2021年度末に世界中が混乱したLog4j脆弱性
2月16日、Trellixは「2021年第3四半期 Advandes Threat Research Report(ATR)」について、報道関係者向けの勉強会を開催した。本レポートは、Trellixとして初のレポートだとしている。なお、ATRは同社の研究機関の名前から由来しているという。
勉強会では、2021年第3四半期の脅威動向としてランサムウェアや環境寄生型攻撃に加えて、攻撃パターン技術、Apache Log4jの脆弱性についても解説された。
はじめに、12月9日にLog4jの脆弱性(CVE-2021-44228)がGitHub上のPOCとあわせてTwitterで公開されて話題になったことに触れて、その経緯について時系列を追って解説が行われた。一連の騒動については、脆弱性が容易に利用できてしまう点、そしてインパクトの大きさから騒ぎが大きくなったという。特に、12月14日に異なるコンポーネントを利用した脆弱性が発見されると、12月18日に改修したバージョンから新たなDOSの脆弱性が発見されるなど、連鎖的に脆弱性が発覚したことが、より一層混乱に拍車をかけたとしている。
「MVISION Insights」を用いて攻撃を可視化してみると、12月13日(脆弱性公開から4日後)の時点で世界中のありとあらゆる場所で攻撃が確認できる状況だったという。また、日本においても12月10日より攻撃を検出。同執行役 セールスエンジニアリング本部 ディレクターを務める櫻井秀光氏は、「弊社でもどれだけの影響があるのか情報を日時でアップデートして提供していました。企業のCSIRTはもちろん、脆弱性を抱えている製品を提供する企業のPSIRT、セキュリティ製品を提供している企業など多くの担当者が対応に奔走していました」と振り返る。
続いて、第3四半期におけるランサムウェアの動向として、第2四半期にランサムウェアに対する非難が高まり、多くのサイバー犯罪フォーラムで活動禁止などの措置が取られたにも関わらず、別名称を使うなどして活動を停止していたグループが再登場していたという。
たとえば「REvil/Sodinokibi」は、第2四半期に続き最も多く検出されており、全体の4割以上を占める結果になっている。なお、2021年後半には同社リサーチャーも協力して、FBIとユーロポールがRevilを使用した攻撃者を逮捕し、200万ドルの身代金差し押さえに成功しているという。また、米政府がStopRansomware.govを立ち上げたことも記憶に新しい。
そして、名前や形を変えて活動を続けているランサムウェアグループとして「BlackMatter」が挙げられた。同グループは2021年7月末に初めて発見されており、米国における穀物生産の40%が悪影響を受ける可能性があると報告された、農業サプライチェーン企業のNew Cooperative社を攻撃したことで知られている。櫻井氏は、「BlackMatterは、『GandCrab』『LockBit』『DarkSide』など複数のマルウェアの良い部分を利用していると主張していますが、コードを解析するとコロニアルパイプライン攻撃に関連するDarkSideマルウェアと酷似しており、名前を変えて復活した可能性も高いとされています」と説明する。
また、「Groove Gang」が使用しているマルウェアの解析から「Babuk Gang」の流れを汲んでいることが確認されているという。BlackMatterによる攻撃のように社会に大きな影響を与えるものも多く、REvilによる「Kaseya VSA」に対するランサムウェア攻撃では、100万人を超えるユーザーへ影響を及ぼしており、7,000万ドル(約78億円)という莫大な身代金の要求額は公にされているものでは最大となっている。スウェーデンのスーパーマーケットチェーンであるCoop社も、この攻撃の影響を受けて数百店舗で営業停止に追い込まれたという。
