SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2022

2022年9月16日(金)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Column

Log4jやランサムウェア、LotL…… 2021年第3四半期の脅威動向を振り返る

Trellix「2021年第3四半期 脅威レポート」から主要トピックを見る


 Trellixは、2月16日に「2021年第3四半期 脅威レポート」を発表した。今回は、その中から2021年の年末に大きな騒動へと発展したLog4jの脆弱性をはじめ、ランサムウェア攻撃の動向、APT攻撃の傾向や環境寄生型の攻撃について解説された、報道関係者向けの勉強会の様子をお届けする。

2021年度末に世界中が混乱したLog4j脆弱性

 2月16日、Trellixは「2021年第3四半期 Advandes Threat Research Report(ATR)」について、報道関係者向けの勉強会を開催した。本レポートは、Trellixとして初のレポートだとしている。なお、ATRは同社の研究機関の名前から由来しているという。

 勉強会では、2021年第3四半期の脅威動向としてランサムウェアや環境寄生型攻撃に加えて、攻撃パターン技術、Apache Log4jの脆弱性についても解説された。

Trellix 執行役 セールスエンジニアリング本部 ディレクター 櫻井秀光氏
Trellix 執行役 セールスエンジニアリング本部 ディレクター 櫻井秀光氏

 はじめに、12月9日にLog4jの脆弱性(CVE-2021-44228)がGitHub上のPOCとあわせてTwitterで公開されて話題になったことに触れて、その経緯について時系列を追って解説が行われた。一連の騒動については、脆弱性が容易に利用できてしまう点、そしてインパクトの大きさから騒ぎが大きくなったという。特に、12月14日に異なるコンポーネントを利用した脆弱性が発見されると、12月18日に改修したバージョンから新たなDOSの脆弱性が発見されるなど、連鎖的に脆弱性が発覚したことが、より一層混乱に拍車をかけたとしている。

[画像クリックで拡大]

 「MVISION Insights」を用いて攻撃を可視化してみると、12月13日(脆弱性公開から4日後)の時点で世界中のありとあらゆる場所で攻撃が確認できる状況だったという。また、日本においても12月10日より攻撃を検出。同執行役 セールスエンジニアリング本部 ディレクターを務める櫻井秀光氏は、「弊社でもどれだけの影響があるのか情報を日時でアップデートして提供していました。企業のCSIRTはもちろん、脆弱性を抱えている製品を提供する企業のPSIRT、セキュリティ製品を提供している企業など多くの担当者が対応に奔走していました」と振り返る。

[画像クリックで拡大]

 続いて、第3四半期におけるランサムウェアの動向として、第2四半期にランサムウェアに対する非難が高まり、多くのサイバー犯罪フォーラムで活動禁止などの措置が取られたにも関わらず、別名称を使うなどして活動を停止していたグループが再登場していたという。

[画像クリックで拡大]

 たとえば「REvil/Sodinokibi」は、第2四半期に続き最も多く検出されており、全体の4割以上を占める結果になっている。なお、2021年後半には同社リサーチャーも協力して、FBIとユーロポールがRevilを使用した攻撃者を逮捕し、200万ドルの身代金差し押さえに成功しているという。また、米政府がStopRansomware.govを立ち上げたことも記憶に新しい。

 そして、名前や形を変えて活動を続けているランサムウェアグループとして「BlackMatter」が挙げられた。同グループは2021年7月末に初めて発見されており、米国における穀物生産の40%が悪影響を受ける可能性があると報告された、農業サプライチェーン企業のNew Cooperative社を攻撃したことで知られている。櫻井氏は、「BlackMatterは、『GandCrab』『LockBit』『DarkSide』など複数のマルウェアの良い部分を利用していると主張していますが、コードを解析するとコロニアルパイプライン攻撃に関連するDarkSideマルウェアと酷似しており、名前を変えて復活した可能性も高いとされています」と説明する。

[画像クリックで拡大]

 また、「Groove Gang」が使用しているマルウェアの解析から「Babuk Gang」の流れを汲んでいることが確認されているという。BlackMatterによる攻撃のように社会に大きな影響を与えるものも多く、REvilによる「Kaseya VSA」に対するランサムウェア攻撃では、100万人を超えるユーザーへ影響を及ぼしており、7,000万ドル(約78億円)という莫大な身代金の要求額は公にされているものでは最大となっている。スウェーデンのスーパーマーケットチェーンであるCoop社も、この攻撃の影響を受けて数百店舗で営業停止に追い込まれたという。

次のページ
APT攻撃では国家ぐるみのグループも活発に

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Column連載記事一覧

もっと読む

この記事の著者

岡本 拓也(編集部)(オカモト タクヤ)

メディア部門 メディア編集部 EnterpriseZine編集を担当

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/15582 2022/02/16 18:35

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年9月16日(金)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング