*本記事はNTT Ltd. 社のGTICチームが発行した2021 Global Threat Intelligence Monthly Threat Reportの抄訳です。
NTT GTICの紹介
NTTグローバル・スレット・インテリジェンス・センター(GTIC)は、従来の純粋な研究機関の枠を超えて、脅威や脆弱性の研究を行い、それを検知技術の開発と組み合わせることで、応用的な脅威に関するインサイトを生み出しています。GTICの使命は、高度な脅威研究とセキュリティ・インテリジェンスを提供することで、NTTがサイバー脅威を予防、検知、対応できるようにし、お客様を守ることです。
NTTの脅威研究は、世界中のインテリジェンス能力とリソースを活用し、様々な脅威の主体、悪用ツール、マルウェア、そして攻撃者が使用する技術、戦術、手順(TTP)についての理解と洞察を得ることに重点を置いています。
マルウェアを使わなくてもメールボックスへ侵害できます
Microsoft 365メールボックスへの攻撃:なぜ、どのように?企業がオンラインのExchangeメールボックスなどのクラウドベースのサービスを導入すると同時に、攻撃者はその攻撃の機会をいち早くとらえてきました。
「攻撃」と聞いて真っ先に思い浮かぶのは、多くの場合、マルウェアですが、マルウェアは攻撃者が活動を促進するために使用するツールの一つに過ぎません。盗んだ認証情報を使って組織のメールシステムに侵入することに成功すれば、攻撃者はマルウェアを使わなくても、メールアカウントを乗っ取り、データを盗み、従業員になりすまして金融詐欺などの悪質な活動を行うことができます。さらに、攻撃者が有効なパスワードを使うことができれば、従業員として行動しているように見えるため、組織は攻撃者の行動を信用する可能性が高くなります。
初期のメールボックスの侵害
メールボックスを侵害する際の最初のステップは、有効なメールボックスの認証情報(ユーザー名やパスワードなど)を取得することです。攻撃者は、成功実績のあるソーシャルエンジニアリング技術を使用してユーザー資格情報を取得する傾向があります。
攻撃者は収集できる認証情報が多ければ多いほど良いのですが、攻撃者は目的を達成するために多くの認証情報を収集する必要はありません。1セットの有効な認証情報であっても、それが適切なターゲットに関連するものであれば、非常に貴重なものとなります。
クレデンシャルの使用
ほとんどのケースで最も一般的な動機は金銭的なもので、攻撃者は従業員やパートナーを装って、受信者に請求書の送金先を別の口座に変更するよう積極的に説得しようとします。
図2は、被害者企業のパートナーから送られてきたメールのヘッダーです。侵害されたメールボックスから送信されたものです。Reply-Toの宛先は、元の送信者のドメインではありません。攻撃者は、配信されたメールのコピーを、Reply-Toに表示されている自分の@dr.comアドレスで受信します。その目的は、疑惑の「過払い金」の補償として、とある口座に資金を送金させることでした。
ほとんどの場合、メールには不正アクセスを示すようなあからさまな行動は含まれていません。攻撃者の目的は、従業員やパートナーに不正な行為を強要しながら隠れていることです。
ツールだけでは不十分ー進化を続けるサイバー脅威とセキュリティ対策
#スポットライト1 – APT29が運用するレイヤードインフラストラクチャ
APT29の活動が公表された後、NTTのアナリストはこれまで知られていなかったAPT29インフラストラクチャをマッピングしました。APT29は、一般的に国家情報機関に関連する脅威アクターであり、スパイ活動を行っていることが広く報告されています。
NTTは、RiskIQがAPT29が運用するマルウェア「WellMess」のコマンド&コントロール・サーバーに関する独自の調査結果を報告したことを受けて、この調査を開始しました。
インフラストラクチャにおける通信は周期的に行われています。これは、被害者のメールサーバーと定期的に通信し、そこからデータを流出させる可能性のある自動化されたフレームワークを示しています。観察されたインフラストラクチャの設定は、APT29が長期的に自動化されたオペレーションを行う能力を持っていることを裏付けています。このようなインフラストラクチャは、対象となる環境から機密データを継続的に取得する能力を有しており、グループのスパイ活動への注力を強調しています。
この分析は、APT29のインフラストラクチャを完全に調査することを意図したものではありませんが、NTTが現在行っている分析の代表的なものです。このレポートで行われた分析は、RiskIQによって報告されたAPT29関連IPのサブセットのみを含んでおり、読者は必ずしもこれらの結論がインフラストラクチャ全体に当てはまると考えるべきではありません。
NTT GTICの可視性と行動がお客様にどのように役立つのか
NTT GTICのスレット・インテリジェンス・リサーチャーは、NTTのグローバルIPネットワーク・サービスのTier-1 IPv4/IPv6バックボーン・ネットワークを通過する疑わしいトラフィックのテレメトリを監視し、脅威の指標を探します。このような調査結果を、NTT GTICのグローバル脅威検出(TD)およびマネージドディテクション&レスポンス(MDR)サービスの洞察と関連付けることで、進化するサイバーセキュリティの脅威の状況を独自の視点で把握することができます。
#スポットライト2 – 変化するランサムウェアの性質
サイバー脅威の現状はどうなっているのでしょうか?
サイバー脅威は進化し続けています。防御側が攻撃者の戦術や悪用を検知して阻止する能力を高める一方で、攻撃者は標的となる環境にアクセスするための新たな手法を開発しています。ウイルス対策のような単純なセキュリティ管理で組織を守ることができる時代はとうに終わったのです。
サイバー脅威の現状で最も重要なことは、攻撃もセキュリティ対策も進化し続けていることを理解することです。
ランサムウェアはどのように進化してきたのでしょうか?
明らかに進化しているサイバー脅威の一つは、ランサムウェアです。当初、ランサムウェアは個人を対象とし、単一のユーザーデバイスを暗号化するものでした。しかしこの手法は、利益を得るためには規模を必要としていました。
個人からよりも組織からの方がより多くの金額を搾取できることに気づいた攻撃者は、組織を標的とするようになりました。防御側は、感染の初期段階でランサムウェアの実行を阻止するためのシグネチャを作成して対応しましたが、攻撃者は再び戦術を変え、知的財産の流出を戦術に加え始めました。ランサムウェアの攻撃を受けた企業は、システムが暗号化されるだけでなく、データ侵害に直面する可能性もあります。
「予測不能に進化し続けるネットワークの脅威ー最近のランサムウェアとマルウェアはどんなもの?」でも述べたように、ランサムウェアはここ2、3年で爆発的に増加しています。過去2年間でランサムウェアのインシデントと平均支払額は少なくとも300%の増加に直面していると思われます。これは、数百万の検出数と、ランサムウェアの被害額が200億米ドル規模になることを意味します。
どう対策すれば良いのでしょうか?
基本に立ち返ることが重要です。
攻撃を成功させるための最初のエントリーポイントは、通常、ユーザーのエンドポイントシステムです。この最初の侵入の脅威を減らすには、エンドポイント上のすべてのソフトウェアへのパッチ適用、ユーザー権限の制限、ネットワークセグメンテーション、ペネトレーションテスト、EDR(エンドポント・ディテクション・アンド・レスポンス)ツールによるエンドポイントの監視など、いくつかの方法があります。
システムへのパッチ適用は、お客様の環境への最新の脅威を防御するために非常に重要です。多くの場合、ベンダーがソフトウェアのパッチをリリースすると、攻撃者はそのパッチをリバースエンジニアリングして、ソフトウェアの脆弱性を特定することができます。このプロセスは、数週間から数日かかる場合もあれば、数時間で終わる場合もあります。
現代のサイバー脅威から身を守るためのもう一つの方法は、エンドポイント上のユーザー権限を制限することです。ユーザーが管理者権限を持たず、ソフトウェアをインストールできなければ、攻撃者がユーザーを騙して悪意のあるプログラムをインストールさせることははるかに難しくなります。
ネットワークのセグメンテーションは、環境を保護するための徹底した防御アプローチの一つです。このセグメンテーションは、攻撃者が環境を侵害するために使用する横方向の動きを検出するための追加のバリアとなります。
侵入テストは、環境を侵害するために攻撃者が何をするかを理解するのに役立ちます。脅威アクターが環境を攻撃するために使用する可能性のある脆弱性を分離して特定することができれば、そのような脆弱性を環境から排除し、攻撃者への対策を講じることができます。
最後に、人間のアナリスト(脅威ハンター)が、何が起こっているのかを確認できるように、環境全体を可視化する必要があります。どのような方法をとったとしても、人間の脅威ハンターがデータを見る必要があります。洗練された攻撃者を検知するには、ツールによる自動アラート機能だけでは不十分なのです。
最後に
すべての脅威を排除するためのソリューションは存在しません。しかし、ここで紹介したテクニックと管理方法を活用することができれば、環境全体の脆弱性を減らす機会が得られるかもしれません。この機会にセキュリティ対策を考え直してみませんか?
NTT Com DDが提供するセキュリティソリューション
GTIC Monthly Threat Report October 2021全文は下記のバナーをクリックするとお読みいただけます。