サイバー脅威への対策には
防止だけではなく検知が必要
―「ハッカーの心を打ち砕け!
バーチャルイベント2021」より

サイバーセキュリティ大手のソフォスではセキュリティの最新事情を伝えるためのスペシャル番組「ハッカーの心を打ち砕け! ソフォス報道室」を配信している。そこでは悪意をもって攻撃を仕掛けるハッカーとそれを防御するプロフェショナルとの戦いの最前線を垣間見ることができる。今回は2021年8月に配信された「ハッカーの心を打ち砕け!バーチャルイベント2021」の様子をお伝えする。

INDEX

2兆ドルに増大するサイバー攻撃の被害 > コモディティなツールが利用される > バックアップがあってもさらなる脅迫が > 身代金の金額の設定から学ぶことがある > 重要なのはスピード、スケール、アジリティ > ライブデモで明かされたハッカーの攻撃手法 > 講演後には質疑応答も >

2兆ドルに増大するサイバー攻撃の被害

最初に登壇したのは、Sophos Global Solution Engineer APJのアーロン・ブゲイル氏だ。第一部でブゲイル氏が語ったのは、ランサムウェアの脅威だ。「ランサムウェアは依然として大きな脅威です。機密性、完全性、可用性を失わせ金銭を要求してきます。新しいプラットフォームも攻撃を受けています」とブゲイル氏は語る

ブゲイル氏

ソフォスがあらゆるリソースから集めた情報では、直接的、間接的な影響を合わせたサイバー攻撃の被害額は約1.5兆円にもなり、現在も増え続けていることを考えると2兆円に近づいているという。ブゲイル氏は「わずかなリソースでサイバー犯罪組織が簡単に活動できるようになった結果です」と指摘する。

攻撃の中身も変化している。「一つ目は、ランサムウェアのオペレータは犯罪組織間の連携を深めるようになり、標的となる組織を共有するようになっていることです。これは大きな脅威です」(ブゲイル氏)

もう一つは、バックアップへの攻撃が優先されるという傾向があることだ。流出の対象となる情報を探すだけではなく、デバックアップを探し出して破壊して無効化しようとする。データ復旧のためのバックアップがなくなると身代金の支払い要求に応じざるを得なくなるからだ。

昨年、ランサムウェア攻撃で要求された金額は徐々に増加し、身代金は10万ドルを超えるようになった。2020年の終わりには平均的な身代金が25万ドル近くになっているという。攻撃者は標的にする組織を選び、気づかれないように行動するようになった。

その一例が、ITシステム管理サービスベンダーのKaseyaに対する攻撃である。Kaseyaは悪名高い攻撃者の標的になり、最終的に7000万ドル以上の身代金を要求された。「ランサムウェアの身代金は底なしに上がっています。同じような組織がランサムウェアと攻撃者に狙われているのです」(ブゲイル氏)。

身代金が増大していく理由は、ランサムウェアの攻撃を受けて組織が多くの情報を失っているからだ。組織の環境に侵入した攻撃者は様々な情報を収集し、最も高額な身代金を脅し取るために最適な方法を探すのである。

コモディティなツールが利用される

心配しなければならないのは持続的な標的型攻撃だけではない。「攻撃側では防御側と同じようにコモディティソフトウェアを利用しています。デジタル通貨市場から金銭を得るようにしているという事例もあります」(ブゲイル氏)。

またLinux周りの新しい攻撃もある。秘密裏にC&Cモジュールを埋め込み、C&Cシステムを操作し、正規のフリをしたネットワークポイントからデータをインポートしたり、外部に流出させるのである。

サイバー攻撃者が容易にアクセスできるゲートウェイシステムに脆弱性が見つかったことで、このような攻撃はさらに広がっている。結果として標的型の組織に長期間常駐し攻撃を継続しているのである。 

パンデミックは現在も大きな影響を与えていることもある。「いまだに新型コロナウイルスに便乗した詐欺メールやスパムメールが配信されています。メッセージ内のURLをクリックするとフィッシングサイトに誘導されます」とブゲイル氏は指摘する。

ソーシャルエンジニアリングの手法を使うケースは今も増加し、最近では新しいプラットフォームも狙われている。iOS、iPad、iPhone、Androidデバイスなどモバイルデバイスだ。

「サイバー攻撃を防御するMITRE ATT&CKフレームワークはこれらの新しいプラットフォームにも適用できますが、攻撃者は提供されている一般的なツールを使用して見つからないようにしているので注意が必要です」とブゲイル氏。

ブゲイル氏

潜伏している攻撃者が情報を搾取し外部に送信した時点で、ランサムウェアをドロップして実行する準備が整ったことになる。ブゲイル氏は「ランサムウェアは最終的に金銭を脅し取るときに使われる手段に過ぎません。その時点では身代金を支払う可能性が高くなっています」と話す。

バックアップがあってもさらなる脅迫が

第二部ではハッカーの行動が解説された。攻撃者は環境内に最初の足場を築くと、場合によっては数ヶ月と言う時間をかけて侵入先のネットワークやネットワーク機能を把握する。そして発見したものをカタログ化して情報を徐々に外部に持ち出し、いつでも組織を攻撃できるようにする。

ブゲイル氏は「多くの犯罪グループにとって組織内に足場をつくることは簡単です。利用可能なゲートウェイを見つけダークウェブの闇サイトで購入した認証情報を使用します。実際に、ユーザ名パスワード電子メールアドレス連絡先などの情報が収集され大量に販売されています」と話す。

図

このリスクを高めているのはパスワードの使いまわしだ。ウェブサイトごとに固有のパスワードを設定することで1つのサイトの認証情報が流出しても他のすべてのアカウントが破られることはなくなる。自分の認証情報がインターネット上に公開されていることに気づいたときにはすでに手遅れである。

標的がクラウドサービスを利用している場合、外部に送信されているチャネルと同じチャネルを使って情報を盗み出して、第三者のサイトに保存することもある。被害者がランサムウェアで攻撃を知らされたときには、すでに盗み出されてしまっているのだ。

しっかりバックアップとっている企業は身代金を無視できるかも知れないが、ここから2重の脅迫フェーズが始まる。ダークウェブで高値でデータを販売したり、データを悪用してその企業の評判を落とそうとしたりする。それも攻撃者にとっては投資対効果を得るための手段なのである。

「ソフォスが分析しているインシデントの中でも、身代金の要求を無視したら、何人もの従業員に他の人の給料を教えたり、家族や友人の個人情報を持っていると伝えることで、経営幹部に身代金を払うように働きかけるケースが有りました」とブゲイル氏は語る。

こうした状況を回避するために何ができるのだろうか。ブゲイル氏は「設定のミスや不要なプログラムなどは攻撃者の侵入を許す大きな原因になります。RPDを無効にして、パッチの適用とアップデートも行いましょう。システムが最新の状態になっていることを確認してくれるマネージドセキュリティーソフトウェアも必要です」と話す。

大事なのはセキュリティの現実から目を背けないことだ。自分の環境を綿密に調べ、自社のセキュリティーリスクを理解することが効果的なセキュリティのコントロールにつながる。それが最初の一歩だろう。

次のページ TOP
ハッカーの心を打ち砕け!
キャンペーンサイトで動画を見る

自社のセキュリティレベルを
向上させる先進セキュリティ技術の
導入方法とは

コロナ禍の影響で企業のデジタル化は一気に広がり、ビジネスのICTへの依存度は急速に高まっている。それに伴ってサイバーリスクも高まり、実被害も広がるなど脅威は顕在化し…

read more

ユーザー事例と口コミから理解する
Intercept X活用の
3つのメリット

企業を取り巻くセキュリティリスクは増大する一方だ。特定の企業や団体を狙った標的型攻撃、データを暗号化することで人質にして身代金を要求するランサムウェア、偽サイトに…

read more

リアルなビジネスの
脅威となるサイバー攻撃の
被害を防ぐ最適解とは

サイバー攻撃の脅威はますます増大している。リアルな世界がITに支えられる今日、サイバー攻撃がもたらすリスクも広がり、事業継続性を脅かすケースも増えている。コロナ禍に…

read more

コロナ禍への対応で
変化するセキュリティに
対するアプローチ

新型コロナ感染症拡大を防止するために、企業にはできる限りテレワークなどを活用し、リモートで業務を進めることが要請された。これまでも働き方改革の重要な要素として推奨…

read more

攻めの経営のための
セキュリティが企業の競争力を
強化する

リモートワークは働き方を変え、生産性を高めることにつながる。しかし、ネットワークセキュリティという面ではリスクが高まることになる。企業としてはどんな対応が求められ…

read more