クラウドストライクは9月24日、オンラインによる記者説明会を開き、CrowdStrike Falcon OverWatch 2020年中間レポート「Insights from the CrowdStrike OverWatch Team(CrowdStrike OverWatchチームの見解)」を発表した。同報告書は、米CrowdStrikeのマネージド脅威ハンティングチームであるFalcon OverWatchの脅威データをまとめたもので、2020年上半期に見られた侵害のトレンドや、今年の新型コロナウイルス感染症(COVID-19)禍において、テレワーク環境により変化した攻撃手法の現状についてインサイトを紹介しているほか、攻撃者が使用するさまざまな攻撃手口(Tactics, Techniques, Procedures:TTPS)から防護するためのアドバイスも提供している。

冒頭、米CrowdStrike インテリジェンス担当シニアバイスプレジデントのアダム・マイヤーズ氏は「敵を知り、オペレーションがどのようなものなのか、何を標的としているのかを知ることが効果的な防御を構築していく上で非常に重要だ。われわれの任務としてアトリビューションがあり、まずは攻撃者の分類から始まる」と話す。

  • 米CrowdStrike インテリジェンス担当シニアバイスプレジデントのアダム・マイヤーズ氏

    米CrowdStrike インテリジェンス担当シニアバイスプレジデントのアダム・マイヤーズ氏

同社では攻撃者を「国家主導攻撃者」「サイバー犯罪者」「ハクティビスト」の3つに分類している。国家主導攻撃者は標的を絞った侵入を行い、政治的・軍事的・知財情報を摂取する諜報活動が多く、ネットワークに影響を与えるような破壊工作を仕掛け、例外として北朝鮮は金銭目的の攻撃が多いという。サイバー犯罪者は金銭目的であり、ハクティビストは破壊的な攻撃を仕掛け、攻撃手法はDDoS攻撃やWebサイトの改ざんなどを行う。

マイヤーズ氏は「半年間のサイバー活動は最も活発であり、われわれは特定のコードネームを付けてトラッキングし、例えば金銭目的の集団はスパイダーと呼んでいる。それ以外に国家支援型は、国家の象徴的な動物の名前を付け、一例として中国はパンダ、北朝鮮はチョリマ、最近活発化しているのはベトナムのOcean Buffalo、そしてジャッカルはハクティビストあるいはテロリスト、ナショナリストの攻撃だ」と述べた。

そして、同氏は「標的が日本である場合、中国、ロシア、北朝鮮の3か国が攻撃する意図が高い。興味深い動向としては、日本に攻撃を仕掛ける際に新型コロナウイルスを用いている。今年からこれまでにないほどにサイバー攻撃が活発化し、大半がコロナに関連しており、スペインが中国の攻撃者により、ワクチンの情報が窃取された」と指摘。

  • 最近の脅威は新型コロナウイルス関連のものが多いという

    最近の脅威は新型コロナウイルス関連のものが多いという

また「今後もコロナに乗じた攻撃が増加し、ワクチンなど医学関連を標的にした攻撃が拡大していくだろう。今年の春以降、コロナをテーマとした悪意のあるファイルが激増し、2019年12月1日に武漢で新型コロナウイルスが判明してから攻撃が開始されるまで約2か月と、そこから日本語で日本を標的としたMUMMY SPIDERの攻撃までは時間がかからなかった。それから1週間後には中国、北朝鮮からの攻撃も激化した」との認識を示している。

  • 新型コロナウイルスに便乗した攻撃者のタイムライン

    新型コロナウイルスに便乗した攻撃者のタイムライン

MUMMY SPIDERは東欧およびロシアが仕掛けており、ランサムウェアのEmotetを配布し、標的国家は日本も含まれており、業界は製造業や小売り、金融など、大企業を標的とした。世界中で感染者が激増していたことから、京都府山城南保健所福祉室を装う攻撃は効果的なものだったという。

  • 日本ではMUMMY SPIDERの攻撃として京都府山城南保健所福祉室を装っていた

    日本ではMUMMY SPIDERの攻撃として京都府山城南保健所福祉室を装っていた

それ以外にもTRAVELING SPIDERはコロナに乗じたEメールを送信し、政府機関、保健機関を、CIRCUS SPIDERは米国自治体の保健機関、スペインの病院を、GRACEFUL SPIDERはGetAndGoというマルウェアを悪用し、マクロを含んだ文章を用いて医薬品業界を攻撃。

マイヤーズ氏は「特に、これらの攻撃における動向としてはファイルに暗号をかけて開けなくするだけでなく、暗号をかけてコロナに関する重要な情報を摂取し、ネットに公開すると脅し、身代金の獲得、公開されたくなければさらに高額な身代金を要求するということが特徴だ」と話す。

一方で、コロナに乗じた攻撃はモバイルに対しても増加し、Adobotと呼ばれるマルウェアはサウジアラビアの保健機関を騙り、新規感染者・死亡者のリンクにアラビア語で誘導し、リモートコマンドの実行や通話内容・SMSのモニタリング、位置情報にアクセスするという。

同様にマルウェアであるCerberusはユーザーのアプリを勝手にインストール・削除したり、連絡先情報を窃取したり、SMSメッセージの取得・送信したりなど、モバイルデバイスを完全にコントロールすることを可能としている。

さらに、ソーシャルエンジニアリングの攻撃も増加している。例えばWHOや米疾病対策センター(CDC)のほか、世界的な健康保険機関、保険会社をはじめとした保健機関を装い、ユーザーの認証情報の窃取、メール・文書情報を送り付けてリンクで悪意のあるファイルを開封させるなどの攻撃が多発していることに加え、コロナによる経済的な不安もあるため、国・自治体からの救済支援を装った攻撃もあるという。

この半年間でサイバー攻撃は類を見ないほど激増し、侵害のキャンペーン数は昨年が3万5000件だったが、2020年は上半期だけで4万1000件に達しており、1月~6月の期間でテクノロジー、製造業、通信、金融などの業界が主なターゲットとなった。8月から日本に対する脅威はDOPPEL SPIDERが挙げられ、ランサムウェアを仕掛け、窃取した情報をリークするというものであり、この1か月間で消費財、製造業、産業エンジニアリングなど4社が攻撃を受けているという。

  • サイバー侵害のキャンペーン数は、すでに昨年1年間の件数を超えている

    サイバー侵害のキャンペーン数は、すでに昨年1年間の件数を超えている

  • DOPPEL SPIDERの概要

    DOPPEL SPIDERの概要

最後に、マイヤーズ氏はランサムウェアを軽減するためのポイントとして「バックアップやパッチの適用、ソフトウェアアップデート、多層防御など基本的なセキュリティ対策をしっかり行い、1分で検知し、10分で解析、60分以内に対処する1-10-60ルールでの防護が必要だ。また、従来のアンチウイルスではシグネチャの防御だったが、次世代の防御はAIを使い、未知の攻撃を検知する。そして、もし起こったらではなく、発生した時にどうするかが重要なためイベント発生時の訓練を行い、敵を知るためにテクニック・ツールを把握することで防御そのものを強化できる」と説明していた。

  • ランサムウェアを軽減するためのポイント

    ランサムウェアを軽減するためのポイント

同社では2020年後半の脅威情勢について、CrowdStrike OverWatchはサイバー犯罪者が検知テクノロジーを回避しつつ、攻撃の影響力を最大化させるプロセスを新たに発明し、成熟化させ、今後も大胆な戦術を繰り広げていくものと予想している。組織が自社のデータを保護するためには、分散型のワークフォースを守り、デバイスを問わず拡張できるソリューションを取り入れる必要があるという。