本年も、脅威インテリジェンスチームUnit 42の調査結果やパロアルトネットワークスのセキュリティソリューションをもとに、国内外のサイバー脅威について振り返りつつ、2019年にはどのようなサイバー脅威に対して注意を払うべきか解説します。

 

2018年のサイバー脅威の振り返り

 

日々進化する攻撃者と脅威をよりよく理解し適切に対応するため、パロアルトネットワークスは様々なデータの収集・分析を行なっています。クラウド脅威解析サービスWildFire®と脅威インテリジェンスサービスAutoFocus™ より得られたデータを元に2018年の振り返りを行います。

 

国・地域別で最も脅威の検出数が多かったのはICTに関わる様々な企業・サービス・施設が集中しているアメリカで、日本はワースト2位となっています(図1)。続くブラジル、イタリアと日本を合わせた三ヶ国はそれぞれの国を狙ったサイバー犯罪者によるばらまき型攻撃が年間を通して発生しているため上位にきています。

図 1 国・地域別攻撃検出数

 

業界別検出数ではハイテク、専門・法律サービス、教育がワースト3となっています。ワースト10は以下の通りです。

ワースト

業界

1

ハイテク

2

専門・法律サービス

3

教育

4

卸・小売

5

製造業

6

電気通信

7

自治体

8

保険

9

金融

10

サービス

表 1業界別検出数

ここからは、2018年に見られた3つの攻撃傾向についてご紹介します。

 

メールによる文章ファイルを使った攻撃

メールによる攻撃は今にはじまったものではありません。攻撃者は長年、WindowsであればEXEファイルなどの実行ファイルをメールに添付して標的に送付してきました。しかし、2017年以降は文章ファイルによる攻撃が主流になりました。現在、日本では実行ファイルより文章ファイルが利用されるケースが圧倒的に多く、グローバルと比較しても比率は突出していることがわかります(表2)。

 

ファイルタイプ

日本での検出数

グローバルでの検出数

文章ファイル

3,976,742

22,281,844

Windows 実行ファイル

687,537

11,041,490

表 2 2018 年メールで検出されたマルウェアの種類

メールに添付される実行ファイルによる攻撃の危険性が国内で認知され、対策と周知が進んだため、攻撃者が戦術を変更したと考えられます。しかし文章ファイルはメールに添付されていても不自然ではなく、マクロや脆弱性が悪用できるため攻撃者にとっては都合のよいファイルフォーマットといえます。

 

【対応策】

  • 文章ファイルであっても危険性があることを認識してください
  • マクロ機能はデファルトで無効になっています。メールや文章内で有効にするように促されても本当に必要か再考し、可能であれば送信者に確認をとるなどしてください。
  • 古い脆弱性を悪用した攻撃は続いています。パッチの適用により攻撃を未然に防ぐことができます。
  • ゼロデイ脆弱性を悪用した攻撃も継続しています。侵害されても被害を最小限に抑える対策をすすめましょう。

 

ランサムウェアから仮想通貨採掘への移行

Unit 42で観測しているデータによると、ビットコインが最高値を出した2017年末から2018年にかけて、ランサムウェアと仮想通貨採掘マルウェアの検出数が逆転しています。

図 2 ランサムウェア検出数推移

図 3仮想通貨採掘マルウェア検出数推移

 

現金に比べ、仮想通貨が攻撃者にとって都合の良い価値交換手段であることはあきらかです。ランサムウェアは標的の状況や支配下においたデータやシステムの価値により身代金を被害者が支払い可能な範囲で高額にすることが可能です。しかし仮想通貨の単価が十分に高ければ、検出されるリスクが低く、長い期間採掘できるクリプトジャッキングの方が巨額の利益を得ることが可能になります。Unit 42の調査では感染端末上で仮想通貨採掘を行なっていた上位10のウォレットは、当時のレートで約200億円相当を攻撃者が得ていたことがわかっています。

 

2018年は前年に比べ仮想通貨の価値が大幅に下落しました。今後もこの傾向が続くようであれば、攻撃者は状況に応じてランサムウェアとクリプトジャッキングを使い分けると思われます。

 

商用マルウェアとビジネスメール詐欺(BEC)

低価格もしくは無料で入手可能な商用マルウェアは多くの攻撃者によって利用されてきました。この傾向は一層高まっており、特に金銭を目的としたサイバー犯罪者による悪用があとを立ちません。Unit 42 は継続的な調査により、3万以上の商用マルウェアを使い1ヶ月平均17600回攻撃している約300人のナイジェリアの攻撃者について特定しました。この攻撃者たちは商用マルウェアを利用して、ビジネスメール詐欺を展開していることがわかっています。FBIは2013年以降のビジネスメール詐欺による被害を約120億ドル(約1兆3000億円)と推測しており、世界的な問題になっています。その一端を商用マルウェアが担っています。

日本国内でも商用マルウェアを使った攻撃を多数確認しており、流暢な日本語を使う攻撃メールも確認されています。商用マルウェアを使った攻撃は、サイバー犯罪だけでなく情報窃取を目的とした標的型攻撃と推定されるような攻撃も発生しているため、注意が必要です。

 

2019年のサイバー脅威予測

 

サイバー犯罪や標的型攻撃などは2019年も継続することが考えられます。ここからは2019年以降増加・拡大すると思われる項目について論じます。

 

予測1:仮想通貨を狙った攻撃の継続

2017年末に史上最高額を記録してから一転、年間を通じた価格下落、相次ぐ取引所の巨額窃盗など、2018年は仮想通貨にとって暗い話題が続く年になりました。しかし攻撃者の視点から見ると現在の仮想通貨をとりまく状況はいまだ魅力的です。

  • 仮想通貨を代表するビットコイン(BTC)は執筆時点において2017年1月当時の4倍の価格で取引されており、世界中で市場が確立している。
  • サイバー犯罪者にとって必須な一定の匿名性がある。
  • 物理的な制約を受ける現金とは異なり、デジタルの利便性と恩恵を受けられる仮想通貨は国境を超える犯罪者にとって好都合。

上記の理由により、2019年以降もサイバー犯罪者達は仮想通貨をターゲット、または悪用した攻撃を継続すると考えられます。ターゲットとなるのは引き続き、取引所、ユーザー、そしてICT全般です。特に、取引所は常に多額の仮想通貨を取り扱うため攻撃者のターゲットとなります。

 

【対応策】

  • 取引所は常に多額の仮想通貨を取り扱うため攻撃者のターゲットとなります。
  • 仮想通貨取引に必要なIDやパスワードといった認証情報の価値は持っている資産と同じかそれ以上に高額です。推測されたり奪われたりすることで持っているもの以上を失ってしまう可能性があります。十分な強度のパスワードと多要素認証の導入で悪用されるリスクを低減させましょう。
  • 仮想通貨を要求するランサムウェアや、感染端末のリソースを使い仮想通貨を採掘するマイニングマルウェアはPC、モバイルデバイス、IoTをターゲットにしており、またオンプレミスとクラウドの双方で発見されています。これらのマルウェアに感染した場合、潜伏能力が高い他のマルウェアに侵害されることも考えられます。安易に削除だけですませず、原因の追究と適切な対策を講じる必要があります。

 

予測2:見えない攻撃の拡大

近年、ファイルレスと呼ばれる攻撃が増加してきています。一般には、オペレーティングシステムに組み込まれている機能を悪用し、悪意のあるコードをファイルに保存することなくメモリ上に読みこみ実行する手法をさします。エンドポイントにおける古典的なアンチウイルス製品がファイルスキャンによる検出・駆除を目的としているため、攻撃者がこれを回避する手段として発展してきました。攻撃者による検出回避はネットワーク分野にも拡大してきています。

 

一つ目はSSL/TLS化の加速です。ブラウザや検索エンジンにより一般サイトでも常時SSL化が求められており、今後大半のトラフィックがHTTPからHTTPSに移行します。その場合、HTTP通信を使っていると逆に目立ってしまうため、攻撃者も無料もしくは低価格の証明書を使い、感染経路や感染後のC2通信などをSSL化する割合が高まることが考えられます。

 

配信されるコードが暗号化される割合も高まる可能性があります。ファイルレスの場合、多くはモジュラー型の構造になっており、ペイロードと呼ばれる実際の攻撃コード部分を時期や対象によって変更できるようになっています。このペイロードモジュールを事前に暗号化してネットワーク配信するものがあります。エンドポイントのメモリ上で配信されたペイロードモジュールを復号し実行することで、ネットワークおよびファイルの双方で検出を回避しようとします。一見して怪しいようには見えない画像データに悪意のあるコードを埋め込むステガノグラフィーと呼ばれる手法をつかい、検出を逃れようとする攻撃者も増えてきています。

 

コンテンツを共有・公開できる正規サイトも、攻撃者が検出から身を守る手段として悪用されています。こうした正規サイトから暗号化したデータを配信することで、ドメイン単位のブロックや管理者による監視の目を逃れようとしています。

このようなネットワークレイヤーにおける検出回避手法が一般化し、さらに新たな手法が開発されていくと考えられます。

 

【対応策】

  • ネットワークトラフィックのSSL/TLSを復号することで、そのなかに潜む脅威を検出できます。
  • 単一のソリューションでは検出できない攻撃が増加するため、ネットワーク・エンドポイントの双方で一貫した監視とポリシーの適用が必要です。
  • 最新の攻撃者の手法、リソースの理解を深め、自組織の防御を見直すため、脅威インテリジェンスを活用しましょう。

 

予測3: 日本国内における破壊型攻撃

 国内外から関心を集める社会的行事、国際会議、スポーツ大会など大きなイベントが2019年以降日本で多数開催されます。過去の国際的スポーツ大会開催時には、DDoSなどの妨害型攻撃だけでなく、Wiper型マルウェア等を使った破壊型攻撃が見られました。破壊型攻撃は現在では珍しいものではなくなってきており、特に政治的またはハクティビスト的動機に基づくと思われる破壊型攻撃が、ここ数年世界中で観測されています。こうした動機を持つ攻撃者によって日本国内でも破壊をともなう攻撃がもたらされる可能性があります。破壊型攻撃が起きた場合、業務遂行不能となり、最悪の場合、インフラ停止など標的組織以外にも大きな被害をもたらす可能性があります。

  • 攻撃者は事前の偵察行動からターゲットの情報収集を行います。早期検出と防止によって攻撃者の最終目的を達成できないようにすることが重要です。
  • 攻撃者は最終的なターゲットだけを攻撃するわけではありません。そのターゲットに到達するため、サプライチェーンの弱い部分を狙うことがあります。組織の内外を問わず無条件の信頼は成立しなくなっています。そうしたサプライチェーンが自社の要求するセキュリティ水準を満たしていることを確認しましょう。
  • 重要なデータやシステム、インフラはバックアップや代替を持つなどして事業継続計画を立てましょう。

 

予測4: 流出した個人情報の悪用

スマートフォンの普及やICTを活用したサービスによって生活の利便性は高まりましたが、同時に以前では考えられなかったほど頻繁に個人情報の提供を求められるようになりました。これにともない、個人情報やパスワードを含む認証情報の流出も世界中で繰り返し発生しています。一度流出した情報は決して元にもどることはなく、売買されたり無償で公開されたりするなどして、不特定多数に渡っていくことがあります。認証情報を得た攻撃者はそれを再利用してあなたになりすまし、必要なものを奪うことができます。このため、流出した認証情報はただちに変更し、二要素認証など追加の認証技術を取り入れる必要があります。

 

個人情報に含まれる名前やメールアドレス、生年月日については変更できないものも多いですし、今後も情報流出は繰り返され、より多くのデータが蓄積されていくことになると予想されます。そればかりか、近年急速に発達したデータ分析や機械学習の技術をもとに、流出した個人情報の断片を集計・分析・活用することによって、個人を特定する情報を得るだけでなく、自分ですら気づいていなかった嗜好や行動パターンを攻撃者に把握され、より効率的な詐欺や不正アクセスなどの攻撃に悪用されるかもしれません。

 

【対応策】

  • 利用者は、個人情報を求める組織の規約を理解し、提供する情報と提供先を精査する必要があります。
  • 利用者は、文字列パスワードだけでなくサービス提供組織の用意する指紋認証や多要素認証など複数の認証方式を取り入れ、流出した情報だけでは本人確認が成功しないようにしましょう。 文字列パスワード以外の認証方式が普及することにより、攻撃者にとっては認証を悪用する難易度があがり、別の攻撃手法に移らなければならないようになります。
  • 日本以上に厳格な規制と罰則を持つEU一般データ保護規則(GDPR)や中国のサイバーセキュリティ法など、今後も多くの国や地域で個人情報保護規則が施行される可能性があります。企業は、文字列パスワード以外の認証方式を追加提供し、収集する個人情報の利用方法を規約で明文化し、必要かつ最低限の情報に限定して収集を行い、こうして得た情報を厳格に管理する必要があります。そうでなければ情報流出リスクと対応コストの増大を招く場合があります。

 

予測5: クラウドにおけるインシデントの増加

総務省発行の平成30年版 情報通信白書によると、クラウドサービスを利用している企業は2017年度には半数以上にのぼっています。また、効果を実感していると答えた企業も85%以上あるため、今後もクラウドの利用率は増加すると考えられます。クラウドはこれまで主流であったオンプレミスとは様々な点で異なります。特にセキュリティとコンプライアンスに関して利用者とサービス事業者の間で責任を共有するという責任共有モデルはオンプレミスにはなく、利用者は責任をもって適切な対策をとる必要があります。

 

“2022年までにクラウドでのセキュリティインシデントの95%はユーザー起因によるもの“というガートナー社のレポートがあるように、これまでの外部からの脅威に対しての対策が中心でしたが、加えて、クラウド環境内部で発生しうる“設定ミスの危険性“等についての対応が求められます。実際、弊社によるクラウドセキュリティレポートにおいてもこれまでクラウドで発生した情報漏えいなどのインシデントの多くが、利用者による対策不足を原因としています。このため、今後新しくクラウドを利用しはじめる組織が増えるとともに、クラウド利用に必要な知識や経験のとぼしい利用者によるインシデントの増加が予想されます。さらに、そうした組織に適切な監視体制がない場合、被害が長期化する可能性もあります。これまでオペレーティングシステムやCPUといった極めて低いレイヤーの脆弱性がいくつも発見・悪用されてきたのと同様、クラウド基盤そのものも攻撃者のターゲットとなり、今後新しい攻撃手法が開発され悪用される可能性もあります。先に紹介したクラウドにおける利用者の責任範囲ではありませんが、広範囲の影響を受ける可能性があるため注意を払う必要があります。

 

【対応策】

  • クラウドとオンプレミスの相違を理解し、適切なセキュリティ対策、コンプライアンス対策を実施しましょう。
  • クラウドの技術動向とセキュリティ動向を注視しましょう。

 

パロアルトネットワークス管理者ガイド日本語版

このガイドで、パロアルトネットワークスのファイアウォールのWeb管理画面の使用方法を説明します。対象は設置、運用管理、メンテナンスを行うシステム管理者向けです。 ※このページで提供する管理者ガイドが最新版でない可能性があります。最新版に関しては、製品をご購入された販売代理店にご相談ください。  
  • 5
  • 18197

PA-3200 Series スペックシート

パロアルトネットワークス® PA-3200 Series の次世代ファイアウォールは、PA-3260、PA-3250、およびPA-3220 で構成されています。これらのモデルはすべて高速の インターネット ゲートウェイでの導入を目的としたものです。PA-3200 Seriesはネットワーキング、セキュリティ、脅威防御および管理のための専用処理およびメモリ を使用して、暗号化トラフィックを含むすべてのトラフィックを保護します。
  • 0
  • 4343

PA-800 Series

主なセキュリティ機能: すべてのアプリケーションをすべてのポートで常時識別 • 使用されているポートや暗号化(SSLまたはSSH)、セキュリティの回避技術に関わらず、アプリケーションを識別します。 • 許可、拒否、スケジュール、スキャン、帯域制御の適用などのセキュリティ ポリシー決定の要素として、ポートではなくアプリケーションを使用します。 • 不明なアプリケーションを、ポリシー制御、脅威のフォレンジック、またはApp-ID™アプリケーション識別テクノロジの開発が行えるよう分類します。
  • 1
  • 11873

PA-3000 Series スペックシート

PA-3000シリーズの主な機能、パフォーマンスと容量、および仕様。
  • 1
  • 9544

PA-5200 Series

パロアルトネットワークス® PA-5200 Seriesの次世代ファイアウォール アプライアンスは、PA-5260、PA-5250、PA-5220から構成されており、高速データセンター、インターネット ゲートウェイ、およびサービス プロバイダでの導入に適しています。PA-5200シリーズは、ネットワーキング、セキュリティ、脅威からの防御と管理の重要な機能領域専用の処理機能とメモリを使用して、最大80Gbpsのスループットを提供します。
  • 0
  • 6157