インシデント対応では、4 四半期連続で Ryuk が他を圧倒していました。前四半期のレポートで説明したとおり、Ryuk は、商用化されたトロイの木馬ではなく、環境寄生型ツールを駆使する手口へと転換が進みました。そのため、商用化されたトロイの木馬を利用する攻撃の観測は減少しています。Citrix デバイスと Pulse VPN や、リモート デスクトップ サービス(RDS)に対するセキュリティ侵害も増加していますが、最大の感染ベクトルは今でも電子メールです。今四半期で特に注目すべきが新型コロナ感染症の影響です。興味深いことに、IR 業務では感染症に便乗した事例が観測されませんでした。ただし、コロナ禍の影響で、組織のサイバーセキュリティ インシデントへの対応と封じ込めに影響が出ています。
詳細については、こちらの要約もご覧ください。
攻撃の標的
標的となった業種は、今四半期も多岐にわたりました。エネルギー、公益事業、金融サービス、政府機関、医療、工業用品流通、製造、小売、テクノロジー、電気通信、運輸などです。最大の標的は医療とテクノロジーです。なお前四半期は金融サービスと政府機関でした。
脅威
IR 業務で観測した脅威の中で大多数を占めているのは、引き続きランサムウェアです。前四半期とは対照的に、Emotet と Trickbot が Ryuk の初期ドロッパである事例は少なくなりました。そのため、今四半期は商用化されたトロイの木馬を利用した攻撃の観測件数が減少しています。前四半期のレポートで説明したとおり、Ryuk を駆使した攻撃は他の面でも高度化しています。エンコードされた PowerShell コマンドを使用して、初期ペイロードのダウンロード、セキュリティやウイルス対策ツールの無効化、バックアップの停止、ネットワーク全体のスキャン、オンラインホストとオフラインホストを識別する出力の獲得を果たしているのです。Ryuk の攻撃者が、PsExec に加え、Windows Management Instrumentation(WMI)と BitsAdmin をマルウェアの拡散に使用する事例も増加しています。
たとえば、ある政府機関では数千台のシステムが Ryuk によって暗号化され、2,000 近いシステムと重要なサービスが影響を受けました。この事例で商用化されたトロイの木馬が使用されたことを示す証拠は見つかっていません。グループポリシーに保存されているパスワードが復元され、ドメイン管理者のアカウントに侵入されたのです。攻撃者はブート設定のデータを bcdedit で改変してシステムの復元を阻止することにより、ファイルを復元不能にしようとしていたほか、Windows シャドウコピーを削除し、vssadmin でシステム復元ポイントも削除していました。そして、icacls.exe で全ディスクドライブ、全ファイルへの完全なアクセス権をすべてのユーザに付与することで、被害ホストの数を増やそうとしていました。シャットダウンされているホストを起動して暗号化するため、Wake-On-Lan のマジックパケットも送信していました。
リアルタイムでのモニタリングによるマルウェア対策が PowerShell から無効にされていました。また、cmdlet コード「Get-DataInfo.ps1」でネットワークをスキャンして、稼働しているホストと停止しているホストの一覧をテキストファイル形式で取得していました。さらに、特権を持つアカウントのクレデンシャルで、WMIC および PsExec に加えてコマンドラインツール BitsAdmin を使用することで、Ryuk を他のホストに複製していました。
別の事例では、暗号化された Microsoft Word ドキュメントが添付されたフィッシングメールを通じて最初の侵害が発生していました。VBA で記述されたチェスゲームの中に悪意のあるコードが組み込まれていて、ドキュメントを開くと VBS ファイルが作成され、PowerShell 経由で実行されます。ペイロードをダウンロードして実行した VBS ファイルは、リモートアクセス型トロイの木馬(RAT)の Detplock であることが判明しています。
ランサムウェアの被害者に身代金の支払いを強いるために、機密データを抜き取るという事例も、引き続き観測されています。これは 2019 年の冬から続いている傾向です。
初期ベクトル
ロギングの量が十分ではないため、ほとんどの IR 業務では初期ベクトルを明確に特定することが困難でした。ただし、初期ベクトルを特定できた事例や合理的に推測できた事例に基づく限り、最多の感染ベクトルは依然としてフィッシングです。標的組織の RDS にブルートフォース攻撃を仕掛けた事例もいくつか観測しています。これは、ランサムウェア Phobos の増加や、コロナ禍のリモートワークで攻撃対象が拡大したことと関連しているようです。通例、初期ベクトルとして利用されるのは侵害された RDS 接続です。Citrix Application Discovery Controller および Citrix Gateway(CVE-2019-19781)、さらに Pulse Secure VPN(CVE-2019-11510)に関しては、複数の侵害が継続的に観測されました。
新型コロナ感染症
フィッシングやスパム攻撃でコロナ関連の情報が誘い込みとして使用されることが増えていますが、いささか驚くべきことに、IR 業務では便乗事例が観測されていません。ただし、コロナ禍が特に医療業界の組織に影響を及ぼしているようです。サイバーセキュリティ インシデント対応計画はパンデミックなど頭になかった時代に策定されているため、コロナ禍とセキュリティ侵害の二重苦でセキュリティ対応に支障が出ています。移動、リソース、予算のすべてに制限がかかったことで、インシデントの影響を軽減することが困難になりました。同じ傾向は、今四半期のインシデント対応の多くで観測されています。またパンデミックを受けて、多くの組織は IR と事業継続性に関する計画を更新しています。このことは、入念なインシデント対応計画を作成することや、世界規模の重大事象に順応できる柔軟性を保つことの重要性を物語っています。
新型コロナ感染症に便乗した攻撃が確認されていないとは言え、リモートワークの増加に伴って RDS と VPN サービスの利用が上昇するなど、攻撃対象は今なお拡大しています。CTIR では、新たな攻撃経路について情報を提供するだけでなく、被害を受けた組織との連携による対策も進めています。昨今の変化に基づいて、ネットワークに関する新たな「ベースライン」を導き出すことが目的です。
本稿は 2020 年 6 月 15 日に Talos Group のブログに投稿された「Quarterly report: Incident Response trends in Summer 2020」の抄訳です。