ESETサイバーセキュリティ脅威レポート
2021年第1三半期版を公開

ランサムウェア27%減は喜ぶべきか?
データで見る最新グローバル脅威状況

欧州スロバキアにグローバルヘッドクオーターを構える「ESET」。
ESETの研究者が世界中のサイバー犯罪の状況を分析し、「ESET Threat Report(ESETサイバーセキュリティ脅威レポート)」として、定期的に発表しています。
2021年6月22日、イーセットジャパン株式会社は、2021年度第1三半期におけるグローバルの脅威状況をまとめた「ESET Threat Report T1 2021」に日本国内の脅威状況の分析を加え、日本国内向けに公開します。
ESETの日本拠点「イーセットジャパン」が、「ESET Threat Report T1 2021」を読み取り、日本国内で特に話題となったトピックを抽出。解説を交えながら最新国内脅威状況を紹介します。

役割を変えながら暗躍し続けるランサムウェア

感染すると、PCやデバイス内に保存しているデータが勝手に暗号化されてアクセスできなくなったり、PCやデバイスが操作不能に陥ったりするマルウェア「ランサムウェア(Ransomware)」。
暗号化を解除するために、身代金を要求することから、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせて、ランサムウェアと命名されました。 身代金という直接的な金銭被害を伴うだけでなく、データもロックされてしまうため、影響度が大きく、ランサムウェアの被害についてはニュースでも頻繁に取り上げられてきました。

新種のランサムウェアの台頭

一方、ランサムウェアは新しいマルウェアではありません。かつてのランサムウェアは、攻撃者が不特定多数に対し攻撃を仕掛け、ユーザのPCをロック。データの復旧と引き換えに身代金を要求するという手口でした。
昨今では、二重脅迫型や人手による標的型といった、新種のランサムウェアが急増しています。

二重脅迫型ランサムウェア

ランサムウェアが暗号化したデータの復旧と引き換えに身代金を要求するだけでなく、暗号化する前に攻撃者がデータを取得しておき、身代金を支払わなければデータを公開するなどと二重に脅迫するのが、二重脅迫型ランサムウェアの手口です。

人手による標的型ランサムウェア

攻撃者が不特定多数に対し攻撃を仕掛けるのではなく、標的型サイバー攻撃の手法と同じように、まず、検知されないように企業・組織のネットワークにひそかに侵入します。次に、組織内ネットワークの中で、機密情報などが保存されているサーバを探索して、狙いを定めた上で、ランサムウェアに感染させます。

2020年11月4日、大手ゲームメーカーがランサムウェアの被害を受け、1万6000人分以上の個人情報が流出したと発表。
このときに利用されたのも、二重脅迫型・人手による標的型のランサムウェアでした。

ランサムウェア検出数27.0%減が意味すること

図1. 2020年9~12月から2021年1~4月のランサムウェア検出傾向、7日間の移動平均線

ランサムウェアの被害が立て続けに発生する中、本脅威レポートによる調査では、2021年T1期(1月から4月まで)のランサムウェアの検出数が、2020年T3期(2020年9月~12月)と比較して、27.0%減少しています。

事件の件数と逆行して、ランサムウェアの検出数は減少という事実は、どう見るべきでしょうか。
“悪しきマルウェア「ランサムウェア」の脅威が縮小しつつある”と結論付けるのは時期尚早です。

本調査では、ランサムウェアの検出数が減少した理由は、メールなどを利用して直接、標的に侵入する手口に代わり、リモートアクセスの技術を悪用して侵入する手口が増加しているためと分析しています。
最近の手口では、メールやリンクから直接ランサムウェアが送られるケースが減少し、ボットネットやダウンローダの利用・脆弱性の悪用・RDPを狙ったブルートフォース攻撃により、リモートからネットワークへ侵入するケースが増加しています。

すなわち、攻撃対象のシステムへはランサムウェア以外のマルウェアを利用して侵入し、ランサムウェアは侵入した後の実攻撃を担うというように、ランサムウェアの役割が変化したことを意味しています。

よって、ランサムウェアの脅威であったとしても、侵入経路ではランサムウェア以外のマルウェアとして検知されるため、ランサムウェアとしての検出は減少したと分析しています。

このように、ランサムウェアは、未だ注意すべき脅威であることは間違いありません。

テレワークの拡大で狙われるVPNやRDP

日本国内においても、テレワークの拡大によりVPN(Virtual Private Network)やRDP(Remote Desktop Protocol)を用いる機会が増えています。
イーセットジャパンでは、ランサムウェアの被害を防ぐためにも、これまで以上にVPNやRDPの使用に警戒する必要があると見ています。
実際、前述の大手ゲームメーカーを狙ったランサムウェアの脅威においても、不正アクセスの起点となったのは、北米の現地法人が予備として設置していたVPN機器でした。

主な侵入経路がメールだったかつてのランサムウェアと異なり、近年のランサムウェアは、注意深くメールをチェックしたところで見破ることは不可能です。

メールをチェックするといった対策では不十分で、OSの標準的なインターフェースを悪用するファイルレスマルウェアや、ゼロデイ脆弱性を悪用する攻撃など、ランサムウェアの侵入経路となりうる、あらゆる手口への対策が必要です。すなわち、包括的かつ多層的な防御が求められています。

北朝鮮の関与が疑われるAPTグループ「Lazarus」を追跡

本レポートでは、APT(持続的標的型攻撃)を実行する攻撃者グループの動向についても解説しています。
APTグループのうち、日本の大手電機メーカーのグループ会社に攻撃を仕掛けたとされるAPTグループ「Lazarus」は、日本国内において最も有名なグループのひとつ。

Lazarusグループ(別名:Hidden Cobra)は、少なくとも2009年から活動しているAPTグループです。2016年に発生したこの大手電機メーカーのグループ会社に対するハッキングや2017年のWannaCryptor(別名:WannaCry)の大規模なインシデントなど、注目を集めた事件の首謀者とされています。
また、少なくとも2011年から現在に至るまで、韓国の公共インフラや重要インフラに対する破壊的な攻撃を行ってきたことでも知られています。

Lazarusグループが注目されている理由は、行ってきた攻撃が大規模なことだけではありません。北朝鮮軍のハッキング部隊に所属していたメンバーがLazarusグループに在籍しているために、北朝鮮が関与しているグループだとも指摘されています。

「Lazarus」の新しいバックドア

2021年第1三半期で注目したいLazarusグループの動向のひとつが、Lazarusグループが開発した新しいバックドアです。
ESETの研究者が、南アフリカの貨物物流会社を狙った攻撃で使用されていたこのバックドアを発見、「Vyveva」と命名しました。
「Vyveva」は複数のコンポーネントで構成されており、Torネットワークを介してC&Cサーバと通信します。

ESETの研究者は、「Vyveva」を作成したのはLazarusであると結論付けましたが、その理由はなぜでしょうか?
「Vyveva」のコードとLazarusの過去のマルウェアのコードが類似しているのが一つの理由です。
次の図2は、左が「Vyveva」のコード、右がLazarusグループによる古いマルウェア「NukeSped」のコードですが、多くの点で似ていることが分かります。

図2. 左「Vyveva」のサンプル、右「NukeSped」のサンプルの類似性を示すHex-Raysの逆コンパイル

さらに、ネットワーク通信に偽のTLSを使用していること、コマンドラインの実行チェーン、暗号化やTorサービスの使用方法など、あらゆる点がLazarusグループの関与を示唆しています。

サイバー犯罪者にとって日本は狙いやすい国?

「世界各国の中で日本が第○位を獲得」という情報は、通常喜ばしいニュースでしょう。
逆に本調査では、日本国内の各組織・企業にとっては歓迎しない、世界のTOP3を紹介しています。
※いずれも調査期間は、2021年1月から4月

メールからの脅威

悪意のあるマクロを使用したダウンローダなどをEメールに仕込むという手口。メールからの脅威に最も晒された国のTOP5は次のとおりです。

不正な電子メールの検出が多かった国TOP5

第1位 日本(19.3%)
第2位 スペイン(7.6%)
第3位 トルコ5.8%
第4位 イタリア5.5%
第5位 ポーランド5%

グローバルで検出された不正メールの1/5が日本国内での検出、という結果となりました。

図3. 2021年T1(第1三半期)電子メールの脅威の検出の分布

ダウンローダ

インターネット上にあるWebサイトなどから、マルウェアを取得する不正プログラム「ダウンローダ」。このマルウェアの脅威に最も晒された国のTOP3は次のとおりです。

ダウンローダの検出が多かった国TOP3

第1位 日本(10.6%)
第2位 スペイン(9.7%)
第3位 イタリア(8.5%)

第2位以下とは僅差であるものの、グローバルでのダウンローダ検出のうち、1割が日本で検出。TOP3の3つの国で約29%を占める結果となりました。

図4. 2021年ダウンローダー検出率

情報窃取型マルウェア

バンキングマルウェアやスパイウェアなど、データの窃盗を主な目的とするマルウェアが、「情報窃取型マルウェア」。このマルウェアの脅威に最も晒された国のTOP3は次のとおりです。

情報窃取型マルウェアの検出が多かった国TOP3

第1位 トルコ(8.6%)
第2位 スペイン(7.2%)
第3位 日本(5.6%)

図5. 2021年情報窃取型マルウェア検出率

アンダーグラウンド市場で高機能マルウェアが安価で取引される

日本の各組織にとっては不名誉な、世界から見た日本のランキングですが、これらのうちイーセットジャパンが特に注目しているのが情報窃取型マルウェアです。

2021年度第1三半期における情報窃取型マルウェアの検出数は、2020年度第3三半期と比較して、約12%増加しています。この増加を牽引しているのがスパイウェアの増加です。
特に、「MSIL/Spy.Agent(別名:Agent Tesla)」は、検出されたスパイウェアの36.7%を占めており、特に注意が必要です。「Agent Tesla」が多く検出された理由は、ツール「Agent Tesla」がサイバー犯罪者たちから絶大な人気があるためです。

「Agent Tesla」は、セキュリティツールを回避しながらデバイスに常駐するための技術を新規追加・データの窃取方法をアップデート・情報収集の対象となるアプリケーションのリストを拡張というように、絶え間なくその機能追加しながら進化を続けています。
さらに、スパイウェアとしての高度な機能に、サポートまで組み合わせて、アンダーグラウンドにて低価格で販売されているのです。

このように、アンダーグラウンド市場には、ソフトウェア開発に関する知識がなくてもサイバー攻撃が行えるツールがサービスとして多数存在します。
ランサムウェアがサービスとして提供される、RaaS(Ransomware as a Service)もその一つです。
これらの便利なサービスを活用すれば、“簡単かつ手軽に”サイバー攻撃が行える状態にあるのが現実なのです。

まとめ

「ESET Threat Report T1 2021」では、紹介した脅威動向の他にも、多くのデータやグラフを用いながら、サイバーセキュリティの今を伝えています。
「ESET Threat Report T1 2021」の全文(英語版のみ)は、こちらから無料でダウンロードできます。

イーセットジャパン株式会社では、今後も「ESET Threat Report(ESETサイバーセキュリティ脅威レポート)」として、定期的にレポートを発表いたします。ESETセキュリティニュースを定期的にチェックして、常に最新情報を得ていただくことをおすすめします。

ESETより、大きな脅威となっている標的型ランサムウェアなどを阻止するために有効なソリューションを2つ紹介します。
未知の脅威も検出するクラウドサンドボックスのセキュリティ対策製品、ならびに、攻撃の検知から侵入後の脅威の駆除、影響を受けるIT資産の切り離しなどの対応を迅速に行えるEDR(Endpoint Detection and Response)ソリューションです。

未知の脅威も検出するクラウドベースのサンドボックスセキュリティ対策製品
ESET Dynamic Threat Defense」の詳細はこちらをご覧ください。

ESETのEDR(Endpoint Detection and Response)、「ESET Enterprise Inspector」の詳細はこちらをご覧ください。

有力企業を含む世界1億1千万台を防御しています

Mitsubishi Motors Logo

2017年から9,000以上の
エンドポイントをESETが防御

Allianz logo

2016年から4,000以上の
メールボックスをESETが防御

 

Canon logo

2016年から14,000台以上の
エンドポイントをESETが防御

Tcom Logo

2008年からのIPSパートナー
200万以上のお客様を防御