2019年上半期(1~6月)脅威動向ハイライト
1.「環境寄生型」の攻撃が拡大、ファイルレス活動が前年同期比3.6倍に増加
主に標的型攻撃におけるネットワーク侵入時などに用いられる「環境寄生型(Living Off the Land)」の攻撃だが、こうした攻撃を示唆する活動が拡大している傾向が明らかとなった。「環境寄生型」の攻撃は、正規ツールの悪用や痕跡を残さない活動を行うことで、対策側の監視や調査を回避することを目的としている。
不正プログラム本体を実行可能な状態のファイルとしてコンピュータに保存することなく活動させる「ファイルレス」は、その代表的手法になる。2019年1~6月の全世界におけるファイルレス活動を示唆する挙動の検出数は、前年同期比約3.6倍に増加した(図1)。
また、Microsoft Officeのマクロ機能を利用して、PCのセットアップやトラブルシューティングなどで活用されるWindowsの標準機能「PowerShell」を起動し、不正にプログラムを実行する手法も横行している。
これらは、メールに添付された文書ファイルという形式で侵入することが多く、実行形式などのファイルと比較して業務上必要なファイル形式のため、形式のみで一律に排除することが難しいと考えられる。
さらに、文書ファイル形式であれば、ユーザ側の注意が薄れることも、サイバー犯罪者に多用される理由として挙げられる。実際に、マクロ機能を悪用する不正プログラム「Powload(パウロード)」の全世界の検出台数は、4期連続10万件を超え、引き続き高い水準にある(図2)。
さらに「Powload」は、標的とする国・地域の言語に設定されていない環境では、メインの機能を実行せず、一般的なサンドボックスによる発見や解析を回避しようとする。
正規ツールの利用や痕跡を残さない活動、監視や調査を回避する攻撃手法は、広く一般の攻撃にも拡大しており、法人組織としては痕跡消去や隠ぺい工作に対して、多様な対策技術を組み合わせて監視・追跡を行えるように体制を整えることが重要だ。また、従業員に対しては「マクロの有効化は危険性を伴う」などの、セキュリティ意識の向上のための啓発活動も組織として必要となる。
2. クラウドメールの認証情報を狙うフィッシング詐欺に法人も注意
2018年から活発化したフィッシング詐欺は2019年も継続中であり、特に、法人組織でも利用されるクラウドメールの認証情報を狙う攻撃が顕著化している。実際に、全世界で2019年1~6月に、フィッシングサイトとしてトレンドマイクロがアクセスをブロックしたURLの中で、Microsoft Office 365やMicrosoft Outlookを偽装したものが前期比約1.8倍に増加した(図3)。
認証情報を詐取されクラウドのメールシステムに不正アクセスされることにより、メールの盗み見などの情報窃取、アカウント乗っ取りによるなりすましメール送信などの被害につながる恐れがある。
また、最終的には「ビジネスメール詐欺(Business Email Compromise:BEC)」や、クラウドシステムの認証情報を悪用した組織内ネットワークへの侵入など、さらなる深刻な被害を受ける可能性もある。
対策としては、フィッシング詐欺メールの検知や不正サイトへのアクセスをブロックする製品の導入のほか、第3者からの不正アクセスを防ぐ多要素認証の導入、従業員への詐欺メールに関する教育などが必要になる。
(出典:トレンドマイクロ)
