ランサムウェアの登場、暗号化通信の増加、IoTボットネットの拡大
「前例のないレベルで脅威が高度化しています」。シスコシステムズ合同会社 執行役員 セキュリティ事業担当 田井祥雅氏は警笛を鳴らし、いくつか具体的に挙げた。
2017年で象徴的だったのがWannaCry。これまでのように「添付ファイルを開く」などユーザーの操作を必要とせず、ネットワーク内で脆弱性を持つ端末に感染を広げることができるランサムウェアだ。ランサムウェアとして見れば、技術的には高度化した。ただしランサムウェアなら目的は身代金獲得であるはずだが、そこでは大した成果があげられていない。そのため多くのセキュリティ研究者は身代金要求は実質的には偽装であり、ほかに目的があると考えるようになってきている。真の目的と考えられているのが(攻撃した痕跡となる)データの消去だ。
シスコシステムズ合同会社 執行役員 セキュリティ事業担当 田井 祥雅氏
WannaCry後にはNyetya(あるいはNotPetyaやExPetr)というランサムウェアが登場した。これはウクライナで広く使われている会計ソフトウェアのアップデートに紛れ込み、100万台以上のコンピュータに配布された。ウクライナのサイバー警察は2000社以上のウクライナ企業が影響を受けたと確認している。攻撃対象が全世界の不特定多数ではなく地域で絞り込まれているのが特徴だ。政治的な背景があると見られている。
今のところ、WannaCryなどのランサムウェアは脆弱性を狙うためパッチを適用すれば被害を防げると考えられている。もし感染したとしてもネットワークをセグメント化しておけば感染範囲を限定し、影響を軽減できると考えられる。こうした対策は最低限やっておくべきだろう。
次に暗号化。2017年10月時点、世界で暗号化されたWebトラフィックは全体の50%。前年の同時期に比べて12%増加している。これは安価または無料で利用できるSSL証明書が増えていることや、重要な情報をやりとりするときにブラウザが警告を出すことなどが影響している。
攻撃側の暗号化も加速している。通常のものよりも増加率は高い。シスコによると、マルウェアに使用された暗号化ネットワーク通信量は1年前に比べて268%増加していた。攻撃側が暗号化通信を進める理由として「検知されにくくするため」と田井氏は指摘する。
検知されにくくするための工夫はほかにもいろいろとある。現在安全なところで挙動を確認するサンドボックスが使われているものの、攻撃者はサンドボックスで検知されないように不正プログラムを仕込んでいる。
実際に2017年9月には「ドキュメントを閉じる」操作をきっかけに作動するマルウェアが増えた。サンドボックスでの分析ではドキュメントを明示的に閉じることがないためだ。また2017年5月にはWordを組み込んだPDFによる大規模な攻撃が確認された。サンドボックスでは組み込まれたWordドキュメントを開くことがないため。巧妙化が進んでいる。
IoTを活用したDDoS攻撃にも注意が必要だ。シスコのパートナーであるRadware社は主要なIoTボットネット(Mirai、Brickerbot、Hajime)を分析しており、脅威の重大性を強調している。現時点ではIoTボットネットを脅威として見る組織は少ない。しかしIoTデバイスの普及によりIoTボットネットは拡大を続けており、強力な攻撃を遂行できる能力を高めている。Radware社によると、2017年はアプリケーション層へのDDoSが増え、ネットワーク層へのDDoSが減少しているという。同社はこのシフトはIoTボットネットの拡大に起因するものと考えている。
またRadware社はDDoS攻撃に関する重要な傾向として、短時間集中攻撃の増加を挙げる。2~50秒間の攻撃を約5~15分間隔で繰り返す。またリフレクション増幅攻撃も増加している。第三者の正規のコンポーネント(いわゆる踏み台)を使用し、トラフィックを増幅してリソースを枯渇させる。
