この記事は、Cisco UK & IrelandのMarketing Storyteller for IT SecurityであるHazel Burtonによるブログ「A Look Back at the Major Cyber Threats of 2019」(2019/12/12)の抄訳です。
シスコは『2019 年の脅威』レポートを公開しました。レポートでは、今年のサイバー犯罪で使われた主なツールや手口を振り返っています。
レポートでは、まず Talos のブログシリーズ「今月の脅威」で実施した独自の調査に基づき、特定の組織に対する標的型攻撃の影響と、標的型攻撃から防御する方法について解説しています。
さらに、数で勝負する、非標的型の攻撃についてもレポートで取りあげています。非標的型の攻撃の狙いは、特定の組織や個人ではなく、できるだけ多くの標的を攻撃することです。
そして最後に、サイバー犯罪のツールキットについても掘り下げています。リモートアクセスのトロイの木馬や、暗号化されたトラフィックに脅威を隠蔽する手口に至るまで、検出を回避するための新たな手口が一年を通して確認されました。
本ブログでは、シスコのセキュリティ専門家に 2019 年で最も注目した脅威と、あらゆる組織に当てはまる新年の抱負について尋ねた結果をご紹介します。
Talos(シスコ脅威インテリジェンス)部門 Martin Lee
今年の印象的な出来事は、TLS 証明書だけでなく DNS データも偽装可能だと発覚したことです。
これまでも散発的な攻撃によって DNS データが侵害されていましたが、「Sea Turtle」攻撃により、トップレベルのレジストリを乗っ取ることで DNS 情報を大規模に改ざん可能だと判明したのです。
ドメインの DNS エントリも乗っ取られた結果、正当なドメインで検証済みの TLS 証明書が攻撃者に発行されていました。つまり TLS 接続内の成り済ましチェック機能も回避されていたことになります。正当なシステムに向けたトラフィックを不正なサーバに誘導し、その際に有効な TLS 証明書を提示することで接続を認証する攻撃手口も考えられます。
2020年の抱負
対応している限り、あらゆるシステムで多要素認証を有効にすべきです。パスワードの安全性は 100% ではありません。すべてのシステムアカウントに二要素認証(2-FA)を追加すれば、第三者がパスワードを盗むか解析に成功した場合でも、機密データへの成りすましアクセスを防げます。
|
Cisco Umbrella(DNS保護ソリューション)部門 Andrea Kaiser
望ましくない不正メール、つまりマルスパムは、依然として最も多く使われている攻撃手段です。ネットワークの最も脆弱な部分であるユーザに接触する主な手段でもあります。
ボットネット「Emotet」は、マルウェアの配布ツールとして 2019 年も使用され続けました。被害者ベースを拡大し、「サービスとしてのマルウェア」をさらに強化したケースです。Trickbot、Qakbot、IcedID、Gootkit はすべて、2019 年に Emotet によって配布されたペイロードの例です。いずれの感染経路も悪意のある添付ドキュメントでした。
Emotet に追加された機能は、過去または進行中のメールスレッドで返信を挿入することにより会話をハイジャックできます。挿入される返信には、Emotet のダウンロードリンクが記載されていたり、マルウェアが添付ファイルとして含まれていたりします。
メールのハイジャックが可能になったのは、電子メールのコンテンツとログイン情報を盗み出せる Emotet の能力によります。こうした例からもわかるように、ボットネットの最初の感染と拡大ではマルスパムの配布がカギを握っています。2019 年は、標的型ソーシャルエンジニアリング攻撃を電子メールで受ける可能性が発覚した一年だと言えます。
2020年の抱負
ソーシャルエンジニアリングは、マルウェア攻撃で受けたのか、それ以外の形態で受けたのかを問わず、ユーザ自身に大きな影響を与えかねない脅威です。ソーシャルエンジニアリングは機密情報を取得するために使用されます。多くの場合に引き金となるのは、卒業年や出生地といったわずかな個人情報です。しかしこれが命取りになり、大量の個人情報の流出につながるのです。新年の抱負として個人的に推奨するのは、自身に関する個人情報のオンライン利用を制限することです。詳しくは『コンシューマ データ プライバシー レポート』をご覧ください。
Cisco Duo(アクセス/多要素認証セキュリティ)部門 Patrick Garrity
私を含めたアクセスセキュリティ(エンドポイントと MFA)の専門家にとっての懸念事項は、OS とブラウザを狙ったエクスプロイトです。
その最たる例が、Google Chrome ブラウザで今年発見された 2 件の脆弱性です。そのうちの 1 件は、Windows、MacOS、Linux を含むすべての主要な OS に影響を与えるゼロデイ脆弱性でした。
これは解放済みメモリ使用(Use-After-Free)の脆弱性、つまりメモリ内で変更されたデータを攻撃者がエクスプロイトし、権限を昇格できるメモリ破損の欠陥です。たとえば、侵害された Chrome ブラウザでユーザが PDF を開くと、攻撃者がブラウザを乗っ取ったうえでシステムにアクセスできることになります。
Google 社は脆弱性の修正プログラムをすぐにリリースしましたが、古いソフトウェアとブラウザを実行しているデバイスには可視化が重要だとの教訓になりました。
2020年の抱負
各ユーザデバイスのセキュリティ状態を定期的に把握し、デバイスが最新の状態であることを必ず確認してください。最新でなければ更新ソフトウェアをユーザに通知し、アプリケーションへのアクセスを許可する前にポリシーでソフトウェアの更新を要求する、などの対策も必須です。組織のポリシーや要件を満たしていないデバイスからのアクセスをブロックする手段も有効です。
『2019 年の脅威』レポートをダウンロードし、セキュリティ対策の役員会議やビジネスプランニングなどでぜひご活用ください。2020 年に必要となるセキュリティツールとセキュリティプロセスについて、優れたガイダンスを提供しています。標的型攻撃に対して現在のセキュリティ態勢がどの程度有効で、どこに弱点があるかを特定するためのリソースとしてもご活用いただけます。
|