Posted: 4 Min ReadJapanese
Original Post: English

シマンテックセキュリティ概観 – 2021年12月

世界的に増加するサイバー攻撃

すでに課題を抱えた世界の状況が、国家の支援を受けたサイバー攻撃の急増でさらに複雑になっています。SolarWindsサプライチェーン攻撃の発覚から1年がたちましたが、Mandiantのレポートでは、ロシアに関係のある攻撃グループが今もなお、テクノロジー分野の複数の企業をエクスプロイトの標的にしていることが示されました。Microsoftにより「Nobelium」と名づけられたグループは、現在CeeloaderというBespokeのダウンロードツールを使用しています。このツールはシェルコードペイロードを復号化し、感染したデバイスのメモリで実行します。「攻撃者はターゲットの環境にしつこくアクセスを続け、検出を妨害し、原因特定機能を混乱させるために、新しい手法やスパイ技術の開発と発見を継続しています」とMandiantレポートは分析しています。

その例をご紹介しましょう。フランスのFrench National Cyber Security Agency(ANSSI)は、同じ攻撃グループが2021年2月以降、フランスの企業に対して多数のフィッシング攻撃キャンペーンを仕掛けていたと警告しました。この攻撃グループはフランス企業に属するメールアカウントに侵入した後、このメールアカウントを頻繁に利用して「武器化した」メールを海外の機関に送信していました。

ロシアの他にも現在、イランに関係のあるハッキング行為が増加しています。Microsoft Threat Intelligence Center(MSTIC)は、イランの6組の攻撃グループの進化を年代順に記録した詳細なレポートを発表し、これらのグループが攻撃を非常に高度化させていることを強調しました。Microsoftは以下の3つの注目すべきトレンドについて指摘しています。これらのグループは金銭を強奪したりターゲットを混乱させたりするために、ランサムウェアを使用することが以前より増えています。また、ターゲットに対して悪質で強引な攻撃方法を使用しています。Microsoftはレポートで、イランのグループはランサムウェアやディスクワイパー、モバイルマルウェア、フィッシング攻撃、パスワードスプレー攻撃、そしてサプライチェーン攻撃など、全面的なオペレーションを実行できる能力の高い攻撃者へと進化していると結論づけています。

MicrosoftはIT企業40社に対して1,600件を超える通知を送付し、イランのAPTグループが調整したハッキングの試みについて警告しました。Microsoftによると、2020年にはこのような通知は48件しか行わなかったということです。

MSTICとMicrosoftのDigital Security Unit(DSU)は追跡調査で、イランの攻撃グループがITサービス企業に対する攻撃を強化して、その顧客のネットワークへのアクセス手段として利用しようとしていることを報告しました。これはSolarWindsを彷彿させる手口です。 レポートでは、この一連の活動が、イラン政府が利害関係を持つ組織を侵害することを目的とした、より広範なスパイ活動の一環であると評価しています。「サードパーティを標的とした攻撃が、サプライチェーン内の信頼とアクセス権を悪用することで、もっと機密レベルの高い組織へのエクスプロイトにつながる可能性があるという点で、この活動は注目に値します」とMicrosoftは述べています。Microsoftは2021年にIT企業40社に対して1,600件を超える通知を送付し、イランのAPTグループが調整したハッキングの試みについて警告しました。Microsoftによると、2020年にはこのような通知は48件しか行わなかったということです。

イラン政府が支援する活動の増加を受けて、米国、英国、オーストラリアのサイバーセキュリティ機関は共同のセキュリティ警告を発表しました。この警告は米国のCISA(Cyber Security and Infrastructure Security Agency; サイバーセキュリティインフラストラクチャセキュリティ庁)、FBI(米国連邦捜査局)、英国のNCSC(National Cyber Security Centre; 国家サイバーセキュリティ・センター)によって作成されたものです。イラン政府の支援を受けた攻撃グループが、データの窃取やランサムウェアといった活動を行う目的で脆弱なシステムに初期アクセスするための手口として、Fortinetの脆弱性とMicrosoft Exchangeの脆弱性ProxyShellを頻繁に悪用していることについて警告しています。

イランはまた、米国の選挙結果の改ざんに関与したもう1つの国でもあります。米国司法省によってイラン国籍の2人の人物が最近起訴されました。2020年の米国大統領選挙のキャンペーン期間中に、アメリカ人有権者に「近づき影響を与える」目的でサイバー活動を行っていたというのがその理由でした。この2人に対する容疑は、米国の11の州での有権者のWebサイトのハッキング、米国のメディア企業のハッキング、そして共和党員にコンタクトをとり民主党の選挙不正についてのフェイク動画を見せたことでした。

一方、ロイターによると、米国国務省の職員9人以上のiPhoneで、イスラエルのNSOグループが開発したスパイウェアPegasusが見つかりました。この事件の背景はまだ不明ですが、ハッキングは過去数か月間に発生していて、ウガンダを拠点に勤務する職員か、ウガンダに関連ある問題の対応に当たっている職員が標的となりました。NSOグループは、自分たちのツールが使用されたとは考えていないが、いずれにしても調査を行なう予定だと述べています。

国際的なサイバー犯罪と国家が支援するサイバー犯罪の増加とは別に、保険の分野でもよくないニュースがあります。Lloyd’s of Londonは、国家に関連するサイバー攻撃に関わる費用は、今後は保険契約の対象にならないと発表しました。同社の新たな「Cyber War and Cyber Operation Exclusion Clauses(サイバー戦争およびサイバーオペレーション除外条項)」では、戦争の一環として行われたサイバーオペレーションや、特定の国の間での報復攻撃、または「国家の機能に重大な悪影響をもたらす」サイバーオペレーションに関連する損失は補償対象から除外されることになります。この新条項のもと同社は、国家が支援する攻撃によって金融機関や金融市場インフラ、医療サービス、その他の公益事業など必要不可欠なサービスが被害を受けた場合は、保険金の支払いを拒否することが可能です。

ランサムウェアと考えられるサイバー攻撃により、北イングランドの300軒以上のスーパーマーケットが臨時休業を余儀なくされ、現金のみの支払いに切り替えなければならなくなりました。

ランサムウェアは今年も引き続きサイバーセキュリティ上の最大の懸念となっています。脅威インテリジェンスサービス企業ProDaftのレポートによると、Contiランサムウェアを使用した攻撃は2021年7月以降、2550万ドル以上を身代金として獲得したということです。被害者にはホテルチェーンも含まれます。このホテルチェーンは、宿泊客の予約システムとルームキーのカードシステムに被害を及ぼしたContiランサムウェア攻撃について公表しました。ホテルチェーンによると、宿泊客のデータが流出したようには見えず、身代金の要求はまだ行われていないということです。ランサムウェアと考えられるサイバー攻撃により、北イングランドの300軒以上のスーパーマーケットが臨時休業を余儀なくされ、現金のみの支払いに切り替えなければならなくなりました。

新たに、ランサムウェア攻撃で二重恐喝の手口が増加しているという報告があります。グループIBは「Hi-Tech Crime Trends Report 2021/2022(ハイテク犯罪トレンドレポート2021/2022)」で、二重恐喝ランサムウェア攻撃を受けた組織の数が935%増加したことを明らかにしました。攻撃者は窃取したデータをデータ漏洩サイトに流出させていました。被害からの回復に関しては、最新のSophosのレポートで、教育分野でランサムウェア攻撃の標的となった組織は他の業種に比べ、回復により多くのコストがかかっていることが分かりました。教育組織は身代金の支払いに加え、中断時間、データの回復、デバイスとネットワークの修復、セキュリティのアップデートへの対応として、約273万ドルの損害を被っています。これは世界中のあらゆる分野の平均よりも48%高い額です。

こうした状況にもかかわらず、最新のTrend Microの調査によると、90%のIT意思決定者が、他のデジタルトランスフォーメーションの目標を優先するために、サイバーセキュリティの取り組みに関しては妥協したいと考えていることを認めています。また、経営幹部がサイバーリスクを十分に理解していると確信していると答えたのは、回答者の半数のみでした。

覚悟して備えましょう。険しい道が続いています。

Broadcom Software Blogs
You might also enjoy
Japanese2 Min Read

シマンテックセキュリティ概観- 2021年10月

BlackMatter、Conti、Harvester

Broadcom Software Blogs
You might also enjoy
Japanese1 Min Read

Pegasusスパイウェアが再び登場

シマンテックのソリューションで脅威を検知、フィルタリング、そしてブロック

About the Author

Beth Stackpole

Journalist

Beth is a veteran journalist covering the intersection of business & technology for more than 20 years. She's written for most of the leading IT industry publications and web sites as well as produced custom content for a range of leading technology providers.

Want to comment on this post?

We encourage you to share your thoughts on your favorite social platform.