企業は標的型ランサムウェア、個人はモバイルデバイスへの攻撃が増加傾向
サイバー攻撃は常に変化し続ける。2019年から2020年はじめにかけてのサイバー脅威の動向について、カスペルスキー 代表取締役社長 藤岡健氏はポイントを3つ挙げた。
1つ目はランサムウェアの標的が個人から組織にシフトしていること。ランサムウェアが出始めたころ、攻撃対象は不特定多数の個人だった。個人所有端末のドキュメントや写真のファイルが暗号化され、暗号化を解除するための身代金が要求された。当初は高額なビットコインで要求されることが多く、個人には扱いが難しく混乱もあった。後にプリペイドカードでの要求や、要求金額が下落することもあった。
ランサムウェア自体は一時下火になったものの、昨年あたりから再び増加に転じている。標的は個人から特定の組織へとシフトし、組織のネットワークに侵入できるように高度化が進んでいる。カスペルスキーではグローバルで複数の標的型ランサムウェアインシデントに対応しており、国内事案も含まれているという。今後も注意が必要だ。
2つ目は攻撃方法の高度化。ファイルレス型やPowerShellを悪用するなどして、アンチウィルスやエンドポイント製品からの検知を回避する。またイベントログやファイルを消去するなどして証跡を削除し、後の調査を妨害するものもある。ファイル消去にランサムウェアを使うケースも古くからある。
3つ目はモバイルデバイスへの攻撃の増加。スマートフォンやタブレットが普及していることもあり、AndroidやiOSを標的とした攻撃が増加している。数年前から活発な「Roaming Mantis」と呼ばれる攻撃にもこの傾向が見られる。もとは脆弱なルーターのDNS情報を書き換えるのが特徴だったが、次々と攻撃手法や対象を変えていて、つかみどころがない。日本では宅配業者を装ったSMSメッセージを使うパターンが有名だ。
Roaming Mantisの攻撃グループは金銭的動機が強いようで、最近ではキャリア決済やオンラインバンキングのアカウントを標的にした攻撃も観測されている。またiOSの構成プロファイルに不正プログラムを潜ませる攻撃も見られる。パソコンに比べたらモバイルデバイス(特にiOS)は攻撃されにくいイメージがあるが、今後は気を引き締めておいたほうがいいだろう。
これらに加えて2020年に入ると、新型コロナウィルス対策によるリモートワークの影響も見てとれる。多くの企業が準備不足のままリモートワークに強行せざるをえなかった。オープンソースインテリジェンスの調査によると、社内サービスを利用するためのリモートデスクトップ(RDP)は10万台以上がインターネット上にあるという。簡単なパスワードにしていると短時間でハッキングされるという報告もある。
他にもリモートワークだと、自宅のWi-Fiのセキュリティ対策が不十分だったり、業務用端末に何らかの不具合が起きて私物パソコンやタブレットを使ったり、社内ネットワークにアクセスしづらいために会社非公認のアプリやサービスを使ったり、危うい運用になりがちだ。ちょっとした油断から重大なインシデントにつながりかねない。
ここ数ヶ月は緊急事態で仕方がなかったものの、一段落した今こそ、本腰を入れてリモートワークのセキュリティを整備しておくタイミングではないだろうか。海外の感染状況を見ると、安心していられない。次の波がなかったとしても、日本は自然災害や何らかの理由で移動が難しくなることが考えられるためだ。
組織を狙う攻撃は増え続けている。ランサムウェアのように攻撃が一目瞭然であるほうがまれであり、多くの攻撃者は検知されないように潜伏しているほうが多い。最初はフィッシングや何らかの形でアカウント情報を入手し、企業ネットワークに侵入する。侵入後は情報収集や権限昇格などを繰り返し徐々に行動範囲を広げ、ある日、奇襲する。
藤岡氏は「まずは自社の状況を知り、サイバー犯罪者の動静を把握すること」と話す。どこにどのようなリスクがあるか把握し、どのような攻撃手法があるか常に情報収集しておくことが必要だ。セキュリティ対策は予見、防御、検知、対処を迅速に実行できるようにしておくことが急務であり、そのためには「自動化や省力化が必要」だと藤岡氏は強調する。
