情報セキュリティの選りすぐりの技術と信頼を届けます
SIPSセキュリティレポート 2022年9月22日号
***************************************************************
今年初頭に流行したEmotetの影響が世界中で拡大
***************************************************************
今月に入り、ロシアのハッキンググループから日本政府機関へのDDoS攻撃が発生しているが、日本に
対するサイバー攻撃はそれだけではない。
9月は既に公開されているだけでも30件以上の攻撃被害が報告されていて、その中にはWebの改ざん
や情報流出、ランサムウェア攻撃も含まれる。
ランサムウェアは相変わらず多く確認されていて、攻撃を受けたことを公開している会社は今年に入り
60社を超えているが、SIPSで確認されている非公開にしている会社も含めると100社を超えるだろう。
不安に思う企業からランサムウェア対策を相談され、現状の攻撃手法の説明と攻撃に対する注意点を
何点かアドバイスしているが、本当に対策をしなければ、いつ攻撃されてもおかしくない状況になっている。
幸い、アドバイスした会社からは、ランサムウェア攻撃の検出報告はあるものの、まだ被害報告は上がって
来ていないので安心している。
現在のランサムウェアの手法はBotネットを利用して他のペイロードをダウンロードできるマルウェアを送り込
み、攻撃者はそれを遠隔操作で制御してランサムウェア攻撃をする形態が多く確認されている。
そのマルウェアの筆頭がEmotetである。
Emotet マルウェアは、Conti
ランサムウェアグループが利用していたが、今年同グループは脅威の世界
から公式に引退したとされていて、その後、Quantum や BlackCat
などのサービスとしてのランサムウェア
(RaaS) グループによって活用されているとされている。
Emotetは2014年にバンキング型トロイの木馬として始まり、時間の経過とともに追加された機能により、
このマルウェアは非常に強力な脅威に変化し、被害者のマシンに他のペイロードをダウンロードできるように
なり、攻撃者はそれをリモートで制御できるようにして、そこでランサムウェアを利用することができる。
Emotet は Conti だけのランサムウェアツールだったが、現在のEmotet の感染チェーンは
Quantum
と BlackCat
に起因している。
これはContiランサムウェアグループの何人かが、別のグループのメンバーとして相変わらず活動を続けて
いると考えられている。
2022年第一四半期に日本でも猛威をふるったEmotetだが、最近は感染報告も少なくなってきている。
これは、新型コロナウイルスのように抗体ができて感染しないのではなく、攻撃者が意図的に減らしている
可能性もある。
Emotetの感染目的が、元々PCのBot化であるとすれば、1~3月に猛威を振るって感染し、Bot化した
PCは順番に遠隔操作され、ランサムウェアの順番待ちの状態になっている可能性もある。
恐らく、情報収集から攻撃のフェーズに移ってきているのではないだろうか?
Emotetは感染するとPC内部に分身をコピーして、オリジナルが検出ソフトで確認され削除されても再度
活動できるように潜伏するという報告もあり、十分に気を付けなければ結果としてBot化されている可能性
がある。まして拡散されて社内やグループ会社に蔓延すれば、感染したPC経由で内部に侵入されることも
あり、関連会社が次々に被害に遭うことも考えられる。
同じ会社が、再び攻撃を受けるのも同じ理論だ。
最近サイバー攻撃の主流になっている高機能マルウェアを利用した攻撃だが、このマルウェアが進化を続け
昨今ではファイルレスのマルウェア、つまり悪性コードのみをメモリー上に潜伏させるタイプが確認されている。
ファイルではなく、有益無害の単純なコードでメモリー内に侵入し、PC上にインストールされている標準の
アプリケーションが起動する際に、そのプログラムの起動に反応してそのコードが悪性プログラムとなって実行
され、自動実行機能をレジストリに保存する。
これにより、セキュリティ検知や再起動による削除を回避し、隠密裏に動き出すので恒久的に活動する。
目的は攻撃者によって様々ではあるが、一度侵入されると検出が難しく、Bot化されればランサムウェア
だけではなく、内部情報の窃取により情報は延々と流出することにもなる。
9月15日に家具製造販売大手のニトリホールディングスがサイバー攻撃を受け、オンライン通販サイトや
アプリなどで会員登録した利用者の情報13万2000件が流出した。
これは、同社以外のサービスから流出したユーザーIDおよびパスワードを利用した「リスト型攻撃」の手法
で行われていると推測しているようだが、実際はマルウェアによる流出の可能性も十分にある。
例えば上位権限者のPCに高性能なマルウェアが侵入してPC内の情報を窃取し、その中に顧客DBの
ログイン権限が含まれていれば、流出したログイン情報を使い、そのPCの持ち主本人になりすましログイン
ができてしまう。
本人のログイン情報でアクセスするのだから、もちろんセキュリティ検知されることもなく、権限内で可能な
情報は全てアクセスできることになる。
もし、これがシステム管理者のPCなら全ての情報にアクセスできることになり、機密情報も抜き放題となる。
実際にブラックマーケットでは、毎日大量の各種アカウント情報や権限情報が売買されている。
もちろんフィッシングによる情報流出もあるが、マルウェアによる情報流出は想像以上の量が存在している
と分析している。
米国宅配大手のウーバーテクノロジーズが今月15日にサイバー攻撃を受け情報が流出したことを発表
しているが、中国ブラックマーケットでは今年2月に「日本のuber情報の大量販売」という書き込みを
SIPSで確認している。
多分各国で同様に情報が抜き取られていたのだが、発見が6か月以上後になっているということだろう。
正に情報窃取マルウェアの思惑通り、大量に情報を窃取し発見を遅らせることができたのである。
世界情勢が不安定な中で、今月初旬に発生したロシアからのサイバー攻撃は偶然ではない。
ロシアだけでなく中国や北朝鮮も淡々と日本を狙っている。
中国ブラックマーケットでは、最近の書き込みが過激になっていて、Apple、docomo、au、Softbank
LINE、Fecebook、Twitter、Instagram、Amazon、楽天、Yahoo、google、メルカリ、ラクマ、
ほとんど全てのマッチングアプリやキャッシュレスペイが名指しで活性化したアカウントとして販売されている。
銀行口座や証券口座、暗号資産口座情報売買も多く、マネーロンダリング情報は増加の一途である。
中には「日本の女性のデータ大量販売」とあり、「作業室を予約可能」とまで書いてある。
これは、当該情報を利用して、どのようなサイバー闇ビジネス、つまりサイバー犯罪を行うか指導までする
という内容である。
このように次のサイバー犯罪に繋がる情報が日々数千万件以上売買されていて、「ハッキングを請け負
います」という書き込みまで存在している。
反日感情を持つ人間はロシアだけではなく、中国、北朝鮮、その他の国にも存在する。
まもなく安倍元首相の国葬が行われるが、何か起きないことを祈るばかりである。
そんな中、政府が「アクティブ・サイバー・ディフェンス」、いわゆる積極的サイバー防御の導入検討に入る
という発表があったが、早急、且つ慎重に実行に移してほしい。
サイバー攻撃によって1日で、何億、何十億円もの日本経済の損失が発生しているのが現状である。
サイバーセキュリティへの出資は確実に日本経済に大きなプラスになることは間違いない。
企業も同じで、国が対応しても企業が対応しなければ結果は変わらない。
官民一丸となってサイバーセキュリティを充実させることが急務である。
***************************************************************
<参考URL>
読売新聞:2022/9/13
「積極的サイバー防御」重要インフラ対象に導入へ…政府、攻撃元に侵入や無力化検討
https://www.yomiuri.co.jp/politics/20220912-OYT1T50308/
日本経済新聞:2022/9/20
Uberへのサイバー攻撃、ハッカー集団「ラプサス」関与か
https://www.nikkei.com/article/DGXZQOGN201D60Q2A920C2000000/
読売新聞:2022/9/19
サイバー攻撃 弱点克服へ対策に本腰入れよ
https://www.yomiuri.co.jp/editorial/20220918-OYT1T50205/
THE HACKER NEWS:2022/9/19(英文)
Emotet Botnet Started
Distributing Quantum and BlackCat Ransomware
https://thehackernews.com/2022/09/emotet-botnet-started-distributing.html
Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved