キヤノンマーケティングジャパンは3月9日、2020年に国内で検出されたマルウェアおよび発生したサイバー攻撃事例について解説した年間レポートを公開した。
-
2020年マルウェアレポート
同レポートによると、2020年に国内で検出されたマルウェアの多くはWebブラウザー上で実行される脅威で、マルウェア検出数上位10種のうち8種を占め、最多はJS/Adware.Subpropであったという。これは、偽のAdobe Flash PlayerのアップデートやWebバナーを悪用し、悪意のあるコンテンツや不要なソフトウェアを配布するスクリプトだ。
マルウェア以外のネットワーク攻撃では、リモートワークが増加したことに伴いリモートデスクトッププロトコル(RDP)を狙ったブルートフォース攻撃を検出するIncoming.Attack.Genericが最多であったという。RDPやSMBなどの通信プロトコルに対するブルートフォース攻撃などの検出以外に、通信プロトコルの脆弱性を悪用した攻撃も検出され、2020年はRDP経由で侵入したPCに対してランサムウェアを感染させる事例も確認されているという。
2020年4月頃に初めて確認された暴露型ランサムウェアRagnar Lockerは被害件数が多く、攻撃者グループは6月~12月の間に少なくとも22組織の機密情報を取得・公開したと主張する。特定の組織に対し巨額の身代金を払わざるを得ない状況を作り出す「人手によるランサムウェア攻撃」と「二重の脅迫」という新しい2つの手法が増加し、IPA(情報処理推進機構)は注意喚起を行っている。
サーバーへの不正アクセスを利用して組織に侵入し、暗号化する前の窃取した機密情報を公開すると脅迫(二重の脅迫)することで、数百万円~数億円の身代金を要求する攻撃事例が確認されており、 このような二重の脅迫を用いるランサムウェアは暴露型ランサムウェアと呼ばれている。
Ragnar Lockerの特徴のひとつに攻撃の隠密性の高さが挙げられ、2020年5月の攻撃事例では、攻撃プログラムに埋め込まれた仮想化ソフトウェアVirtualBoxのイメージを展開し、VirtualBox上(ゲストOS)のランサムウェアがホストOS上のファイルを暗号化することで、セキュリティソフトウェアによる検出を巧みに回避しているということだ。
また、モジュールやほかのマルウェアをダウンロードし、情報窃取などを行うマルウェアEmotetは多数検出され、9月以降、感染を狙ったばらまき型メールに新しいテンプレートが確認された。9月上旬にはアンチウイルスベンダーのサポートセンターを装ったメールが、9月下旬にはパスワード付きZIPファイルが添付されたメールが確認されたほか、10月中旬にはアップデート通知を装うWordテンプレートを用いて、ユーザーのクリックを誘導する攻撃が確認されたということだ。
また、ローカル環境で動作するマルウェアで最も多く検出されたのは、近年継続的に多く検出されるVBA/TrojanDownloader.Agentであった。これはMicrosoft Office製品で利用されるプログラミング言語のVBAで作成されたダウンローダーで、Emotetの感染を狙った攻撃にも使用される。主な侵入経路はメールで、ばらまきメールのに添付ファイルとなっていることが大半だという。添付ファイルを実行するとOfficeの保護機能を解除させるための画像や文章が表示され、ユーザーが指示通りに「コンテンツの有効化」をクリックすると、マクロが実行されて最終的に攻撃者が目的とするマルウェアがダウンロードされる。これには、セキュリティ製品による検出の回避、解析の妨害機能を複数保有しているということだ。
同レポートでは、こうした検出回避や解析妨害の機能と対策として、以下の4つを紹介している。
1つ目はVBAコードを解析者が閲覧できないように、コードにパスワード保護を施したり、プロジェクトにロックをかけたりする「パスワード保護」、2つ目はシグネチャベースのセキュリティ製品による検知を回避したり、解析に時間がかかるようにしたりするため不要な処理を記述した「ダミーコード」、3つ目はセキュリティ製品による検知を回避したり、解析者による解析を遅らせたりする「難読化」、4つ目は解析環境と検知するとダウンロードサーバーとの通信は行わず、処理を終了させる「解析環境の検知」——。
