ディープインスティンクトは、「2021年上半期 脅威情勢レポート」を公開したことを発表した。
本レポートは、米Deep Instinctの脅威研究チームが、2021年1月から6ヵ月間の脅威リポジトリからマルウェアを分析し、種類別の検出値推移や今後、注視すべきランサムウェアとその特徴を明らかにしたものだという。また、ランサムウェアによって引き起こされた大規模な事件や官民連携によるボットネット閉鎖作戦の成果をまとめ、2020年末に公開した脅威レポートで予測したポイントが、現在、どのように推移しているかを考察している。
ランサムウェアは2019年同期比で800%もの増加
月単位でみる種類の割合は比較的変化に乏しく、ランサムウェア、ドロッパー、ワームが上位を占めているという。しかし、ランサムウェアの検出件数は、2019年1月~6月期と比較して、800%も大幅に増加。2021年前半だけでもランサムウェアは244%の増加だとしている。
ランサムウェアは依然としてSTOPが過半数を占める
マルウェアのうち、特に組織に甚大な被害をもたらすランサムウェアについては、STOP(亜種名Djvu)が検出数トップ5の合計値のうち、過半数を超える66.3%を占めている。STOPは、PDFやMicrosoft Officeドキュメント、データベース、写真、音楽、動画に狙いを定めて最初の5MBだけを暗号化するランサムウェアで、復号ツールをダウンロードさせない仕組みも備えているという。2番目に多いSodinokibi(亜種名REvil)は、RaaS(Ransomware as a Service)として機能し、二重恐喝の手法に用いられるランサムウェアだとしている。
バンキング型トロイの木馬の増加傾向は継続中
Emotetが2021年の年初に掃討されて以降、DridexとTrickBotの急伸は目をみはるものがあるという。特に、金融詐欺やID窃取を目的とした高度な機能を持つTrickBotは、多様な機能と検知率を低下させる回避手法が組み込まれている。それらを目的別に交換、変更、再構築できる高度なマルウェアであることから、今後の動向が注目されるという。
身代金要求モデルの悪質化~二重恐喝
ランサムウェア攻撃の被害を低減化するためにデータの日次/週次バックアップを作成する企業が増えたことにより、攻撃者は身代金を取り逃がすリスクを無くそうと、新たに二重恐喝という手法を考案。暗号化したデータの復号に身代金を求め、さらに窃取したデータの一部を公開すると脅して身代金を求める戦術だという。この戦術は効果的であると攻撃者に判断され、多くの攻撃者が良く使う手法となっている。
2019年に115,123米ドルだった身代金の平均額が2020年には312,493米ドルにまで上昇しており、今後もこの傾向が続くという。2021年5月、米国の石油パイプライン大手Colonial Pipelineは、二重恐喝に対して440万ドルを支払っている。
国際的な官民協力体制でボットネット掃討作戦を実施~EMOTETを解体
2021年1月、7ヵ国の法執行機関と民間のサイバー研究者のグループが協力した作戦により、7年以上もの間、最も深刻かつ高度なマルウェアとされたEmotetのボットネットの解体に成功し、感染端末からのアンインストールも終了している。続く2月には、ウクライナ、フランス、米国が協力し、Egregorランサムウェアギャングが利用していたインフラを摘発。6月には、ウクライナ、米国、韓国が協力し、CIOpランサムウェアギャングのメンバーの一部が逮捕されている。
攻撃者は機械学習でマルウェアを機能強化し検出を回避~敵対的機械学習の進歩
米Deep Instinctは、マルウェア開発者が機械学習を用いて検知を効果的に回避しようとする敵対的機械学習の兆候を掴み、敵対的な技術の予測と研究を行っているという。敵対的機械学習とは、ウイルス対策ソフトを騙して悪意のある入力を無害なファイルとして分類させることや、検出回避のための仕組みを組み込んで検知率を低下させることが目的だとしている。
今後もディープインスティンクトは、ディープラーニングを活用したサイバーセキュリティのリーディングカンパニーとして、予防ファーストのアプローチを提唱していくという。
【関連記事】
・ランサムウェアが増加と過激化 窃盗と身代金による「二重脅迫型」が流行【デジタルアーツ調査】
・ランサムウェアのインシデント、前年比64%増加 企業への攻撃急増中【バラクーダ調査】
・ランサムウェア攻撃数が93%増――チェック・ポイント調査
