・グループであるSodinokibiが、この戦術を用いて厳しく見積もっても過去1年間で1億2300万ドル以上の利益を上げ、被害を受けた企業の約3分の2が身代金を支払ったとしている。
オープンソース言語ベースのマルウェアへ投資が、クラウド環境への脅威に
ガートナーの調査によると、現在クラウドサービスを利用している組織の70%が、新型コロナウイルス感染症による混乱を受け、クラウドへの支出を増やす予定であることがわかったという。しかし、クラウドのワークロードの90%がLinux上で稼働し、過去10年間でLinux関連のマルウェア・ファミリーが500%増加しているというX-Forceのレポートを踏まえると、クラウド環境が脅威アクターの主要な攻撃対象になる可能性があるとしている。
オープンソースのマルウェア増加にともない、攻撃者は利益率を改善する方法を模索している可能性があるとIBMは見ている。つまり、コストを削減し、効果を高め、より収益性の高い攻撃を展開する機会を作っている可能性があるという。本レポートでは、APT28、APT29、Carbanakなどの様々な脅威グループがオープンソースのマルウェアを導入していることを強調しており、2021年はこの傾向がより多くのクラウド攻撃の加速要因となることを示唆している。
また、攻撃者がクラウド環境の拡張可能な処理能力を悪用して、過大なクラウド利用料を被害組織に転嫁していることを示しており、Intezerが2020年に発見したLinux暗号化マルウェアの13%以上は、これまで観測されていなかった新しいコードだったという。
攻撃者がクラウドに照準を合わせる中、X-Forceでは企業がセキュリティー戦略としてゼロトラストアプローチを検討することを推奨。また、企業が最も機密性の高いデータを保護できるよう、コンフィデンシャル・コンピューティングをセキュリティー・インフラストラクチャーの中核コンポーネントとすることも推奨している。
有名ブランドを装ったサイバー犯罪者
2021年度版のレポートでは、サイバー犯罪者が、消費者が信頼するブランドを装うことが多いことに着目している。たとえばAdidasは、消費者の需要を悪用して正当なサイトを装った悪質なウェブサイトにスニーカーを探している人を誘導しようとするサイバー犯罪者にとって、魅力的な存在だったという。ユーザーがこれらの正当にみえるドメインにアクセスすると、サイバー犯罪者はオンライン決済詐欺の実行やユーザーの金融情報や認証情報の盗用をもくろんだり、あるいは被害者のデバイスにマルウェアを感染させようとする。
本レポートによると、Adidasのなりすましの大半は、YeezyやSuperstarなどのスニーカーが関係しているという。Yeezyだけでも2019年に13億ドルの売り上げがあったと報じられており、スニーカーの売り上げ上位に位置していた。2020年初頭のスニーカー新作登場に向けた盛り上がりを受け、攻撃者たちがブランドへの需要を悪用して利益を得た可能性が高いとしている。
2020年に最も頻繁に使われた攻撃手法はランサムウェア
X-Forceが対応したランサムウェア攻撃の60%近くは、攻撃者がデータを暗号化して盗み、身代金が支払われない場合はデータを漏洩すると脅迫するという、二重の恐喝を用いた戦術が使用されていたという。実際、2020年にX-Forceが追跡したデータ漏えいの36%は、データ盗難の疑いも含むランサムウェア攻撃によるものであり、データ漏えいとランサムウェア攻撃が切り離せないものとなりつつあるとしている。
2020年に報告されたランサムウェアの中で最も活発なグループはSodinokibi(REvilとも呼ばれる)で、X-Forceが観測したランサムウェア・インシデントの22%を占めていた。X-Forceでは、Sodinokibiが被害を受けた企業から約21.6テラバイトのデータを盗み出し、被害企業の約3分の2が身代金を支払い、約43%でデータが漏えいしたと推定している。また、Sodinokibiは過去1年間で1億2300万ドル以上の利益を上げているという。
Sodinokibi同様に、2020年に最も成功したランサムウェア・グループは、データの窃盗や漏えいに注力するだけでなく、Ransomware as a Service(RaaS)のカルテルを立ち上げ、攻撃の様々な側面に特化したサイバー犯罪者に、操作の重要な側面をアウトソーシングすることに注力していることがわかったという。
その他の主な調査結果
- 脆弱性が最も用いられる攻撃手口の第1位となり、フィッシングを上回る:2021年度のレポートによると、最も頻繁に用いられた攻撃手口の第1位は、脆弱性のスキャンおよび悪用(35%)であり、数年ぶりにフィッシング(31%)を上回る結果となった
- 2020年は欧州が攻撃の影響を受けた:レポートによると、X-Forceが対応した攻撃の31%を占めるなど、欧州は他の地域よりも多くの攻撃が発生し、ランサムウェアが最もよく使われた攻撃手口となっている。また、欧州では他の地域よりもインサイダー攻撃が多く、これは北米およびアジアで発生した攻撃の2倍の件数になるという
【関連記事】
・IBM、CiscoやIntelなどと協力しIBM Cloud Satelliteを提供
・日本IBM、コンテナ共創センター設立でSIerやISVの利用拡大目指す
・IBM、デルタ航空とのパブリッククラウド移行支援の複数年契約を発表
