シマンテックセキュリティ概観- 2021年10月

ランサムウェアが引き続き企業にとって脅威となっています。シマンテックの脅威調査（Threat Hunter）チームによる最新の調査レポートでは、ここ18か月間、標的型ランサムウェア攻撃が増加していることが明らかになりました。これは新たな攻撃者の増加と、サービスとしてのランサムウェア（RaaS）の進化が主な要因となっています。この調査によれば、さまざまな組織から報告された確認済みの攻撃件数は、2020年1月に81件だったのが2021年6月には148件と、83%も増加しました。シマンテックの調査担当者は、攻撃の実際の件数はこれよりはるかに多いと考えています。標的型攻撃の多くはペイロード導入の前に阻止されるため、実際のランサムウェアとして認識されないためです。

問題は深刻さを増しており、ホワイトハウスも注目するようになりました。バイデン大統領は、NATO同盟国やG7のパートナーを含む30か国の代表者を集めて、各国が協力してサイバー犯罪、特にランサムウェアと闘うための会議を開催すると発表しました。プレスリリースで説明されているように、この会議の目的は、パートナー各国が法執行の連携強化に共同で取り組み、暗号通貨の不正使用を阻止し、これらの問題を外交的に解決できるようにすることです。プレスリリースは次のように述べています。「我々は、信頼性の高い5G技術を主導しそれに投資してきた各国が団結し、サプライチェーンの安全を強化することを目指しています。量子コンピューティングや人工知能のような最新技術のリスクとチャンスに関するものを含め、悪質なサイバー攻撃を全力で阻止します。」

ランサムウェアへの対応の継続:  米国のCISA（サイバーセキュリティインフラセキュリティ庁）、FBI（連邦捜査局）、およびNSA（国家安全保障局）が、BlackMatterランサムウェアについて共同でサイバーセキュリティ勧告を発しました。  2021年7月以来、米国の食品・農業分野の組織を含む複数の重要インフラ組織を狙って悪質なサイバー攻撃者がBlackMatterランサムウェアによる攻撃を仕掛けています。CISAによる分析には、Broadcom Softwareが貢献しています。

他のランサムウェア関連のニュースではContiマルウェアが中心になっていました。この種のランサムウェアを使用する攻撃者は新たな戦術を駆使し、被害者のネットワーク内にあるバックアップを削除するために、Veeam社のバックアップソリューションのユーザーを狙い撃ちします。Advanced Intel社の調査で、これらの攻撃者がVeeamの特権ユーザーから資格情報を盗んでそのユーザーになりすまし、被害者のネットワークからバックアップを削除する前にrcloneを使ってバックアップを盗み出していることが明らかになりました。Veeamは公式な声明を出して、メインのドメインが侵害された場合は別のドメインを確保してそこでバックアップソフトウェアを実行するようユーザーに助言しています。

Contiランサムウェアのオペレーター（MinerまたはWizard Spiderとも呼ばれます）は、身代金交渉の写しやスクリーンショットが公表された場合、被害者のデータを流出させると脅すことでも知られています。その理由は、身代金交渉の詳細を記したメディアの報告が増えると、攻撃を成功させることが少し難しくなるからです。

暗号通貨もサイバーセキュリティ上の打撃を受けました。CoinbaseのSMSベースの2要素認証システムに含まれていたバグが攻撃者に悪用されて、暗号通貨取引所の6,000人以上の顧客から資金が盗まれました。2021年3月から5月の間に発生したこれらの侵害では、攻撃者は顧客のアカウントに関連付けられたメールアドレス、パスワード、電話番号にアクセスし、2要素認証の欠陥をついて侵入を果たしていました。Coinbaseは、この取引で資金を失ったユーザーに補償を行い、SMSアカウント復旧プロトコルを更新して今後のインシデントを防止すると述べました。

その一方で、米司法省が暗号通貨をめぐるセキュリティの強化に踏み出しました。司法省のリサ・モナコ（Lisa Monaco）副長官は米国暗号通貨執行チーム（National Cryptocurrency Enforcement Team）の立ち上げを発表しました。このチームにはマネーロンダリング対策とサイバーセキュリティの専門家が加わり、金融市場でのサイバー犯罪まん延を阻止するための司法省の能力強化に努めます。この取り組みには、主として暗号通貨での支払いを要求するランサムウェアの増加を抑える目的もあります。

モナコ副長官はアスペンサイバーサミット（Aspen Cyber Summit）でのバーチャル講演で次のように述べています。「暗号通貨取引所は未来の銀行になることをめざしています。そのためには消費者がそのシステムを安心して利用できるようにする必要があり、不正使用を根絶するための態勢を整える必要があります。」 

Harvesterはランサムウェアの舞台に新たに登場したグループです。以前は見られなかった、おそらく国家が背後で支援している攻撃者が、南アジア（特にアフガニスタン）の組織を標的にして新しいツールセットを使った攻撃キャンペーンを実施しており、その目的は情報を窃取することだと考えられます。

Broadcom Softwareの脅威インテリジェンスチームによれば、このHarvesterグループは独自のマルウェアと公開されたツールの両方を攻撃に使用しています。その活動は2021年6月から始まり、最新の活動は2021年10月に観測されました。標的にされた分野には、電気通信、政府、情報技術（IT）などが含まれます。ツールの機能、独自開発を行える能力、狙われる標的のすべてが、Harvesterが国家の支援を受けた攻撃者であることを示唆しています。