2019脅威レポート

目次エグゼクティブサマリー . . . . . . . . . . . . . . . . . . . . . . 3

昨年のレポートでサイランスが正しく予測した内容を .振り返る . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

調査方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4予測優位性（PA）とは . . . . . . . . . . . . . . . . . . . . . . . 4今年のレポートでの新しい評価指標： .

実行、個人情報、DoS .(E:I:D) . . . . . . . . . . . . . . . . .5主な調査結果 . . . . . . . . . . . . . . . . . . . . . . . . . .5

主要なマルウェア . . . . . . . . . . . . . . . . . . . . . . . . . 6

Windows への上位 10 脅威 . . . . . . . . . . . . . . . . . . 7

MyWebSearch . . . . . . . . . . . . . . . . . . . . . . . . .7InstallCore . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8PolyRansom . . . . . . . . . . . . . . . . . . . . . . . . . .8Neshta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Upatre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Ramnit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Emotet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11GandCrab . . . . . . . . . . . . . . . . . . . . . . . . . . . 11QUKART . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12Ludbaruma . . . . . . . . . . . . . . . . . . . . . . . . . . 13

OS X への上位 5 脅威 . . . . . . . . . . . . . . . . . . . . . 13

Cimpli . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13CoinMiner . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Flashback . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14Keyranger . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14MacKontrol . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

2018 年の APT のトレンド . . . . . . . . . . . . . . . . . . . 15

オープンソースコードをベースとしたツールとマルウェア . 16特製のマルウェア . . . . . . . . . . . . . . . . . . . . . . . 16C2通信 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17人目につかない攻撃のために使用される .

新手の複雑な手法 . . . . . . . . . . . . . . . . . . . . . . 17

年ごとの分析 . . . . . . . . . . . . . . . . . . . . . . . . . . 18

ランサムウェア . . . . . . . . . . . . . . . . . . . . . . . . . . 19暗号通貨マイニングマルウェア . . . . . . . . . . . . . . . . 20

ファイルベースの暗号通貨マイナー . . . . . . . . . . . . . 20ブラウザーベースの暗号通貨マイナー . . . . . . . . . . . 21リスク軽減 . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

サイバーセキュリティ インサイト . . . . . . . . . . . . . . . . 22

ウイルスクリーニングの難問 . . . . . . . . . . . . . . . . . 23Emotetの年 . . . . . . . . . . . . . . . . . . . . . . . . . . 23スポットライト：EmotetとIcedID . . . . . . . . . . . . . . . 25Emotetに対する予測優位性 . . . . . . . . . . . . . . . . . 25Office365への攻撃 .- .サイランスのインシデント対処／ .

封じ込めチームからの視点 . . . . . . . . . . . . . . . . 26Microsoft .Office .365（O365）の概要 . . . . . . . . . . . . 26Office .365への攻撃の概要 . . . . . . . . . . . . . . . . . . 26振り込みと支払いの変更 . . . . . . . . . . . . . . . . . . . 26電子送金の中間者 . . . . . . . . . . . . . . . . . . . . . . 26知的財産の盗難 . . . . . . . . . . . . . . . . . . . . . . . . 27Microsoft .Office .365への攻撃の予防と緩和に関する .

推奨事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . 27照準は金融業界と電子商取引業界に . . . . . . . . . . . . 28注目すべきマルウェアファミリー . . . . . . . . . . . . . . . 28EmotetとIcedID . . . . . . . . . . . . . . . . . . . . . . . . 28Trickbot . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Cobalt .Group . . . . . . . . . . . . . . . . . . . . . . . . . 28HIDDEN .COBRAとFASTCash . . . . . . . . . . . . . . . . . 29取引／決済インフラストラクチャの直接ターゲティング . . 29ダークウェブ . . . . . . . . . . . . . . . . . . . . . . . . . . 29消費者が求めていること . . . . . . . . . . . . . . . . . . . 302018年に注目を集めた . . . . . . . . . . . . . . . . . . . . 31認証情報に基づくハッキング .— . .

認証が重要である理由 . . . . . . . . . . . . . . . . . . . 31大学 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31Reddit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31Marriott . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31Lord .& .Taylor . . . . . . . . . . . . . . . . . . . . . . . . . 31セキュリティ業界はどのように対処できるか . . . . . . . . 31

まとめ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

付録 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

脅威のE:I:D評価 . . . . . . . . . . . . . . . . . . . . . . . . 33

©2019CylanceInc.Cylance®およびCylancePROTECT®ならびに関連するすべてのロゴおよび意匠はCylanceInc.の商標または登録商標です。その他の登録商標または商標の所有権はそれぞれの所有者に帰属します。

20190225-0104

エグゼクティブサマリー

2018 年に Cylance® は、全体的にランサムウェアの攻撃件数が減少し、悪意のあるコインマイナーが増加したほか、広く出回った Emotet などの脅威が著しく進化していることを確認しました。攻撃者が Windows、Mac .OS、各種 IoT プラットフォームを脅かすツール、スキル、戦術を磨き続ける中、全体的なマルウェアの攻撃件数は 10% 増加しました。

コインマイナーは、利益を狙う攻撃者にとってランサムウェアよりも大きなメリットがあり、これが流行拡大の主な要因になったとサイランスは考えています。まず、コインマイナーはビットコインなどの暗号通貨のマイニングを行うシステム処理リソースを密かにハイジャックし、被害者はこれに気づかないことがよくあります。次に、攻撃者は Coinhive（Web サイト所有者のために新しい収益の流れを作り出すことを目的としたツール）を転用して、被害者のブラウザーに同意なくコインマイナーをインストールできます。いくつかのツールがすぐに入手でき、密かに操作を実行でき、そして手間なく支払いを得る手段が存在する、というこれらの要因が組み合わさったことにより、コインマイニングが 2018 年の攻撃者の間で大流行したその理由を、今年のレポートでは考察します。

ランサムウェア攻撃の人気低下に伴って 2018 年には全体の攻撃件数も減少しましたが、サイランスのデータによれば、テクノロジー、消費財、および製造の各業界でランサムウェアは重大な脅威であり続けていました。PolyRansom とGandCrab の両ランサムウェアは、サイランスの Windows ベースの脅威ランクで 10 位以内に入りました。また、データによれば、2018 年にはランサムウェアへの対処に業界平均で 25 日かかっており、ランサムウェアに対処するためのテクノロジーと戦術にはまだ大きな改善の余地があります。注目に値する点として、2018 年にランサムウェア攻撃の件数は減少したかもしれませんが、昨年のランサムウェア攻撃はさらに高度化しています。このことを証言するサイランスの報告では、有名な Lazarus .Group によるBanco .de .Chile への攻撃でランサムウェアがどのような役割を果たしたか、また Ryuk や UmbreCrypt などのランサムウェアファミリーが 2018 年に Emotet によってどのように展開されたかを明らかにしていきます。

銀行を標的としたトロイの木馬 Emotet の大幅にアップグレードされたバージョンが、2018 年の脅威環境に大きな影響を及ぼしました。攻撃者は、仮想環境の検知機能、多層のコマンドアンドコントロール（C2）暗号化、認証情報へのブルートフォース攻撃、本文全体のメール収集機能を Emotet に実装しました。アップグレードされた Emotet はまた、DKIM コントロールを利用してスパムコントロールを迂回し、PDF を使用して悪意のあるリンクを起動し、モジュラー攻撃プラットフォームとして機能します。Emotet 脅威プラットフォームは、動的インフラストラクチャを使用して悪意のある文書を定期的に更新し、暗号鍵を循環させます。サイランスの今年のレポートでは、Emotet を専門に扱うセクションを設けました。その目的の 1 つは、IcedID、Trickbot、Qakbot、その他 2018 年に登場した脅威の配信エージェントとして、Emotet がどのような役割を果たしているか概説することです。

2018 年、持続的標的型攻撃（APT）の攻撃者は、Mimikatz やHTran などのオープンソースコードをベースにしたツールとマルウェアを積極的に取り入れていました。OceanLotus .Group は、特定の標的に対するキャンペーンの中で、Remy、Roland、Splinter などのカスタマイズされたバックドアとトロイの木馬を使用しました。また、C2 サーバーとの通信を難読化して活動の解析を困難にするため、カスタム暗号鍵も使用しました。他方で、White .Company などの脅威グループは、パキスタン空軍に対して複雑で持続的な攻撃を実行しました。今年のレポートでは、これらの攻撃者が展開した新しい戦術や戦略に関連して認識しておく必要がある、基本的な点のいくつかを解説します。

サイランス 2019 年脅威レポートは、サイバーセキュリティというパズル全体を解くためサイランスが提供する 1 つの手がかりです。観察されたトレンドとそこから得られた洞察について詳しく説明し、サイランスのコンサルティングチーム、脅威解析チーム、そしてお客様が昨年遭遇した脅威について解説します。サイランスが発表するこのレポートが、世界中で増加傾向にあるサイバー攻撃に力を合わせて立ち向かうために広く活用されることを願っています。

3 サイランス2019年脅威レポート

昨年のレポートでサイランスが正しく予測した内容を振り返る

ファームウェアとハードウェアの脆弱性：昨年の脅威レポートでは以下のように述べました。「当社は、2018 年に、攻撃者が永続性を獲得し、データを侵害するために、ファームウェアとハードウェアの脆弱性への感染を検討していることについて、より実際的な証拠が示されると予測しています」

2018 年 9 月 27 日、最初の UEFI ルートキットであるLojax1 が発見されました。

破壊的な攻撃：昨年の脅威レポートでは以下のように述べました。「2012 年の Shamoon のリリース以降、破壊を目的とした敵意のある攻撃は、一貫して出現し、大きな損害をもたらしてきました。…当社は、2018 年に、サービスを中断し、ターゲットに損失を被らせることを目的とした弱体化攻撃が増加すると予測しています」

2018 年 12 月 12 日、Shamoon の亜種がイタリアの石油サービス 2 を攻撃しました。

調査方法

サイランスは、高度な脅威によるセキュリティ侵害からエンドポイントとサーバーを保護することに重点を置いたセキュリティソリュー ションを提 供して います。 エンドポイントで 軽 量エージェントを使用して、脅威が検知されたときに、テレメトリーデータを含むイベントに関する情報が、サイランスクラウド内の顧客のプライベートテナントに暗号化通信チャネルを通じて送信されます。本レポートの大部分は、2018 年 1 月 1 日～12 月 31 日の間に収集された匿名脅威データに基づいています。

1 . https://arstechnica com/information-technology/2018/10/first-uefi-malware-discovered-in-wild-is-laptop-security-software-hijacked-by-russians/

2 . https://www reuters com/article/us-cyber-shamoon/saipem-says-shamoon-variant-crippled-hundreds-of-computers-idUSKBN1OB2FA

予測優位性（PA）とは

予測優位性は、「将来のどの時点まで保護が有効とみなされるか」を測定する、セキュリティソリューションに適用される測定単位です。「たとえば、製品が構築されてから 1 年後に作成された脅威から保護された場合、その製品は 12 ヶ月の予測優位性を有することになります」3 サイランスのマルウェア PA スコアは、サイランスのセキュリティモデルが作成されてから、その脅威タイプの発生が検知されて最初に記録されたときまでに経過した時間を表しています。

PA が重要である理由：PA という測定単位は、特定のセキュリティソリューションモデルに対して機械学習トレーニングがどれだけ先進的かを洞察する目安になります。あるモデルが、そのモデルを導入した 24 ～ 30 ヶ月後に登場する脅威をブロックできれば、非常に堅牢で専門的なトレーニングを受けたモデルと考えることができます。AI 駆動型のセキュリティソリューションを評価するこの重要な手法について詳しく知るには、このトピックに関する SE .Labs のテストと報告書をお読みになることをお勧めします。

3 . https://www cylance com/content/dam/cylance-web/en-us/resources/knowledge-center/resource-library/reports/SELabsPredictiveMalwareResponseTestMarch2018Report pdf?kui=kMzpDSif2OljDv7c6GwpIA

4 サイランス2019年脅威レポート

今年のレポートでの新しい評価指標：実行、個人情報、DoS (E:I:D)

2019 年のレポートでは、サイランスは実行（execution） .、個人情報（identity）、サービス拒否（denial .of .service）（可用性）の 3 つのカテゴリを基準として、各脅威を評価します。E:I:D評価の目的は、読者が脅威の重大度を素早く確認し、理解できるよう支援することです。各脅威の累積評価は 1 ～ 10 の範囲で、数値が大きいほど深刻な脅威を表します。たとえば、E:I:D 評価1 は、重大度の低い脅威を表します。E:I:D 評価 10 は、システム障害や広範囲に及ぶ混乱を引き起こす可能性がある、重大度が高く影響が大きい脅威を示します。

実行（E）（完全性）：この評価は、全体的な攻撃の実行の複雑さを質的に表す尺度です。これには、独自性／革新性、攻撃に必要なユーザー対話のレベル、成功した攻撃の修復に伴う困難さといった尺度が含まれます。

個人情報（I）（機密性）：この評価は、脅威が個人情報データに及ぼす影響の重大さを質的に表す尺度です。脅威はさまざまな手段で個人情報を盗み出します。環境に関するアーティファクトのみを盗むものもあれば、PII や IP 情報の収集に焦点を絞ったものもあります。一部の脅威は財務データのみに影響しますが、その他にキーストローク記録機能を備えたバックドアやボットなどの脅威ファミリーも存在し、こうした機能が攻撃に利用される場合もあります。個人情報の評価が高ければ、その脅威は個人情報を盗む活動が得意であることが分かります。

サービス拒否（D）（可用性）：この評価は、脅威がユーザーとマシンに生じさせるダウンタイムの量を質的に測定します。主にリソース拒否によるもので、生産性の低下を引き起こします。たとえば、コインマイナーの唯一の目的は、システムリソースを利用して暗号通貨をマイニングすることです。コインマイナーによって盗まれたそれぞれのリソースは、正当なビジネスへの利用を拒否されたものです。ランサムウェアやディスクワイパーは、被害者にデータ（あるいはシステム全体）の利用を拒否する機能を持っています。脅威によっては、ネットワークの利用を拒否したり、分散サービス拒否（DDoS）攻撃に使用されるボットネットに参加したりすることができます。サービス拒否の評価は、脅威が日常業務にどれだけの影響を及ぼし、企業ネットワークを混乱させる可能性があるかを示します。

主な調査結果• . 最も一般的な感染ベクトル：フィッシング／電子メール

• . マルウェア攻撃量の増加：サイランスのお客様が 2018 年に認識したマルウェア攻撃は、全体で 10% 増加しました。

• . サイバー攻撃の標的となった上位業種：サイランスのお客様のうち、サイバー攻撃の標的となった上位 3 業種は、食品業界、ロジスティックス業界、非営利団体でした。

• . ランサムウェアの標的となった上位業種：2018 年にランサムウェア攻撃の主な標的となったのは、テクノロジー部門でした。消費財と製造業が 2 位と 3 位でした。

• . コインマイナーの増加：コインマイナーの検知件数は 47% 増加しました。

• . コインマイナーの標的となった業種：コインマイナーの標的となった上位 3 業種は、食品業界、テクノロジー部門、プロフェッショナルサービスでした。

• . OS X への攻撃：OS .X はコインマイナー、アドウェア、ランサムウェア、トロイの木馬の標的になりました。

• . IoT 攻撃：Mirai コードベースが、IoT デバイスに対する攻撃を仕掛けるために引き続き利用されています。

5 サイランス2019年脅威レポート

主要なマルウェアこのセクションでは、2018 年にサイランスのお客様から報告された主要な脅威について簡単にまとめます。また、サイランスは各脅威のリスク分析を行い、最も大きな影響を受けた業種のリストを挙げ、脅威ファミリーの活動の尺度として、サイランス製品が実行を阻止した亜種の数を示します。

MyWebSearch

亜種の数： 多

サイランスの予測優位性 782 日

EID 評価： 1 .(E:1 .I:0 .D:0)

影響を受けた上位業種： 医療、製造、プロフェッショナルサービス

MyWebSearch は亜種の多い迷惑なアドウェアで、インフラストラクチャに与えるリスクはごくわずかです。これは主として、人間との対話を必要とせずにデフォルトブラウザーの設定を変更するブラウザーハイジャッカーです。

ブラウザーの変更により、一般に広告が表示されたり、検索操作に影響が生じたりします。MyWebSearch の感染を示す明らかな兆候は、ブラウザーのデフォルトホームページや優先検索エンジンが変 更されることなどです。MyWebSearch はフリーウェアにバンドルされていることが多く、正当なソフトウェアのシグニチャを使用してセキュリティチェックを迂回することがあります。

MyWebSearch の影響がとりわけ大きかったのは医療業界と製造業界でしたが、幅広くさまざまな業界に全体的な影響を及ぼしました。

サイランスは昨年、MyWebSearch の 17,000 を超える亜種を収集しました。MyWebSearch ファミリーは、検知を避けるためハッシュを変更する傾向があります。見つかったハッシュの 88%以上は、感染したデバイス数が 10 台以下です。このことから、こ の 脅 威 は、 予 防 対 象 とし て 主 な 候 補 と な り ま す。MyWebSearchデータの無作為抽出による計算では、サイランスは少なくとも 782 日前からこのファミリーを予防することができました。

MyWebSearch の標的の業種別内訳

医療22%

その他すべての業界44%

製造15%

金融8%

プロフェッショナルサービス11%

Windows への 上位 10 脅威

サイランスのお客様によって報告された Windows への脅威を 10 位まで挙げると、 .以下の通りです。

1 .MyWebSearch

2 .InstallCore

3 .PolyRansom

4 .Neshta

5 .Upatre

6 .Ramnit

7 .Emotet

8 .GandCrab

9 .Qukart

10 .Ludbaruma

7 サイランス2019年脅威レポート

InstallCore

亜種の数： 中

サイランスの予測優位性 717 日

EID 評価： 1 .(E:1 .I:0 .D:0)

影響を受けた上位業種： 消費財、教育、政府機関

InstallCore は正当なソフトウェアと広告パートナーからの望ましくない製品をバンドルしたものです。

InstallCore は 2018 年に、主として消費財、教育、政府機関の各部門に影響を及ぼしました。

InstallCore は、インストールする何らかの主要ソフトウェアから取得した正当なシグニチャを使用する場合があります。このシグニチャの借用により、InstallCore はホストシステムから警告を出されることなく動作できます。この不要なソフトウェアは、インストールの前にユーザーの許可を求めます。

InstallCoreバイナリの92% 以上は検出デバイス数が10 台以下で、InstallCore はバンドルされた製品ごとにハッシュを変更する傾向にあることが分かります。予防の観点からいうと、サイランスが確認したすべての亜種が少なくとも 717 日前から予防されており、サイランスのお客様には害を及ぼしませんでした。

InstallCore の標的の業種別内訳

PolyRansom

亜種の数： 多

サイランスの予測優位性 862 日

EID 評価： 4 .(E:2 .I:0 .D:2)

影響を受けた上位業種： テクノロジー、政府機関、金融、製造

PolyRansom は、Virlock および Nabucur とも呼ばれる 2018年に大量に出回った脅威で、勢いが衰える兆候はありません。これは亜種の多いランサムウェアファミリーの 1 つで、きわめて複雑なものです。

PolyRansom は主にテクノロジー業界を標的にしていました。政府機関も、2 番目ではありますがこのマルウェアの顕著な標的でした。

2014 年に Virlock として最初に観察された PolyRansom は、画面ロック機能を導入しました。

PolyRansom は、「National .Security .Bureau」によって作成されたと偽るメッセージを表 示します。このメッセージは、ユーザーに逮捕令状が出されており、収監される可能性があるので、それを免れるためにビットコインで支払いをするようユーザーに指示するものです。

PolyRansom の標的の業種別内訳

教育17%

消費財17%

プロフェッショナルサービス11%

政府機関16%

その他すべての業界39%

その他すべての業界16%

テクノロジー52%

政府機関22%

金融5%

製造5%

8 サイランス2019年脅威レポート

このマルウェアは自身の新規コピーを生成するため、解析とリバースエンジニアリングのプロセスがきわめて複雑になっています。幸い、PolyRansom の暗号化メソッドの品質は一貫していません。復号ツールにより、感染したシステムからファイルを回復することに、ある程度は成功しています。

PolyRansom は、動作に必要な最小限のコードを復号し、ルーチンを続行しながら後でこれらのコードチャンクを再び暗号化します。このコードの再暗号化により、マルウェアのオリジナルのバイナリイメージが変更されるため、ファイルハッシュも変更されます。このポリモーフィズムと呼 ばれる手法により、PolyRansom はシグニチャベースの脅威検知を逃れることができます。

拡散のために、PolyRansom は自身を他のファイルに注入した後、武装化した実行可能ファイルまたは自己解凍 RAR を作成します。このプロセスにより、PolyRansom は真のワームになることなく拡散できます。感染した実行可能ファイルを起動するユーザーがこのプロセスを反復させ、結果としてファイル共有、クラウドベースのサービス、その他のコラボレーションの場でマルウェアを拡散させることになります。

PolyRansom は、他にも解析回避のための堅牢なメカニズムを搭載しています。これには、アンチ VM 機能、カスタムパッカー、パック／暗号化された複数のレイヤーの使用などがあります。PolyRansom はファイルとディレクトリに隠し属性を設定し、 . bat、 vbs、 js のスクリプトを使用して検知を回避します。

PolyRansom は、フィッシングや Web ベースの攻撃など、標準の手法を使用して配信されます。

Neshta

亜種の数： 中

サイランスの予測優位性 874 日

EID 評価： 6 .(E:2 .I:3 .D:1) .

影響を受けた上位業種： 製造、金融、消費財

Neshta は比較的古いファイル感染マルウェアですが、未だに広く出回っています。これは、感染したファイルに悪意のあるコードを付加します。

Neshta は、製造業界を主な標的にしていました。金融、消費財、エネルギーの各部門も、2018 年にこのマルウェアの顕著な標的になりました。

Neshta は 2003 年から観察されており、以前は BlackPOS マルウェア 4 と関連していました。この脅威は一般に、他のマルウェアによって意図せずダウンロードまたはドロップされることによって環境に取り込まれます。Windows 実行可能ファイルに感染し、ネットワーク共有やリムーバブルストレージデバイスに感染を広げる場合があります。

永続性を確立するため、Neshta は自身の名前を svchost comに変更した後、レジストリを変更して、 exe ファイルが起動されるたびに実行されるようにします。Neshta はシステム情報を収集し、POST リクエストを使用して攻撃者が管理するサーバーにデータを盗み出すことが知られています。

Neshta の標的の業種別内訳

製造38%

その他すべての業界22%

金融18%

エネルギー10%

消費財12%

4 . https://threatvector cylance com/en_us/home/the-abcs-of-apts html

9 サイランス2019年脅威レポート

Upatre

亜種の数 中

サイランスの予測優位性 875 日

EID 評価： 4 .(E:1 .I:2 .D:1)

影響を受けた上位業種： テクノロジー、プロフェッショナルサービス、製造

Upatre は、Dyre や Zbot/Zeus などの破壊的なペイロードを標的のシステムに配信できる、悪意のあるダウンローダーです。

Upatre の標的は、2018 年にはテクノロジー組織が圧倒的でした。プロフェッショナルサービスも Upatre の攻撃対象に選ばれましたが、大差で 2 位でした。

Upatre は、悪意のある電子メール添付ファイルとして届くことがよくあります。いくつかのボットネットやエクスプロイトキットと関連があります。Upatre は、一般に認められているファイルやアプリケーションのアイコンを表示してユーザーにクリックするよう仕向け、C2 サーバーに接続して追加コードをダウンロードすることによって自身を更新したり、機能を拡張したりします。

Upatre の標的の業種別内訳

Ramnit

亜種の数： 多

サイランスの予測優位性 858 日

EID 評価： 6 .(E:2 .I:3 .D:1)

影響を受けた上位業種： 製造、プロフェッショナルサービス、メディア

2010 年に初めて発見された Ramnit は、当初は exe、 scr、 . dll などの Windows .Portable .Executable ファイル、およびHTML 文書に感染することが知られていました。

製造とプロフェッショナルサービスの両業界が、2018 年のRamnit の顕著な標的でした。メディア企業もこのマルウェアから狙われた大きな対象でした。

Ramnit は USB キーなどのリムーバブルデバイス経由、およびネットワークドライブなどの共有ロケーション全域で拡散してきた歴史があります。Ramnit の新しい亜種は、銀行を狙うトロイの木馬 Zeus の流出したソースコードからさまざまな機能を借用し、エクスプロイトを使ってネットワーク経由で拡散できます。アップグレードされた Ramnit は、機密情報を盗むことができ、銀行を狙う本格的なトロイの木馬にさらに近いものになっています。 .

Ramnit フレームワークは 最 近ニュースで取り上 げられ、Ngioweb という別のマルウェアの蔓延に関与したと報じられました。さらに、2018 年の初めに、Ramnit は銀行への攻撃だけでなく、データ盗難行為にも関与しました。電子商取引サイトにアクセスするユーザーから機密情報を盗もうとしていることが判明したのです。

Ramnit の標的の業種別内訳

その他すべての業界17%

メディア14%

プロフェッショナルサービス25%

製造35%

消費財9%

その他すべての業界26%

プロフェッショナルサービス12%

テクノロジー50%

金融4%

製造8%

10 サイランス2019年脅威レポート

Emotet

亜種の数： 多

サイランスの予測優位性 816 日

EID 評価： 5 .(E:1 .I:3 .D:1)

影響を受けた上位業種： 政府機関、医療、非営利団体

Emotet は、Feodoトロイの木馬ファミリーの亜種で、銀行の認証情報や他の機密情報を盗み出す脅威として、2014 年に初めて出現しました。ほとんどの場合、感染した文書や悪意のあるWeb サイトへのリンクを含むフィッシング電子メールによって拡散します。

マルウェアの特徴が不特定多数を標的にすることにあるとすれば、Emotet はそれに当てはまります。Emotet の実用性と有効性は、政府機関、非営利団体、医療機関、ロジスティックス企業に対して幅広く利用されたことから明らかです。

Emotet は一般に、悪意のあるマクロが埋め込まれた Microsoft .Wordファイルによって配布されます。これらの悪意のあるマクロは、高度に難読化されています。実行されると、悪意のあるコードは PowerShell コマンドを実行して、いくつかの設定済みWeb サイトのいずれかからマルウェアペイロードをダウンロードします。

Emotet がアクティブになると、自らのコピーをローカルファイルディレクトリに作成し、永続性を保つための機構を実装します。今年のレポートで後述する Emotet の年というセクションで、Emotet の拡張された機能と最近の活動について豊富な情報を示して詳しく解説するので、活用することをお勧めします。

Emotet の標的の業種別内訳

政府機関24%

その他すべての業界18%

医療20%

非営利20%

ロジスティックス18%

GandCrab

亜種の数： 中

サイランスの予測優位性 795 日

EID 評価： 3 .(E:1 .I:0 .D:2) .

影響を受けた上位業種： 建築、金融、製造、テクノロジー

GandCrab は、活発に作成されているランサムウェアです。これは Ransomware-as-a-Service プロバイダによって提供され、2018 年に少なくとも5つのメジャーバージョンリリースが確認されました。

GandCrab は 2018 年に建築、金融、製造、テクノロジーの各部門を主な標的にしました。

GandCrab のバージョンは、暗号化ファイルに付加されるファイル拡張子によって以下のように識別できます。

• . バージョン 1 .– .ファイル名 GDCB

• . バージョン 2 .– .ファイル名 CRAB

• . バージョン 3 .– .ファイル名 CRAB

• . バージョン 4 .– .ファイル名 KRAB

• . バージョン 5 .– .ファイル名 < ランダム >

このレポートの公開日現在、GandCrab の価格は 500ドル（標準）から 1,200ドル（プレミアム）です。サブスクリプションにより、ランサムウェアバイナリの制限なしのビルド、毎週のアップデート、独自の管理パネルへのアクセスなどが利用できます。

GandCrab の標的の業種別内訳

建築22%

その他すべての業界33%

金融17%

テクノロジー14%

製造14%

11 サイランス2019年脅威レポート

GandCrab は、悪意のある電子メール添付ファイルとして届くことがよくあります。また、GrandSoft .EK や RIG .EK5 など、数種類のエクスプロイトキットによっても配布されます。

5 . https://threatvector cylance com/en_us/home/cylance-vs-GandCrab-ransomware html

QUKART

亜種の数： 少

サイランスの予測優位性 801 日

EID 評価： 7 .(E:2 .I:3 .D:2) .

影響を受けた上位業種： テクノロジー、プロフェッショナルサービス、医療

QUKART は、BERBEW や PADODOR とも呼ばれる、パスワードを盗むトロイの木馬です。Web ブラウザーを監視して、被害者がログインページにアクセスすると認証情報を収集します。

QUKART マルウェアは主にテクノロジー部門で影響力をふるい、報告された攻撃件数の 72% を占めます。このマルウェアの被害を受けた比率が 2 桁にのぼった業界は他になく、プロフェッショナルサービスは 9%、医療は 6% でした。

QUKART は通常、スパムキャンペーン、自動ダウンロード、エクスプロイトキット、またはダウンローダーによって配布されます。

QUKART のいくつかの亜種は、ログインページに偽のフィールドを注入して、クレジットカード情報、CVV、PIN などの情報を盗むことができます。このトロイの木馬は、HTML ファイルを被害者のマシンに作成して、収集した認証情報を保管します。QUKART は、悪意のあるトラフィックを中継したり、サービス拒否攻撃を実行したりするためのプロキシサーバーとして動作できます。このトロイの木馬はポリモーフィック型です。

Qukart の標的の業種別内訳

その他すべての業界9%

テクノロジー72%

プロフェッショナルサービス9%

製造4%

医療6%

12 サイランス2019年脅威レポート

Ludbaruma

亜種の数： 少

サイランスの予測優位性 800 日

EID 評価： 6 .(E:2 .I:2 .D:2)

影響を受けた上位業種： 製造、テクノロジー、教育

Ludbaruma は、Rontokbro や Brontok とも呼ばれる、Visual .Basic で記述されたマスメイラー型ワームです。このワームが初めて特定されたのは 10 年以上前ですが、長年にわたりたくさんの亜種が作成され再浮上してきました。

Ludbaruma は 2018 年に、製造、テクノロジーの各部門を主な標的にしました。教育機関は大差で 3 位に入っています。

Ludbaruma は、被害者のマシンにあるアドレス帳、電子メールメッセージ、および特定の文書から電子メールアカウントを収集します。このマルウェアは、独自の SMTP エンジンを使用して、収集したアドレス宛てに、感染した添付ファイルを含む電子メールメッセージを送信します。Ludbaruma はリムーバブルメディアやネットワーク共有にも感染できます。 .

Ludbaruma は、標的マシン上のレジストリツール、タスクマネージャー、コマンドプロンプト、フォルダオプション、システム復元を無効にします。ワームが特定の文字列（たとえば、セキュリティベンダーの名前や、ワームが検知されたことを示す語句）を検知すると、システムをリブートします。Ludbaruma の 2018 年の活動は以前の年より下火になりましたが、それでもサイランスのエコシステム内で上位 10 脅威に入っています。

Ludbaruma の標的の業種別内訳

OS X への上位 5 脅威

今年のサイランスのレポートでは、顕著な割合のユーザーが遭遇した OS .X 特有の脅威についても扱います。OS .X の上位 5 マルウェアは、以下の通りです。

• . Cimpli

• . Coinminer

• . Flashback

• . KeyRanger

• . MacKontrol

Cimpli

EID 評価： 1 .(E:1 .I:0 .D:0)

Cimpli は、不要な広告を自動的に表示する、OS .X 用に作成されたアドウェアです。アドウェアは特に破壊的ではありませんが、邪魔になってユーザーの生産性に影響を及ぼす可能性があります。Cimpli は Application .Support フォルダにインストールされ、LaunchAgents によって永続性を保ちます。このマルウェアは、Bundlore や Vsearch など、他のマルウェアファミリーをダウンロードしてインストールする場合があります。Cimpli は、2018 年にサイランスのエコシステム内で検知された最も一般的な OS .X マルウェア感染の 1 つでした。

CoinMiner

EID 評価： 3 .(E:1 .I:1 .D:1)

CoinMiner は、偽のフラッシュプレイヤーのアップデートのようなドロッパーによってインストールされます。2018 年に発見された最新の亜種は、XMRig を使用して暗号通貨をマイニングしてい ました。CoinMiner マル ウェア は、pplauncher というランチャーをインストールします。このファイルは /Library/Application/Support/pplauncher/pplauncher に置かれます。 マ ル ウェ ア は com pplauncher plist と い う 名 前 のLaunchDaemon を使用して、ターゲットシステム上で永続性を保ちます。LaunchDaemon は Go 言語で記述され、Mac .OS 用にコンパイルされています。ランチャーは 2 つの単純な機能を実行します。XMRig の旧バージョン（バージョン 2 5 1）のインストールと、マイニングプロセスの開始です。悪意のあるマイニングプロセスの名前は mshelper で、おそらくMicrosoft ヘルパープロセスに自らを見せかけようとしたものです。

製造29%その他すべての業界

33%

テクノロジー20%

教育11%プロフェッショナル

サービス7%

13 サイランス2019年脅威レポート

Flashback

EID 評価： 3 .(E:1 .I:2 .D:0)

Flashbackトロイの木馬は、Java ランタイムの旧バージョンを実行している Mac を標的にします。Flashback は悪意のあるWeb ページからインストールされ、被害者のフラッシュまたはJavaが古くなっていてアップデートが必要であるという警告を出します。ユーザーが偽のフラッシュの dmg をクリックすると、場合によってはソフトウェアがアップデートされ、マルウェアのペイロードがインストールされます。Flashback は、/Applications/Safari app/Contents/Info .LSEnvironment、または~/ MacOSX/ .environment .DYLD_INSERT_LIBRARIES にファイルを作成します。アクティブになると、Flashback はインストールされているアンチウイルスアプリケーションを検索してから、ボットネットコントロールサーバーのリストを生成します。マルウェアは、悪意のあるタスクをさらに実行するためにボットネットサーバーと通信します。

Keyranger

EID 評価： 5 .(E:2 .I:1 .D:2)

Keyranger は 2016 年に初めて発見された OS .X ランサムウェアで、署名付きの Transmission .torrent アプリケーションに埋め込まれています。その時点では、Keyranger は hxxps://download transmissionbt com/files/Transmission-2 90[ ]dmg からダウンロード可能でした。このマルウェアは有効な Mac .App 開発元の証明書によって署名されていたため、Apple の Gatekeeper保護を迂回できました。インストールされると、Keyranger は 3日間待った後、Tor 経由で C2 サーバーに接続します。このマルウェアはおよそ 300 種類のファイルの暗号化が可能で、C2サーバーへの接続後に暗号化プロセスを開始します。暗号化ファイルには、 encrypted ファイル拡張子が追加されます。検知を避けるため、Keyranger は General rtf という名前の RTFファイルに自らを見せかけて、~/Library/kernel_service ディレクトリに自らのコピーを作成します。

MacKontrol

EID 評価： 7 .(E:1 .I:3 .D:3)

MacKontrol は OS .X のバックドア型トロイの木馬で、幅広い機能を備えています。リモートアクセス接続の処理、DDoS 攻撃の実行、キーボード入力のモニタ、ファイルの削除、プロセスの終了が可能です。アクティブになると、MacKontrol はリモートサーバーに接続して詳細な指示を受け取ります。このマルウェアは、感染したコンピューター上で LaunchAgents を使用して永続性を保ちます。MacKontrolマルウェアに感染する一般的な経路は、悪意のある Web サイト、感染した電子メール添付ファイルのオープン、インストール済みのソフトウェアから提供されたと主張する偽のアップデートのインストール、偽のビデオプレイヤーとコーデック、感染したフリーウェアのインストール、およびtorrent サイトです。MacKontrol に感染したシステムには、異常なネットワークアクティビティ、パフォーマンスの低下（CPU または RAM の使用率増加による）、および Safari ブラウザーの不審な設定変更が生じる可能性があります。

「 .アクティブになると、Flashbackはインストールされているアンチウイルスアプリケーションを検索してから、ボットネットコントロールサーバーのリストを生成します。マルウェアは、悪意のあるタスクをさらに実行するためにボットネットサーバーと通信します」

14 サイランス2019年脅威レポート

APT のトレンド

サイランスは 2018 年を通じてさまざまな持続的標的型攻撃（APT）キャンペーンを監視し、いくつかの顕著なトレンドを確認しました。

2018年の

オープンソースコードをベースとしたツールとマルウェアサイランスは、攻撃者が独自の攻撃プラットフォームを開発する代わりに、一般に入手可能なコードを応用する方向へ明らかに変化していることに気づきました。このアプローチは攻撃者の時間と労力の節約になると同時に、作者特定プロセスをより困難にすることによって匿名性を守っています。

Powersploit/Metasploit フレ ー ム ワ ー クと Cobalt .Strike .Beacon は依然としてよく悪用されてきましたが、いくつかのAPTではオープンソースのハッキングツールの使用数が増加していることにサイランスは注目しました。これらのツールには、Mimikatz

（認証情報を盗むツール）や HTran（接続プロキシツール）などの一般的な GitHub プロジェクト、およびあまり知られていないツールが含まれます。APT は、ポートスキャナー、ネットワークスニファー、パスワードブルートフォース攻撃などさまざまなユーティリティを利用しており、これらのコードはオンラインのブログやフォーラムに掲載されています。

サイランスはまた、APT キャンペーンでのオープンソースバックドアの普及度が高まっていることも確認しました。 NET で記述されたリモート管理ツールの QuasarRAT は、MenuPass/APT10ツールセットの恒久的な部分になったと見られます。中国のPcShare バックドアは、別の攻撃者による高度に標的を絞ったキャンペーンで確認されました。これらのバックドアは、より特定用途向けのソリューションを展開できるようになる前に、攻撃ライフサイクルの初期段階でドロップされることがよくあります。

特製のマルウェア多くの攻撃者は、環境内で永続性を保つためにカスタマイズされた高度なバックドアを使用する傾向にあります。これらのバックドアは、攻撃者による予備調査中に収集された情報に基づいて設計されることがよくあります。これらは通常、攻撃サイクルの進んだ段階で展開されます。

バックドアは、ターゲットマシン上で使用されるソフトウェアに特別に合わせた検知回避の手口と迂回メカニズムを実装する場合があります。また、被害者のプロファイルに特有の機能も組み込んでいることがあります。良い例は、最近の OceanLotusキャンペーンで使用されているバックドアです。これらのバックドアは、悪意のある DLL を使用して標的の環境で見つけた正当なライブラリの名前とエクスポートを偽装します。DLL サイドロード手法を使用して、バックドアのバイナリは被害者の無害なアプリケーションのいずれかによってメモリにロードされます。

モジュラーアーキテクチャがますます一般化しているため、足掛かりのバックドアは小型になる傾向にあります。悪意のある機能のほとんどは、分離したプラグインに依存しています。これらは、使用後にシステムから即座に削除できます。これにより、攻撃者は基本的な永続性を保ちながら、デジタルフットプリントを最小限にすることができます。

OceanLotus Group2017 年後半に実施されたインシデント対処調査中に、サ イランス の 脅 威 研 究 者 は OceanLotus .Group

（APT32 や Cobalt .Kitty とも呼ばれる）が展開したいくつかのバックドアを発見しました。この脅威グループの戦術、手法、手順をさらに詳しく分析したところ、いくつかの重要な新事実が明らかになりました。

OceanLotus .Group が、難読化された Cobalt .Strike .Beacon ペイロードを使用して C2 と PowerShell のワンライナーを実行し、マルウェアをダウンロードおよび展開していることをサイランスは確認しました。エクスプロイトキットからの難読化ツールと反射型 PE ／シェルコードローダー（MSFvenom、Veil、DKMC など）を利用して、ファイルレスの攻撃機能を実現していました。攻撃手法は特定の標的に合わせて高度に調整されており、リモートアクセス型トロイの木馬であるRoland、Remy、Splinter の開発が含まれていました。

詳細については、サイランスのレポート The .SpyRATS .of .OceanLotus をお読みください 6。

6 . https://threatvector cylance com/en_us/home/report-the-spyrats-of-oceanlotus html

16 サイランス2019年脅威レポート

C2 通信 攻撃者は長年にわたってC2 通信の防御や隠蔽を試みており、成功の度合いはさまざまでした。RedControle バックドアは最近、HIDS/NIDS シグニチャを回避するため、コマンドディレクティブにランダムに文字を挿入することによって C2 コマンドを変更して いることが 確 認 され ました。 その 他 の バックドア も、OceanLotus .Group のものと同様に、HTTP/S、DNS、ICMP などの幅広いプロトコルを利用し、暗号化／圧縮の層を使用します。これらの攻撃は多くの場合、各標的に応じたカスタム暗号鍵を使用します。このことにより、コマンドをデコードして特定の攻撃者が行っていた操作を解明する作業が、きわめて複雑で時間のかかるものになります。

人目につかない攻撃のために使用される新手の複雑な手法 サイランスの研究者は、ステガノグラフィを利用して png 画像ファイル内に隠された暗号化ペイロードを読み取る、新手のペイロードローダーを発見しました。このステガノグラフィアルゴリズムは特製のものと考えられ、元の画像と比較しても視覚的な違いが最小限になるように、最下位ビットのアプローチを使用しています。このアプローチは、ディスカバリツールによる解析を阻止するために使用されている可能性があります。デコード、復号、実行の後、難読化されたローダーは Denes バックドアの亜種をロードします。攻撃者がローダーを簡単に変更して、他の悪意のあるペイロードを配信することもできます。シェルコードとローダーの複雑さから、APT は検知を回避するための特製ツールの開発に多大な投資を続けていることが分かります。

「 シェルコードとローダーの複雑さから、APTは検知を回避するための特製ツールの開発に多大な投資を続けていることが分かります」

17 サイランス2019年脅威レポート

2017-2018年

分析サイランスは毎年、お客様に影響を及ぼす脅威のトレンドを追跡しています。前年のトレンドと最新データと比較することで、脅威を取り巻く環境の .歴史的な経過と現在の状態が洞察できます。

金融 2%

食品 28%

医療 5%

エネルギー 2%

教育 5%

プロフェッショナルサービス 4%

政府機関 5%

不動産 2%

その他 ~ 1%

消費財 7%

建築 3%

非営利 8%

テクノロジー 4%

ロジスティックス 13%

サービス 4%

製造 4%

メディア 3%

ランサムウェア テクノロジー部門、消費財業界、および製造業界が、2018 年にランサムウェア攻撃によって最も大きな被害を受けました。以下の円グラフは、サイランスのエコシステム内で発生したランサムウェア攻撃件数の詳しい業種別内訳を示しています。

全体的に、2018 年には企業のお客様に関するランサムウェア事象のユニーク数が 26% 減少したことが分かりました。

サイランスにおいては、ユニークなランサムウェア事象は新しい脅威の検知によって発生し、影響を受けたデバイスの台数は考慮に入れないことに注意してください。このため、影響を及ぼそうとしたマシンの数が 1 台または数百台のどちらであっても、ランサムウェアの新しい系統の検知は 1 つの事象としてのみカウントされます。

業種別のランサムウェア攻撃サイランスのお客様データによれば、食品業界はマルウェア攻撃による被害を最も大きく受けており、その次がロジスティックス部門でした。非営利団体と消費財業界は同率で 3 位になり、それぞれ 2018 年のマルウェア攻撃全体の 8% の被害を受けています。

業種別のマルウェアの分布

2017-2018 年マルウェアサンプルの検知件数

20182017

12月11月10月9月8月7月6月5月4月3月2月1月

その他 ~ 1%

食品 5%

医療 7%

エネルギー 2%

教育 4%

プロフェッショナルサービス 7%

政府機関 5%

不動産 ~ 1 %

消費財 15%

建築 ~ 1%

金融 3%

非営利 ~ 1%

テクノロジー 28%

ロジスティックス 7%

サービス ~ 1%製造 11%

メディア ~ 1%

2017-2018 年ランサムウェア事象のユニーク数

20182017

12月11月10月9月8月7月6月5月4月3月2月1月

2018

2017

Poly(2018)

19 サイランス2019年脅威レポート

暗号通貨マイニングマルウェア暗号通貨マイニングマルウェアの検知件数は、2018 年には企業のお客様に関して 47% 増加しました。暗号通貨マイニング攻撃が 2018 年の脅威環境を支配していたことは、意外ではありません。暗号通貨の人気が高まり、通貨マイニングテクノロジーが使いやすくなったことの自然な結果です。2018 年には、新たに広まった技法を使用し、新手のアプローチを探る通貨マイニングマルウェアが幅広くサイランスによって確認されました。この挙動は、既製のオープンソースソリューションと高度な商用ボットネットの両方に見られました。

被害者のマシン上でローカルに実行される、従来のマイニング型トロイの木馬がコインマイナー感染の大部分を占めていますが、サーバーベースのソリューションへの移行が目に見えて起きています。この場合、マルウェアは被害者のブラウザー内でのみ実行されます。

食品業界、テクノロジー、プロフェッショナルサービス、消費財、製造業界が、2018 年に特に大きな被害を受けました。

2017-2018 年　暗号通貨マイナーの検知件数

2018

2017

Poly (2018)

コインマイナー攻撃の業種別内訳

その他 ~ 1%

食品 27%

医療 2%

エネルギー ~ 1%

教育 5%

プロフェッショナルサービス 11%

政府機関 ~ 1%

不動産 ~ 1%

消費財 10%

建築 4%

金融 5%

非営利 ~ 1%

テクノロジー 16% ロジスティックス ~ 1%

サービス ~ 1%

製造 10%

メディア 3%

ファイルベースの暗号通貨マイナーローカルで実行されるトロイの木馬のほとんどは一般に公開されているコードをベースにしており、CCminer と XMRig が最もよく選ばれています。感染の際には通常、いくつかのファイルが標的のマシンにドロップされます。ペイロードには、ローダーとマイニングを実行するための実行可能ファイル（32 ビットと 64ビットの両バージョン）が含まれます。最新の構成が得られるように、プールリストとマイナー設定を含むテキストファイルが後の段階でダウンロードされることがよくあります。永続性を実現するために、レジストリの変更、起動ディレクトリへのローダーのコピー、またはスケジュール済みタスクの設定が行われます。 .

マイニング型トロイの木馬を配布するための一般的な方法は、スパムキャンペーンと自動ダウンロードの 2 つです。また、マイニング型トロイの木馬が銀行を狙うマルウェアと一緒にドロップされ、また Smokeloader などの汎用ダウンローダーによってもダウンロードされていることも確認されました。Adylkuzz やMsraMiner など、いくつかのマイナーファミリーは、流出したEternalBlue エクスプロイトをベースにしたワーム機能を実装しています。 . .

ほとんどのマイニング型トロイの木馬は Windows で動作するよう設計されていますが、サイバー犯罪者は Mac .OS、Linux、Android を見過ごしていたわけではありません。2018 年 2 月に、CreativeUpdate と呼ばれる Monero マイニング型トロイの木馬が、改ざんされた MacUpdate .Web サイトから配布されていることが発見されました。5 月には、XMRig ベースの Mac .OSトロイの木馬 mshelper が大きく報道され、Ubuntu の Snap .Store でもマイニングマルウェアが発見されました。これらをはじめとして Windows 以外のマイニング型トロイの木馬は増え続けており、いくつか例を挙げると CpuMeaner（これも XMRigベース）、MinerGate ベースの PwNet などが加わっています。モノのインターネット（IoT）も、クリプトジャッキングマルウェアの被害を免れません。Android スマートフォン、タブレット、TVを悪用するマイニングボットネットが 2018 年 2 月に発見されました。

20182017

12月11月10月9月8月7月6月5月4月3月2月1月

20 サイランス2019年脅威レポート

ブラウザーベースの暗号通貨マイナーCoinhive は 2017 年 9 月に立ち上げられたサービスで、暗号通貨マイニングの新しいアプローチを作り出しました。Coinhiveは、ブラウザーを使い、訪問者の計算リソースを利用してMonero 暗号通貨をマイニングするものであり、JavaScriptベースのソリューションを Web サイトに提供するものです。このプロジェクトは、正当な Web サイト所有者が Web サイトのトラフィックから収入を得るための新しい手段となるはずのものでした。

Coinhive は、訪問者のブラウザーで実行されるコードのみに依存する、すぐに 使 えるソリューションです。ソフトウェアコンポーネントをインストールする必要はまったくありません。このアプローチにより、マイニングプロセス全体が実現しやすくなり、永続性が高まり、人目につかなくなります。サイバー犯罪者は Coinhive の可能性にいち早く注目し、悪事に利用しました。

Coinhive が稼働を開始したすぐ後に、タイポスクワッティングと呼ばれる手法を利用する幅広い不正ドメインで、そのマイニングスクリプトが発見されました。タイポスクワッティングは、ユーザーがブラウザーにURL を入力する際の打ち間違いを利用する手法です。後にサイバー犯罪者は、侵害されたポータルにCoinhive スクリプトをインストールしました。2018 年 2 月に、Browsealoudと呼ばれる有名なWebプラグインがハイジャックされたのをきっかけに、Coinhive ベースのマルウェアに対して深刻な騒動が巻き起こりました。侵害されたプラグインを使用して、暗号通貨マイナーのコードが政府機関の数千の Web サイトに密かに注入されたのです。

リスク軽減暗号通貨マイナーは、マシンを低速にして生産性を低下させる可能性があるので、ビジネスや個人のユーザーにとって大きな頭痛の種になります。マイナーを避けるためのアドバイスをいくつか 紹 介します。これ は ロ ー カルインストール 型 とブラウザーベースの両方に当てはまります。

• . 最新のセキュリティソリューションを実行する。 .

• . すべてのソフトウェアを最新の状態に保つ。 .

• . ブラウザーで JavaScript の使用を無効にする。

• . ブラウザーベースのマイナーをブロックするブラウザー拡張機能を使う（NoCoin、minerBlock、AdBlock .Plus）。 .

• . 知られているコインボールト URL への接続をブロックする。 .

• . CPU 使用率のモニターやキャッピング

暗号通貨マイナーのインシデント数は 2019 年初めに増加し、それ以降は年末まで横ばいになると予想されています。ビットコインの価値は不安定で変動が激しく、競合する暗号通貨も急増しているため、悪意のある暗号通貨マイナーの長期的な魅力は薄れていくと考えられます。魅力を減らすもう 1 つの要因は、感染したエンドポイント上でのフットプリントが予測できないことです。スキルの低い攻撃者が作成した悪意のある暗号通貨マイナーは、非常にうるさく目立つことがよくあります。

「 Coinhive が稼働を開始したすぐ後に、タイポスクワッティングと呼ばれる手法を利用する幅広い不正ドメインで、そのマイニングスクリプトが発見されました。 タイポスクワッティングは、ユーザーがブラウザーにURL を入力する際の打ち間違いを利用する手法です」

21 サイランス2019年脅威レポート

インサイトサイバーセキュリティ

ウイルスクリーニングの難問昨年、サイランスは数種類の寄生感染ウイルスが上位 10 脅威リストに入ったことを確認しました。寄生感染ウイルスが広く出回ると、AV ベンダーは膨大な数のマルウェアバイナリの提出を受けます。PolyRansom、Ramnit、Neshta など、感染が続いている古い脅威でこの現象が起きていることをサイランスは確認しました。この感染と提出のサイクルが、Elkern、Sality、Virutといった古典的なウイルスでも起こっています。

サイランスの研究者は、ウイルスコードの断片を含むいくつかのファイルが、ソフトウェア配布チャネルで一般に公開されていることを確認しました。これは、感染したファイルをクリーニングする AV ソリューションの一部が、マルウェア感染の痕跡をまだそのまま残している結果と考えられます。AI ベースのセキュリティ .ソリューションの微妙な点の 1 つは、ささいなファイルの変更にも反応しやすいところです。この敏感さが原因で、競合他社のAV によってすでにクリーニング済みのファイルがウイルスに感染していると判定されてしまいます。これは、マルウェアのアーティファクトが残存しているためです。このため、将来は開発者と AV ベンダーの双方に困った状況が生じる可能性があります。

Emotet の年拡散性と永続性の点で 2018 年を席巻した脅威が 1 つあるとすれば、それは Emotet でしょう。2018 年の Emotet は、オリジナルの 2014 年版とは大幅に異なるものです。銀行を狙うトロイの木馬から、堅牢で多面性のある脅威ツールに進化を遂げました。サイランスは 2018 年の全期間にわたって多数の Emotetキャンペーンを確認し、その大部分は追加の（または後の段階の）マルウェアペイロードを配布していました。Emotet は、Trickbot、IcedID、Qakbot、そしてさまざまなランサムウェアファミリーを配布するための絶好のツールになりました。

Emotet キャンペーンを運営するのは、平均以上のレベルの技術的スキルのある、豊富なリソースを持った民間組織です。Emotetの収入は主に、他のマルウェアや脅威ツールの拡散と管理にそのインフラストラクチャをレンタルして利用させることから生じています。昨年の間に、Emotet インフラストラクチャとマルウェアの両方ともが、従来型のコントロールを回避する能力を高めました。悪意のある文書と実行可能ペイロードをホストする感染サーバーは、管理下で動的に循環して使用されます。悪意のある文書に埋め込まれたマルウェアのコードとスクリプトの難読化手法は継続的に変更され、解析と検知が困難になっています。

Emotet の感染は一般に、悪意のある文書を含むか、感染した文書にリンクするフィッシング電子メールから始まります。銀行や請求書をテーマにしたおとりが頻繁に使用されますが、電子メールはあらゆる題材やテーマ（休暇など）を扱うように変更できます。悪意のある文書に埋め込まれたマクロは高度に難読化され、何層もの暗号化、置換、エンコードが施されていることがよくあります。Emotet の Invoke-Expression 層、文字列置換ルーチン、および難読化は、標準的なセキュリティコントロールと検知手法を突破できます。サイランスはまた、コードやコマンドが反転している（データを右から左に読む）例も確認しました。

Emotet のペイロードは多くの場合、サンドボックスや解析環境を認識します。サンドボックス環境を検知した後、実行を中止したり、正しくない感染の兆候を生成したりする例が見られました。Emotet ペイロードは通常、レジストリ（Run キー）、サービスの作成、またはスケジュール済みタスクの作成によって永続性を確立します。

White Company2018 年 11 月にサイランスは、新しく特定された高度な技術を持つ持続的な脅威グループ、White .Company の活動を詳述するレポートを発表しました。このレポートは、パキスタン空軍（PAF）に対するこの攻撃者の 1 年間にわたるキャンペーンを詳細に分析したものです。PAF は、パキスタンの核兵器計画に不可欠な要素であり、最近設立された同国の National .Centre .for .Cybersecurity の本拠地です。

White .Company は、以下のように相当量のリソースを所有していることから、国家による支援を受けている可能性があります。

• . ゼロデイエクスプロイトの開発者にアクセスできること、およびゼロデイエクスプロイトにアクセスできる可能性

• . 自動化された複雑なエクスプロイト構築システム

• . ミッション固有のニーズを達成するためにエクスプロイトを変更、洗練、進化させる能力

• . 高度な標的偵察能力

この APT の詳細な分析については、サイランスの報告書「White .Company: .Operation .Shaheen .- .新しい脅威アクターによるスパイ活動の内情」7 をお読みください。

REPORT 1: BY KEVIN LIVELLI

REPORT 2: BY RYAN SMITH

REPORT 3: BY JON GROSS

011-32-2-555-12-1251.2601974.40277151° 15’ 36.7092’ ’ N4° 24’ 9.9756’ ’ E

THE WHITE COMPANY SERIES

REPORT 1: Operation Shaheen

7 . https://pages cylance com/en-us-2018-11-operation-shaheen-threat-research-report-pdf-viewer html?sfc=70144000001N29gAAC

サイランス2019年脅威レポート23

コアの銀行関連のモジュールは、実行可能な Emotet のペイロードから 2017 年に削除されました。現在のバージョンは、よりオープンであり、よりモジュール化されています。現在では、データの盗み出しと持ち出し、スパムと電子メールの配布、拡散

（SMB ベースのワーム機能）、その他の機能のために別々のモジュールが用意されています。モジュールは DLLファイルの形式で扱われ、配布されます。Emotet はいくつかのオープンソースコンポーネントも使用します。現在の通信プロトコルは Google .Protobuf 上で構築されています。また Emotet は LZMA（圧縮）と OpenSSL（暗号化）を使用します。

攻撃者は 2018 年に Emotet の C2 プロトコルに変更を加えました。全体のプロトコル構造（Protobuf）が改変され、メールクライアントの文字列が削除されて、圧縮／暗号化ルーチンが更新されました。更新された暗号化ルーチンには、AES と RSA による暗号化と組み合わせた ZLIB ベースのリクエスト構造が含まれています。

Emotet には、新しいOSバージョンのデータと新しいminiupnpの実装（UPNP ライブラリ）が取り込まれました。サイランスはこのモジュールのさまざまな使用例を確認しましたが、一般にはポート転送を可能にしてローカルポートにバインドすることにより、ファイアウォール規則を回避するために使用されています。さらに、コードフローの難読化やマスクを改良して解析を混乱させるための更新も施されていました（無意味なデータによる過剰な埋め込みと、不要なジャンプ）。

Emotet の成功の鍵は、ポリモーフィズムと動的なバイナリ、インフラストラクチャの組み合わせです。キャンペーンの活動中は、悪意のある文書のテンプレートを通常 10 分ごとに変更しています。Emotet のペイロードはすべて、（回避と耐解析のため）カスタムツールによってパックまたは暗号化されます。暗号鍵の変更は定期的に行われます。たとえば、マルウェアと C2 の間の通信に使用される RSA 鍵の更新は頻繁であり、少なくとも毎月行われていました。

現在の亜種には、SMB 拡散（ブルートフォース）モジュールおよびレガシーEmotet拡散ツール用の更新されたパスワードリストも含まれています。ツールの例は以下の通りです。

• . Outlook Scraper — .Microsoft .Outlook アカウントを標的として名前と住所を抜き取るプログラム

• . WebBrowserPassView — ブラウザーに関連したパスワードの回復ツール

• . MailPassView — .電子メールクライアントに関連したパスワードの回復ツール

• . Netpass exe — .ユーザーセッションと外部デバイスからパスワードを引き出す Nirsoft のツール

2018 年 10 月にサイランスは、機能の更新によって Emotet が感染ホストから電子メールメッセージのデータ全体を収集できるようになっていることを発見しました。このトロイの木馬は、過去 180 日間にわたる電子メールすべてを対象に、（Microsoft .Outlook から）電子メール本文のデータ全体を解析し、引き出そうとします。このマルウェアは、IPM ルートフォルダにある取得可能なメッセージを素早く読み取ります。この新しい収集モジュールは、電子メールデータを一時ファイルにコピーして、処理が完了するまで最長で 300 秒間待ちます。

この電子メールデータの用途は数多く解明されています。2018年中に明らかになった用途の 1 つは、Emotet の有効性向上でした。盗み出された電子メール本文データは、攻撃者が Emotetのキャンペーンのソーシャルエンジニアリング成功率を高めるのに役立ちました。感染した環境からの実際の電子メールデータを所有していることで、攻撃者はフィッシング攻撃の組み立てと標的の選定をより効果的に行うことができます。送信者をうまく偽装した電子メールは、従来型のスパムフィルタと電子メールコントロールを迂回する手段にもなります。

「 Emotet の成功の鍵は、ポリモーフィズムと動的なバイナリ、インフラストラクチャの組み合わせです。キャンペーンの活動中は、悪意のある文書のテンプレートを通常 10 分ごとに変更しています」

24 サイランス2019年脅威レポート

スパムモジュールのもう 1 つのハイライトは、Domainkeys .Identified .Mail（DKIM）の実装です。サイランスは、Emotetの運営者が DKIM を利用してスパム／メールコントロールを回避していることを発見しました。DKIM により、受信した電子メールメッセージのヘッダーに、電子メールの送信者を認証および確認する公開鍵証明書が組み込まれます。巧妙なドメインハイジャックの仕掛けを使って、運営者はコントロール（DMARC8）を迂回し、特別に作られたドメインにリクエストをリダイレクトすることに成功しました。

Emotet は 2018 年に、Trickbot、AZORult、IcedID、Qakbot、Dridex、 および各 種のランサムウェアファミリー（Ryuk、UmbreCrypt など）といった、いくつもの脅威を拡散していることをサイランスは確認しました。Emotet 感染の第 1 段階の配布方法は、標準の文書ファイルのみではありませんでした。悪意のある電子メールに悪意のある文書へのリンクを含める場合もあり、別のファイルタイプを使用するキャンペーンもありました。PDF、XML 文書、および js ファイルのすべてが、悪意のあるEmotet スパムに使用されたことが分かっています。

場合によっては、標的プラットフォーム内の特定のエクスプロイトが Emotet によって利用されていました。悪意のあるリンクを開くためにファイルが使用される場合もありました（PDF ファイルの 場 合 に 多 い）。 一 部 の 電 子メール に は、 最 前 線 の C2サーバーへの HTTP .GET リクエストを生成する、難読化された jsファイルが含まれていました。これらのリクエストの目的としては、詳細な手順を確認したり、スクリプトをダウンロードしたり、PowerShell コマンド、実行可能ペイロード、その他のリソースを取得したりすることが考えられます。

Emotet の全体的なコストは 2018 年に増大しました。アクティブな Emotet の感染をクリーンアップするために企業がかける費用は 100 万ドル近くです 9。

スポットライト：Emotet と IcedID2018 年に、Emotet キャンペーンの進んだ段階のペイロードとして IcedID の配布がかなり増加していることをサイランスは確認しました。IcedID は Bokbot とも呼ばれ、2017 年に初めて発見されてから進化を続け、銀行を狙ったトロイの木馬ファミリーの中で頭角を現してきました。IcedID は単体でも厄介な脅威ですが、サイランスが確認したほとんどのキャンペーンでは、IcedID は、Emotet や Trickbot などのようにモジュール化されたスケーラブルな脅威と組み合わされていました。IcedID が最初に狙ったのは金融部門でしたが、IcedID のキャンペーンの標的が他の業界にも拡大したことをサイランスは確認しました。IcedID の拡大が最も深刻だったのは、情報技術、食品、農業の各業界でした。

IcedID が初めて発見されたのは 2017 年の中～後期で、続いてIcedID .v2 が 2018 年中期に登場しました。IcedID .v2 では、合理化されたコード、更新された暗号化／難読化ルーチンが導入されました。IcedID .v2 のバイナリはより小さくなり、永続性のための機構はログオンベースのスケジュール済みタスクに変更されました。v2 キャンペーンでは、暗号通貨の交換と関連プラットフォームに対する注目度が高まっていることが分かりました。

8 . https://dmarc org/ .9 . https://www us-cert gov/ncas/alerts/TA18-201A

IcedID は独自の拡散機能を持っており（LDAP とブルートフォース）、特別なマルチステップ暗号化ルーチンによって、各感染がユニークであり、また狙った標的に感染するようになっています。おそらくIcedID の最も興味深い機能は、組み込みの Webリダイレクトとインジェクションの機能です。これらの機能には、トラフィックのルーティング用にローカルプロキシを作成することが含まれます。このプロキシによりマルウェアが、目的のデータを監視し、引き出すことができます。

ブラウザーセッションもプロキシによって偽のフィッシングサイトにリダイレクトされ、認証情報の収集や一般的なデータの盗み出しなどが行われます。IcedID は、セキュアセッションが実行中で問題ないという標識（SSL 証明書データ、ロックアイコンなど）を表示してユーザーをだますことができます。これにより、ブラウズ中の被害者はセキュリティが守られているという誤った感覚を受けます。

IcedID は 2018 年の全期間にわたり Emotet によって大々的に配布されましたが、両者の関係は排他的ではありません。サイランスは、IcedID と Trickbot、Hancitor、Dreambot、その他の組み合わせも確認しました。

IcedID の量的な感染増加：

• . 2018 年 Q1 ～ Q2 .– .479% の増加

• . 2018 年 Q3 ～ Q4 .– .316% の増加

Emotet に対する予測優位性Emotet は、予測に基づく対策とコントロールがなぜ必要なのかを最もよく表している例です。被害者は、AV 製品の DAT ／シグニチャが更新されるまで 1 日どころか 1 時間も待っていられません。CylancePROTECT® を駆動する AI モデルは、被害が発見される 2 年以上前から Emotet を阻止する能力を発揮していました 10。

10 .https://threatvector cylance com/en_us/home/cylance-vs-updated-emotet html

25 サイランス2019年脅威レポート

Office365 への攻撃 - サイランスのインシデント対処／封じ込めチームからの視点

サイランスのインシデント対処／封じ込めチームは昨年、Office .365 に対するいくつかの攻撃に対処しました。

Microsoft Office 365（O365）の概要2018 年に、サイランスはフィッシング攻撃の増加を確認しました。これらのほとんどは、Microsoft .Office .365（O365）の認証情報の収集を狙ったものです。

金銭的な動機での攻撃が多く見られました。中間者攻撃（組織の電信送金プロセスへのインジェクション）、従業員の給与振り込み情報の変更、知的財産の盗み出しなどが行われました。

Office 365 への攻撃の概要攻 撃 者 は、 ユ ー ザ ー 認 証 情 報 を 収 集 する 試 み として、フィッシング電子メールをいくつか送信します。成功すれば、攻撃者は盗み出した認証情報を使用して組織の O365 環境にアクセスします。

攻撃者が O365 環境にアクセスできれば、キーとなる語句を含む電子メールをリダイレクトする受信メール転送規則を作成することが一般的です。たとえば、「振り込み」「マルウェア」「電子送金」「支払」などの語句が、電子メール転送規則をトリガーします。知的財産について示唆する語句も、リダイレクト対象の電子メールにフラグを立てるために使われる場合があります。

以下のセクションでは、2018 年にサイランスが確認した最も一般的な攻撃戦略について、いくつか詳しく説明します。

振り込みと支払いの変更振り込みに基づく攻撃は一般に、攻撃者がフィッシング電子メ ー ル を 送 信 して、 組 織 の O365 環 境 に 対 する 正 当 なユーザー認証情報を入手することから始まります。

環境に侵入したら、攻撃者は「振り込み」「支払いの選択」といった財務用語を含む受信メッセージをすべて削除する受信メール規則を作成します。攻撃者はまた、盗んだ認証情報を利用して不適切に構成されたシングルサインオン（SSO）システムを悪用し、Workday などの社内人事システムにサインインします。

攻撃者が Workday（または同様な人事システム）にアクセスできるようになると、従業員の支払いの選択を改変し、銀行口座情報を変更して支払いをリダイレクトします。

口座情報の変更に成功すると、人事システムはユーザーに通知を出します。ただし、攻撃者はこうした電子メールを削除するよう受信メール規則を作成しているので、ユーザーにこの通知が届くことはありません。次回に振り込みが行われると、攻撃者によって構成された口座に入金されます。

電子送金の中間者中間者攻撃もフィッシング電子メールを使用して、組織の O365環境への正当なユーザー認証情報を入手します。O365 の中間者攻撃に関して、サイランスは一般に 2 種類のシナリオを確認しています。1 つ目のアプローチは、受信メール規則によって攻撃者が外部の電子メールアカウントに電子メールを転送し、取引が発生すると攻撃者に通知するものです。2 番目の方法では、盗んだユーザー認証情報を使用して正当なユーザーを偽装し、電子送金を積極的に開始します。

どちらの方法も成功することが多く、金銭的な損失が生じるまで組織に気づかれない可能性があります。

26 サイランス2019年脅威レポート

知的財産の盗難知的財産（IP）を盗む犯罪は多くの場合、金銭的な動機で行われます。盗まれた IP は、第三者に販売されるか、攻撃者が対策を出し抜くためにそのつど利用します。IP 盗難のケースは、中間者攻撃と多くの点で似ています。どちらのケースも、攻撃者はユーザー認証情報のフィッシングを行い、SSO を悪用して複数のシステムにアクセスします。

攻撃者は一般に、盗もうとしている IP に関連したキーワードを使用して受信メール規則を設定します。フラグを立てられた語句と一致する電子メールが送受信されると、そのメールは外部の電子メールアドレスに転送され、攻撃者によって検討されます。サイランスは、電子メールが内部メールフォルダにコピーされ、攻撃者が次回ログイン時に取得するケースも調査しました。攻撃者はさらに、収集したユーザー認証情報を使用して OneDriveと SharePoint の認証を通り、盗み出す IP の検索を続けます。

サイランスは、攻撃者が別のシステムに OneDrive をインストールし、侵害されたユーザーの OneDrive ファイルを外部のロケーションと同期する事例も確認しました。このタイプの攻撃が特定されると、対処する側は大量の複雑な O365 監査ログを取捨選択するという面倒な作業を行わなければなりません。これを手作業で行うにはかなりの時間がかかり、重要な活動が見落とされるかもしれないリスクがあり、範囲の特定、封じ込め、修復のプロセスが遅れます。

サイランスは、こういった性質を持つクラウドセキュリティ侵害に対処する際、独自のツールを活用しています。ログのデータの詳細化と正規化を自動的に処理して、復旧操作を迅速に行います。幅広いクラウドインシデントへの対処と封じ込めの経験を生かして、サイランスは以下の機能を備えたツールを開発しました。

• . O365 監査ログの迅速な取り込み

• . 取り込みやすい構造化データセットへの O365 監査ログの再構成

• . ログデータ内のクライアント IP への地理的な位置情報のタグ付け

• . CylanceINFINITY™脅威インテリジェンスデータベースで、既知の不正の兆候を検索

• . 構造化データにクラスタリングモデルを適用して、ユーザー認証の異常行動を特定

• . サイランスのインシデント対処チームによる処理を迅速化できるよう、構造化データにコンテキストを提供

• . 処理されて絞り込まれたデータをサイランスの熟練のスペシャリストが分析できるようにして、人的インテリジェンスを応用

Microsoft Office 365への攻撃の予防と緩和に関する推奨事項

攻撃が成功する可能性を減らし、予防、検知、対処の能力を高めるため、組織ですぐに実施できる対策がいくつかあります。例を以下に挙げます。

• . すべてのユーザーに対して多要素認証（MFA）を有効にする。

• . すべての管理者アカウントに対して MFA を有効にする。

• . O365 監査ロギングを有効にする。

• . すべてのメールボックスに対してメールボックス監査ロギングを有効にする。

• . クライアント規則転送ブロックを有効にする。

• . 役割の変更を週ごとに確認する。

• . インシデントへの対処手順を定める。

• . メールボックス転送規則を確認する。

• . マルウェア検知レポートを確認する。

• . Azure .Active .Directory 内での危険なサインインに関するレポートを確認する。

• . 承認を与えた対象を確認する。

• . スパムフィルタリングを構成する。

27 サイランス2019年脅威レポート

照準は金融業界と 電子商取引業界に

低レベルの金融詐欺（例：カーディング、個人口座盗難など）から、国家の支援を受けた高度なキャンペーンまで、金融業界はサイバー犯罪者に包囲され続けています。

研究や環境によって数値はさまざまですが、サイランスのデータは以下の統計と一致しています。

• . 1,200 万～ 1,500 万ドル .– .すべての部門／業界にわたり、サイバーセキュリティにかかる 1 社あたりの年間平均コスト

• . 1,900 万～ 2,000 万ドル .– .金融／金融サービス部門のサイバーセキュリティ侵害 1 件あたりの平均コスト

• . 250 万～ 350 万ドル .– .マルウェアに関連した事象やインシデントを是正するためにかかる 1 社あたりの平均コスト

• . 25 日間 .– .ランサムウェアや関連した恐喝など、壊滅的なマルウェア攻撃の修復にかかる平均時間

サイランスは 2018 年に、国家の支援を受けた組織的な脅威グループが引き続き既製品ツール、現地調達戦術、オープンソースツールを採用していることを確認しました。多種類の脅威ツールを導入することは、目くらましの手法になる一方で、攻撃者がマルウェアキャンペーンを成功させるのにも役立っています。

2018 年の金融業界を狙ったキャンペーンで、サイランスは以下のことを確認しました。

• . マルウェアが首位の攻撃方法として引き続き君臨しており、続いて Web ベースの脅威（自動ダウンロード、水飲み場型など）、サービス拒否、悪意のあるインサイダーによる攻撃が多く見られました。

• . フィッシング／スピアフィッシングが、引き続き大半のサイバー攻撃の主要なベクトルでした。

2018 年に最も活発だった金融部門向けのマルウェアファミリーは、トロイの木馬からランサムウェアまで幅広く、北朝鮮

（DPRK）国内から発信された HIDDEN .COBRA キャンペーンで使用されたツールは、標的を絞った精巧なものでした。たとえば、DPRK によるものと考えられる最近のキャンペーンは、暗号通貨のマイニングと窃盗を中心としていました 11。Emotet、Trickbot、Nanocore、Adwind などのマルウェアファミリーも、脅威環境で活発に勢力を広げています。

11 .https://www reuters com/article/uk-southkorea-northkorea-cryptocurrency/south-korean-intelligence-says-n-korean-hackers-possibly-behind-coincheck-heist-sources-idUSKBN1FP2XX

注目すべきマルウェアファミリー

Emotet と IcedIDこのレポートですでに述べたように、Emotet と IcedID が 2018年の金融業界に対する攻撃で主要な存在でした（「Emotet の年」を参照）。

TrickbotTrickbot は銀行を狙ったトロイの木馬として 2016 年に初めて登場しました。昨年の Trickbot は、自己増殖の面で Emotet に匹敵していました。Emotet と同様に、Trickbot は感染した標的から機密情報を盗み出し、公開します。TrickBot を代表する機能は、ネットワークトラフィックの操作、ブラウザーのハイジャック、認証情報の収集、接続されたデバイスへの感染、悪質なコードの追加ダウンロードなどです。サイランスの内部データによれば、プロフェッショナルサービス、非営利団体、教育機関が、将来の Trickbot キャンペーンの上位を占める標的になりそうです。

Cobalt Groupこの脅威グループは、昨年を通じて活発さを増してきました。この名前は Cobalt .Strike に由来しています。これは本来、レッドチーム 演 習 と侵 入テスト用 に 設 計された 強 力 な 攻 撃 的コンピューティングプラットフォームです。このツールは、比類ない回避能力と永続能力を持っていると高く評価されており、人気があります。これら 2 つの特徴は、サイバー犯罪者にとって非常に魅力的です。SpicyOmelette12 など、最近の攻撃は典型的なCobalt .Group の攻撃パターンを示しています。

• . 悪意のある PDF ファイルを含むスピアフィッシング電子メールを送信する。

• . 悪意のあるコードを含む、AWS によってホストされたサイトに被害者を誘導する。

• . Microsoft のコアユーティリティを使って悪意のあるコードに署名し、実行する。

• . システム活動をコントロールできるようになる。

攻撃者は、さまざまな入力と活動を監視するためにリモートアクセスを有効にすることがよくあります。SpicyOmelette 攻撃は、決済システムのゲートウェイ、ATM マシン、その他の銀行システムを標的にしました。

12 .https://www zdnet com/article/cobalt-threat-group-serves-up-spicyomelette-in-bank-attacks/

28 サイランス2019年脅威レポート

HIDDEN COBRA と FASTCash アジアとアフリカの銀行を標的とした攻撃が北朝鮮の国内 13 から発信され、2017 年から 2018 年にかけて数千万ドル相当の不正取引が行われました。これらの攻撃は、リモート接続を使用して銀行決済システム内のアプリケーションサーバーに侵入しました。2018 年 10 月の US-CERT による警告 14 では、以下のように述べています。

「HIDDEN .COBRA の攻撃者は、国境を越えた不正なATM 現金引き出しを可能にするため、銀行内の小売決済システムのインフラストラクチャを標的にしています。HIDDEN .COBRA の 攻 撃 者 は、 財 務 関 連 の 請 求メッセージを傍受して、正当に見える詐欺的な肯定応答メッセージを返信するため、侵害されたスイッチアプリケーションサーバー上で正当なスクリプトを構成して展開しています」 . .

また、FASTCash キャンペーンも、北朝鮮によるものと考えられる暗号通貨を狙った一連の攻撃の一例でした。

取引／決済インフラストラクチャの直接ターゲティング長年にわたって、金融インフラストラクチャを狙ったさまざまな攻撃が行われてきました。攻撃者が RBS/SWIFT システムに侵入する企ては、 洗 練 度と頻 度 の 両 面で成 長し続 けています。サーバー脅威サービスが低価格化し、悪意のあるコードが幅広く入手可能になったことから、新進気鋭のサイバー犯罪者が簡単に参入できるようになっています。

昨年は、パキスタン、インド、南米などで金融機関を標的とした攻撃の増加が確認されました。2018 年 5 月に、Banco .de .Chileが Lazarus .Group に狙われました。この攻撃では、ランサムウェアとワイパーベースのマルウェアが両方とも採用され、1,000 万ドル近くと推定される損害が生じました。2018 年 8 月には、APT38 グループがインドの Cosmos .Bank を標的として、およそ 1,350 万ドルの損害を与えました。数時間内に、APT38は不正な ATM 引き出しと無許可の SWIFT 取引の組み合わせによって大金を盗むことができたのです。

金融機関への攻撃の例は枚挙にいとまがありませんが、これらの攻撃がまったく単純であることにはあまり言及されません。これらの攻撃の大部分は、単純なスピアフィッシング電子メールから始まっています。1 人の銀行従業員が間違ったメールを開いて間違った添付ファイルをクリックしただけで、悪意のあるスクリプトが起動してしまうのです。インフラストラクチャ内でアクティブになると、マルウェアは環境全体を水平方向に移動できます。

外部向けサービスとアプリケーションの脆弱性の悪用は、Webベースの攻撃ベクトルと同様、一般的なマルウェア配布方法の1 つです。こうした方法が確実な結果を生み続ける限り、将来の攻撃でも同じ方法が世界中で使用されることが予想されます。以上の点を踏まえた上で、SWIFT は顧客セキュリティプログラム

（CSP）を積極的に推進しています。SWIFT サービスを利用する場合は、資料とガイドライン 15 を確認することをお勧めします。

13 .https://www us-cert gov/HIDDEN-COBRA-North-Korean-Malicious-Cyber-Activity

14 .https://www us-cert gov/ncas/alerts/TA18-275A

15 .https://www swift com/myswift/customer-security-programme-csp

ダークウェブダークウェブは依然として詐欺を専門とするツールとサービスの主 要 な 供 給 源 です。 ダー クウェブの 訪 問 者 は、 単 純 なカーディングの運用から手の込んだ提携サービスまで、一通りのものを見つけることができます。最近、一部の犯罪者は、マーケットの運用停止とホスティング詐欺が相次いだことにより、ダークウェブを信用しなくなっています。それでも、不法な商品の交換を助けるエコシステムの需要は根強く、これが引き続きダークウェブの原動力になっています。

2018 年には、ダークウェブで公開されている販売者とシステムの数が低下していることをサイランスは確認しました。多くのベンダーが、顧客になる可能性がある人々とベンダー自身の間に垣根を設けています。ベンダーはダークウェブでサービスや連絡先情報を宣伝して募集をかけた後、他のチャネル経由で交渉を進めるよう要求することがあります。たとえば、Protonmailなどのセキュアメッセージングサービスを使用して、話し合いを直接電子メールで進めるよう要求するベンダーがいます。Telegram、Wickr、WhatsApp も、代替の通信プラットフォームとして使われていることが確認されています。

「 ダークウェブは依然として詐欺を専門とするツールとサービスの主要な供給源です。ダークウェブの訪問者は、単純なカーディングの 運 用 か ら 手 の 込 ん だ 提 携サービスまで、一通りのものを見つけることができます」

29 サイランス2019年脅威レポート

消費者が求めていることサイランスが人工知能テクノロジーを消費者向けに提供することを最初に検討したときは、お客様に気に入っていただける製品とユーザー体験を作り出すことを目指しました。最善の策は、消費者に直ヒアリングすることだと考え、あらゆる職業のユーザーを調査し、話を聞き、直面しているサイバーセキュリティの脅威に対するユーザーの現状と期待を調査しました。その結果、以下のことが分かりました。

新しい画期的な消費者向けアンチウイルスの需要が最も大きかったのは、企業のお客様でした。これは最初は意外に思えますが、企業が 2018 年にサイバーセキュリティに出費した金額が1,140億ドル16 だったことを考えると、理解できるようになります。企業のお客様はサイバー脅威のトレンドを研究し、自社が直面しているリスクを評価して、サイバーセキュリティ態勢を強化するための新しい製品とツールを熱心に探しています。

今日の労働環境を考えれば、企業のセキュリティチームは、企業が管理する社内ネットワークの範囲内に限定されずに活動する従業員のことを考慮する必要があります。実際、従業員の67%は業務中に個人用デバイスを使用しています 17。さらに、米国では従業員の 37% が在宅勤務です 18。クラウドベースのソフトウェアが広く普及して、従業員は企業の資産に無数のデバイスからアクセスできるようになりました。つまり、企業のネットワークの境界はもはや企業ファイアウォールによって定められなくなったのです。個人用デバイスによって、企業ネットワークは従業員の家庭にまで拡大しています。企業は、自宅でも職場と同じように従業員の安全を確保しようとしています。

企業ユーザーとは対照的に、消費者は一般にサイバーセキュリティに関して不満を感じていることが明らかになりました。調査対象の 97% が個人用デバイスでアンチウイルスを使用していると回答していますが、51% が前年中にベンダーを乗り換えていました 19。なぜでしょうか。乗り換えの主な理由は、アンチウイルス製品がコンピューターを保護できていないためでした。さらに43%20 は、将来ベンダーを乗り換えるだろうと予想しています。

最も切実なセキュリティ上の懸念について尋ねると、個人情報の盗難と金融詐欺が一貫して 1 位と 2 位を占めていました 21。ネットの中立性に関する議論と、Facebook と Cambridge .Analytica のデータスキャンダルを受けて、プライバシーに関する懸念が改めて消費者の最も重要な関心事になりました。消費者の不満は、無力感に端を発しています。この無力感の原因は、何をしても（しなくても）自分を守ることはできないのだという感覚です。

16 .https://www gartner com/en/newsroom/press-releases/2018-08-15-gartner-forecasts-worldwide-information-security-spending-to-exceed-124-billion-in-2019

17 .https://www cbsnews com/news/byod-alert-confidential-data-on-personal-devices/

18 .https://news gallup com/poll/184649/telecommuting-work-climbs aspx19 .Cylance, .September .2017, .internal .Carbonview .Survey: .unpublished20 .Cylance, .September .2017, .internal .Carbonview .Survey: .unpublished21 .Cylance, .September .2017, .internal .Carbonview .Survey: .unpublished

企業と消費者のサイバーセキュリティに対する態度には、どうしてこのような違いがあるのでしょうか。企業のセキュリティ専門家は、何が必要か、何をすべきかを知っていて、サイバーセキュリティ態勢を改善するための対策をたびたび講じることができます。消費者は、サイバーセキュリティやプライバシーの最新トレンドに追いつく時間がなく、自分を十分に守れるだけの知識もないと感じています。

サイランスの経験では、消費者は選択するセキュリティ製品に以下の 3 つの単純なことを望んでいます。

• . 所有物の保護 .- .コンピューター、モバイルデバイス、タブレット、家電製品

• . 行動の保護 .- . オンラインブラウジング、個人的な通信、ショッピング、金融取引

• . 自分自身の保護 .- . 個人情報、ログイン認証情報、プライバシー

消費者が日常生活に使用するテクノロジーをめぐるプライバシーとデータに対する懸念は高まり続けているので、2019 年にこうした優先事項と要望のいずれも変わることはないとサイランスは見込んでいます。

サイランス2019年脅威レポート30

2018 年に注目を集めた認証情報に基づくハッキング— 認証が重要である理由

大きな被害をもたらしたサイバー攻撃が、2018 年の全期間にわたって大きく報道されました。これらの攻撃の不運な標的となったのは、大規模なホテルチェーン、Reddit、2 社の大規模な小売企業、そして世界中にある数百校の大学です。

大学米国内で 300 を超える大学が、2018 年にイランの攻撃者の標的になりました22。これらの標的のうち、144校が侵害を受けました。攻撃者が頼ったのはスピアフィッシング電子メールで、大学職員からネットワークのログイン認証情報を詐取する悪質なリンクがメールに含まれていました。攻撃者が有効な認証情報を入手すれば、被害者のネットワークインフラストラクチャに簡単にアクセスできます。被害に遭った大学は、合わせて 31 テラバイトのデータと、およそ 30 億ドル相当と推定される知的財産の損失を被りました。同じ脅威グループが、米国以外の諸国にある176 校の大学と47 社の民間企業にも攻撃を仕掛けました。

Reddit別のインシデントでは、人気のあるオンラインプラットフォームのReddit が認証情報に基づく攻撃を受け、ユーザー情報と個人的な通信内容の漏えいが起こりました 23。Reddit は、2 要素認証の使用を従業員に義務付けています。SMS 確認メッセージを傍受することにより、攻撃者は Reddit バックアップシステムに読み取り専用でアクセスすることができました。バックアップシステムでは、侵害されたシステムに保管されているアカウント認証情報、電子メールアドレス、すべての非公開および公開のコンテンツを攻撃者が見られる状態でした。

22 .https://www wired com/story/2018-worst-hacks-so-far/23 .https://www theverge com/2018/8/1/17639930/reddit-hack-security-

breach-stole-user-data-2007-earlier

MarriottMarriott .Starwood ホテルチェーンの発表によると、同社の予約システムで 4 年間にわたってセキュリティ侵害が発生し、2018 年に最大 5 億件の顧客レコードが露出していました 24。この侵害は、サイバーセキュリティベンダーがおそらく調査のために、マルウェアのサンプルをダウンロードしたときに発生したと見られています。このマルウェアサンプルが、Marriott の Outlook .Web .Access（OWA）システムに侵入してしまいました。この侵害が最終的に、顧客の氏名、電話番号、パスポートデータ、電子メールアドレスなどの PII を露出させる結果になりました 25。

Lord & Taylor有名な高級品小売企業の Lord .& .Taylor と Saks がセキュリティ侵害を受け、500 万件を超えるクレジット／デビットカード番号が被害に遭いました 26。原因は、キャッシュレジスターにインストールされた悪意のあるソフトウェアが、顧客情報を抜き取っていたことでした。悪意のあるソフトウェアがどのようにして POSシステムにインストールされたのかは、現在も分かっていません。修復プロセスの関係者は、成功したフィッシング電子メールが原因で、侵害されたシステムにバックドアがインストールされたのではないかと推測しています。

セキュリティ業界はどのように 対処できるか認証情報に基づく攻撃の全体像として、The .Register27 は、ユーザーアカウントのクラックを試みている攻撃者が、オンライン小売りトラフィックの90% を発生させている可能性があると報告しています。認証情報に基づく攻撃の頻度を考えると、2018年にサイバー犯罪者がこれだけ多くの大規模攻撃を加えたことは意外ではありません。

先見の明があるサイバーセキュリティ企業は、サイバー攻撃を阻止するための新しい画期的な方法を常に探っています。2018 年に注目を集めたセキュリティ侵害に対抗する策の 1 つは、AI 駆動型の行動分析でしょう。認証情報ハイジャックなどの戦術や、悪意のあるサービスアカウントの活動は、異常な行動を識別するようトレーニングされた AI によって迅速に検知できます。潜在的に危険なシステム行動が検知されたときは、実際の被害が発生する前に早めの緩和手順を開始できます。

24 .https://www forbes com/sites/thomasbrewster/2018/12/03/revealed-marriotts-500-million-hack-came-after-a-string-of-security-breaches/#1ab153b3546f

25 .https://www ndtv com/world-news/china-may-have-been-behind-the-massive-marriott-data-breach-1958945

26 .https://www nytimes com/2018/04/01/technology/saks-lord-taylor-credit-cards html

27 .https://www theregister co uk/2018/07/20/credentials_login_slurp/

31 サイランス2019年脅威レポート

まとめ2018 年は、単一の際立った脅威や脅威グループによって席巻されることはありませんでしたが、サイバーセキュリティに関してさまざまな教訓が得られました。年の初めには経済的な圧力がコインマイナーの増加を後押ししましたが、それ以降はこの順風が逆風に変わりました。暗号通貨の価値とそれが 2019 年の脅威環境に与える影響が将来どうなるかは、現在のところ不明です。

サイランスのエコシステム内で全体的なマルウェア攻撃は 10%増加しました。サイランスが 2018 年に確認した内容は、より広いセキュリティ業界で見られたものと一致しています。つまり、ランサムウェア攻撃は減少し、コインマイナー攻撃が増加しています。

Emotet を背後で操る狡猾なサイバー犯罪者は、容赦ないイノベーションを連発してサイバーセキュリティの世界を警戒させ続けています。確実なものと一般に考えられているセキュリティ対策でも、十分な動機を持つ攻撃者の手にかかれば、裏をかかれたり、迂回されたり、破られたりすることが実証されました。彼らのブルートフォース攻撃では一般的なパスワードがハードコーディングされており、このようなきわめて単純な戦術でも2018 年に時折は成功することがあると示されました。

企業ユーザーは、新たな AI 駆動型のサイバーセキュリティソリューション、ツール、対策に、力強い意識と関心を示しました。サイバーセキュリティの問題について一般に告知し、より効果的なソリューションを案内することに関しては、まだ改善の余地があることが消費者の動向から再認識されました。サイランスはこれからも両タイプのユーザーのニーズに対応して、AI ネイティブのソリューションを提供し、消費者のためにはセキュリティを自動化し、企業のためには最先端の予防ベースのアプローチを提供していきます。

サイランスの予測 サイランスのセキュリティソリューションは、第三者機関で確認された通り、防御率 99 1% ですが、サイランスのエンジニア、研究者、幹部が同じ確率で、今後の脅威のトレンドを予測できるとは断言できません。我々の予測精度はサイランスの製品にかなわないかもしれませんが、サイランス社員が今後のセキュリティのトレンドについてできる限りの推測を発表して参ります。

2019 年 1 月に今年の前途について以下のような予測がなされました。

• . 工業の制御領域でのセキュリティ問題が原因で、大規模なインフラストラクチャ障害（電力、水道、ガス、輸送など）が発生するでしょう。これは、多発するマルウェア攻撃、または直接攻撃の結果として生じる可能性があります。いずれの場合にも、かなりの経済的または人的なコストが発生します。

• . 欧州連合では、コントローラとプロセッサが十分なセキュリティを提供できないことに起因する、GDPR適用の増加が見られるでしょう。

• . 米国では、連邦政府ではなく個々の州がプライバシー規制を大規模に推進するでしょう。

• . Bloomberg の SuperMicro の記事 28 . を受けて、ハードウェアに脅威を埋め込む手口に対する注目が高まるでしょう。

• . セキュリティインテリジェンスが飛躍的に進歩するでしょう（特に、人間の理解力を超える規模のデータに関連して）。2019 年には、より多くのデータソースが統合され、データ量がより大規模になります。これらのデータ統合を容易にする API への依存度も高まり、セキュリティ対策担当者は環境にアプローチする新しい手段を導入する必要に迫られるでしょう。

• . Emotet と転用された Dridex/Dyre の亜種に基づくマルスパムキャンペーンから金銭を得るための最短経路として、脅迫が使われるようになるでしょう。電子メールとユーザー認証情報を瞬時に抜き取るマルウェアの機能により、攻撃者は盗んだ電子メールから見つけた情報を使ってユーザーを簡単に脅迫できるようになります。このアプローチは、データの暗号化と暗号通貨決済の要求（追跡可能）に伴うリスクよりも望ましいと考えられるかもしれません。

• . 攻撃者は、企業の標的に対して、警告疲れを利用し始める可能性があります。攻撃者は大胆な攻撃を仕掛けた後、結果として生じるノイズを目くらましとして使い、実際の目的から注意をそらすことが考えられます。また、数百万人 29 のサイバーセキュリティ要員が依然として不足していることを認識した上で、警告の洪水を起こして脅威に対処する担当者を疲弊させようとする可能性があります。

28 .https://www bloomberg com/news/articles/2018-10-09/new-evidence-of-hacked-supermicro-hardware-found-in-u-s-telecom

29 .https://www forbes com/sites/forbestechcouncil/2018/08/09/the-cybersecurity-talent-gap-is-an-industry-crisis/#4977d505a6b3

32 サイランス2019年脅威レポート

付録脅威の E:I:D 評価

ファミリー 実行（1～ 4） 個人情報（1～ 3） サービス拒否（1～ 3）

MyWebSearch 1 0 0

InstallCore 1 0 0

PolyRansom 2 0 2

Neshta 2 3 1

Upatre 1 2 1

Ramnit 2 3 1

Emotet 1 3 1

GandCrab 1 0 2

Qukart 2 3 2

Ludbaruma 2 2 2

Cimpli 1 0 0

CoinMiner 1 1 1

FlashBack 1 2 0

Keyranger 2 1 2

MacKontrol 1 3 3

33 サイランス2019年脅威レポート

サイランスの研究と業界ニュースについて詳しくは、threatvector cylance com をご覧ください。