Trellix による 2022 年の脅威予測

2021 年は、ランサムウェア、国民国家、ソーシャル メディア、そしてリモート ワーク依存への移行といったことが話題になる年でした。そこから明らかになったのは、攻撃者が一向にひるんでいないということです。攻撃者は大胆にソリューション スタックを阻害し、成功するたびに勢いを増しており、その自信をもとにさらに大胆になって増殖を続けています。

攻撃者の強硬な態度が大きな影響力をもたらし、それがどう被害を拡大してきたかを、私たちは目撃してきました。ランサムウェアの平均的な要求額は、2018 年の 5,000 ドルから 2020 年には約 20 万ドルになりました。わずか 2 年間で実に 3,900% というこの驚異的な上昇率こそ、攻撃者が成功するたびに力をつけているという証です。であれば、そうした姿勢と意志の強さから生み出される果実を収穫し続けたいと考えるのは当然のことでしょう。

この成功は、適応力によって実現しました。初めてやってみて成功しなければ、もう一度試してみようという考え方です。攻撃者たちは、組織においては通常どおりの業務の維持が至上命令であることを知っているので、このような不屈さで、まるで一個の生命体であるかのように活動しているのです。

Trellix のフェロー兼チーフ サイエンティストを務める Raj Samani は、次のように語っています。「この 1 年間でサイバー犯罪者は、ランサムウェアから国家ぐるみまで、新たな攻撃の手口を繰り出すために、より速くよりスマートにその戦術を再構築するようになってきました。2022 年も、その傾向は変わらないと思われます。脅威の状況が次々と変化し、世界的なコロナ禍の影響も終わりが見えない中、企業は常にサイバー セキュリティの傾向を把握し、自社の情報を保護するためにプロアクティブに、また実践第一になることが不可欠です」

攻撃者を出し抜いてさらにその先を行き、年を追うごとに攻撃と侵害が増えている今の傾向を食い止めるために、セキュリティは常にオンの状態で適応力をつける戦術を採用して、敵より先んじなければなりません。今回の記事では、2022 年に向けて、このようなマインドセットやアプローチの変化がいかに重要かを、Trellix の熟練エンジニアとセキュリティ アーキテクトが説明します。

サイバー犯罪グループ Lazarus からの友だちリクエストに要注意

ソーシャル メディアを武器にした国家ぐるみの手口が、次々と企業の専門家を狙おうとしています
Raj Samani 著

私たちもソーシャル メディアは大好きです。ポップスターと評論家の激論から、オープン チャネル、業界で最高の仕事まで、何でもあります。

でも、ちょっと考えてみてください。

攻撃者も、そのことは知っています。会ったこともない人とつながりたいと考える私たちの思いは、フォロワーを千人、また千人と獲得しようとするあくなき営みにつながっていきます。

その結果、攻撃グループは仕事のオファーをえさにして、エグゼクティブを攻撃対象にするようになっています。当然そうなるでしょう。なにしろ、従来のセキュリティ管理をすり抜け、攻撃対象の企業にいる標的に直接コンタクトするのに、これほど効率的な方法はありません。同じように、インフルエンサーのアカウントをうまく利用して自分たちのメッセージを広めようと、ダイレクト メッセージも使われています。

この手法は新しいものではなく、新たなチャネルとなるくらい当たり前に見られます。なんといっても、狙った相手を「引っかけ」て行動を起こさせるにはある程度の調査が必要であり、偽のプロフィールを作るのは、単にインターネット上のどこかにオープン リレーを見つけるよりも手間がかかります。それでも、個人を狙うのが非常に成功率の高いチャネルであることは実証されており、この侵入経路を使う手法は、サイバースパイ集団だけでなく、犯罪目的で組織に侵入しようとする他の攻撃者の間でも拡大する可能性があると予測されます。

求む: 優秀な悪者諸君

サイバー犯罪者を利用して敵対活動を行う国家ぐるみの手口が増える
Christiaan Beek 著

戦略的なインテリジェンスを重視して、当社のチームは攻撃活動を監視するだけでなく、多様なソースからのオープン ソース インテリジェンスについての調査と監視を通じて、世界中の攻撃活動に関する理解を深めています。そのなかでは、サイバー犯罪と国民国家の営みが結び付くケースも増えています。

多くの場合、スタートアップ企業が設立され、複雑に絡み合ったフロント企業や既存の「テクノロジー」企業が、国の諜報機関の指揮・管理する作戦に関与しています。

たとえば、2021 年 5 月に米国政府は、中国が所有するフロント企業に勤務していた 4 人の中国人を起訴しました。このフロント企業はハッカーを匿い、彼らがマルウェアを開発し、狙った対象を攻撃して、企業秘密や機密技術に関する情報を入手するのを支援していたのです。

中国だけでなく、ロシア、北朝鮮、イランなど他の国々も同様の手口を用いています。雇ったハッカーが他に何をしていようが、自国の利益を損なわない限り、おとがめなしです。

これまでは、特定のマルウェア ファミリーが国民国家の組織と結び付いていましたが、最近ではハッカーを雇い入れてコードを書かせ、作戦を遂行させるという形で、境界線が曖昧になり始めています。

戦術やツールを使って行われる最初の侵入は、「いつもの」サイバー犯罪活動と変わらないかもしれませんが、次に何が起こるかを監視し、迅速に行動することが重要です。2022 年には、従来のサイバー犯罪者と、サイバー攻撃者としての国家の違いが、ますます曖昧になっていくと予測されるため、企業は可視性を監査し、自社の業種を狙った攻撃者がとる戦術や作戦から学ぶ必要があります。

ゲーム・オブ・"ランサムウェア"・スローンズ

独立性の高いサイバー犯罪グループによって、RaaS 世界のパワーバランスがシフトする
John Fokker 著

ここ数年、ランサムウェア攻撃は最もインパクトのあるサイバー脅威として、メディア各社の見出しを独占してきました。その間に登場した RaaS (Ransomware-as-a-Service、サービスとしてのランサムウェア) モデルによって、スキルの低い犯罪者でもサイバー犯罪のキャリア パスを歩めるようになり、結果的にそれが侵入件数の増加と犯罪者の利益の増大につながりました。

それ以来ずっと、RaaS の管理者と開発者ばかりが優先的に捜査対象となり、その関係者つまりアフィリエイトは技術力が低いものとして軽視されてきました。それだけでなく、RaaS のエコシステムが途絶えることもなかったため、スキルの低かったアフィリエイトが生き残り、ついには自らの意思を持ったきわめて有能なサイバー犯罪者へと成長する世界が誕生したのです。

Colonial Pipeline に対する最近の攻撃を受けて、裏世界で有名なサイバー犯罪フォーラムでは、ランサムウェア攻撃者による広告を禁止したほどです。その結果、RaaS グループは、積極的に人材を採用したり、その優位性をアピールしたりする、あるいはエスクローを提供する、モデレーターにソース コードをテストしてもらう、紛争を解決するといった目的に利用できるサードパーティのプラットフォームを持てなくなりました。可視性を欠いたことによって、RaaS グループは信頼を確立または維持することが難しくなり、RaaS 開発者がアンダーグラウンドの世界でこれまでのようにトップレベルの地位を維持することも難しくなっています。

こうした経緯で、RaaS グループの立場はすっかり弱くなりました。最近、ランサムウェアは何十億ドルもの利益を上げていますが、自分たちが正当な分け前を得られていないと考える一部の個人が不満を抱くようになるのは、時間の問題でしょう。

ブログでも書いたように、そうした変化を示す最初の兆候はすでに現れ始めています。コンピューター ネットワークのエクスプロイト (CNE) を専門とする Groove Gang は、老舗の RaaS から分派したサイバー犯罪者集団です。機密データを漏えいさせたうえで、儲けが出るとわかれば、ランサムウェア チームと組んで組織のネットワークを暗号化します。

2022 年には、今まで以上に独立性の高いサイバー犯罪グループが台頭し、RaaS 世界のパワーバランスが、ランサムウェアをコントロールする側から、被害者のネットワークをコントロールする側へとシフトしていくことが予想されます。

サルでもわかるランサムウェア

スキルの低いオペレーターが RaaS モデルのパワーシフトに膝を屈するとは限らない
Raj Samani 著

RaaS のエコシステムは、アフィリエイトを利用しながら発展してきました。開発者と協力して利益の分配を受け取る中間業者のことです。この構造は、ランサムウェア GandCrab の発展期に先鋭化しましたが、開発者とアフィリエイトの結び付きは決して完璧とはいえなくなっており、そこにギャップも見え隠れしています。

歴史的に、主導権を握っていたのはランサムウェア開発者でした。攻撃活動に参加するアフィリエイトを自由に選択できたからです。専門技術を確かめるために "採用面接" を実施することもあったほどでした。しかし、ランサムウェアをめぐる市場に参入する関係者が増えてくると、優秀なアフィリエイトは少しでも多くの利益を得ようとして自分たちのサービスをオークションにかけるようになり、さらには作戦面で発言力まで求めるようになったのだろうと推察されます。

たとえば、DarkSide ランサムウェアに Active Directory の列挙機能が導入されたのは、アフィリエイトの専門技術への依存をなくすためだったのではないかと考えられます。このような変化からは、ランサムウェアの世界が初期の頃に回帰する可能性も示唆されます。ランサムウェア開発者が組み込んだ専門知識を利用するスキルの低いオペレーターの需要が増えています。

はたして、それでうまくいくのでしょうか? 率直に言うと、熟練ペネトレーション テスターの専門知識を再現するのは難しいでしょうし、もしかしたら――あくまでも仮定ですが――最近の事例のような深刻な影響はないとも予想されます。

API に要注意

API サービスとアプリとの間の 5G および IoT トラフィックが、儲けの多い攻撃対象に
Arnab Roy 著

攻撃者は、企業に見られる統計や傾向に注目しながら、リスクが高くなっている可能性のあるサービスやアプリケーションを狙おうとします。クラウド アプリケーションは、その種類 (SaaS、PaaS、IaaS) にかかわらず、B2B の場合でも B2C の場合でも、ソフトウェア開発者による API の設計、利用、活用のあり方を大きく変えてきました。こうしたクラウド アプリケーションは、普及率と人気が高いうえに、API のバックにあるビジネス クリティカルなデータや機能の宝庫にもなっている関係で、攻撃者にとって格好の標的となっています。API は接続して利用されるという性質上、幅広いサプライ チェーン攻撃の侵入経路となり、企業にさらにリスクをもたらす恐れがあります。

将来的に、以下のようなリスクが発生すると考えられます。1.API の設定ミス、2.最新の認証メカニズムのエクスプロイト、3.従来のマルウェア攻撃が、今以上にクラウド API を利用するように進化する、4.企業データに対する攻撃に API が悪用される可能性、5.ソフトウェア定義インフラストラクチャに API が使用されるようになり、悪用の可能性につながる、といったことです。

開発者は、効果的なセキュリティ ロギングと遠隔測定によってインシデント対応を改善し、悪用を検出することに加え、API のための有効な脅威モデルを開発し、ゼロ トラストのアクセス制御メカニズムを運用することを優先事項にすべきです。

アプリケーション コンテナーが乗っ取りの対象に

コンテナーに対するエクスプロイトが拡大して、エンドポイント リソースの乗っ取りの原因に
Mo Cashman 著

コンテナーは、最新のクラウド アプリケーションの実質的な標準プラットフォームになりました。企業から見ると、ポータビリティ、効率性、スピードなどのメリットがあり、ビジネスのイノベーションを促すアプリケーションの導入と管理にかかる時間も短縮できます。しかし、コンテナーの使用が加速すると、組織に対する攻撃対象が増えることになります。どのような手法に注意すべきでしょうか。また、コンテナーのどんなリスク グループが攻撃対象になるのでしょうか。公開アプリケーションのエクスプロイト (MITRE T1190) は、APT やランサムウェア グループがよく使う手法です。クラウド セキュリティ アライアンス (CSA) は、イメージ、オーケストレーター、レジストリ、コンテナー、ホスト OS、ハードウェアなど複数のコンテナーをリスク グループとして指定しています。

今後、エクスプロイトの悪用が拡大すると予想される主要なリスク グループを以下に示します。1.オーケストレーターのリスク: Kubernetes などのオーケストレーション層とそれに関連する API への攻撃が、主に設定ミスが原因となって増えている。2.イメージまたはレジストリのリスク: 脆弱性チェックが不十分なため、悪意のあるイメージやバックドアのしかけられたイメージの使用が増えている。3.コンテナーのリスク: 脆弱なアプリケーションを狙った攻撃が増えている。上にあげたような脆弱性のエクスプロイトが 2022 年に拡大すると、暗号通貨マイニング マルウェアによるエンドポイント リソースの乗っ取りや、他のリソースのスピンアップ、データ盗難、攻撃者の常駐、ホスト システムへのコンテナー エスケープなどが発生する恐れがあります。

ゼロデイ対策

脆弱性を転用してエクスプロイトが実行されるまでの時間はもはや時間単位であり、打てる手は少ない―が、それでもパッチは有効
Fred House 著

2021 年は、エクスプロイトを受けたゼロデイ脆弱性の数としては過去最悪の記録を更新したと、早くも言われています。それらの脆弱性のエクスプロイトの範囲、攻撃対象となったアプリケーションの種類、そして最終的に組織に及んだ影響は、すべて注目に値するものでした。2022 年に向けては、こうした要因を受けて、組織の対応スピードが向上するものと予測されます。

2020 年、SolarWinds の顧客約 17,000 件でセキュリティが危機にさらされ、そのうち約 40 件が実際に攻撃対象になったことを最初に知ったとき、その被害の広がり方にショックを受けた関係者は少なくありませんでした。残念なことに、2021 年に入ると、組織の対応の遅れもあって被害の拡大が顕著になりました。たとえば、Microsoft が ProxyLogon にパッチを適用してから 2 週間後、3 万の Exchange サーバーにまだ脆弱性が残っていると報告しています (多めな概算では 6 万台とも言われています)。

その後、Exchange にとって同じ年の 2 度目の事件となったのが、ProxyShell です。8 月には、Blackhat が Exchange Server の脆弱性をプレゼンテーションで詳しく紹介し、さらにその翌日にはエクスプロイトの POC (概念実証) も公開されました。そのすべては、数カ月前の 4 月から 5 月にかけて Microsoft がすでにパッチを公開していたものです。エクスプロイトの POC が公開されてから 1 週間後、Shodan が収集したデータを分析し、3 万台以上の Exchange サーバーが依然として脆弱であると結論されましたが、このデータは全範囲を十分に反映していない可能性があることも指摘されています (つまり、Shodan はインターネット全体をスキャンする時間がなかったのです)。要するに「春にパッチ適用、秋にエクスプロイト発生」という事態でした。

では、以上の結果からどんなことを導き出せるでしょうか。攻撃する側もセキュリティを研究する側も、これからさらに技術に磨きをかけていけば、いずれは脆弱性の公表からわずか数時間のうちに、武器としてのエクスプロイトや、逆に POC が登場するようになるということです。しかしその一方では、侵害の影響が大きくなっていることから、資産やパッチの管理に新たな注意も必要になってきます。公開されている資産を特定したり、ビジネスに支障をきたす恐れがあるのを承知のうえでパッチを迅速に配備したりと、企業は「パッチ公開までの時間」を短縮することに、新たに焦点を当てることになるでしょう。大きな影響力を持つエクスプロイトは今後も登場するでしょうが、侵入を狙う攻撃者よりも迅速かつ効率的に学習し適応できるセキュリティを導入すれば優れた保護を実現できると認識する企業が増えてきているので、こうしたエクスプロイトの範囲は縮小していくだろうと考えられます。