2022年上半期・サイバーセキュリティ動向を紐解く

世界的に混迷を深めた2022年上半期は、サイバー攻撃による脅威もまた増大することになった。このためサイバーセキュリティの重要性がますます高まっており、すべての企業には、改めて自社のセキュリティ対策を見直すとともに、さらなる安心・安全の確保が求められたと言えるだろう。

こうしたなかキヤノンマーケティングジャパングループのキヤノンITソリューションズでサイバーセキュリティ関連の研究を行うサイバーセキュリティラボでは、2017年以降、マルウェアの脅威動向を解説する「マルウェアレポート」を月次で発行するほか、上半期と下半期の年2回にサイバー攻撃事例などの内容も含めたレポートを公開している。

2020年以降は「サイバーセキュリティレポート」に改称し、マルウェア以外のセキュリティ上の脅威も解説している同レポートでは、キヤノンマーケティングジャパンが提供するセキュリティ対策ソリューションである「ESET」の国内検出データが活用されている。このため、より日本の組織におけるサイバーセキュリティ動向の実状が把握できる内容となっているのが特徴の1つだ。

今回は2022年上半期のサイバーセキュリティレポートの内容から企業を取り巻く脅威動向を紐解くべく、キヤノンITソリューションズ ITサービス技術統括本部 サイバーセキュリティ技術開発本部 サイバーセキュリティラボの杉浦晃希氏と住田裕輔氏に解説してもらった。

Emotetへの感染を狙ったダウンローダーの影響が顕著に

まず第1章の「2022年上半期マルウェア検出統計」では、国内におけるマルウェア動向が示されている。2022年上半期におけるマルウェア検出数は、2021年下半期の検出数と比較してほぼ横ばいとなっており、2018年からこれまでの間、依然として高い水準が続いている。

  • 半期ごとの検出数の比較(2018年下半期~2022年上半期・国内)※2018年下半期の検出数を100%として比較

    半期ごとの検出数の比較(2018年下半期~2022年上半期・国内)
    ※2018年下半期の検出数を100%として比較

また、2022年上半期の検出数を月別に見ると、3月の検出数が最も多かった。これは、メール経由でのEmotetへの感染を狙ったダウンローダーを多数検出したことによる。対して翌4月には、こうしたばらまきメールの送信が停止していた期間が生じていた。

  • マルウェア検出数の月別推移(2022年上半期・国内)
    ※2022年1月の検出数を100%としています。

  • マルウェア検出数の月別推移(2022年上半期・全世界)
    ※2022年1月の検出数を100%としています。

その理由について住田氏は、「真の特定は難しいものの、前後にOffice製品のアップデート対応の準備期間があったことや、攻撃者自身がこれまでの攻撃結果のフィードバックなどを基に、攻撃手法のアップデートをしていた可能性が考えられます」とコメントする。

そして2022年上半期で検出数が最も多かったマルウェアが「DOC/TrojanDownloader.Agent」だ。これは、さまざまなマルウェアをダウンロードするダウンローダーと呼ばれるマルウェアであり、Emotetをダウンロードするものが多数確認された。

  • マルウェア検出数TOP10

「実際にダウンローダーを多数検出していた期間では、感染やばらまきメールの報告が増えています。こうした継続的に大量のばらまきメールを送信する手法というのは、改めて大きな脅威であると感じています」(住田氏)

サイバー空間外での被害も増加傾向が

検出数の2位と3位はいずれもアドウェアであり、Webブラウジング中に遭遇する脅威が増大していることを示した。そのほかで注目したいのが、検出数の8位となった「HTML/Pharmacy」である。このHTMLファイルベースのマルウェアの検出名は、違法な医薬品を販売するオンラインサイトに関連したものであり、被害者は金銭詐欺に巻き込まれたり、国の認可を受けていない医薬品を摂取することで健康被害に遭ったりする可能性がある。

この結果を踏まえて住田氏は、「ITデバイスを扱う一般ユーザーがサイバー空間に留まらない被害を受ける脅威も身近に迫っています。そのため各自でITリテラシーの知識を身につけて、適切にインターネットを利用することが重要です」と注意を促す。

  • キヤノンITソリューションズ株式会社 ITサービス技術統括本部 サイバーセキュリティ技術開発本部 サイバーセキュリティラボ 住田 裕輔 氏

    キヤノンITソリューションズ株式会社 ITサービス技術統括本部
    サイバーセキュリティ技術開発本部 サイバーセキュリティラボ
    住田 裕輔 氏

国内でのEmotetの感染経路に一部変化も

続く第2章「2022年上半期のEmotetの活動状況」では、Emotetの感染拡大についてフォーカスし、感染経路の分析をはじめ2022年上半期の日本国内での活動をまとめている。

改めてEmotetについて説明すると、攻撃者の用意したモジュールによってさまざまな機能を有することが可能なマルウェアであり、ひとたび感染すると、スパムメールの送信、横展開によるネットワーク内での感染拡大、メールクライアントの認証情報やメール本文などの窃取、ほかのマルウェアのダウンロードといった被害に遭う可能性が高まる。

その主な感染経路としては、ばらまきメールの添付ファイルや本文中のURLによるファイルのダウンロードが挙げられる。

住田氏は、「添付ファイルには、主にWordファイルやExcelファイルといったOfficeファイルが悪用されていました。ユーザーがファイルを開き、「編集を有効にする」「コンテンツの有効化」を続けてクリックすることで、Emotetがダウンロードされる仕組みとなっています」と話す。

検出数が最も多かった「DOC/TrojanDownloader.Agent」の感染経路も、ばらまきメールへの添付ファイルが特に目立った。感染を公表した企業の業種としては、最も多かったのが製造業であり、卸売業・小売業がそれに続いている。

この結果について住田氏は、「日本国内における業種ごとの企業数に大きく影響を受けており、特定の業種が狙われているのではなく、幅広い業種の企業が狙われていると考えています。そしてメールを介して感染拡大することから、同一の業界内でやり取りがあると、その業界内で一気に感染拡大する可能性があります」との見解を示す。

また、先述したようにばらまきメールの添付ファイルとして多いのがOfficeファイル形式だが、2022年上半期にはそこにLNK形式──つまりショートカットファイルのダウンローダーの利用も確認されている。

ユーザーがこの添付ファイルを開くことで、スクリプトが実行されてEmotetに感染してしまう。その危険性について、住田氏は次のように警告する。「これまでのOfficeファイルとは異なり、ユーザーの操作はファイルを開くだけです。また、ショートカットファイルは、ファイル拡張子を表示する設定であっても、拡張子が表示されません。そのため、ファイル名に別の拡張子を入れることで、DOCファイルなどの別形式のファイルと誤認してしまいがちです」

  • LNKファイルを悪用したダウンローダーの感染の流れ

    LNKファイルを悪用したダウンローダーの感染の流れ

システムとユーザー双方でのバランスの取れた対策が必須に

このように、メールを介したマルウェア感染のリスクが高まるなか、こうした脅威に対して、どのような対策をとっていくべきなのだろうか。まず強く推奨したいのが、セキュリティ製品の導入はもちろんのこと、それを含めたシステム全般の適切な運用だ。セキュリティ製品自体のアップデートを行うのは当たり前のこと、エンドポイントであれば定義ファイルを最新に保つことをはじめ、Office製品のマクロが無効化されていることの確認、スクリプトファイルの既定アプリケーションをテキストエディターに変更するといった対策も必要となるだろう。

そうしたシステム側の対策と合わせて、添付ファイルやメール本文に書かれたURLを不用意に開かないなど、ユーザー側のリテラシー向上も求められてくる。

住田氏は、「Emotetに感染するためにはユーザー側の操作が必要となります。このため、ばらまきメールの送信情報や手法の変化といった情報収集とともに、組織内での情報共有・セキュリティ教育が感染防止には大きな効果を発揮します。つまり、システムとユーザーの両面からバランスよく対策を行うことが欠かせないと言えるでしょう」と訴える。

Internet Explorerサポート終了が意味すること

第3章の「Internet Explorerのサポート終了に伴う今後の展望」では、2022年6月にサポートが終了したWebブラウザー「Internet Explorer(以下、「IE」)」のこれまでの歩みを振り返りながら、Webブラウザーの今後の展望について考察している。

IEは、1997年リリースのWindows 98からWindowsファミリーに標準搭載されたことをきっかけに、世界シェアを大きく拡大させた。しかし世界シェア1位となったことが災いし、多くの脆弱性が発見され、攻撃対象となる機会も多くなっていったのである。また、W3Cが勧告するWeb標準に準拠しておらず、Webページの表示が崩れることも多くあったため、ユーザーが使いにくいブラウザーであるという印象を与えることとなった。この他にも、前述したIEの問題点を解消した新興ブラウザーが台頭したり、OS標準搭載が独占禁止法に抵触するとして欧州を中心に対応を迫られたりするという出来事もあった。

「このようにIEは、セキュリティや利便性といった製品そのものが抱える要因を中心に多くの問題が指摘されるようになり、ユーザー離れが加速してサポート終了に至ったと考えられます」と杉浦氏はコメントする。

このIEに見つかった脆弱性の特徴の1つとして、ActiveXやVBScriptといった独自機能に脆弱性が見つかり、IE自体にも悪影響を与えたことが挙げられる。これらの機能はIEを含む多くのMicrosoft社が提供する製品で使用することが可能であり、使い方によっては製品間で連携してさまざまなソリューションを実現できるという便利な半面、多くの悪用事例が報告されてきた。

杉浦氏はこう振り返る。「有名な悪用事例の1つとしては、2001年9月頃に確認されたNimdaと呼ばれるマルウェアが挙げられます。脆弱性が存在する環境でNimdaの感染を狙ったメールを開くと、添付ファイルが自動で実行されNimdaに感染します。ユーザーが能動的に添付ファイルを実行しなくても知らぬ間にマルウェアに感染してしまうことから、感染を防ぐことが難しく、全世界で猛威を奮いました」

  • Nimdaがメール経由で感染する際の概要

    Nimdaがメール経由で感染する際の概要

これからのブラウザーに求められる要素とは

では、今後のWebブラウザーにはどのようなものが求められるのだろうか。ブラウザーのサポートが終了しても滞りなく業務を進めるためにどのような対策をしていくべきかと合わせて考えてみたい。

まずは最新のWebブラウジング環境に合わせて、常に新しいセキュリティ機能が搭載されることが、これからのWebブラウザーには求められると言えるだろう。また、セキュリティやパフォーマンスの向上につながることから、最新の規格や標準化体系に対応することも重要となってくる。

杉浦氏は次のような見解を示す。「加えて、脆弱性発見時に修正パッチの配布が迅速なブラウザーであれば、ユーザーは安心して利用することができます。これを実現するために、最近では一般的となったブラウザーの拡張機能のように、機能の一部を容易に更新あるいは切り離しができることが重要です。ほかにも、デバイス間の連携もポイントとなるでしょう。現在においてもPC、モバイル端末、スマートフォンやタブレットなどさまざまなデバイスが業務で使用されていますが、その種類は今後さらに増えると思われます。そこで、複数のデバイスでもブラウザーひとつで設定内容などを共有できれば、ユーザーにとって使いやすいブラウザーとなるうえ、セキュリティ対策も実施しやすくなるはずです」

また、IEの例から分かるとおり、世界シェア1位のソフトウェアでさえサポート終了する可能性がある。イントラサイトや経費精算システムなど、日常利用するシステムを特定ブラウザーの使用を前提に構築すると、そのブラウザーが継続使用できなくなった場合に大幅なシステム改修を迫られる可能性が生じてしまう。

「将来の改修を見据えて、時代の変化に素早く対応できる設計で組織のシステムを構築することが重要となります」と杉浦氏は語る。

  • キヤノンITソリューションズ株式会社 ITサービス技術統括本部 サイバーセキュリティ技術開発本部 サイバーセキュリティラボ 杉浦 晃希氏

    キヤノンITソリューションズ株式会社 ITサービス技術統括本部
    サイバーセキュリティ技術開発本部 サイバーセキュリティラボ
    杉浦 晃希氏

最新の脆弱性「Log4Shell」とその対策

第4章は「Log4Shellの検出状況と解説」と題して、ロギングライブラリであるApache Log4jのバージョン2系に発見され、2021年12月に一般公開された脆弱性であるLog4Shellについて詳しく解説が行われている。

この脆弱性の影響を受ける製品は多数存在しており、悪用された場合の影響も大きいことから、BBCやCNNなど世界中の主要メディアで報じられた。こういった経緯から、セキュリティ業界に留まらず多くの人に認知されることとなった。

杉浦氏は「Apache Log4jとはJavaベースのライブラリであり、Javaアプリケーションのさまざまなイベントに関するログを出力できる機能をもっています。バージョン1系と2系が存在しますが、Log4Shellの脆弱性の影響を受ける2系はLog4j2と呼ばれます」と説明する。

Log4Shellを悪用する際の攻撃の流れは概ね次のようなものだ。まず攻撃者はLog4j2が使用されているJavaアプリケーションに悪意のあるパケットを送信し、続いてこのパケットを受信したJavaアプリケーションはLog4j2を介してログを生成する。ここで脆弱性の影響を受ける環境の場合は攻撃が成功し、攻撃者が用意した外部サーバーと通信を行う。そして外部サーバーに用意された悪意のあるJavaアプリケーションがダウンロードされ、この悪意のあるアプリケーションによって任意のコードが実行されてしまうのである。

「ESET製品では、Log4Shellを悪用する攻撃をJAVA/Exploit.CVE-2021-44228などの名称で検出します。このJAVA/Exploit.CVE-2021-44228について、2021年12月から2022年6月の検出状況を確認すると、日本国内と全世界ともに不定期で検出数の多い日が観測されています。この検出数が多い日は、脆弱性が公開された12月のピーク時に匹敵する検出数となっており、依然として油断できない状況です」と杉浦氏は警鐘を鳴らす。

  • Log4Shellを悪用する攻撃概要図

    Log4Shellを悪用する攻撃概要図

この厄介な脆弱性であるLog4Shellに対して最も効果的な対策となるのが、Log4Shellが解消されたバージョンのLog4j2を使用することである。

「ただし、Log4Shellについては修正が不完全のため複数回アップデートされる事態が生じました。一度アップデートしたからといって安心せず、製品ベンダーのお知らせを注視して、確実に脆弱性が解消されたバージョンであるか確認するようにしてください。またLog4Shellに対する一時的な緩和策も発表されているため、バージョンアップを実施できない環境の場合、Apache Logging Servicesや製品ベンダーが発信している情報もぜひ参考にしてください」(杉浦氏)

また、これはLog4Shellに限らず自社の情報資産を安全に管理するための基本ではあるが、製品に含まれるソフトウェアコンポーネントやライセンスなどを一覧化したリストであるSBOM(エスボム)を活用したり、各国のCERT/CCが公開しているスキャナーを利用したりして、適切に資産管理を行うことも重要となるだろう。

最新の脆弱性対策における「ESET PROTECTソリューション」の有効性

これまで紹介したような、2022年上半期のサイバーセキュリティレポートから明らかになった脅威動向を受けて、組織内で利用している製品・ソフトウェア・OSを把握し、それらの脆弱性情報を収集すること、そして収集した情報をもとに、迅速なセキュリティパッチの適用が改めて重要となってくることがわかった。そうした脆弱性対策にも「ESET PROTECTソリューション」の活用は大きく貢献するはずだ。

また、「ESET PROTECTソリューション」の機能のひとつであるエンドポイント保護では、脆弱性を悪用した通信、エクスプロイトキットや(脆弱性を悪用する)マルウェアを検出する。さらに、マルウェア感染後のC&Cサーバーへの通信など、被害端末から発生する不審な通信も検出することが可能となっている。

「このようにエンドポイントセキュリティはサイバー攻撃の事前対策として有効です」(杉浦氏)

また昨今ではサイバー攻撃を完全に防ぐことは難しいと言われており、従来ながらの事前対策に加えて、サイバー攻撃を受けることを前提とした対策も重要になっている。そこでエンドポイント保護だけでなく、事後対応に役立つ機能(XDR)と運用支援サービスも加えた「ESET PROTECT MDR」を活用することで、脆弱性を悪用した攻撃の痕跡を素早く発見し、被害の拡大を最小限に抑えることが可能となるのである。

脅威情報と合わせて自社の情報資産の収集も重要に

今回の検出統計をみると、2022年上半期には、Emotetへの感染を狙ったダウンローダーやWebブラウジング中に遭遇する脅威であるアドウェアを多数検出している。2018年下半期と比較しても2倍近くの検出数を維持しており、また脆弱性を狙った攻撃やブルートフォース攻撃なども多数検出しているなど、これまで以上に注意が必要となっていると言える。

トピックとしてもIEのサポート終了や、サイバーセキュリティレポートの第5、6章で言及している国家によるセキュリティ製品の調達制限、暗号通貨を用いたサイバー犯罪による被害総額の増加などがあった。このように現在では、マルウェアだけでなく、さまざまな脅威に対応する必要があるのだ。さらに近年では、攻撃者同士の協力や分業によって、対応すべき脅威のレベルや規模・数も大きくなっていることにも注意したい。

最後に住田氏と杉浦氏から、今回のサイバーセキュリティレポートの内容について総括するとともに、企業のセキュリティ担当者に向けて次のようなメッセージが送られた。

「対策を取るうえで、どのような脅威があるのかを知って、組織内で共有することが重要と考えています。知らないことに対応することは難しくても、知っていることであれば取れる対策があります。そのためにも、業種ごとのISACによる情報共有やベンダー・各種機関が出す情報の収集が重要であり、その情報収集先のひとつとして、サイバーセキュリティレポートがお役に立てれば幸いです」(住田氏)

「さらに、脅威情報を収集するだけではなく、自分たちが使っている情報資産についても収集する必要もあるでしょう。そのうえで、収集した脅威情報が自組織に与える影響の大きさや有無を適切に判断することも必要です。優先順位を決めて効率的にサイバー攻撃へ備えるためにも、脅威の情報だけでなく、自組織で扱っている情報資産の情報も把握するように心がけてください。当社では「ESET PROTECTソリューション」に関する運用サポートのサービスも提供しているので、製品の導入で終わりではなく、そうしたサービスもぜひ活用いただければ幸いです」(杉浦氏)

  • 杉浦氏

関連リンク

2022年上半期サイバーセキュリティレポートは、キヤノンマーケティングジャパンのHPにて無料でダウンロードできます。

記事内で紹介したESET PROTECT ソリューションの詳細、最新情報は、キヤノンマーケティングジャパンのHPにてご覧いただけます。

[PR]提供:キヤノンマーケティングジャパン