フォーティネット 脅威レポート - fortinet · 6...
TRANSCRIPT
フォーティネット 脅威レポート2019年第 1四半期版
フォーティネット脅威レポート 2019年第 1四半期版
2
目次
概説 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Threat Landscape Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
第 1四半期の注目すべき新たな動き . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
犯罪集団の研究:Silence Group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
探索的分析:(フィルタリングされた)接続網 . . . . . . . . . . . . . . . . . . . . . . . . 13
3
フォーティネット脅威レポート 2019年第 1四半期版
2019年第 1四半期の概説
四半期毎のサイバー脅威の現状をまとめたレポートをお届けする時期を再び迎えました。本レポートをお読みいただき、どうもありがとうござい
ます。今回の 10数ページのレポートをお読みいただくことで、2019年第 1四半期の脅威環境における重要な出来事を理解し、将来に備えるヒン
トを見つけていただけることを願っています。本レポートでご紹介する、この四半期の特筆すべき出来事の概要は以下のとおりです。
本レポートに記載する調査結果は、世界中の本番環境で観察された、数十億件の脅威イベントを収集しているさまざまなネットワークセンサーか
ら取得された、FortiGuard Labsの脅威インテリジェンスに基づくものです。独立機関による調査によれば *1、フォーティネットはセキュリティデ
バイス出荷数において業界最大を達成しています。この独自の利点を活かした複数の観点からの概観を提示する本レポートをお読みいただくこと
で、この四半期のサイバー脅威環境がどのようなものであったかを理解していただけるはずです。
The Fortinet Threat
Landscape Index
脅威環境の深刻さを知る 1つの手掛かりとな
るこの概観指標は、これまで以上に変動を繰
り返しましたが、四半期全体としては、わず
か 1%の上昇に留まりました。
環境寄生型(Living off the Land)攻撃の
ツールと手法
標的とするシステムにすでにインストールさ
れている正規のツールを悪用するサイバー犯
罪が増加しています。本レポートでは、具体
的にどのようなツールがどのように使われる
のかを解説します。
犯罪集団の研究:Silence Group
ロシアや東ヨーロッパの国の金融機関を主な標的にしていたこ
の攻撃者は、この数年で攻撃の範囲とレパートリーの両方を拡
大してきました。本レポートでは、彼らの最新の戦術をご紹介
します。
ThinkPHPに注目する
攻撃者
ThinkPHPフレームワークを標的とするエク
スプロイトが 2位に入ったことで、グローバ
ル規模で目標を達成しようとする攻撃者は、
知名度のやや低いテクノロジーも標的にする
という事実を再認識させられます。
自らの「成功」が裏目に出た Coinhive
多くのサイバー犯罪者に好んで利用されて
きた Moneroベースの暗号化サービスである
Coinhiveが、2019年第 1四半期に閉鎖され
ました。本レポートでは、我々のテレメトリ
データの視点を通して、その動きの影響を検
証しました。
探索的分析:(フィルタリングされた)接続網
サイバー犯罪者には、曜日によって異なる攻撃フェーズを実行する
傾向があるのでしょうか。また、エクスプロイトとコントロールに
同じインフラストラクチャを使用するのでしょうか。本レポートで
は、これらの疑問の答えを探ります。
コンスタントな管理が必要とされる
コンテンツ管理
WordPressが多くの攻撃の標的になっている
ことは誰もが知るところですが、知名度が比
較的低い CMSはどうなのでしょうか。本レ
ポートでは、WordPressだけでなくCMSツー
ル全般を使用する組織が知っておくべき新た
なエクスプロイトについて検証しました。
カスタマイズと標的の限定が進む
ランサムウェア
最近の無差別ランサムウェア攻撃では、攻撃
の標的になってしまうと、綿密に計画された
破壊的な攻撃によって甚大な損害を被る可能
性があります。本レポートでは、最近の例を
いくつか提示してこの傾向を追跡しました。
1%
*1 IDC Worldwide Security Appliances Tracker – 2019年 3月(年間出荷台数に基づく)
4
フォーティネット脅威レポート 2019年第 1四半期版
Threat Landscape Indexフォーティネットは、「状況は良くなっているのか悪くなっているのか」という一見シンプルでありながら難しい質問に対して、明確かつ簡潔な答えを出す 1つの方法として、2018年半ばに Fortinet Threat Landscape Index(TLI)*2 を開発しました。TLIは、より多くのセンサーがより多くの種類あるいはより多くの数の脅威を検知すると、状況は悪化している(両方が重なれば 2倍になる)という前提に基づいています。その逆の場合には、サイバー脅威が減少していることになります。おそらく最も重要なのは、TLIをこのような変化の度合いを長期的に示すものとして捉え、その変化の要因に注目するための手掛かりとして活用することでしょう。
図 1に示すように、TLIは基準とする値の 1000*3 で開始し、12月上旬にピークとなり 1032を記録した後に、1005で 2018年を終えました。2019
年第 1四半期は、前四半期までと比べて変動が激しかったものの(特にマルウェア)、変化の度合いが記録的に大きかったわけではありません。全体的として見れば、この四半期の TLIは 1%強上昇して 1017で四半期を終えました。
図 1:Fortinet Threat Landscape Index(上)とボットネット / エクスプロイト / マルウェアのサブ指標(下)
TLIの変動の要因となっている、変化する脅威とイベントの詳細を週単位でご覧になりたい場合は、FortiGuard脅威インテリジェンス情報ブリーフ *4 を参照してください。この四半期の脅威環境を理解するため、図 2で 2019年第 1四半期のエクスプロイト、マルウェア、ボットネットの検知結果を 10位まで示します。
全体
ボットネット エクスプロイト
2018年第 3、4四半期 2019年第 1四半期
7月 7月
7月
7月1月 1月
1月
1月10月 10月
10月
10月4月 4月
4月
マルウェア
指数
*2 サイバー脅威の度合いを数値化したフォーティネット独自の指標(詳しくは「フォーティネット脅威レポート 2018 年第 3 四半期版」P5 参照)
*3 「1000」を指標の最初の開始点として恣意的に選択しましたが、 この値には後続の計算の倍率を確定する以外の特別な意味があるわけではありません
*4 FortiGuard脅威インテリジェンスブリーフ(英文):https://fortiguard.com/resources/threat-brief
5
フォーティネット脅威レポート 2019年第 1四半期版
まずはじめに、エクスプロイトの標的について注目すべき点をいくつか検証してみましょう。Microsoftと Apacheは、利用されているシステムが極めて多いことから、我々が記憶する限りこのリストの上位に常に登場しています。さまざまなタイプのルーター、この 2019年第 1四半期で言えば D-Link、Netcore、DASAN、Linksysが攻撃の標的となる傾向は、数年前から続いています。しかしながら、この四半期に特に我々が注目したのは、ThinkPHP開発フレームワークに対するリモートコード実行の試行の増加であり、これについては、本レポートの後半で解説します。
前述のマルウェア指標の変動性を裏付ける証拠として、デバイスあたりの件数を測定基準とした場合に、40の異なるマルウェアファミリー(亜種ではありません)がこの四半期のトップ 5に毎週登場した事実を挙げることができます。攻撃者の顔ぶれには大きな変化はなく、いずれも最近の大規模攻撃の常連でしたが、その 1つである Coinhiveが 3月上旬に閉鎖されました。この閉鎖を契機として、変動は沈静化することになるのでしょうか。Coinhiveの閉鎖については、この後に個別のセクションを設けて解説します。
ボットネットに関しては、この四半期に最も注目を集めたのは Emotetでした。Emotetは何年も前から存在するマルウェアですが、情報の不正取得、ランサムウェア、金融関連のトロイの木馬の新しいモジュールを活用した大規模攻撃がいくつも確認され、第 1四半期に活動が活発化しました。これらの新しい亜種の 1つについては、このブログ記事 *5 ですでに分析を行っています。また、上記の表から読み取ることはできませんが、Emotetはこの四半期にフォーティネットのWebフィルタリングサービスで最もブロックされた脅威でもあることを指摘しておきたいと思います。このボットネットについては、後半の探索的分析のセクションで詳しく解説します。
以上の 2019年第 1四半期の脅威環境の全体像を理解した上で、詳しい解説に入ることにしましょう。
図 2:2019年第 1四半期に検知率が上位だったエクスプロイト / マルウェア / ボットネット
エクスプロイトの標的 マルウェアファミリー ボットネット
1 MS IIS 1 MSOffice/CVE_2017_11882 1 ZeroAccess
2 ThinkPHP 2 W32/Agent 2 Andromeda
3 Apache Struts 3 JS/ProxyChanger 3 H-Worm
4 D-Link 2750B 4 W32/Kryptik 4 Conficker
5 MS Windows 5 Riskware/Refresh 5 Sora
6 Netcore Netis 6 Riskware/Coinhive 6 Emotet
7 DASAN GPON 7 W32/STRAT_Gen 7 XorDDoS
8 WebRTC 8 Android/Hiddad 8 Necurs
9 Apache Tomcat 9 Riskware/Generic 9 AAEH
10 Linksys 10 Android/Generic 10 Torpig
*5 Analysis of a Fresh Variant of the Emotet Malware(英文):https://www.fortinet.com/blog/threat-research/analysis-of-a-fresh-variant-of-the-emotet-malware.html
6
フォーティネット脅威レポート 2019年第 1四半期版
第 1四半期の注目すべき新たな動きいずれの四半期を取り上げた場合も、発生したさまざまな出来事によってサイバー脅威環境の全体像が形作られることから、特筆すべき出来事を選ぶのは容易ではありません。そのような状況において、フォーティネットのアナリストはさまざまな理由から注目に値する出来事を選びました。2019年第 1四半期の皆様の環境での出来事を照らし合わせながら以下の説明をお読みいただき、対策を計画する際の参考にしていただければ幸いです。
ThinkPHPに注目する攻撃者
図 2に示したように、ThinkPHP開発フレームワークの RCE(リモートコード実行)脆弱性が、「エクスプロイトの標的」の 2位に入りました。恐らくこの事だけでは特に珍しいことではなく、エクスプロイトは定期的に繰り返されるものであるのは事実です。しかしながら、そのような現象を常に監視していると、1)ThinkPHPは、最近の記憶の範囲においていずれのリストでも上位に入ったことはなく、2)利用されている地域はもっと中国に集中していることが通常だという 2つの点で、その特異性に気付きます。
脅威の傾向をより正確に把握したいのであれば、通常はテクノロジーの普及のトレンドに注目することをお勧めしますが、この場合も例外ではありません。ソーシャルメディアのブームが続いていることから、さまざまな企業や組織が、多くのユーザーに受け入れられるソーシャルメディアに対応したWebサイトの開発を進めています。そして、そのような需要に応えるために、コンテンツ管理システム(CMS)や(ThinkPHPなどの)さまざまな開発フレームワークが登場しました。同時に、サイバー犯罪者もこれらのツールに注目し、次々と発見される脆弱性をいち早く悪用するようになりました。
この ThinkPHPのエクスプロイトの場合は、概念実証コードが 2018年 12月に公開され、その直後に攻撃が始まりました。TopThinkがこの脆弱性(CVE-2018-20062)*6 を修正するパッチをすぐに公開しましたが、図 3からわかるように、脆弱性が存在するシステムを発見しようとする攻撃者による活動は、第 1四半期を通して活発な状態が続きました。
図 3:2019年第 1四半期の ThinkPHPに対する RCE試行の件数
この脆弱性のエクスプロイトが成功すると、多くの場合 PHPバックドアがインストールされたりし、DDoS攻撃やマルウェアの拡散にシステムが悪用されたり、ボットネットに組み込まれたりします。BuleHeroは、暗号化方式に関連する脆弱性が存在する ThinkPHPホストを攻撃する、活動が活発だったボットネットの 1つです。Miraiの亜種である Mioriも、ThinkPHPの RCEのバグを悪用してデバイスを攻撃し、コードをダウンロードして DDoS攻撃を開始します。
対策のヒント:ThinkPHPが順位を大きく上げたことは、攻撃者が知名度のやや低いテクノロジーも悪用してグローバル規模で目標を達成しようとしていることを示す、もう 1つの例でもあります。防御側である我々は、常に対策を強化して適切な実践方法を採用しなければ、付帯的損害を免れないと肝に銘じるべきでしょう。
*6 CVE-2018-20062(英文):https://nvd.nist.gov/vuln/detail/CVE-2018-20062
1月
400万
200万
300万
100万
03月2月 4月
1日あたりの件数
7
フォーティネット脅威レポート 2019年第 1四半期版
コンスタントな管理が必要とされるコンテンツ管理
ThinkPHPなどの開発フレームワークに対するエクスプロイトが増加したことを指摘しましたが、CMSについては特段の注意が必要です。WordPressは本レポートでも常連であり、図 4に示すように最も標的にされることの多い CMSであり続けており、全世界で 10万を超えるデバイスへの攻撃を記録した唯一の CMSでした。しかしながら、他のプラットフォームを利用している組織であれば攻撃されないという訳ではありません。
JoomlaはWordPressの次に人気のある CMSであり、公開されている商用Webサイトの約 9%で利用されています。他のプラットフォームと同様に Joomlaにもいくつもの脆弱性が存在し、今年だけで 6つの脆弱性が公開 *7 されており、攻撃者がそれらの脆弱性に大いに注目していることは言うまでもありません。フォーティネットでも最近、Joomlaの複数のバージョンに影響する RCE脆弱性を標的にする活動が大量に検知されました。3月には、ロシアの犯罪集団によるWordPressや Joomlaの何百ものWebサイトの攻撃が報告され、それらのサイトがランサムウェアやフィッシングページの拡散に使われていたことがわかりました。
2019年第 1四半期は、Ektronと DataLifeを標的とするエクスプロイトがこれまで以上の規模で確認されました。Ektronの RCE脆弱性をトリガーとする検知数は、1月下旬に短いピーク時を迎えた後に 2月になって大幅に減少し、3月に再び上昇しました。このことから、このプラットフォームに対する攻撃者の興味が低いながらも続いていることがわかります。DataLifeの PHPコードインジェクション脆弱性を標的とする攻撃も、3月のエクスプロイトの増加を除けば同様のパターンを示しました。
また、1月には Magentoの ECプラットフォームと CMSを標的とする攻撃も大量に確認されました。第 4四半期のそれ以外の時期には、Magentoで新たに発見されたいくつかの脆弱性を悪用する試みが少ないながらも途切れることなく確認されています。Magentoなどを標的とする活動は図 4に登場することはなく、首位の CMSの影に隠れて目立たないものではあるものの、無視することはできません。
図 4:2019年第 1四半期に最も標的にされた 5つのコンテンツ管理システム
対策のヒント:言うまでもないことですが、CMSは攻撃の主な標的であり続けており、CMSを使用している組織は厳格な保護が必要になります。さらに、知名度の低い CMSや無数に存在するサードパーティ製プラグインについても、保護対策のアキレス腱にならないように注意する必要があります。
*7 Joomla : Security Vulnerabilities(英文):https://www.cvedetails.com/vulnerability-list/vendor_id-3496/product_id-16499/Joomla-Joomla-.html
100億
10億
1億
1,000万
100万
10万
1万
1,000
100
10
10 1,000 10万100 1万 100万
総件数
総デバイス数
8
フォーティネット脅威レポート 2019年第 1四半期版
環境寄生型(Living off the Land)攻撃のツールと手法
前のセクションで言及したように、最も広く採用されている CMSが攻撃の最大の標的でもあることがわかりました。テクノロジーと脅威のこのような猫とねずみの追いかけっこは、攻撃者による標的の選び方に限定されるものではなく、攻撃者が最初に勝利を収めた後も続きます。
標的となるシステムに既にインストールされている正規のツールを、本来とは異なる目的で悪用するサイバー犯罪が増加しています。この 「環境寄生型(Living off the Land)」の戦術によって、ハッカーは自らの活動を正規のプロセスに隠せるようになり、防御側による検知が困難になります。このような特性も、攻撃者がこの戦術を好む理由の 1つとなっています。
PowerShellは、多くの理由からこれらのツールの中でも最も人気のあるものの 1つです。Windowsマシンにプリインストールされており、すべてのWindows 10システムに付属している .NET Frameworkと連携して動作できます。PowerShellはメモリから直接実行することができ、難読化が容易で信頼されているため、ホワイトリスト防御を回避できます。サイバー犯罪者にとって魅力的であるのは、PowerShellには PowerSploit、PowerShell Empire、Nishangなどの無料ですぐに利用できる不正ツールがたくさん存在することです。
2019年第 1四半期は、PowerShellを利用してさまざまな不正コードを実行しようとする攻撃が大量に確認されました。我々が検知した攻撃の多くが、PowerShellを使って、我々が少し前から追跡してきたマルウェアダウンローダーである 2つのトロイの木馬、PowerShell/Agent.DV!tr.dldr*8
とW32/Hmir.BCX!tr.dldr*9 を展開しようとしていました。
さらに、さまざまな攻撃者が PowerShellを大規模攻撃で使用し、TrickBot*10 や Emotet*11 といった金融関連のトロイの木馬や、Cobalt Strike*12 侵入テストツールなどの多数のマルウェアを標的システムに展開していたこともわかりました。例えば、4月にはこの後の「犯罪集団の研究」で取り上げる Silence Group*13 が、金融機関を標的にした長期にわたる大規模攻撃で PowerShell、VBS、およびその他の正規のツールを利用したことがわかっています。
もちろん、PowerShellが唯一の脅威というわけではありません。PsExecと Mimikatzは、環境を水平移動(ラテラルムーブメント)したり、他のシステムにペイロードをインストールしたりする目的でよく使われるユーティリティであり、たとえば昨年は、SamSam*14 と呼ばれるサイバー犯罪集団が、カスタムマルウェアと、PsExecや Mimikatzなどの一般公開されているツールを組み合わせて、企業システムにランサムウェアを展開していたことが確認されました。また、高度な持続的脅威で知られているサイバー犯罪集団である Thrip*15 が、米国および東南アジアの組織を標的にした大規模攻撃で PowerShell、PsExec、Mimikatz、オープンソース FTPクライアントのWinSCP、さらにはリモートアクセスソフトウェアの LogMeInを使用していたことが確認されています。
Microsoftは数年前から PowerShellを強化し、スクリプトブロックのログ機能、コードの署名、ロールベースのアクセス管理のサポートによって任意のWindows APIの呼び出しを制限できるようにすることで、本来とは異なる目的で使用されないようにしてきました。ところが実際には、C#、C++、IronPython、VBなどの .NETと対話できる何らかの言語を使用すれば、PowerShellと同様にさまざまなことを実行できます。今年の初めにご紹介した、高度な機能を持つリモートアクセスのトロイの木馬である NanoCore*16 はその良い例であり、.NET Frameworkで開発されていて、キー入力の監視、パスワードの不正取得、ファイルの転送、さらにはレジストリの編集や権限の昇格などのその他の目的で広く使用されています。また、自分でコーディングできない場合であっても、ペネトレーションテスター(SilentTrinityなど)が開発したり利用したりしているオープンソースツールが次々と登場しているため、難なく目的を達成できます。
対策のヒント:賢い攻撃者は、PowerShellをはじめとするさまざまな正規のツールを使って目標を達成し、検知を逃れようとします。そのため、賢い防御者となって使用を認めている管理ツールへのアクセスを制限し、使用を記録することが重要です。
*8 FortiGuard Labs の用語解説:PowerShell/Agent.DV!tr.dldr(英文):https://fortiguard.com/encyclopedia/virus/7490983
*9 FortiGuard Labs の用語解説:W32/Hmir.BCX!tr.dldr(英文):https://fortiguard.com/encyclopedia/virus/444656
*10 Deep Analysis of TrickBot New Module pwgrab(英文):https://www.fortinet.com/blog/threat-research/deep-analysis-of-trickbot-new-module-pwgrab.html
*11 Analysis of a Fresh Variant of the Emotet Malware(英文):https://www.fortinet.com/blog/threat-research/analysis-of-a-fresh-variant-of-the-emotet-malware.html
*12 Cobalt Malware Strikes Using CVE-2017-11882 RTF Vulnerability(英文):https://www.fortinet.com/blog/threat-research/cobalt-malware-strikes-using-cve-2017-11882-rtf-vulnerability.html
*13 Silence Group Playbook(英文):https://www.fortinet.com/blog/threat-research/silence-group-playbook.html
*14 SamSamランサムウェアに関する重要な最新情報:https://www.fortinet.co.jp/blog/threat-research/critical-samsam-ransomware-update.html
*15 Thrip ATP Attack Update(英文):https://www.fortinet.com/blog/threat-research/thrip-atp-attack-update.html
*16 .Net RAT Malware Being Spread by MS Word Documents(英文):https://www.fortinet.com/blog/threat-research/-net-rat-malware-being-spread-by-ms-word-documents.html
9
フォーティネット脅威レポート 2019年第 1四半期版
自らの「成功」が裏目に出た Coinhive
2017年に登場した Coinhiveは、自らの JavaScriptファイルをWebサイトにインストールすることで、Webサイトの所有者が従来型の広告に頼ることなく利益を得ることのできるサービスです。Coinhiveは暗号通貨「Monero」のクリプトマイナーですが、Bitcoinとは異なり、Moneroの場合は二者間のトランザクションを追跡することができません。不正侵入した Webサイトに、同意を得ることなくこのサービスをインストールしてしまおうと考えるサイバー犯罪者にとって、この特性はとても魅力的なものでした。闇市場で「成功」を収めたことで、Coinhiveは脅威のチャートの上位に上り詰め、多くのセキュリティ製品のブラックリストに載ることになりました。
毎月 25万ドルの利益 *17 とブラウザベースのクリプトマイニング市場での過半数のシェアを得たにもかかわらず、Coinhiveは 2月に入ると、「経済的に継続不能」としてサービスを停止すると発表しました。このサービス停止の理由の 1つは Moneroの価値の暴落ですが、Moneroによるアルゴリズムの変更でマイニングプロセスが遅くなったことも影響しています。
この発表と、それに続く 3月上旬のサービス停止の影響は、図 5を見れば一目瞭然です。FortiGuard IPSにおける Coinhiveの 2つの主要シグネチャの検知数は、本四半期を通して減少傾向を示しています。Coinhiveは、自らの JavaScriptの亜種が 3月 8日に機能を停止すると発表しましたが、その言葉の通り、JS/Coinhiveのいずれの亜種もその日以降は我々のデータでほとんど確認されていません。ただし、Riskware/Coinhiveバージョンは今も若干の活動の兆候が見られます。これは、感染したサーバーが今も多く存在し対策に時間が掛かっているためではないかと我々は考えています。過去のさまざまなサービス停止がそうであったように、これらの悪意のある Coinhiveが完全に消滅するまでには、まだ時間がかかる可能性があります。しかしながら、いずれかの段階で消滅することがわかっているのは悪いことではありません。
図 5:2019年第 1四半期は Coinhiveの検知数が減少
対策のヒント: PowerShellなどの管理ツールと同様、正規のサービスも不正使用されてしまう可能性があります。このことは、 包括的な防御においては不正使用の検知が悪意のある脅威の検知と同じ程度に重要であることを明確に意味します。
*17 Rüth、J.他著、「Digging into Browser-based Crypto Mining(ブラウザベースのクリプトマイニングの調査」、IMC 2018(2018年 10月 31日~ 11月 2日、マサチューセッツ州ボストンにて開催) 次の URLよりダウンロード(英文):https://arxiv.org/pdf/1808.00811.pdf
1月 3月2月 4月時期
デバイス
800
600
400
200
0
10
フォーティネット脅威レポート 2019年第 1四半期版
カスタマイズがより洗練され、標的型攻撃化が進むランサムウェア
最新のデータを見ると、無差別型のランサムウェア攻撃から、標的を限定した、より多くの身代金を得られる可能性のある大規模攻撃へと移行する攻撃者が増えていることがわかります。2019年第 1四半期に報告された、ノルウェーの大手アルミニウム製造会社、アメリカの 2つの化学会社、フランスのエンジニアリング企業などに対する複数の攻撃は、この傾向を裏付けるものです。
図 6:2019年第 1四半期の国別の LockerGoga / Anatova / GandCrabの数
標的型ランサムウェアの数
11
フォーティネット脅威レポート 2019年第 1四半期版
そのようなランサムウェア亜種の 1つである LockerGogaは、2019年初めに初めて確認され、前述のアルミニウム製造会社の業務を中断させたという影響の大きさから、注目を集めました。この攻撃によって、ヨーロッパとアメリカで複数の工場の操業が深刻な打撃を受け、回復に数週間を要しました。このマルウェアの我々の分析 *18 では、機能の高度化という点で、LockerGogaが他のランサムウェアよりも格段に優れていることを示す事実はほとんど見つかりませんでした。
しかしながら、アルミニウム製造会社に対する LockerGogaの攻撃が、標的型であったという報告を裏付ける証拠が存在します。マルウェアの実行には管理者権限が必要であるため、攻撃者がネットワークへの何らかの特権アクセスを事前に手に入れている必要があります。さらには、ほとんどのランサムウェアツールは何らかの難読化手法を用いて検知を回避しようとするものですが、我々が分析した LockerGogaサンプルには難読化の機能はほとんど確認されませんでした。このことからも、攻撃対象のネットワークの防御体制を事前に分析し、このマルウェアは検知されないと攻撃者が判断したことがわかります。また、LockerGogaが被害者を自らのシステムから締め出すことで、身代金要求のメモを見たり返答したりすることさえできないようにしている点も興味深いと言えます。このような行動は、主な目的が身代金要求ではなかった可能性を示しているように思えます。
Anatova*19 は、2018年第 4四半期に我々が注目した、もう 1つのランサムウェア亜種です。1月上旬に初めて確認された(そして、ピークを記録した)この亜種は、我々が実際に目にした数少ない 64ビット専用のランサムウェアサンプルの 1つです。Anatovaの背後にいる犯罪者は、一般的に使われることの多い Bitcoinではなく、昨年大きな利益を手に入れた GandCrabからヒントを得て、Dash暗号通貨で身代金の支払いを要求することにしたようです。
他のほとんどのランサムウェアと同様、Anatovaの主な目的は攻撃したシステムでできるだけ多くのファイルを暗号化することであり、その後ボリュームのシャドウコピーの上書きを合計で 10回繰り返すことで、ファイルが復元されるのを防ぐという念入りな手順を実行します。Anatovaは、感染させようとするシステムの安定性に影響する恐れがあるものについては暗号化の対象から外すよう設計されているほか、マルウェア分析を目的としたり、ハニーポットとして使用されていたりすると思われるコンピュータについても感染させないようにしています。
図 6は、このような LockerGoga、Anatova、GandGrabランサムウェアの標的型亜種のグローバルでの検知数を示しています。ランサムウェアの検知数を常に追いかけている方であれば、これが典型的な日和見的脅威の地理的分布ではないことに気付くはずです。このパターンは、無作為ではなく意図的に標的を選んでいることを示唆するものです。フォーティネットは、今後もこのトレンドの観察を続けていく計画です。
対策のヒント:ランサムウェア攻撃の数は減少し続けていますが、依然として企業セキュリティにとって手強い脅威であることに変わりありません。コモディティ化されたランサムウェア対策としては、パッチの適用とバックアップの取得が汎用的であることは確かですが、カスタマイズされ標的を限定した脅威に対しては、防御側にも相応のカスタマイズと対象を絞った対策が必要です。
*18 LockerGoga: Ransomware Targeting Critical Infrastructure(英文):https://www.fortinet.com/blog/threat-research/lockergoga-ransomeware-targeting-critical-infrastructure.html
*19 Looking Into Anatova Ransomware(英文):https://www.fortinet.com/blog/threat-research/looking-into-anatova-ransomware.html
12
フォーティネット脅威レポート 2019年第 1四半期版
犯罪集団の研究:Silence GroupSilence Groupは、2016年に活動を開始した、フォーティネットの新しい Playbook Viewer*20 に最近追加されたサイバー犯罪集団です。この犯罪集団は、ロシアや東ヨーロッパの金融機関を標的にすることが多いものの、オーストラリア、カナダ、フランス、アイルランド、スペイン、スウェーデンの企業も標的にすることでも知られています。初期の攻撃では、経験の浅い未熟な攻撃者であることを示す兆候があらゆる面で見られましたが、次第に高度な技術を習得し、攻撃で成功を収めるようになりました。
通常 Silence Groupは、標的とするマシンに存在する、誰でも利用できるツールやユーティリティ(PowerShellなど)を使って攻撃を実行します。外部からツールを持ち込むのではなく、環境寄生型「Live off the Land(そこにあるものを利用する)」の攻撃手法を選択することで回避能力が向上し、攻撃したマシンの内部に強力な足場を築くことができます。
Silence Groupは、必要があれば専用のツールを自ら開発することでも知られており、そういったツールは多くの場合高度にモジュール化されていて、特定の攻撃のニーズに合わせて設計されています。よく使われるモジュールとしては、プロキシモジュール、モニターモジュール、ATMモジュールなどがあります。プロキシモジュールは、標的とするネットワークへの大掛かりな侵入を可能にします。モニターモジュールは、スクリーンショットの撮影や外部に持ち出すデータのメインモジュールへの転送が可能です。Atmosphereと呼ばれる ATMモジュールでは、リモートからの操作で犯罪者が ATMから金銭を引き出す(別名「ジャックポッティング」)ことができるようになります。次に、Silence Groupは個人に手数料を払い、感染させた ATMから盗んだ金銭を回収させると同時に、次の標的への攻撃を開始します。
これまでの攻撃の履歴を見ると、Silence Groupがレパートリーを次々と増やしていることがわかります。能力と技術がこのまま成長し続けるのであれば、Silence Groupがさらに大きな脅威となる可能性があるため、将来的な大規模攻撃に備えて監視を続ける必要があるでしょう。
図 7:Silence Groupの最近の不正侵入セット
*20 Playbook Viewer(英文):https://fortiguard.com/playbook
使用される ことの多い ポート
標準 アプリ ケーション層 プロトコル
リモート ファイル コピー
不正侵入セット:Silence Group
初期 アクセス
認証情報への アクセス
ラテラル ムーブメント
外部への 持ち出し
コマンド & コントロール 機能
権限の昇格実行 防御の回避 発見 収集存続
コマンド ライン インタ フェース
コンパイル 済み HTML ファイル
Mshta
ユーザーに よる操作
スクリプト
PowerShell
セキュリティ ツールの 無効化
なりすまし
ファイルの 削除
レジストリの 変更
システム 情報の発見
システム ネットワーク 構成の発見
リモート ファイル コピー
コマンド & コントロール を使った外部 への持ち出し
Runレジストリ キー / スタートアップ フォルダ
攻撃:5 指標:436 脆弱性:15 攻撃パターン:86
使用される ことの多い ポート
標準アプリ ケーション層 プロトコル
リモート ファイル コピー
13
フォーティネット脅威レポート 2019年第 1四半期版
探索的分析:(フィルタリングされた)接続網この「探索的分析」セクションでは、サイバー脅威データの分析で見つかった、本レポートの本筋からは少し離れるものの興味深い話題をいくつかご紹介します。今四半期は、これまでのレポートでは言及することが少なかった、FortiGuard Webフィルタリングサービス *21 のデータを検証することにしました。
簡単に言えば、このサービスによって不正Webサイト、ハッキングされたWebサイト、あるいは不適切なWebサイトへのアクセスがブロックされ、ログに記録されます。そして、この活動をフォーティネットのアナリストがWebサイトの種類や発生するサイバーキルチェーンのフェーズなどのさまざまなカテゴリーに分類します。第 1四半期のブロック数のほとんどは、エクスプロイトフェーズとコントロールフェーズで発生したものです。デバイスが不正 URLにアクセスするのは、エクスプロイトやエクスプロイトが成功した後にコマンド &コントロール(C2)の指示を受け取る目的で、(フィッシングなどを使って)そこを訪れるように仕向けられたためであることが多いため、当然ながらこのような結果になるでしょう。
この違いによって、図 8に示すようにこの四半期における感染前と感染後の活動を対比できるようになります。青の点は平日、オレンジの点は週末を表します。感染前の活動が約 3倍の確率で平日に発生する可能性が高いのに対し、感染後のトラフィックにはそのような顕著な差は認められないという、明確な違いがあります。その違いの理由は、エクスプロイトには従業員によるクリック操作が必要とされることが多いのに対し、C2
の活動にはそのような操作が不要なためであると考えられます。
図 8:平日(青)と休日(オレンジ)のサイバーキルチェーンの 2つのフェーズでのWebフィルタリング数の比較
このような小さな手掛かりはほとんど役に立たないように思えるかもしれませんが、攻撃者の一つ一つの行動から得られる情報を積み重ねることが、少なくともある程度のベースラインの改善につながります。この場合であれば、平日と休日でフィルタリング方法を変えることを検討する手掛かりになるかもしれません。
Webフィルタリングデータで我々が注目したもう 1つの側面は、異なる脅威がインフラストラクチャ(URL)をどの程度共有しているかということでした。図 9は、いくつかの脅威が重複して使用しているこのインフラストラクチャを循環ネットワーク図で示したものです。点は、キルチェーンのコントロールフェーズで脅威によってもたらされたマルウェアまたはボットネットの通信の活動を表し、線の太さは、それぞれのフェーズでいくつかの脅威が共有しているドメインの数を表します。各々の点の大きさは、第 1四半期の検知数に比例しています。この図から、究明すべきいくつかの疑問が見つかります。
*21 FortiGuard Webフィルタリングサービス:https://www.fortinet.com/jp/support/support-services/fortiguard-security-subscriptions/web-filtering.html
2月 4月1月 3月
20万
10万
0
3万
2万
1万
0
1日あたりの件数
コントロールフェーズ
実行フェーズ
月~金 土~日
14
フォーティネット脅威レポート 2019年第 1四半期版
脅威の 60%近くがWebフィルターのデータで少なくとも 1つのドメインを共有していることから、ボットネットの半数以上が既存のインフラストラクチャを利用していることがわかります。興味深いことに、一部の脅威は、コミュニティで共有しているこのインフラストラクチャを独自あるいは専用のインフラストラクチャより高い割合で利用しているようです。IcedIDは今四半期のWebフィルターのデータで件数が 9位に入った脅威ですが、「借りられるものを買ったり作ったりしない」というこの思考の良い例であり、ドメインの 60%を他の脅威と共有しています。最後の、そしておそらく最も興味深い事実は、いくつもの脅威がインフラストラクチャを共有する場合、インフラストラクチャの共有がキルチェーンの同じステージで見られる傾向があることです。別の言い方をすると、ある脅威がエクスプロイトの目的であるドメインを利用し、その後に C2
トラフィックにもそのドメインを利用するというのは珍しいということです。このことから、攻撃の鎮圧にあたっては、多くの場合にインフラストラクチャが何らかの役割や機能を果たすものであることがわかります。いくつかのステージでドメインを共有する脅威は、Emotet、GandCrab、Hancitor、LokiBot、Sofacy、TrickBotの 6つだけであり、これらの脅威が共有しているドメインはわずか 9つです。
ゴーストバスターズの映画に例えると、キルチェーンで別のステージへと移動することは、プロトンビームを横切る *22 ように大変なことなのかもしれません。2019年第 1四半期のレポートはこれで終了です。サイバー環境に巨大なマシュマロマンが現れ、第 2四半期に大混乱をもたらさないことを願いますが、たとえそのような脅威が登場したとしても、誰に連絡すべきか迷う必要はありません。頼れるゴーストバスターズであるフォーティネットがすぐに駆けつけます。
図 9:2019年第 1四半期のWebフィルタリング検知数におけるインフラストラクチャの共有
*22 Ghostbusters Wiki:Cross the Streams(英文):https://ghostbusters.fandom.com/wiki/Cross_the_Streams
IOCステージ共有ドメイン
エクスプロイト
コントロール
全件数
10万
100万
1,000万
15
フォーティネット脅威レポート 2019年第 1四半期版
Copyright© 2019 Fortinet, Inc. All rights reserved. この文書のいかなる部分も、いかなる方法によっても複製、または電子媒体に複写することを禁じます。この文書に記載されている仕様は、予告なしに変更されることがあります。この文書に含まれている情報の正確性および信頼性には万全を期しておりますが、Fortinet, Inc. は、いかなる利用についても一切の責任を負わないものとします。Fortinet®、FortiGate®、FortiCare®、および FortiGuard® は Fortinet, Inc. の登録商標です。その他記載されているフォーティネット製品はフォーティネットの商標です。その他の製品または社名は各社の商標です。
〒106-0032東京都港区六本木 7-7-7 Tri-Seven Roppongi 9 階www.fortinet.com/jp/contact
TR-19Q1-2019-06-R1