情報セキュリティの選りすぐりの技術と信頼を届けます
SIPSセキュリティレポート 2022年3月22日号
***************************************************************
日本に襲いかかる様々なマルウェアとサイバー攻撃!
***************************************************************
帝国データバンクの調査では、今年2月中旬から3月中旬の1ヶ月にサイバー攻撃を受けたという
企業が調査対象全体の約3割あり、昨年1年間の7倍以上あったという。
日本企業のサイバー攻撃による被害報告も2月から大幅に増加していて、最近ではブリジストンや
森永製菓など有名な大手企業が次々と被害に遭っている。
不正アクセスによるシステム停止は、企業にとって大きな影響を与えることになり、製造業では特に
生産工場の稼働が止まるなど影響は計り知れないが、大きな影響が出ていなくともサイバー攻撃
被害に遭っている会社は多く、そのほとんどはマルウェアによる攻撃と言えよう。
2月から大幅に発生しているマルウェアの一つが「Emotet」である。
先週の当レポートにも紹介したが、Emotetはメールの添付ファイルを実行すると感染し、感染後に
情報窃取、バックドア設置、ボット化、メール送信等のアクションを起こし、感染を広げていく。
しかもボット化されたマシンはボットネットに組込まれ、このボットネットが別のサイバー攻撃に利用され
るという事が分かっている。
Emotetに感染し、安易にセキュリティツールで削除したから大丈夫というものではない。
しっかりとした対応を取らなければ、次々と感染を拡大し、最終的に自らが別の大きな攻撃を受ける
結果となってしまう事もある。
しかし、マルウェアはEmotetだけではない。
Emotet同様に感染被害が多いマルウェアが"RedLine"というマルウェアである。
RedLineは情報窃取型マルウェアで、様々な形で偽装しC2サーバへの接続を確立すると、多様な
アプリケーションとサービスを使えるようにして被害者のデータを不正に持ち出してしまう。
当初は組織的なフィッシングメールにより感染させる手法やGoogle広告を使って感染させるといった
手法であったが、最近はYouTubeに流れる広告の中にPCの個人情報を盗むマルウェアとして組込
まれている事が確認されている。
それ以外にもWindows11のアップデートファイルに偽装して感染させる手法など、その手法は様々
な方法が確認されている。
RedLineはC2サーバに接続して感染させるため、偽装したURLもしくはアクセス用のボタンやアイコン
に安易にアクセスしてしまうだけで感染してしまう。
特にダウンロードボタンのようなケースは疑いもなくアクセスしてしまうため、感染が拡大することになる。
次は中国のハッキンググループが作成した“Daxin”マルウェアである。
Daxinはステルス性の高い極めて高度なバックドア型ルートキットで、侵入したシステムに管理者権限
でアクセス出来るよう作られたマルウェアである。
管理者権限でアクセスするため、システム上は正規のアクセスであり、バックドアで遠隔から操作侵入
ができてしまうから厄介である。
このハッキンググループは中国政府との関与も疑われているため、このマルウェアに感染してしまうと窃
取された情報は中国政府に流れてしまう可能性もある。
被害対象は各国の政府機関が多く、米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)も
「影響が大きい」と注意喚起している。
そして最後はランサムウェアである。ランサムウェアもマルウェアのひとつで現在では世界中が被害に遭い、
社会問題にもなっていて日本も例外ではない。
またランサムウェアのハッキンググループは100程存在していると言われていて、Lockbit2.0やConti
などが有名であるが、本日は南米のハッキンググループの“Lapsus$”について注目してみる。
Lapsus$は米国にある大手半導体メーカーのNVIDIAを攻撃したことで知られていて、企業機密の
ソースコードなどを盗み出されたとされている。この中には日本企業の重要情報も含まれていたという。
またNvidiaのコード署名された証明書も流出していて、この証明書を悪用したいくつかのマルウェアの
亜種まで確認されている。
つまり、最初に感染する時はまるで疑いもなくアクセスしてしまい、結果としてランサムウェア攻撃という
大きな事態を引き起こす事になる。
これらのマルウェアは、世界各国のハッキンググループが開発し運用しているものだが、攻撃が盛んに
なった要因としてロシア・ウクライナの情勢も関係がありそうだ。
ランサムウェアのような攻撃は、被害があからさまに露呈するので大きなニュースになるが、それ以外の
マルウェア感染でも被害が小さいという事はない。
しかも今日挙げたマルウェアは全体の中の極一部であり、他にも危険なマルウェアは多数存在する。
どうすれば、これらのマルウェア感染を防止できるか、感染の主な手段はメールの添付ファイルもしくは
URLアクセスであり、添付ファイルへのアクセスを止め、各種URLへのアクセスを止めない限り、感染は
減少しない。
しかしそれは現実的に難しく、一人一人が気を使いながらインターネットを使うしかない。
最近では添付ファイルやインターネットのアクセスを隔離空間で行うような有効な対策も登場している
が、皆が利用できるまでは少し時間がかかりそうで、一般的に利用する頃には攻撃者は次なる新たな
手法を考えてくるに違いない。
イタチごっこと言えばそれまでだが、攻撃者も必死にセキュリティ対策を掻い潜る手法を考えていて、
我々以上に勉強し努力していると言わざるを得ない。
無数のマルウェア、数々の攻撃手法、そしてそれらを有効にする各種システムの脆弱性とセキュリティ
に関心を持たない人々。
次から次へと襲いかかるサイバー空間の脅威をどう考えるのか?
ランサムウェアグループのLockbit2.0は「私たちは皆さんのように地球人で平和的な人種である。
私たちの目的は、企業ネットワークを適切に設定する方法をテーマとし、世界中のシステム管理者に
有料教育を実施することである。」と声明を出している。
正に、このLockbit2.0の言葉が今の企業のセキュリティに対するあり方を表している。
ここまで拡大している被害に少しでも目を向けて、もう少しサイバー攻撃者を見習い、セキュリティに
対して真摯に向き合うべきである。
---------------------------------------------------------------------------------
<参考URL>
朝日新聞デジタル:2022/3/18
広がるサイバー攻撃、森永製菓は一部で製造中止 工作機械会社も被害
https://www.asahi.com/articles/ASQ3L72P6Q3LULFA02H.html
VALORANT4JP:2022/3/15
YouTubeに流れるVALORANTのチート広告、個人情報を盗むマルウェアが仕組まれていたことが判明
https://www.valorant4jp.com/2022/03/youtubevalorant.html
ZDNet
Japan:2022/3/2
政府機関や重要インフラを標的にデータを盗む--マルウェア「Daxin」を研究者が警告
https://japan.zdnet.com/article/35184304/
TechCrunch:2022/3/3
NVIDIAを攻撃のハッキンググループLapsus$、
「イーサリアムのマイニング制限回避ツールを1億円以上で買い取れ」と脅迫か
https://jp.techcrunch.com/2022/03/03/hackers-demand-1million-nvidia-lhr-bypass/
Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved