ボットネットがランサムウェアの“呼び水”に
チェック・ポイントは、2021年1月から6月までのサイバー攻撃状況をまとめた「サイバー攻撃トレンド2021年中間レポート」を発表している。これは、同社の脅威インテリジェンスである「THREATCLOUD」に蓄積・分析された脅威データを元にしたものだ。
レポートによると、世界的なサイバー攻撃の増加傾向が明らかになっていることが確認できる。サイバー攻撃数は、米国では2021年1月対比で17%増加しており、これは1組織・1週間あたり443回のサイバー攻撃を受けたことになるという。同様に、EMEA地域では36%増加(同777回)、APAC地域では13%の増加だが、1組織・1週間あたりに換算すると1338回にものぼる。なお、グローバルでは同期間に29%増加しているという。
「日本は、オリンピック開催の少し前から急激にサイバー攻撃が増加しており、最大で週平均1,151件のサイバー攻撃を記録しています」と卯城氏は指摘する。日本は2021年1月対比で153%増加、2020年平均と比較しても71%の増加となっており、過去と同様、オリンピックはサイバー攻撃の格好の標的となっていることがわかる。
では、サイバー攻撃に使用されたマルウェアの状況はどうだったのか。こちらは大きな変化はなく、ボットネットとバンキングマルウェアが突出して多かった。ただし、「バンキングマルウェアがボットネット化するケースも多いので、両社を明確に分けることは難しく、ボットネットにまとめて考えてもいいと思います」と卯城氏は説明する。これらの代表的なものが「Emotet」であったが、2021年1月にテイクダウンされていることは記憶に新しい人も多いだろう。
レポートでは現在、「Emotet」の後継ともいえる「Trickbot」や「Dridex」、「Qbot」といったボットネットの猛威が報告されている。卯城氏は「気をつけなければならないのは、攻撃のシナリオが変わっていることです」と指摘する。以前のボットネットはランサムウェアを呼び込むことが役割だった。
「現在はメールの添付ファイルの仕掛けによってボットネットが侵入するだけでなく、ペネトレーションツールを呼び込むことで標的環境の脆弱性を検査します。これは、より効率的な脆弱性攻撃を行うための調査段階にあたりますが、このペネトレーションツールが攻撃者と通信するプロトコルは、DNSなど正規なものと見分けづらく、通信情報だけでは“悪意のあるもの”として検知することができません。攻撃者も非常に賢くなってきたといえます」(卯城氏)
また、レポートでは日本特有の傾向も現れている。たとえば、日本において“悪意のあるファイル”に遭遇する経路は、メールが96%を占め、ウェブを経由するものは4%にとどまっている。グローバルではメールが88%、ウェブが12%であるため、日本でのマルウェア攻撃はほぼメールに特化しているのだ。
さらに、“悪意のあるファイルタイプ”として、グローバルではファイルの拡張子に「docx」や「xlsx」が多いのに比べ、日本では「doc」「xls」が目立つ。同じMicrosoft WordやMicrosoft Excelのファイル形式であるが、バージョンが異なる。つまり、日本では古いバージョンを使い続けているケースが多いといえる。
加えて、「サイバー攻撃の業種別の傾向」においても、グローバルでは教育、調査機関、政府、軍が多いのに対し、日本はSIer、VAR(value-added Re-seller:付加価値再販業者)、ディストリビュータが主な標的となっている。日本では自社でシステムを構築せず、これら外部の業者に委託しているケースが多く、企業情報や個人情報も業者が持っていることが原因と考えられる。
