話題のニュースや出来事に便乗した攻撃
攻撃者の目的は、システムに侵入して不正なソフトウェアをインストールさせることです。その標的としてユーザが狙われるケースが増えています。ここ数年、サイバーセキュリティ業界は一丸となってエクスプロイト被害の軽減に取り組み、着実に成果を上げているため、実際に機能するエクスプロイトを開発・購入するためのコストは高騰し続けています。このような変化が相まって、脅威ランドスケープにも変化が現れ始めています。アクティブなエクスプロイトは依然として多数存在しますが、多くの企業は防止対策を強化しています。
そのため、攻撃者に唯一残された選択肢は 2 つです。1 つは、最新の保護対策に打ち勝てるエクスプロイトを開発・購入することです。しかし、これには相当なコストがかかります。もう 1 つの選択肢は、標的を企業からユーザに切りかえることです。今日の攻撃者は、常に最も効果的な誘い込みの手口を開発・実装することで、ユーザを感染経路に誘い込もうとしています。幅広い手口で常に注目を集めるのが、話題のニュースや出来事を利用したものです。
現状で真っ先に思い浮かぶニュースといえば、新型コロナと Black Lives Matter でしょう。いずれも、過去数か月間にわたり際立って多くの脅威に利用されてきた話題です。しかし攻撃で使われる話題は時代と共に移り変わります。したがって脅威分析では、そうした変化にも対応できるようにしておく必要があります。本稿では、その理由と方法について詳しく説明していきます。
攻撃に利用された話題のニュースや出来事
攻撃者はユーザを誘い込み感染させようと、話題のニュースや出来事に便乗し続けています。これにはさまざまな形態があり、特定の季節や時期にだけ発生するものもあります。季節や時期とは、確定申告シーズンや連休、ブラックフライデーなどのショッピングイベントなどです。毎年これらの時期には、攻撃が急増しています。もちろん、こうした傾向は米国だけのものではありません。たとえば以前のブログ記事では、北米やヨーロッパの国々を狙った税金詐欺を取りあげました。中には現地語で展開された詐欺もありましたが、大半は英語が使われています。
季節性の攻撃は発生時期を予測できるため、セキュリティ部門は対応準備を進めておく必要があります。たとえば、脅威ハンティングのプロセスや手順を決め、攻撃が予測される時期に先立って従業員の意識向上方法を検討しておくことが重要です。
効果的に利用される誘い込みの手口として次に挙げられるのが、世間で話題になっているニュースに便乗したものです。現時点で特に際立っているのは新型コロナと人種差別の話題です。どちらも、地球上の全人口に関係していると言っても過言ではない世界的なニュースです。影響範囲が広く、誘い込みの効果も高いことから、犯罪者にとっては格好の材料です。ここ数か月間 Talos で取り上げてきた脅威のほぼすべてが、コロナ禍に便乗した攻撃です。話題に便乗する手口は、クライムウェアや金銭目的のマルウェアだけにとどまりません。PoetRAT のような標的型の攻撃でも多用されています。これは、コロナ禍がいかに誘い込みの手口として効果的であるかを物語っています。攻撃者がいかに早い段階からコロナ禍を利用し始めたかについては、パンデミックの発生初期にお伝えしました。しかし今や、コモディティ化されたマルウェア(誰でも使えるマルウェア)の大半がコロナ騒動を巧みに利用して拡散されています。
話題の出来事に便乗した誘い込みの手口をすべて事前に予測することは困難ですが、セキュリティ部門は対策を練っておく必要があります。理想としては、分析に使用する語句やイベントのリストに最新の話題を反映させるなど、柔軟に対処していくことです。まずはコロナ禍に加え、確定申告シーズンや人種差別にも関連した、ここ数か月の便乗例をいくつか見ていきましょう。
最近のケーススタディ
PoetRAT
PoetRAT は、今年初めに Talos が発見したリモートアクセス型トロイの木馬です。この RAT にはさまざまな誘い込みの罠が仕組まれていました。以下にその 1 つを紹介します。
以下は、以前に Talos が発見したコロナ禍便乗攻撃の一例です。この脅威には注目すべき点がいくつかあります。まず、標的型の攻撃である点です。標的はアゼルバイジャンの住民でした。しかも標的型攻撃でありながら、コロナ禍に便乗した誘い込みの手口も確認されています。さらに興味深い点は、攻撃が現地語で行われていることです。つまり、英語圏に向けられた攻撃ではないのです。一般的に誤解されていることですが、話題のニュースに便乗するのは個人で活動する攻撃者だけに限られません。実際には、小規模なサイバー犯罪組織から国家的支援を受けたハッカー集団に至るまで、あらゆる攻撃者が話題のニュースに便乗しています。話題のニュースに便乗する手口は効果的な上にシンプルだからです。
この脅威に見られる特徴の 1 つは、Word ドキュメントに RAT ペイロードが直接埋め込まれていることです。PoetRAT の動作と詳細な技術的分析については、こちらをご覧ください。
Astaroth
Astaroth は、ブラジルのみを標的とする、極めて巧妙な情報窃取型のウイルスです。検出回避チェックや分析回避チェックなどの高度な技法が、ふんだんに盛り込まれています。コロナウイルスを含むさまざまな誘い込みの手口を利用して、ブラジル国内で拡散されています。
この攻撃は、コロナウイルス対策に関する推奨事項に見せかけた情報を、ブラジル保健省になりすましてユーザに拡散する目的があります。ブラジルの銀行サービスのログイン情報を狙った金銭目的の詐欺か、クライムウェアを利用した攻撃のどちらかだと考えられます。電子メールはポルトガル語で送信されています。ここでも再び、誘い込みの手口が国際化していることがわかります。Astaroth の動作と、検知回避技法や分析回避技法の技術的分析について詳しくは、こちらをご覧ください。
Trickbot
Trickbot は、広く拡散されているモジュール方式のトロイの木馬です。銀行サービスを標的としたもので、Talos のブログでもたびたび取り上げてきました。これまで、Ryuk ランサムウェア攻撃に関連した事例がいくつか明らかになっています。多くの場合、Trickbot は、マルスパムや、他のマルウェア亜種を介した追加ペイロードとして配信されます。Black Lives Matter に便乗した事例が広く報告
されていますが、ここではその一例をご紹介します。見ての通り、本文は非常にシンプルで、XLS または DOC ファイルが添付されています(攻撃のバージョンにより異なります)。
添付のスプレッドシートを開くと、ぼやけた画像が表示されます。これは、マクロベースのマルスパムでもよく見られます。微妙に異なるのは、マクロやコンテンツの有効化に関する情報がドキュメントに含まれず、印刷ボタンしかないことです。印刷ボタンをクリックすると、偽のエラーポップアップが表示されます。その後、バックグラウンドで Trickbot がダウンロードされて実行が開始され、システムに感染します。
上の図は、人々が関心を寄せるトピックであれば種類をいとわず、コモディティ化されたマルウェアが便乗している格好の事例です。攻撃者は、常に最新の話題を利用し続けることで、マルウェアの配信先や感染先を拡大できるのです。
組織がこの種の電子メールを見つけ出す方法はいくつかあります。1 つ目は、件名のキーワード検索です。さらにメール本文も同じキーワードで検索すれば、検索範囲を広げることができます。上記の事例は、どちらの方法でも検出できたと考えられます。そして、添付ファイル名に対してキーワード検索を実行することが極めて重要になります。考え得るすべてのハンティング範囲を対象にして広範に検索すれば、最善の結果が得られるでしょう。上記の事例からわかるように、件名と本文を検索した場合は攻撃を発見できますが、ファイル名だけを検索した場合は見逃すことになります。
Lokibot
Lokibot は、これまでにたびたび Talos ブログで取り上げてきた、広く拡散されている情報窃取型のコモディティウイルスです。多くの場合、さまざまな誘い込みの罠が仕掛けられたマルスパム攻撃によって拡散されます。数日前、Talos は、現在起きているイベントに便乗した攻撃を確認しました。納税です。納税に便乗した攻撃は確定申告の時期に発生するものが大半ですが、定期的に実行される攻撃もあります。
上記の事例では、1 つの実行可能ファイル(TAX Invoice.exe)のみを含む .cab ファイルが添付されています。このファイルがシステム上で実行されると、GuLoader を利用して Lokibot がドロップされ、エンドシステムに感染します。今年特に注意すべき点は、少なくとも米国において、確定申告の期限が延長されたことです。コロナ禍により、確定申告の期限が 7 月 15 日まで数か月延長されました。そのため、確定申告に便乗した攻撃の可能性も延長することになるでしょう。
+
クライムウェアキャンペーン
コロナ禍に便乗した英語ベースのクライムウェア攻撃は極めて多岐にわたるため、Talos では特集ブログを別途設けています。現時点では、コロナウイルスに「便乗していない」コモディティマルウェア攻撃を探す方が困難と言えるほど増加しています。Talos では、Nanocore RAT や Emotet に加え、ランダムに抽出したワイパーに関連する攻撃を分析しました。一部の事例については、こちらから詳細をご覧いただけます。
上に挙げた事例の大半はコロナ禍に便乗したものです。なぜなら、確認されたアクティビティの大半がコロナ関連のものだからです。ただし、誘い込みの手口がコロナ禍だけに留まることを示唆するものではありません。話題となる出来事は世界で常に変化しています。それに伴い、攻撃者が便乗するニュースも遷移します。ですが、コロナウイルスは非常に特異な便乗手段であるため、現在の脅威状況におけるいくつかの推奨事項をまとめています。では次に、話題のニュースや出来事に便乗した攻撃を、どうすれば見破れるか見ていきましょう。
業務上の影響
セキュリティ部門は絶えず話題のニュースや出来事に目を光らせて、準備しておく必要があります。対策方法はいくつかありますが、最も基本的なものはユーザ教育です。
従業員にリマインダを送信して、脅威に利用されている誘い込みの手口を周知するのも効果的です。たとえば、確定申告シーズンに先駆けて従業員に電子メールでリマインダを送れば、税金関連を装ったドキュメントやリンクに十分な注意を喚起できます。こういった簡単なトレーニングメールでも、便乗攻撃によって企業が被る被害を緩和できます。さらに、コロナ禍などの突発的な出来事が起きた際には、別途、注意喚起の通知を送ることも重要です。現在、多くの組織が、さまざまな方法で従業員とのコミュニケーションを図ろうとしています。そういった日頃のコミュニケーションに、セキュリティ関連の通知も含めていくことが重要です。
組織に準備できる他の対策としては、セキュリティの運用方法と、各チームの担当タスクを決めておくことがあります。そのためにはまず、攻撃者が頻繁に利用している話題やニュースを特定する必要があります。
- 会社として、税金関連のメールを受け取ることは多いですか?また、ブラックフライデーなどのセールス情報に関するメールを大量に受け取っていますか?
- 過去 4 か月間に発生したインシデントのうち、コロナ禍に便乗した誘い込みの手口から発展した事例はいくつありますか?
- 過去にさかのぼり、当時話題となっていたニュースに便乗しているインシデントを調べ、そこから何らかのパターンを読み取れるかを確認しましょう。
- 一部のニュースは特定の業種や業界に特有のものであることを念頭に入れながら、イベントや用語のリスト作成に着手しましょう。
追跡しようとしている一連のニュースや出来事のイベントリストが完成したら、その情報を運用に役立てる必要があります。これにはいくつかの方法がありますが、まずはキーワードを分析アクティビティに組み込むことから始めます。アナリストは、内部のテレメトリを調べて、話題に便乗する攻撃の兆候を探ります。兆候を探る作業は、攻撃が実際に成功しているかどうかにかかわらず実施すべきです。ほとんどの組織では、基本的なセキュリティ原則に着目し、ベストプラクティスを実施することに注力すべきでしょう。データ運用による高度な対策は、経験豊富なセキュリティチームが必要です。
ニュースに便乗した攻撃の主な感染経路は、他の攻撃と同じく電子メールです。組織が最も防御を固めるべき分野も、必然的に電子メールになります。電子メール セキュリティ テクノロジーを利用すれば、悪意のある添付ファイルが受信トレイに届く前に検出できます。また、サンドボックス環境で未知のファイルを実行して、エンドユーザが悪意のあるコンテンツにさらされるの防ぐこともできます。組織に何らかの電子メール セキュリティ ソリューションが導入されていて、最大限に活用できるよう正しく設定されているかを確認しましょう。対策の成果を得るためには、この作業が極めて重要になります。
電子メールベースのセキュリティソリューションが導入されていない場合、電子メールベースの攻撃に対処できる他の重要なテクノロジーは、エンドポイントセキュリティまたはアンチマルウェア制御です。これは、ほとんどの組織にとって最終的な防御ラインであり、誘い込みによってユーザがシステムをウイルスに感染させてしまうのを防ぐために重要となります。ユーザが感染を拡散させると、エンドポイント ソリューションがただちに食い止め、アナリストにアクティビティが通知されるようになっているのが理想的です。
組織が実施できるもう 1 つの対策は、さまざまな脅威インテリジェンスフィードの活用を含め、話題のニュースに関連するアラートや検出フレームワークを構築することです。電子メールプラットフォームやメッセージング プラットフォームで、話題のニュースに関連するキーワードが追跡されていることを確認しましょう。話題のニュースに便乗した攻撃の可能性を検出した際にアラートを発するよう、SIEM にロジックを組み込みましょう。比較的高い確率で誤検出が出ることも想定されますが、新人のアナリストが調査プロセスについて学ぶ良いトレーニングの機会になります。被害者になる可能性のあるユーザに、現在直面している脅威について知ってもらう良い機会にもなります。
攻撃グループや脅威のリストを日常的に管理するような、一歩進んだ対策をとっている場合は、攻撃者が戦術を切り替えると同時に追跡を開始するようにしましょう。また、既存の脅威インテリジェンスを活用して、組織を攻撃する可能性があるグループを特定しましょう。感染経路よりさらに下層で検出能力を固めておけば、攻撃者が方向性を変えても、新たな誘い込みベースの攻撃に先んじることができるはずです。前述のとおり、こうしたインテリジェンス作業は、より経験を積んだセキュリティ部門を持つ組織に適していると言えます。
最後に、テストを行う際には、攻撃者と同様の戦術を使用することが重要です。これには、フィッシングテストや、攻撃的なレッドチームなどが含まれます。近年、レッドチームは多くの組織で採用が広がっています。話題のニュースに便乗した誘い込みの手口をいくつか試すことにより、インシデント対応の準備が万全かどうかや、ユーザ教育のメッセージが十分に効果を発揮しているかを評価できます。注意したいのは、これらが意見を二分する傾向にあるトピックであり、コンテンツに対する感情的な反応を強く引き起こすことです。これらを誘い込みの罠として利用すると、ユーザから同様の強い感情的反応が返ってくる可能性があります。悪意のある人間がこれを利用するのはそのためです。手順を進める前に、すべてのレベルの管理者が計画について認識・承認していることを必ず確かめる必要があります。
このような手順を踏んでいけば、攻撃の成功率を大幅に下げることができます。また、誘い込みの手口についてユーザに周知したうえで、本当に意識しているかテストしてみることで、ユーザ全体のセキュリティ意識を向上できるでしょう。
まとめ
攻撃者は、最善かつ最も効果的な侵入方法を常に模索しています。そして、システムを感染させるようユーザを仕向ける、最も効果的な誘い込みの手口がないか常に目を光らせています。話題のニュースや出来事への便乗は、今後も脅威ランドスケープで大きな存在感を示すでしょう。組織には、脅威軽減のための手順とプロセスが必要です。
セキュリティチームは規模の大小を問わず、話題のニュースに便乗した脅威を軽減するための取り組みをできるだけ定期的に進めていく必要があります。その過程でチーム内のトレーニングや継続的なユーザ教育も同時進行することが極めて重要です。特定の誘い込みの罠を利用した攻撃について、電子メールでユーザに警告しておけば、少しでも感染を阻止したり、過去の事例についてユーザから聞き出せたりする可能性もあります。
ただし、組織に必要な対策は他にもたくさんあります。たとえば、話題のキーワードをアンカーとして使用し、プロアクティブな脅威ハンティングを実施して慣れておくことができます。社内のテレメトリを調べれば、(侵入に)成功した脅威と失敗した脅威の両方を特定可能です。これらを継続的なユーザ教育のコンテンツとして使用し、攻撃者に悪用されがちな一般的な例をユーザに示します。
より経験豊富なセキュリティ部門を持つ組織であれば、話題のニュースや出来事を利用して、組織のユーザをテストしてみることもできます。電子メールやメッセージング プラットフォームなどを使用して、レッドチームが話題のニュースを題材にした攻撃を実施し、その結果を管理者全員に報告します。このようなテスト攻撃を定期的に実施し続けることで、トレーニングや教育による脅威軽減率の向上を追跡していくことができます。誘い込みの手口を無視し続けると、組織に損害を与えることになります。誘い込みの手口は今後も利用され続けるでしょうが、対抗するための運用セキュリティ計画に早めに着手することで、大きな被害を回避できる可能性も高まるでしょう。
本稿は 2020 年 7 月 29 日に Talos Group
Tags:
