2019年下半期はランサムウェア悪質化とEternalBlueを多数観測

エフセキュアは3月11日、都内で記者会見を開き、2019年下半期(7月～12月)における攻撃トラフィックに関する調査レポートを発表した。これによると、期間中にランサムウェアの悪質化、感染したIoTデバイスのボットネット「エターナルブルー(EternalBlue)」エクスプロイトによるサイバー攻撃が依然として多数観測されているほか、過去数年で比類のない攻撃トラフィックの急激な増加が見受けられたという。

攻撃トラフィックの発信源は上位4カ国が米国、中国、ロシア、ウクライナ(2019年上半期:中国、米国、ロシア、ドイツの順)、標的となった上位4カ国はウクライナ、中国、オーストリア、米国(同:米国、オーストリア、ウクライナ、英国、オランダ、イタリア)、調査期間中のランサムウェア配信方法で最大のシェアを占めたのは手動インストール/第2ステージペイロード経由の28%、次点が電子メール/スパム(同:リモートデスクトッププロトコル経由の31%が最大)、Telnetトラフィック発信源のシェアは米国、アルメニア、英国、ブルガリア、フランス(同:米国、ドイツ、英国、オランダの順)の順に大きく、SMBトラフィックの最大の発信源はフィリピンと中国(同:中国)だった。

攻撃の発信源の概要
標的となった国の概要

調査期間中に同社が情報収集のために設置したグローバルハニーポット(攻撃者を誘惑するためのおとりサーバ)に対して28億件の攻撃イベントが発生し、同年上半期の29億件との合計では通年で57億件となったほか、2018年には通年で10億件、2017年は8億件の攻撃があった。

トラフィックの中ではSMBプロトコルへの攻撃が多数を占めており、攻撃者のエターナルブルーに関連するワームとエクスプロイトの使用に関する関心が引き続き高いことを示している。また、TelnetトラフィックやSSHへの攻撃も多く、2019年上半期に見られたIoTデバイスに対する攻撃の増加傾向が継続していることを示しており、ハニーポットで見つかったマルウェアにはMiraiのさまざまなバージョンを含んでいる。

標的となった上位TCPポートのグラフ

エフセキュア Tactical Defense Unit マネージャーのCalvin Gan氏は「2019年下半期の主な攻撃対象のポートはSMBとTelnetとなった。理由として、SMBはWannaCryを拡散させた脆弱性攻撃であるエターナルブルーの増加、TelnetはIoT関連だ。SMBについては、パッチがインストールされていないシステム、エターナルブルーに関する脆弱性があるシステムが多数存在している。一方、Telnetに関してはMiraiに関連する攻撃があり、顕著なものとしてはブルートフォースにより、デバイスをコントロールしていることが挙げられる。これは、デバイス自体のパスワードをデフォルトのまま利用しているケースが多い」と指摘する。

テレビ会議で説明したエフセキュア Tactical Defense Unit マネージャーのCalvin Gan氏

さらに、ランサムウェアスパムの総数は減少が確認されたが、ランサムウェア自体はよりターゲットを絞り込んだものとなり、1件あたりの被害は大きくなっている。モジュール型マルウェアは、さまざまなトリックを使用したが、その1つはランサムウェアを第2ステージのペイロードとしてドロップすることだったという。

Gan氏は「マルウェア拡散の手法としてはEメールとスパムが全体の43%を占め、総数としては少ないものの悪意のあるものを実行するために、ISO/IMGファイルを介して送付してくる手法が増加傾向となった。また、段階的に攻撃を開始し、標的とする環境を分析した結果に応じてペイロードを適応させるモジュール型マルウェアのEmotetとTrickbotが突出した。また、ランサムウェアについては新しいものは減少しているが、RaaS(Ransomeware as a service)が目立ち始めている。サービスとして提供されることで開発者やリソースを集約し進化している一方で、これにより新しいランサムウェアの現出が抑えられている」と説明する。