イーセットジャパンは9月7日、「ESET脅威レポート2023年上半期版」を公開したと発表した。同レポートは、ESET製品から得られるテレメトリデータから確認できた、2023年上半期(2022年12月~2023年5月)の脅威動向をまとめたものだ。

同日にはレポートの要点とともに、同期間に日本で多く検出されたサイバー攻撃などを紹介する記者説明会が開かれた。

SQL Serverへの総当たり攻撃が急増も、日本ではRDPが標的に

ESETのレポートによれば、サイバー攻撃の全体的な検出数はゆるやかな減少傾向にあったという。2022年下半期(2022年6月~2022年11月)と比べて、2023年上半期はグローバルでは7%減、日本は2%減だ。背景としては、ロシアによるウクライナ進行で急増したサイバー攻撃が落ち着いてきていることが挙げられた。

ネットワーク侵入手法の中で、最も多く検出された攻撃がパスワード推測攻撃で、全体の42.7%を占めた。次いで多かったのがLog4Shellを悪用した攻撃だ。Log4Shellに対するパッチは2022年12月にリリースされたが、いまだに攻撃は増加傾向にあるという。

  • サイバー攻撃者が利用したネットワーク侵入手法(2022年12月~2023年5月)、出所:ESET

    サイバー攻撃者が利用したネットワーク侵入手法(2022年12月~2023年5月)、出所:ESET

パスワード推測攻撃については、Microsoft SQL Serverがネットワークへの初期アクセス手法として再び注目を集めており、同サービスに対するブルートフォース(総当たり)攻撃がグローバルで急増しているそうだ。2022年下半期と比べて、2023年上半期には同サービスへの攻撃が58%増加した。その一方で、WindowsのRDP(Remote Desktop Protocol)への攻撃は減少傾向にあり、同期間では10~12%減少した。

しかし、日本ではこの傾向が逆で、Microsoft SQL Serverへの攻撃は11%減少し、RDPへの攻撃が2%増加したという。

ESET Security Awareness Specialistのオンドレイ・クボビッチ氏は、「この傾向には、いくつかの要因が考えられる。1つには、グローバルに比べて日本ではSQL serverが使用されていないことが挙げられる。そして、日本においてはEメールやRDPを利用した攻撃の成功率が高いことから、SQL serverを用いて攻撃しなくてよい、と攻撃者が判断をしているのかもしれない」と説明した。

  • ESET Security Awareness Specialist オンドレイ・クボビッチ氏

    ESET Security Awareness Specialist オンドレイ・クボビッチ氏

また、クボビッチ氏はLog4Shellについて、「北朝鮮系のランサムウェアグループが韓国と米国の医療系システムに対して、Log4Shellを用いて攻撃を仕掛ける可能性があるという警告が出ている。また、北朝鮮を背景に持つサイバー犯罪者集団のLazarus(ラザルス)もLog4Shellを利用している」と紹介し、引き続きLog4Shellに警戒する必要性を説いた。

日本でも多くの被害があったEmotetにも話題は及んだ。Emotetではマルウェアの感染にマクロが付いたOfficeファイルが多用された。だが、米マイクロソフトがVBA(Visual Basic for Applications)マクロの実行をブロックするセキュリティ機能を実装するなどのテイクダウン(停止措置)が取られたことで、Emotetによる攻撃の数も激減し、規模も小さくなっている。ESETは2022年下半期に数百万件のEmotetの攻撃を検出したが、2023年下半期の検出数は数万件だったという。

  • Emotetによる攻撃キャンペーンの検出数、出所:ESET

    Emotetによる攻撃キャンペーンの検出数、出所:ESET

「Active mail」に扮して認証情報を窃取する攻撃を検出

説明会では、2023年上半期に日本で多く検出されたサイバー攻撃のトップ10も紹介された。

最も多かったのが、正規のWebサイトを装いログイン情報の窃取を行う「HTML/Phishing.Agent」だ。これは、Eメールに添付されたhtmlファイルやメール内のリンクを経由して、ID・パスワードなどの認証情報を入力させようとする攻撃手法となる。

  • 2023年上半期に日本で多く検出されたサイバー攻撃、出所:ESET

    2023年上半期に日本で多く検出されたサイバー攻撃、出所:ESET

説明会では、HTML/Phishing.Agentの亜種として、企業のWebサイトやオンラインバンク、ソーシャルメディアを模倣する「.AUW」と、Microsoft 365など特定の製品のログインページをコピーしたビジュアルを利用する「.CDM」が紹介された。

「『.AU』は日本でも多発している。また、『.CDM』は日本で利用者の多い『Active mail』を騙ったものが検出された」とクボビッチ氏。

  • 「HTML/Phishing.Agent」の亜種である「CDM」では「Active mail」を騙った攻撃も、出所:ESET

    「HTML/Phishing.Agent」の亜種である「CDM」では「Active mail」を騙った攻撃も、出所:ESET

ノーコードで利用できる情報窃取型マルウェアに注意

ESETは今回のレポートで、情報窃取型マルウェアの「RedLine Stealer」の活動を妨害したことを報告している。説明会では、同社の妨害活動の一端が明かされた。

RedLine Stealerは、コーディングスキルがない人でも簡単に利用できるように設計されたマルウェアで、GUIで操作可能なコントロールパネルが用意されている。攻撃者はサブスクリプションによる課金でコントロールパネルを利用し、パスワードや仮想通貨のウォレットの窃取を行える。Windowsアップグレードの配布ファイルや、その他の正規ソフトウェアに仕込まれたりするほか、Google AdsやYouTubeから感染することもあるそうだ。

ESETは、コントロールパネルとバックエンドシステム間のリンクを発見し、妨害することで、コントロールパネルを動作できないようにしたという。

なお、RedLine Stealerでは、WebサービスをC2サーバ(Command and Controlサーバ)に利用するデッドドロップ・リゾルバを攻撃に用いている。今回は、デッドドロップ・リゾルバに使用されたGitHubリポジトリを発見したことが、攻撃の妨害に繋がったそうだ。

  • 「RedLine Stealer」の攻撃動作の概要、出所:ESET

    「RedLine Stealer」の攻撃動作の概要、出所:ESET

同事例を振り返ってクボビッチ氏は、「当社は2022年下半期に初めて同マルウェアを検出し、今回、その攻撃の一部を妨害することができたが、RedLine Stealerは終焉したわけではない。同マルウェアは日本で検出されることが少ないものの、同様の情報窃取型マルウェアは日本でも多く見られるため、今後も注意が必要だ」と警鐘を鳴らした。