最新のサイバーセキュリティ動向がわかる年間レポート
近年、サイバー攻撃がもたらす被害は深刻度を増しており、サイバーセキュリティの重要性はますます高まり続けている。こうした流れを受けて、キヤノンITソリューションズでサイバーセキュリティ関連の研究を行うサイバーセキュリティラボでは、2018年以降、マルウェアの脅威動向を解説する「マルウェアレポート」を月次で発行するほか、上半期、年間の年2回公開。2020年以降は「サイバーセキュリティレポート」に改称し、マルウェア以外のセキュリティ上の脅威も解説している。また同レポートでは、キヤノンマーケティングジャパンが提供するセキュリティ対策ソリューションである「ESET」の国内検出データが活用されているため、より日本の組織におけるサイバーセキュリティ動向の実状が把握できる内容となっている点も大きな特徴となっている。
多くの企業・組織のサイバーセキュリティ対策に役立ててもらうべく公開されている同レポートだが、今回、最新版となる2021年サイバーセキュリティレポートの内容から企業を取り巻く脅威動向を紐解くべく、キヤノンITソリューションズ ITサービス技術統括本部 サイバーセキュリティ技術開発本部 サイバーセキュリティラボの池上 雅人氏に解説してもらった。
Webブラウザー上で実行される脅威が上位を独占
まず第1章の「2021年マルウェア検出統計」では、国内におけるマルウェア動向が示されている。2021年の国内マルウェア検出総数は下降しつつあるものの、2019年以前と比較すると依然として高い水準にあることが伺える。また、国内で検出されたマルウェアの検出数上位10種を見ると、アドウェアなどのWebブラウザー上で実行される脅威が8割を占めるとともに、残り2割は電子メールの添付ファイルによる脅威となっている。
これについて池上氏は、「Webブラウザー上で実行される脅威が増加しており、JS/Adware関連だけで2021年に国内で検出されたマルウェアの実に39.8%を占めています。またマルウェア以外ではRDPやSMBといった通信プロトコルを狙った脅威も継続して検出されています」とコメントする。
そして、こうしたマルウェアによる被害を防ぐために誰もが最低限注意すべきこととして池上氏は、以下の4点を強調する。
- 不審なリンクや広告をクリックしない
- 不審なポップアップやダイアログのボタンをクリックしない
- 不審なソフトウェアやアドオンをインストールしない(非公式に配布しているもの等)
- セキュリティ製品の利用
「法人のお客さま向けに提供しているESET PROTECTソリューションには、Webブラウジング時にアドウェアを自動的にブロックする機能も備わっているので、ぜひお役立ていただきたいですね」(池上氏)
活動再開したEmotetがダウンローダーの脅威を拡大
続く第2章「2021年に日本国内で検出されたダウンローダー」では、国内におけるマルウェアによるダウンローダーの利用の実態について明らかにしている。ちなみにダウンローダーとは、マルウェアをダウンロードするプログラムを指す。このダウンローダーを攻撃者が使用することで、セキュリティ製品による検出を逃れやすくなったり、感染させるマルウェアを自在に変更(アップデート)できたりといった(攻撃者にとっての)メリットが得られるのである。
そして各種ダウンローダーのなかでも今回全体の8割超を占めていたのが、VBA/DOCダウンローダーだ。このうちVBAダウンローダーはMicrosoft Office文書のマクロ機能に使われるVBA言語で書かれたダウンローダーであり、一方のDOCダウンローダーはMicrosoft Office文書のhtmlフォーマットやxmlタグを用いたダウンローダーとなっている。
これらのダウンローダーによってダウンロードされるマルウェアは、EmotetやDridex、AgentTeslaなどと多岐に渡るが、特に注目したいのがEmotetだ。Emotetは、2019年10月から2020年にかけて多くの感染被害をもたらしたマルウェアであり、2021年1月末のテイクダウン以降休止状態だったものの、11月14日ごろから活動を再開しているのである。
この結果を受けて池上氏は次のように注意を促す。
「活動再開したEmotetの感染拡大を狙った活動だけでなく、ほかの様々な情報窃取マルウェアのダウンローダーにも注意が必要です。まずは不審なメールの添付ファイルやURLリンクを不用意に開かないといった日頃からの心がけが重要と言えるでしょう。とりわけ検出の8割超を占めるVBA/DOCダウンローダー──つまりOfficeファイルには、特に注意するよう社内で徹底すべきだと思います」
サイバーセキュリティレポートでは、Emotetがどのようなマルウェアなのかについても、詳しく説明されている。これを読めばEmotetが、単に情報を窃取するだけでなく、自身の活動で感染を外部に拡げていくスパムのような動きもするため、取引先等にも被害が及ぶ可能性があるなど非常に危険なマルウェアであることが理解できるに違いない。
こうしたEmotetのような厄介なマルウェアへの対策では、以下の4点を徹底することが求められる。
- セキュリティアップデートの適用
- 不審メールに関する情報を収集する
- 添付ファイルを開かない、本文中のリンクをクリックしない
- セキュリティ製品の利用
そしてESET PROTECTソリューションであれば、既知の脅威はもちろんのこと、ヒューリスティック検知機能をはじめとした未知の脅威も検知するための機能を備えているため、安全性を格段に向上することが可能だ。さらに、もしもエンドポイント検知やヒューリスティック検知等でもブロックできずに仮にマルウェアが挙動を開始してしまったとしても、ネットワーク保護機能により攻撃者のサーバーとの通信を遮断できるため、被害を抑止することが可能なのである。
“4重の脅迫”も! 巧妙化・高度化するランサムウェア
第3章の「2021年のランサムウェア動向」では、最近特にその危険性が叫ばれているランサムウェアについて、その感染経路がどのように変わってきているか、攻撃手法が多様化しどのようなランサムウェアが大きな被害を与えているかなどについても詳しく紹介している。
改めてランサムウェアについて説明すると、ファイルを暗号化するなどの障害を意図的に発生させ、その解決のための身代金(Ransom)を要求するマルウェアのことを指す。IPAで2年連続1位の脅威となるとともに、米国でも大きな被害を出しているランサムウェアには、世界中の企業が特に警戒を強めている。
ランサムウェアによる実際の被害事例として特に有名なのが、アメリカの石油パイプラインが業務停止に陥ったことだろう。また国内においても、決算報告が3ヶ月遅れたり電子カルテシステムが被害を受けて業務が止まったりといった被害事例が報告されている。
池上氏は次のように警鐘を鳴らす。「このように一度感染してしまえば、実際の業務に多大な影響を及ぼすリスクが高いのがランサムウェアの特徴の1つです。加えてランサムウェアのターゲットは業種規模を問わず、半数以上が中小企業という統計もあることから、「うちは小さな企業だから狙われないだろう」といった油断は非常に危険です」
そして、今回のサイバーセキュリティレポートで明らかになった特に重要な動向となるのが、ランサムウェアの感染経路が変化していることだ。従来は電子メール経由での感染が中心であったが、2021年は、VPN機器からの侵入が54%、リモートデスクトップからの侵入が20%にも及んでいるのである。
「やはりコロナ禍によってリモートワークが非常に増えているのが最大の理由でしょう」(池上氏)
さらに、ランサムウェアによる攻撃手法も多様化している。従来のようにただ情報を暗号化するだけでなく、その上でさまざまな脅迫手法も加えてくるのだ。特に85%という大半を“2重の脅迫”が占めており、これは暗号化に加えて、“身代金”を仕払わなければ機密情報をネットに公開するといった脅迫も伴う攻撃である。まだ割合は少ないものの、この2重の脅迫に加えて、DDoS攻撃によりターゲット企業の公開サービスを落とすと脅迫する“3重の脅迫”、それにプラスして、ターゲット企業の取引先などに対して感染した旨を示す嫌がらせメールを送りつけるハラスメント攻撃も加えた“4重の脅迫”までも存在する。
「RaaS(Ransomware as a Service:ランサムウェアのサービス)が普及したことで、技術力が低く資金も乏しい攻撃者であっても容易に攻撃できるようになったため、ますます被害が拡大する傾向にあります」と池上氏は言う。
このようにますます脅威が増大し続けているランサムウェアだが、それに対して企業が行うべきランサムウェア対策のポイントとなるのが次の4点である。
- セキュリティアップデートの適用
- “3-2-1ルール”に基づいたバックアップの実施
- VPNやリモートデスクトップに接続できる端末を制限するとともに、多要素認証(パスワード+USBドングル、パスワード+携帯電話のワンタイムパスワードなど)を設ける
- セキュリティ製品の利用
なかでもバックアップは、ランサムウェア対策においては特に重要となる。加えてESET PROTECTソリューションを用いれば、ランサムウェア保護機能によって疑わしい動作をしたプログラムをブロックするため、ランサムウェア対策の効果を大幅に高めることが可能となる。
急増する脆弱性を悪用するマルウェア──古い脆弱性にこそより注意を
第4章「国内最多検出数を記録した脆弱性を悪用するマルウェア」では、脆弱性を悪用するマルウェアが国内で急増している事実について、検出数の推移など具体的なデータを交えて詳しく解説している。
2021年に多く検出された、脆弱性を悪用するマルウェアは「Win32/Exploit.CVE-2017-11882」であり全体の33%を占めている。これはMicrosoft数式エディターに存在した脆弱性であり、Microsoft社は2017年11月に修正プログラムを公開済みのものだ。それでも、この脆弱性が未だに悪用され続けている理由として、多くの企業において修正プログラムが適用されていない、サポートの終了しているOSが使用され続けているといった事実が伺える。
「古くからある脆弱性だからこそ、脆弱性情報や PoC(攻撃実証コード)が数多く公開されています。加えて同じ理由により、Builderと呼ばれる脆弱性を悪用するマルウェアを作成できるサービスも多数存在しており、技術力の低い攻撃者でも容易に攻撃ができてしまう状況にあります」と、池上氏は古い脆弱性こそより注意を傾けるべきである点について強調する。
これらを踏まえ、企業における脆弱性攻撃対策のポイントとなるのが以下の4点だ。
- サポート終了製品を使用しない
- 自社で使用している製品の脆弱性情報を収集する
- セキュリティアップデートの適用
- 脆弱性診断サービスの利用
とりわけセキュリティアップデートを適用することは大前提と言えるが、ESET PROTECTソリューションを導入していれば、もしもアップデートを忘れていたとしても、エクスプロイトコード(脆弱性を突くコード)がネットワーク通信に含まれていた場合に、「バルナラビリティシールド」によって脆弱性を悪用する通信をブロックし、攻撃を未然に防ぐことができるのである。
これまで紹介したような、2021年のサイバーセキュリティレポートから明らかになった脅威動向を受けて、最後に池上氏は次のように総括するとともに、国内企業のセキュリティ担当者に向けてメッセージを送った。
「サイバーセキュリティレポートでは、2021年に特に猛威を振るった脅威であるランサムウェアと脆弱性を悪用した攻撃について詳細に解説しているのでぜひご一読いただきたいです。ランサムウェアの事例に代表されるように、サイバー攻撃というのは、サイバー空間だけでなく実空間にも大きな影響を与えるようになっている事実もおわかりいただけることでしょう。こうした日々高度化、巧妙化するサイバーセキュリティ脅威に対する備えの必要性や、具体的な備えのあり方についてもレポートでは紹介しています。そして自社の安心・安全を守るために日々尽力しているセキュリティ担当者の皆様には、まずは不審メールや脆弱性情報などに関する日々の情報収集と共有が重要であることを改めて強調したいです。例えば不審メール情報は企業内で共有し、注意喚起をするなども大切でしょう。キヤノンマーケティングジャパンが提供している「サイバーセキュリティ情報局」では、最新のセキュリティ動向やキーワードを解説していますので、ぜひお役立てください」
関連リンク
2021年サイバーセキュリティレポートは、キヤノンマーケティングジャパンのHPにて無料でダウンロードできます。
記事内で紹介したESET PROTECT ソリューションの詳細、最新情報は、キヤノンマーケティングジャパンのHPにてご覧いただけます。
セキュリティ最前線
サイバー攻撃の最新動向とセキュリティ対策についてまとめたカテゴリです。
[PR]提供:キヤノンマーケティングジャパン