弊社リード サイエンティストからのご挨拶

最新の脅威レポートをお読みいただき、ありがとうございます。

Trellix を立ち上げたとき、私たちは、大きな 2 つのバックエンドの統合によって、世界中で起こりつつあるサイバー脅威をめぐって大きな視野が得られると考えました。今回のレポートでは、メールに関して確認されている脅威について詳しくお伝えする新しいカテゴリが追加されています。

We enjoyed seeing so many of you at RSA where we released and presented several pieces of our research ranging from an overview of attacks observed in the Ukraine to vulnerabilities we discovered in medical devices and building access control technology. 本レポートでは、この調査をはじめ流行中のその他の一般的な脅威や攻撃についても取り上げるほか、2022 年 第 1 四半期におけるデータや調査結果をご報告します。

Black Hat、DEFCON、RSA など各カンファレンスでは、弊社の脅威レポートについてのご意見や、温かい励ましの言葉などをいただき、感謝の念に堪えません。ご提案やご質問があれば、カンファレンスがないときでも弊社 SNS などを通じて、どうぞお気軽にお問い合わせください。

次号の発行までは、最新の脅威に関するコンテンツやビデオ、調査をお届けしている Trellix Threat Labs のブログ記事をご覧ください。 

—John Fokker
Lead Scientist

John Fokker Twitter

ロシアのサイバー犯罪の進化

パブリックアトリビューションによると、ロシアのサイバー犯罪者グループの動きが依然として活発です。犯罪者グループの戦術、手法、手順 (TTP) は、ある程度の変化が認められるものの、大きく進化してはいません。最近、複数のドメインが部分的に統合された関係で、脅威を取り巻く状況が変化しています。これは以前から続く傾向でしたが、オンラインの活動が活発になるとともに、その傾向には加速と広がりが見られます。

Trellix は以前からウクライナに一定の顧客ベースを擁しているので、ウクライナを標的とするサイバー攻撃が激しくなったときには、同国の政府および業界パートナーと緊密な協力態勢をとり、脅威を取り巻く状況の変化について監視を強化しました。悪意のあるサイバー活動からウクライナを保護することに努めており、知識の共有だけにとどまらず、被害地域に幅広いセキュリティ アプライアンスを無償で提供しています (保護を最も必要とする組織にアプライアンスの一部を導入してくださった Mandiant のパートナーには、特に感謝の意を表します)。

ウクライナのお客様と一般の人々を支援するために、Trellix Threat Labs は複数の政府機関と協力し、必要なテレメトリー情報、インテリジェンス ブリーフィング、ロシアの攻撃者が使用しているマルウェア ツールの分析結果などを提供しました。お客様の保護を最優先するために、Trellix の取り組みは慎重を期して進められました。

RSA と連携して、Trellix Threat Labs チームは、ロシアのサイバー犯罪者の進化、(サイバー) 戦争の影響、そして観察された組織と活動に関する研究 (「Growling Bears Make Thunderous Noise」) を発表しました。

The report includes detailed research not only on the impact of post-Russian invasion cyberwar, but also on many cyber groups and campaigns associated with the conflict:

• ウクライナ国防省に対するフィッシング攻撃
• Gamaredon
• Wipers
• 攻撃対象の Exchange サーバー
• UAC-0056
• Apt28
• Double Drop

ロシアのサイバー犯罪の進化について、詳細は同レポートの完全版をご覧ください。

方法論

Trellix のバックエンド システムは、四半期ごとの脅威レポートのデータとして使用するテレメトリーを提供しています。私たちは、テレメトリーと、脅威に関するオープンソースのインテリジェンスや、ランサムウェア、国民国家の活動といった流行している脅威に関する独自調査を組み合わせて分析しています。

テレメトリーを話題にするとき、感染ではなく、検出がその焦点になります。検出は、ファイル、URL、IP アドレス、その他の指標を弊社のいずれかの製品が検出し、弊社に報告したときに記録されます。

大切なのは、お客様のプライバシーです。それは、テレメトリーやお客様のセクターおよび国へのマッピングを行う際にも重要です。国によって顧客基盤が異なるため、数字で見ると増えているように見えるかもしれませんが、もっと詳しくデータを調べなければ説明できません。たとえば、弊社のデータでは、電気通信セクターが常に高いスコアを記録しています。しかし、必ずしもこのセクターが多く狙われているというわけではありません。電気通信セクターには、企業が購入できる IP アドレス空間を所有する ISP プロバイダーも含まれています。それはどういう意味でしょうか？Submissions from the IP-address space of the ISP are showing up as Telecom detections but could be from ISP clients that are operating in a different sector.

米国におけるランサムウェア: 2022 年第 1 四半期

2022 年のはじめ、ロシア連邦保安庁 (FSB) が REvil ランサムウェア グループのメンバー数人を逮捕したと報じられたとき、私たちは楽観的でした。弊社の解析によると Revil グループの存在は犯罪者集団の中で小さいものでしたが、それでもこのささやかな協力態勢の兆候から、ロシアではさらに多くの逮捕が続くものと期待したからです。

With the Russian invasion of Ukraine at the end of February 2022, we now know that this was wishful thinking. この戦争が、サイバー犯罪者の分裂するきっかけとなったのです。歴史を振り返っても、サイバー犯罪者は政治を度外視することが多かったので、ロシアとウクライナのランサムウェア犯罪者は金銭的利益のために協力し合う可能性があると考えられます。

陣営の明確な線引きを明らかにしたのが、Conti ランサムウェア グループの声明発表でした。ロシア政権とその行動を支持すると公式に発表したからです。

この公式声明が注目を集めないはずはなく、数日のうちに @contileaks という Twitter アカウントを使う匿名の研究者が、Conti 内部での連絡情報をオンラインで公開し始めます。その内容は数年に及んでおり、膨大な数のメッセージが含まれていました。私たちはこれを「ランサムウェアのパナマペーパー」と呼んでいます。

Trellix は、公開されたメッセージを徹底的に調査し、詳細なブログ記事を公開しました。こちらもぜひご覧ください。このメッセージで確認されたことのハイライトとしては、ロシア政権を支持するという公式声明のほか、Conti グループのトップとロシア諜報機関との密接な関係を示す情報も含まれていました。この関係は、CSIS との協力のもとで以前に発行したレポート「In the Crosshairs: Organizations and Nation-State Cyber Threats」での発見を裏づけるものでもあります。同レポートでは、国家の犯罪者と国家以外の犯罪者との境界線が曖昧になりつつあるというのが、大きな調査結果のひとつでした。

Initially we expected this communication breach to have a severe impact on the ransomware gang’s operation. グループは逆に博打に打って出たようでした。コスタリカが国家として緊急事態を発令するに至るほど、攻撃を続行したのです。Conti 関連のインフラストラクチャは、2022 年第 2 四半期の終わりには解体されていますが、それをもって喜んでばかりもいられません。グループの主要メンバーが一人も逮捕されていないことと、ロシア諜報機関とのつながりがあることを踏まえると、ハイブリッド化したグループの登場も予測されるからです。つまり、政府が選んだ標的を攻撃でき、それでいて金銭的利益を得たあとは犯罪グループの関与を堂々と否定できるということです。The ransomware might have a dual purpose, on the one hand being disruptive in nature and on the other hand serving as a distraction for a data exfiltration operation.

したがって、どの組織もランサムウェアの TTP については特に注意するよう警告します。ロシアの支援を受けた犯罪グループが高い確率で脅威になることがすでに判明している場合は、特にご注意ください。

イノベーションの面で私たちが確認しているのは、Conti グループが その Linux 版の亜種によって ESXi Hypervisor を狙っているということです。仮想化サービスが組織で重要な役割を果たすことに気づいているからでしょう。これは、しばらく前から続いている傾向ですが、成功率は異なり、場合によってはロッカーや復号機能の不備が原因で VM が損なわれています。

悪い報告ばかりかというと、そうでもありません。The Q1 2022 statistics from ransomware incident-response company Coveware do show a strong decline in the amount of cases in which victims were forced to pay the ransom amount to the attackers. これは有望な傾向です。支払わないことが犯罪者のビジネス モデルを打破する最善の方法であることは今も変わりません。

Trellix の研究者が建物のアクセス制御システムにおける重大な欠陥を発見

重要なインフラストラクチャは、今に至るまで、世界中でサイバー戦争を闘うどの犯罪者にとっても魅力的な標的です。いまだにレガシー システムが幅をきかせており、ハードウェアやソフトウェアの些細な欠陥、構成上の不備、呆れるほど長い更新サイクルといった問題に悩まされているからです。それでいて、その裏には、燃料パイプラインから水処理、エネルギー グリッド、ビル オートメーション、防衛システムなどまで、私たちが信頼している最も重要なシステムが無数にあります。 

産業用制御システムの中で見落とされがちなのが、ビル オートメーション フレームワークの一部になっているアクセス制御です。アクセス制御システムは、カードリーダーや制限エリアへの入退口などについて自動化およびリモート管理を提供しており、今やデファクトともいえる一般的なソリューションになっています。

2021 年に IBM が実施した調査によると、物理的なセキュリティ侵害の平均コストは 354 万ドルに達し、侵害を特定するには平均 223 日かかるということです。施設のセキュリティおよび安全性の確保をアクセス制御システムに依存している組織であれば、その危険性は特に高くなります。

Trellix Threat Labs は最近、そのようなシステムのひとつ、HID Mercury のユビキタス アクセス制御パネルに関する最新の研究を公開しました。OEM ベンダーの多くが、Mercury のボードとファームウェアを使ってアクセス制御ソリューションを実装しています。弊社のチームは、2022 年 6 月 9 日にサンタクララで開催された Hardwear.io で弊社の発見をお伝えしました。この夏の Black Hat でも取り上げる予定です。その調査結果では、4 つのゼロデイ脆弱性と、すでにパッチが公開されている 4 つの脆弱性 (いずれも、まだ CVE として公開されていなかった) を重点的に取り上げました。 そのうち上位 2 つは、まったく未認証の状態でリモート コード実行と任意の再起動につながるものでした。つまり、建物のネットワークを攻撃すると、リモートでドアをロックしたりロックを解除したりできる、あるいは管理ソフトウェアによる検出を回避できるということです。研究者は、調査結果を重点的に取り上げたブログ記事を投稿しており、Black Hat にあわせて、複数パートからなる技術的な詳細を発表する予定です。また、攻撃のデモ動画も作成しました、この 2 つの脆弱性を利用して、実稼働しているラボのアクセス制御システムの複製を侵害する様子がわかります。

デモ動画を見る

DAT・エンジン最新情報

Carrier は、製品のセキュリティ ページで新しいアドバイザリーを発表し、不具合の詳細と推奨される緩和策およびファームウェアの更新を示しました。可能な限りベンダーのパッチを適用することが、最初の行動指針です。 

行動喚起: コネクテッド ヘルスケアのサイバー セキュリティ

The medical industry is at unique risk of attack due to the numerous purpose-built devices used, such as anesthesia machines, IV pumps, point of care systems, MRI machines, and numerous others. Many of these devices are not found in other industries nor the average household. 機器の存在そのものが希少なためか、比較的安全であるという誤った感覚が持たれる傾向にあり、セキュリティ調査の世界でも精査から漏れがちです。

Medical devices and software are falling short in fundamental security practices such as handling credentials and are ripe with RCE vulnerabilities. それがサイバー犯罪者を引き寄せることになります。いつでも攻撃を受ける可能性がある以上、警戒を怠ってはなりません。All stakeholders must acknowledge that the large selection of authentication vulnerabilities indicates the medical space needs more research, both internally and externally, to harden these devices. It’s not simply management systems and other web-based applications we need to focus on, but any network connected medical device needs to be accessed. Currently it doesn’t appear that these devices are being targeted by malicious actors but this doesn’t mean we can relax. RCE の脆弱性も選び放題というくらい数多く存在し、再利用可能なエクスプロイト コードも公開されています。攻撃者は、他の方法を使って病院や診療所を攻撃するものですが、その方法が尽きると、もっと簡単にアクセスできる方法を探します。Society as whole cannot allow medical devices and software to continue to be a weak point for attackers to exploit and therefore should encourage both internal and external security testing across developers and researchers alike.

調査の詳細は、ブログ記事「Connected Healthcare: A Cybersecurity Battlefield We Must Win」でお読みください。CVE データベースなどの公開データを利用して、医療分野における攻撃対象の現状を分析し、活発な脅威と発見された脆弱性の分布を評価しました。We believe that more partnerships between medical device vendors, medical care facilities and security researchers in junction with increased security testing is warranted to prevent a growing attack surface from becoming even more attractive to malicious actors.

Living off the Land (環境寄生)

私たちは、脅威の主体、戦術、手法、手順、使用されているマルウェアを追跡しています。We have also identified and reported quarterly regarding non-malicious and often necessary default binaries that can and often are abused to conduct various phases in an attack. カスタム マルウェアや一般的なマルウェア、そして環境寄生型 (LoL) の TTP を知ってそれに備えることは必要ですが、その一方で敵を知り、その目的を把握することも必要です。 LoLBins をもう少し詳細に調べていくと、 そうしたツールを誰が何のために使っているのかという疑問が残ります。目的を達成するためにカスタム マルウェアを作成する能力を持っていないということでしょうか？それとも、LoL は単にツールとして便利で、人目につかないようにする狙いなのでしょうか？脅威の主体も、結局は他の人と同じように雇用されていることが多く、上位者とのミーティングを開いては、1 日ごと、四半期ごと、1 年ごとの目標を掲げて全力で働き、給料をもらっているわけです。 

「生きているセキュリティをどこででも提供する」のが私たちのミッションである以上、脆弱性を悪用し、知的財産や組織のデータを盗むことで利益を得ようとしている者の手から、重要な情報、インフラストラクチャ、資産を守るために奮闘する私たち自身、顧客、同僚を武装しなければなりません。 

2022 年第 1 四半期には、どんなバイナリが悪用されたか、誰が悪用したのでしょうか？ 

メールのセキュリティ脅威: 2022 年第 1 四半期

2022 年第 1 四半期のメールに関するテレメトリー解析から、メール セキュリティにおけるフィッシング URL と悪意のあるドキュメントの傾向が明らかになりました。

悪意のあるメールが検出されると、そのほとんどはフィッシング URL を含んでおり、それが認証情報を盗んだり、被害者を誘導してマルウェアをダウンロードさせたりする目的で使用されます。次に多かった手口は、Microsoft Office ファイルや PDF などの悪意のあるドキュメントが添付されたメールです。添付ドキュメントには、ダウンローダーとして機能するマクロや、あるいは攻撃者が被害者のシステムを制御できてしまうエクスプロイトが仕掛けられています。また、情報窃取マルウェアやトロイの木馬など、悪意のある実行ファイルが添付されたメールも確認されました。

エクスプロイト

When we focus on the exploits used, we realize that most of them come packed as malicious RTF files, MS Office documents with weaponized OLE objects, or PDFs infected with Adobe Reader exploits or malicious JS scripts. 次の表で示すように、上位 3 つのファイル形式は、Windows RTF、最新の Office 形式、レガシー OLE Office 形式であることが確認されています。