マイナビニュースマイナビ

McAfee Enterpriseが2021年第2四半期の脅威レポートを解説

[2021/10/22 17:30]岩井 健太 ブックマーク ブックマーク

McAfee Enterpriseは10月22日、「Advanced Threat Research レポート:2021年10月」を発表し、オンラインで同レポートを解説した。

冒頭、McAfee Enterprise セールスエンジニアリング本部 本部長の櫻井秀光氏は「社名がMcAfee Enterpriseとなり、先日には総額12億ドルの現金取引でFireEyeの買収を完了し、統合が完了したことを発表した。7月末に同氏を含めたメンバーはMcAfee Enterpriseに転籍しており、これまでのMcAfee Labsとしての活動報告が終了し、今後はMcAfee EnterpriseのAdvancedThreat Researchチームの新しいレポートになる。今回から新しいレポートの形態となっており、2021年第2四半期中のランサムウェアや医療機器の脆弱性、クラウドの脅威に着目している。これまでのマルウェア統計情報などは掲載しておらず、最新の脅威動向の解説に重きを置いた」と話す。

McAfee Enterprise セールスエンジニアリング本部 本部長の櫻井秀光氏

McAfee Enterprise セールスエンジニアリング本部 本部長の櫻井秀光氏

ランサムウェアはREVil/Sodinokibiがトップの検出数

同社は研究、調査分析、世界中の脅威経路における10億超のセンサを通じてMcAfee Global Threat Intelligence クラウドに収集された脅威データに基づき、サイバー脅威の状況を四半期ごとに評価している。

2021年第2四半期はランサムウェアが蔓延し、特に注目を浴びたランサムウェアファミリーは「DarkSide」「REVil/Sodinokibi」「Babuk」の3つ。

DarkSide

DarkSideは2021年5月にコロニアル・パイプラインに対して攻撃し、米国過去最大のサイバー攻撃による重要インフラ被害をもたらしたランサムウェア。

RaaS(Ransomware as a Service:サービスとしてのランサムウェア)で、ネットワークアクセスを提供し、ランサムウェアを配布・実行する侵入テスターにより拡大した。データ漏洩の脅威に加え、復旧するために企業が交渉を必要とする二重脅迫を行い、被害者に対して身代金を支払わない場合はデータを公開すると脅し、最も標的とされた地域は米国、主に対象となった業界・産業は法曹、小売、製造業となり、石油、ガス、化学などの業界が続く。

対策としては、ランサムウェアペイロードが実行される前の早期検出が重要となる。その点、EDR(Endpoint Detection and Response)は有効であり、特権のエスカレーション、悪意あるPowerShell、コマンド&コントロール、および攻撃チェーンに沿った、そのほかの戦術の可視性など、攻撃で仕様される多くの動作の検出を可能としている。

この影響に対する政治的対応により、DarkSideグループは運用を突然停止し、他の犯罪グループもターゲットから特定のセクターを除外すると発表しており、その1週間後には最も影響力のある2つの地下フォーラムのXSSとExploitがランサムウェア広告の禁止を発表した。

DarkSideの概要

DarkSideの概要

REVil/Sodinokibi

REVil/Sodinokibiについては、2019年から継続的に活動し、2021年第2四半期で最も多く見られたランサムウェア。最も有名なRaaSプロバイダーの1つとなり、DLL(ダイナミックリンクライブラリ)サイドローディング技術(正当なDLLを偽装する悪意のあるDLLを実行)を使用し、同手法は検出を回避するために多くのAPT(Advanced Persistent Threat:高度で継続的な脅威)で使用されている。ユーザーのキーボードレイアウトをチェックし、ロシアやウクライナなど特定国のマシンのランサムウェア感染をスキップ。

最近ではREVilがDLLサイドローディングを悪用し、ランサムウェアの実行にリモートIT管理(RMM)ソリューションのKaseyaのVSA(Virtual System Administrator)アプリケーションを使用していることが確認されている。

ランサムウェア感染に複数の脆弱性が存在するアプリケーションを使用しているが、暗号化技術は同じものを用いている。対策としてはファイルの定期的なバックアップを作成し、それらをネットワークから分離して常に最新の状態でウイルス対策を実施することだという。

REVil/Sodinokibiの概要

REVil/Sodinokibiの概要

Babuk

2021年初に登場し、RaaSモデル、二重脅迫型であり、これまでランサムウェアは主にWindows OS向けだったが、Linux/UNIX、ESXi/VMwareシステムを対象としたクロスプラットフォームバイナリを開発していると発表。復号化ツール設計とコーディングは十分に開発されておらず、企業が身代金を支払うことにした場合、暗号化されたすべてのファイルが回復可能であるという保証がない見制jy九九な一面もある。

RaaSは「Initial Access Broker(攻撃先への侵入担当)」「Ransomware Affiliates(ネットワーク内の横展開、情報流出を担当)」「Ransomware Operatorrs/Developers(ランサムウェア基盤の提供・開発)」「Data Managers(流出させたデータの管理)」があるが、今年4月末にBubukはアフィリエイトとの協力を停止し、Ransomware Operatorrs/Developersから別の役割に移行すると発表。

その後はデータ窃取にフォーカスし、身代金要求に応じなかった被害者のデータ公開、他のグル^王のデータをホスト・公開するData Managersの立場に移行し、今年5月末には2月に漏えいが報道されたゲーム「Cyberpunk 2077」のソースコードを公開している。

Babukの概要

Babukの概要

一方、2021年第2四半期におけるランサムウェアファミリー別の検出数では、REVil/Sodinokibiがトップとなり、トップ10の73%を占めたという。また、DarkSideとRevilは一旦影を潜め、7月にはDarkSideの生き写しであるBlackMatterが出現し、DarkSide、REvil、Lockbitの要素を取り込んだRaaSの系列プロフラムでイタリア、インド、ルクセンブルク、ベルギー、米国、ブラジル、タイ、英国、フィンランド、アイルランドなどで確認している。

2021年第2四半期におけるランサムウェアファミリー別の検出数

2021年第2四半期におけるランサムウェアファミリー別の検出数

さらに、重要データを獲得したうえでデータの暗号化を行い、二重脅迫を行うことが主流となり、重要データの獲得に軸足を億RaaSも出現。櫻井氏は「ランサムウェア対策としてデータのバックアップだけでは不十分であり事前にデータ盗難活動を迅速に検知して対処するための総合的な仕組みが必要だ」と述べていた。

医療機器の脆弱性とクラウドの脅威

次に、櫻井氏は世界中で使用される独B.Braunの輸液ポンプに関する脆弱性と、クラウドの脅威に話が移された。輸液ポンプに関する脆弱性については、McAfee EnterpriseのAdvancedThreat Researchチームが成人・小児医療施設で使用されるB.Braunの医療機器「InfusomatSpace Large Volume Pump」と「SpaceStation」をCulinda社の支援を受けて調査。

結果として、これまでに報告されていない医療システムの次の5つの脆弱性を発見し、外部からハッキングすることで被害者に規定量の2倍の薬剤投与が可能な状態となっていた。そこで、同社の脆弱性開示ポリシーに従い、今年1月11日にB.Braunに最初の調査結果を報告し、B.Braunとの継続的な対話を開始した。

そして、同5月にB.Braunは報告された古いバージョンのソフトウェアを使用する少数のデバイスに関連した潜在的な脆弱性に対処する情報を、顧客とHealth Information Sharing & Analyssi Center(H-ISAC)に開示した。櫻井氏は「医療施設の製品更新はコストと手間がかかるため困難だ。数年前のファームウェアを備えたデバイスが展開されることも珍しくなく、今回の報告が現状を改善する一助となり、セキュリティファーストと定期的なパッチ適用の必要性の意識が高まることを期待している」との認識を示していた。

McAfee EnterpriseのAdvancedThreat Researchチームが独B.Braunの輸液ポンプに関する脆弱性を発見した

McAfee EnterpriseのAdvancedThreat Researchチームが独B.Braunの輸液ポンプに関する脆弱性を発見した

クラウドへの脅威に関しては、オンラインでの業務遂行能力を強化するためコロナ禍においてテレワーク利用者が増加する中、クラウドセキュリティ強化の課題につけ込み、サイバー犯罪者は多くの攻撃をし変えるようになっているという。2021年第2四半期で最も多く見られたクラウド脅威のトップは、異常な場所からの過度の利用が62%に達し、次いでインサイダーデータの漏えい、特権アクセスの誤用、高リスクのデータ漏えい、特権アクセスの誤用に起因したデータ漏えいと続く。

2021年第2四半期で最も多く見られたクラウド脅威

2021年第2四半期で最も多く見られたクラウド脅威

他方、グローバルでターゲットとなった業種は1位が金融サービス、続いて医療、製造業、小売業、プロフェッショナルサービス、旅行&ホスピタリティ、ソフトウェア&インターネット、テクノロジー、コンピュータ&エレクトロニクス、非営利団体となる。報告されたクラウドインシデントで最も標的とされたのは金融サービスであり、トップ10業種の33%を占めていることから多業種を大きく上回る結果となった。

グローバルでターゲットとなった業種トップ10

グローバルでターゲットとなった業種トップ10

これらの脅威に対して同社は、企業は対策としてデータのバックアップだけでなく、侵入・横展開・データ流出を可能な限り防御し、防御できなかったものを早期発見・対処することが必要だという。

また、デバイスもセキュリティを意識した設計やデバイス設置後のアップデートができるような仕組みなど、プロアクティブな脆弱性の調査研究が重要との見立てだ。

さらに、コロナ禍における在宅勤務の浸透・増加に伴い、クラウド上のデータに対する脅威も増加していることから、インシデント発生前のCSPM(設定監査)や脆弱性チェックなどの対策と、インシデント発生後に迅速に検知するためのUEBA、DLPをはじめとした両方の対策実施を推奨している。

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

もっと知りたい!こちらもオススメ

コロナ禍で注目される「サードパーティ・リスク・マネジメント(TPRM)」の始め方

コロナ禍で注目される「サードパーティ・リスク・マネジメント(TPRM)」の始め方

コロナ禍は、企業が事業継続計画の見直しを行う契機となっており、ベンダーに対するリスク・マネジメント(TPRM:Third-party Risk Management)もその一環として注目されつつある。10月6日~8日に開催されたオンラインカンファレンス「ガートナー セキュリティ&リスク・マネジメント サミット 2021」に登壇したガートナー シニアディレクタ…

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で TECH+ の人気記事をお届けします
注目の特集/連載
[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方
Slackで始める新しいオフィス様式
Google Workspaceをビジネスで活用する
人生を豊かにするパラレルキャリア~VUCA時代に新しい生き方を選ぶ理由とは~
ニューノーマル時代のオウンドメディア戦略
ミッションステートメント
次世代YouTubeクリエイターの成長戦略
IoTでできることを見つけるための発想トレーニング
教えてカナコさん! これならわかるAI入門
AWSではじめる機械学習 ~サービスを知り、実装を学ぶ~
Kubernetes入門
SAFeでつくる「DXに強い組織」~企業の課題を解決する13のアプローチ~
マイクロサービス時代に活きるフレームワーク Spring WebFlux入門
AWSで作るマイクロサービス
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

会員登録(無料)

ページの先頭に戻る