ソフォスはこのほど、2023年版ソフォス脅威レポートを公開した。同レポートは、SophosLabsが過去12カ月間の脅威の状況の変化を調査して判明した傾向を明らかにして、2023年に予測されるサイバーセキュリティへの影響を分析したもの。

セールスエンジニアリング本部 セールスエンジニア 三浦洋氏は、同レポートについて、SophosLabs、Sophos SecOps、Sophos AIの3つの専門的な組織が連携して誕生した新しい組織であるSophos X-Opsによる初のレポートであると説明した。Sophos X-Opsには、全世界で500名以上のサイバーセキュリティの専門家が在籍しているという。

  • ソフォス セールスエンジニアリング本部 セールスエンジニア 三浦洋氏

三浦氏は、今回のレポートから明らかになったトレンドとして、以下の7点を挙げた。7つのトレンドから、「ランサムウェア」「サイバー犯罪のサービス」「ウクライナ侵攻の影響」「正規の実行ファイル悪用の増加」について詳細を紹介する。

  • 「ソフォス脅威レポート 2023 年版」における7つのトレンド

新たな攻撃手法を生み出しているランサムウェア

ランサムウェアを用いた攻撃の特徴の一つとして、Windowsに加えて、 Linuxも標的になっていることが紹介された。その背景には、RustやGoといった新しいプログラミング言語を用いて、マルチプラットフォームで動くマルウェアを開発できるようになったことがあるという。

加えて、2022年は、ランサムウェアの配信に正規のツールが悪用されるという動きも見られたほか、恐喝についても新たな方法が考案されている。その例としては、「窃取したデータをサブスクリプションモデルで販売」「窃取したデータをオークション形式で犯罪者に落札させる」といったことがある。

例えば、「LockBit」は自身のバグ報奨金制度を実施、運用改善のアイデアを外部から得ている。ちなみに、2022年10月までに Sophos Rapid Response が最も多く 遭遇したランサムウェアはLockBitだったという。

サービスとしてのサイバー犯罪のレベルアップ

さまざまなベンダーが報じている通り、IT業界のトレンドにならい、「XaaS」モデルサービスを提供している犯罪組織が増えている。2022年は、サービスを1つの産業にまで拡大しているサイバー犯罪組織がさらに増加した。サイバー犯罪向けのサービスとしては、以下がある。

  • 9つのCybercrime-as-a-service

このようにサイバー犯罪を可能にするサービスが進化したことで、「これまで高度な技術力を有する組織だけが利用していたツールや戦術を誰でも簡単に利用できるようになった」と、三浦氏は指摘した。

さらには、多くのサイバー犯罪のフォーラムやサイトがマーケティング活動まで展開するようになっているという。

ウクライナ侵攻の影響

ロシアによるウクライナ侵攻はサイバー脅威の環境にも影響を及ぼしている。侵攻の直後は金銭を目的とする詐欺が爆発的に増加したが、ナショナリズムによってウクライナ人とロシア人の犯罪同盟に揺らぎが生じている。

三浦氏によると、ウクライナ人とロシア人は、長い間、結託して犯罪を行ってきたという事実があり、特にランサムウェアの分野では緊密な協力関係にあったとのことだ。しかし、両国の戦争が勃発したことで、複数の組織の良好な関係が瓦解したと考えられている。

その結果、ランサムウェア「Conti」の組織内部の通信が漏えいし、チャットログが公開されたほか、別のTwitterアカウントで、Trickbot、Conti、Maze 、Diavol、Ryuk、Wizard Spidersといったランサムウェア組織のメンバーとされる人物の個人情報がさらされたという。

このように攻撃側の環境が乱れて防御側に有利な状況が生まれたが、それもつかの間、政治的な問題から、ランサムウェア組織を取り締まる国際的な協力が困難になり、防御力が低下してしまったとのことだ。

正規の実行ファイル悪用の増加

犯罪サービスが進化する一方で、2022年は、ランサムウェア組織を中心に、正規のセキュリティツールを攻撃に転用する動きが活発化した。加えて、は、「環境寄生型バイナリ (LOLBin) 」の増加も2022年のランサムウェア攻撃の特徴だという。

攻撃者は、LOLBinとしてWindows のネイティブコンポーネントを用いて、以下の操作を実行していることが確認されている。

  • システムコマンドの実行
  • 導入されているセキュリティ機能の回避
  • リモートの悪意のあるファイルのダウンロード と 実行
  • ネットワークのラテラルムーブメント

LOLBinの例としては、Windows コマンドシェル (cmd.exe)、PowerShellがあり、感染したコンピュータで利用されていた割合が高いLOLBinのトップ10。は下図の通りだ。

  • 感染したコンピュータで利用されていた割合が高いLOLBinのトップ10

さらに、攻撃者が正規の脆弱なシステムドライバを展開する、“Bring Your Own Driver(独自のドライバの持ち込み)”という攻撃手法も増加しているという。この手法は多くの場合、EDRを無効にして検出を回避することを目的にしている。