3月27日、SBテクノロジーは、国内外のサイバー攻撃における脅威動向と同社「SBT-SOC」に関する勉強会を開催した。
はじめに、SBテクノロジー プリンシパルセキュリティリサーチャー 辻伸弘氏は、「バラマキメール攻撃の変化と不変」と題して説明を始めた。マルウェア感染の仕組みについて、パスワード付きのZipファイルがメールサーバーを経由してエンドユーザーに到着。マクロが実行されると、PowerShellやbitsadmin.exe、curl.exeなどを呼び出してDL、C&Cサーバーなどからマルウェアを招き入れるとした。感染したマルウェアによっては、メール内容だけでなくブラウザに保存されているID/パスワード、Cookieなども窃取されるため、二要素認証なども突破される。
そうした状況下で、PPAPを廃止したり、外部取得ファイルのセキュリティ警告(MoTW:Mark of The Web)を適用したりと対策を施している企業が増えているという。なお、ISOやRARといったコンテナファイルによるMoTWを回避する手法がEmotetなどで使われていたが、Microsoftが既にパッチを公開している。「攻撃者からすると逆風が吹いている状況だが、新しい手法も生まれている」として、Microsoft OneNoteを悪用する方法を解説。一見すると同ソフトウェアで作成された通常のビジネス文書に見えるが、不正挙動するファイルを隠しているという。ダブルクリックで画像が拡大表示されるなど、正常動作に見せかけた挙動も確認できる。
こうした脅威に対処するための基本として「不必要なファイルの受信拒否やアプリケーションの削除」「外部ファイルであることを保持する圧縮・解凍ソフトの利用」「常に最新のパッチを適用」「外部受信ファイルに対するマクロブロック機能の活用」「不審なファイル受信時や事故発生時に適切な部署への報告を徹底すること」などを挙げた。
辻氏は「着目すべき不変のポイントは、マルウェアを呼び込む部分。Emotet対策という言葉も溢れているが、メールでデリバリする脅威は同様の動きを見せているため、個別ではなく共通部分を押さえて対策することが重要。また、感染しないような対策をしたうえで“侵入を前提とした”対策を講じるべき」と喚起した。
また、同社SBT-SOCセンター長 市川隆義氏は、「SBT-SOC」について紹介。同SOCでは、2023年3月8日、9日の大規模なバラマキ型のメール攻撃によって数社が被害を受けていることを確認しており、MoTWが適用されない圧縮・解凍ソフトウェア製品を使用していることが要因と見られるケースもあるとした。「PPAPに対応するため、サードパーティー製品を使ったために起きたのではないか」と市川氏は推察する。
また、USBデバイスからの感染も拡大している。マルウェア「Raspberry Robin」に感染したケースを同社SOCでも観測しており、USBを差し回すことで企業内で拡散されるような動きも見られるという。さらに、社内環境にグローバルIPを付与するモデムを持ち込んでいたため、ブルートフォース攻撃の標的にされたケースもあるとして、「どれもユーザーニーズがリスクを発生させているのではないか。まずは、リスクと認識されているものに対しては速やかに対処する必要がある」とした。
最後に、同社のセキュリティ事業が伸長していることに触れ、特にEDR需要が拡大しているとした。同日に「VMware Carbon Black」に対応したマネージドセキュリティサービス「MSS for EDR(VMware Carbon Black)」の提供を発表しており、今後はセキュリティ人材の採用・育成強化にもより取り組んでいくという。
