法人システムを狙う「脅迫」と「盗用」、2019年上半期の脅威動向を分析
トレンドマイクロでは2019年上半期(1~6月)における国内外での脅威動向について分析を行いました。2019年に入り、法人組織を脅迫するランサムウェア被害が継続的に発生し、更なる深刻化の傾向すら見せています。またそれらの被害の原因として、標的型攻撃の手法を使用した攻撃の存在が明らかになってきました。
トレンドマイクロでは2019年上半期(1~6月)における国内外での脅威動向について分析を行いました。2019年に入り、法人組織を脅迫するランサムウェア被害が継続的に発生し、更なる深刻化の傾向すら見せています。またそれらの被害の原因として、標的型攻撃の手法を使用した攻撃の存在が明らかになってきました。
図1:国内法人からのランサムウェア関連問い合わせ件数推移
海外では、この上半期の6か月間に法人組織における深刻なランサムウェア被害の発生が顕著化しました。特に被害規模の大きなものとして、3月に発生したノルウェーの大手製造業での事例では複数の工場が操業停止に追い込まれるなどの被害により、最終的な損失金額は日本円に換算して58億円を超えたと報じられています。また4月以降にはアメリカの複数の地方自治体が立て続けにランサムウェア被害に遭い、住民へのサービスが提供できなくなる、実際に身代金を払ってしまうなどの被害が発生したことが報じられています。 また国内では、法人組織からのランサムウェア被害報告の件数が増加を示しています。注目すべきは、全体的なランサムウェア関連の問い合わせ数は横ばい状態にも関わらず、被害報告件数が増加していることです。これは、広い範囲への攻撃拡散が無い中で、実被害を受けた法人のみが増加しているという状況を示していると言えます。とりわけ実際に調査を行った複数の事例においては、標的型メール、リモートデスクトップ機能(RDP)の侵害、アプリケーションサーバの脆弱性利用などの方法でネットワークへの侵入や侵入後の内部活動が行われた痕跡を確認しており、ランサムウェアを感染させる攻撃の中で標的型攻撃の手法が使用されているものと言えます。 このように、トレンドマイクロの調査ではランサムウェアや不正マイニング被害に繋がる攻撃において、標的型攻撃の手法が使用されていることがわかっています。昨今の標的型攻撃では、なるべく自前のマルウェアは使わず既成のソフトウェアや機能を使用して不正活動を行う、ファイルレスなど検出の回避や痕跡を残さない手法を多用するなどの特徴が見られています。これらの特徴を最近では「Living Off The Land(環境寄生)」などと呼んでいますが、ランサムウェア感染や不正マイニングに繋がる攻撃でもこのような環境寄生型の攻撃手法が使用されていることになります。特に代表的手法であるファイルレス活動を示唆する挙動の検出数は昨年同期比約3.6倍になるなど、顕著化が見られています。特に法人組織においてはこのような巧妙な活動が広く使用されてきていることを認識したうえで対策を考えていく必要があります。
図2:環境寄生型攻撃の代表的手法である「ファイルレス活動」を示唆する挙動の検出数推移(全世界)
その他の脅威としては、継続するフィッシング詐欺の攻撃の中でクラウドメールの認証情報を狙う攻撃が顕著化しています。法人で使用するクラウドメールの認証情報が詐取されると、攻撃者による不正アクセスにより情報の流出や更なる攻撃の踏み台化などの被害が発生する可能性があるため、厳重な注意が必要です。また、国内ではスマートフォン利用者を狙うスミッシング攻撃が拡大していることは既にお伝えした通りです。 その他、2019年1~6月に確認された様々な脅威動向についてより深く知るためには、以下のレポートをご一読ください。
