姿を変えるEmotet、被害が拡大するランサムウェア
身近なサイバー攻撃の1つにEmotet(エモテット)がある。2019年に猛威をふるい、いったん鎮火しかけたものの、2021年11月ごろから活動が再燃していた。今年はJPCERT コーディネーションセンターや警視庁をはじめとして多くの注意喚起がなされつつも、被害事例が相次いだ。
サーバーリーズン セールスエンジニアリング部 セールスエンジニアを務める今村友哉氏は、「これまで海外の出来事と思われていたサイバー攻撃が日本でも当たり前になりつつあります。攻撃者や攻撃対象が多様化し、攻撃自体もより巧妙になってきています」と話す。
元々Emotetはオンラインバンキングやメールのログイン情報を盗むことを目的としたトロイの木馬型マルウェアで、モジュール追加型のためそれを拡張することで変化する。一般的には、メールに添付されたオフィス文書のマクロを有効化することで感染につながるケースが多かった。
セールスエンジニア 今村友哉氏
最近では、添付されたショートカットファイル(.lnk)などを悪用するケースも見られる。またWebブラウザに登録されているクレジットカード情報を窃取し、攻撃者に届くようなところに送信する手口も急増している。一度感染してしまうと、重要な情報が窃取されて大きな被害に発展しやすいため、十分な警戒が必要だ。
ランサムウェアも以前より大きな脅威となっている。今年の6月頃にランサムウェア Lockbitも3.0へアップデートし、9月にはビルダーの流出など、さらに脅威が高まり懸念されている。日本の企業や組織においても被害は拡大の一途にある。そして2022年9月15日、警察庁が「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」を発表した。
それによると、2022年上半期に警察庁に報告されたランサムウェア被害は114件。2021年上半期が61件、2021年下半期が85件と、確実に右肩上がりの傾向にある。感染経路は「VPN機器から」が68%、リモートデスクトップ(RDP)が15%。VPNとRDPだけで全体の8割を越える。
また被害の半数以上で二重恐喝(ダブルエクストーション)の手口が報告されている。当初ランサムウェアはデータを暗号化または破壊して金銭を要求していたが(そのためバックアップで復旧できれば要求に応じる必要がなかった)、近年では事前に情報を窃取したうえで「要求に応じなければデータを公開する」と二重恐喝が増えてきている。
[画像クリックで拡大]
今村氏は「Emotetやランサムウェアの対策では、実行させないことも大切ですが、同時に実行前の不審な挙動に気づいて早急に脅威を回避することがより求められています」と指摘する。
人材がいないのであれば、効率的なツールやサービスを活用しよう
Emotetやランサムウェアなどのサイバー攻撃がはびこるなか、今村氏が課題として挙げるのがセキュリティ人材不足だ。総務省の調査結果によると、情報セキュリティ運用管理の専用部門を設置していない企業が全体の36%、情報セキュリティ運用管理の担当を兼任しているとの回答が全体の9割近くを占めた。多くの企業にとってセキュリティの専門部署や専任者を用意するのは難しいという実態がうかがえる。
[画像クリックで拡大]
今村氏は「セキュリティ専任の部署や担当者がいないのは悪いことではありません。技術的にもマンパワー的にも自社でまかなえないのであれば、外部のセキュリティに特化したベンダーに頼るなど、手がかからないようなツールやサービスを活用することも一つの方法です」と話す。あわせて今村氏は最近の攻撃から事業を守るためのポイントとして、次の点を挙げた。
- (1)端末の処理を24時間監視し、不審な挙動を即時検知、対処する
- (2)定期的に専門家による侵害リスク調査を行い、改善を続ける
- (3)万が一の際、業務停止時間を最小とするための対策実施
- (推奨)事前の封じ込めから事業復旧、終息宣言までの支援体制を用意
たとえば、(2)は主にペネトレーションテストやレッドチーム、侵害調査などのシステムが抱える脆弱性やリスクを浮き彫りにするサービスが該当し、(1)と(3)はサイバーリーズンが得意とする「EDR(Endpoint Detection and Response)」が該当する。
今、国内のEDR市場は拡大基調にある。富士通キメラ総研の調査によると、2026年度の市場規模は2020年度の2.8倍の予想だ。背景には、標的型攻撃の高度化により、侵入後対策の重要性が認知されていること。そして、テレワークの増加で(境界型防御から)エンドポイントセキュリティへの拡大ないしは、切り替えの需要が増えていることや、ゼロトラストセキュリティの考えが浸透してきていることなどが挙げられる。
攻撃の“フルストーリー”を視覚化 エンドポイント保護は、クリックで即座に
サイバーリーズンは、イスラエルの情報収集部門である「8200部隊」のセキュリティスペシャリストが立ち上げた企業だ。イスラエル発のAIやビッグデータなどの技術を製品に組み、最新の攻撃にも対応すべく開発を進めている。特に昨今では「NGAV(次世代アンチウィルス)」と「EDR」を強みとしている。
攻撃のステージで見ると、最初の侵入前段階ではNGAVが働き、侵入後はEDRが機能することでC2(C&C)サーバーとの通信、組織内の横展開、内部偵察、情報窃取などの各ステップでの検知が可能だという。
[画像クリックで拡大]
一般的にNGAVは、従来のアンチウィルスにあるようなシグネチャを使用したパターンマッチングで既知のマルウェアに対応するだけではなく、AIや“ふるまい検知”などのアルゴリズムで未知のマルウェアにも対応できるようになっている。さらにサイバーリーズンでは、PowerShellなどの正規のツールを悪用したファイルレス攻撃をブロックするための検知ロジックや、脆弱性の悪用防止も可能としている。
そしてEDRでは、侵入後の検知、対応を想定し、不審なふるまいや挙動を検知して、復旧のための解析や運用を支援。各端末にエージェントをインストールすることになるが、エージェント自体のCPU使用率や通信量が低く、業務に影響を与えないように設計されているという。各端末からのデータを収集して相関解析を行うことで、未知の攻撃を素早く検知。もし新たな攻撃が検知された場合は、(同じ脅威・攻撃ごとに)影響する端末に向けて遠隔で一斉対処するように指令を出せることが特長だ。
NGAVはマルウェアや悪意のあるファイルを実行させないためにあるが、EDRは侵入後の対応のためにあり、「可視化・検知」と「対処・対応」が重要となる。前者はエンドポイントで起きている事象をリアルタイムで収集して可視化、不審なふるまいがあれば確実に検知するからだ。
また、サイバーリーズンの調査画面ではプロセスツリーを表示し、プロセスの因果関係全体を確認できる。すべてのプロセスを表示するため、前後関係や、どのプロセスが何を呼び出しているか、どのDLLファイルがロードされているかなどが一目瞭然だ。また実行した端末やユーザーの情報、タイムライン、通信が発生しているなら宛先IP、実行されたコマンドラインなどあらゆる情報が可視化される。
[画像クリックで拡大]
後者の「対処と対応」は、検知でアラートが発報された後の対処と対応のことを指している。一般的には何かアラートが検知されたら管理者がユーザーに確認して、もし不審な挙動があれば、たとえばLANケーブルを物理的に引き抜いてネットワークへの接続を遮断するなど対応するケースも多いだろう。
このとき、もしサイバーリーズンのEDRエージェントを導入していたなら、アラート画面から該当する端末に対してファイルの実行防止、端末の隔離、プロセスの終了、ファイルの隔離などのアクションを実行できるという。アクション実行対象となる端末は社内ネットワークだけではなく、インターネット経由で接続できさえすれば、移動中や自宅(テレワーク中)の端末も含まれる。また、同じ脅威に影響を受ける端末に一斉にアクションを送信することも可能だ。ユーザーや端末ごとのアラートに対して、一つひとつ対処しなくてすむため効率的であり、管理者の負担軽減も期待できる。
では、こうした特徴が実際にどのように活きてくるのか。Emotetの攻撃を受けた場合で考えてみよう。Emotetの感染プロセスの例として、ユーザーが悪意のあるOfficeファイルを開き、マクロが実行される。すると正規のプログラムを利用し、それを隠れ蓑に不正なアクティビティが裏で実行、最終的には侵入され、端末の内部情報を取得するなどのプロセスが一般的だ。
このとき、サイバーリーズン製品では管理ダッシュボードの見やすさという特長が活きてくる。しっかりと日本語対応しているだけでなく、感染規模と時間経過をバブルの大きさや色で視覚的に表示。深刻度別に分けられているのも特徴で「感染」「権限昇格」「内部探索」「ラテラルムーブメント」「C2通信」「情報窃取」など、攻撃の進行度別にどれだけ発生しているのかを直感的に把握することができる。
[画像クリックで拡大]
また詳細画面では、いつどこで何がどう起こったか自動解析してくれて、視覚情報として表示。異質な事象は赤色表示され、ドリルダウンと深掘りが可能だ。このときユーザーは、端末隔離やプロセス停止など、必要な処置を数クリックで対処できるようなUIになっている。対処対象の端末が複数ある場合は、指示を出す端末を選択して一斉に実行することもできる。
今村氏は「かなりスピーディーに対応できるEDRソリューションとなっています」と胸を張る。たしかに被害を最小限に抑えるためにも、インシデントの検知から対応といった一連の対処は早ければ早いほど良い。そのためにも、管理者が素早く対応できるようなデザイン(UI/UX)は重要なポイントだ。最後に今村氏は「こうしたNGAVやEDRに関心を持っていただけたら、ぜひサイバーリーズンをご検討ください」と述べてセッションを締めくくった。
