Cisco Japan Blog
Share

四半期レポート:インシデント対応の動向(2021 年第 3 四半期)


2021年11月14日


Cisco Talos インシデント対応チーム(CTIR)が今四半期に確認した脅威の中で最も猛威を振るったのは、前四半期に引き続きランサムウェアでした。 

CTIR は今四半期、何件かの重要なランサムウェア事例の解決を支援しました。たとえば、Kaseya VSA ソフトウェアの脆弱性(CVE-2021-30116)を悪用してマネージド サービス プロバイダー(MSP)とその顧客を攻撃した REvil ランサムウェアの事例などです。今四半期に複数回確認されたランサムウェアグループはこの REvil と Vice Society しかなく、ランサムウェアの民主化が進んで新しい亜種が勢力を伸ばす状況となっています。Ryuk ランサムウェアが確認されなかったのは今四半期が初めてでした。Ryuk は、これまで最もよく確認されることが多かった亜種です。CTIR はランサムウェアに感染する前のインシデントにもいくつか対応し、ランサムウェアの展開を 1 例も許しませんでした。

2021 年 7 月から 10 月にかけて 2 番目に多く確認された脅威はビジネスメール詐欺(BEC)でした。ビジネスメール詐欺やランサムウェアのインシデントが猛威を振るっており、それらの初期感染の手段としてフィッシングやスパム攻撃がよく使用されることを考えると、多要素認証(MFA)を適切に実装することが重要です。

今四半期に確認されたその他の脅威には、Talos が記事で詳細に取り上げてきた Solarmarker マルウェアや、ロシアのダーク Web フォーラムで流出した情報が販売されていることが確認された Redline 情報窃取型マルウェアがあります。

標的

製造、非営利、医療、接客サービス、地方自治体、金融サービス、IT、エンターテインメント、小売、重機製造、公益事業、食品製造、不動産、通信など、幅広い業種が攻撃者の標的になりました。最も多く標的になった業種はこれまで 3 四半期連続で医療でしたが、今四半期は地方自治体となっています。

脅威

今四半期に確認された脅威ではランサムウェアが圧倒的トップとなっており、全脅威の約 38% を占めています。ランサムウェアは前四半期もトップで、全脅威に占める割合は 46% と前四半期のほうが多くなっていました。今四半期は次のような新しいランサムウェアファミリが多数確認されました。

  • Vice Society
  • Hive
  • Karma
  • Grief
  • CryptBD
  • Thanos

今四半期に複数の攻撃で確認されたランサムウェアの亜種は Vice Society と REvil しかなく、ランサムウェアの民主化が進んで新しい亜種が勢力を伸ばす状況となっています。Ryuk ランサムウェアが確認されなかったのは今四半期が初めてでした。Ryuk は、これまで最も頻繁に確認されることが多かった亜種です。多くのセキュリティ研究者は Conti ランサムウェアファミリが Ryuk の後継であると考えています。もしそうであれば、Ryuk の攻撃活動が減少していることの説明がつきます。

CTIR は現在、ランサムウェア感染前と思われるインシデントにも何件か対応しており、ランサムウェアの展開を 1 例も許していません。ランサムウェア感染前の攻撃活動では、Cobalt Strike や Sharphound などのレッドチームフレームワーク、PCHunter や Process Hacker などの公開ユーティリティ、TeamViewer や AnyDesk などの各種のリモートアクセスツールなどが使用されます。またほとんどの場合、ドメインコントローラや System Center Operations Manager(SCOM)サーバーといった影響を受けた資産を特定することで、攻撃者が標的にしている可能性があるものや、侵入後に永続化やラテラルムーブメント(横展開)を環境内で行う手口を適切に推測することもできます。CTIR では、こうした動きをタイムリーに検出し迅速に修復することで、暗号化被害を受ける前にインシデントを封じ込めることが可能だと考えています。

2 番目に多く確認された脅威はビジネスメール詐欺でした。2019 年後半にこのレポートの作成を始めて以来、今四半期は最も多くのビジネスメール詐欺が発生した四半期となりました。ビジネスメール詐欺とは、企業の電子メールアカウントのログイン情報を攻撃者が入手し、それを悪用してスパムの送付や詐欺行為などの悪意のある活動を行うことを言います。ビジネスメール詐欺の被害に遭ったある企業では多要素認証を実装していましたが、攻撃者は Office 365 へのログイン時に「基本認証」を使用することで回避できました。このように多要素認証は簡単な方法で無効にできるので、適切に実装することが重要です。ビジネスメール詐欺の詳細については、こちらの Talos の解説記事を参照してください。

今四半期に確認されたその他の脅威には、脆弱性のエクスプロイト、分散型サービス妨害、ドライブバイダウンロード、Solarmarker の拡散などがあります。Solarmarker は高度にモジュール化された .NET ベースの情報窃取型マルウェアおよびキーロガーで、地方自治体に被害を与えました。標的となった人は Web 閲覧中に最初の Solarmarker ドロッパーファイルをダウンロードしています。これはこの脅威の典型的な感染経路です。

CTIR は立て続けに起きた 2 件のインシデントに対応しましたが、いずれも情報窃取型マルウェアの Redline が関連していました。Redline は 2020 年に出現した比較的新しい情報窃取型マルウェアです。主に新型コロナウイルスを話題にしたスパムメール、悪意のある Google 広告、NFT を話題にしたスピアフィッシングメールを介して拡散されています。いずれの事例でも、攻撃者は Redline を使用してドメインコントローラのログイン情報をブラウザのキャッシュから取得しています。Talos は、Redline が流出させた情報がロシアのダーク Web フォーラムで販売されていることを突き止めました。

侵入経路

ログの保存が不十分であったため、CTIR は大半のインシデントで侵入経路を解明できませんでした。CTIR は、すべての組織にログを保存し、潜在的なインシデント対応業務の効率と効果を向上させることを推奨しています。

ただし、侵入経路が特定または推定されたケースで最も多かったのは電子メールを利用したものでした。ビジネスメール詐欺が増加していることやフィッシングを初期感染の手段とするランサムウェア攻撃が蔓延していることを考えると当然の結果のように思えます。

セキュリティの脆弱性

多要素認証(MFA)が導入されていないことは、企業のセキュリティにとって依然として最大の障害の 1 つです。これまで、重要なサービスで MFA を利用していれば防止できたはずのランサムウェアのインシデントを数多く見てきました。どの企業も Cisco Duo などの MFA ソリューションを可能な限り実装する必要があります。

最も多く観察された MITRE ATT&CK 手法

以下は、今四半期のインシデント対応業務で最も多く確認された MITRE ATT&CK 手法の一覧です。複数のカテゴリに分類されるものもありますが、最も関連性の高いカテゴリに各手法を分類しています。ここに挙げられているのは、CTIR で最も頻繁に観察された手法であり、すべての手法が網羅されているわけではありません。

MITRE ATT&CK の付録から得られた主な調査結果は以下のとおりです。

  • 今四半期もランサムウェアの事例が多く、ランサムウェア攻撃が発生するとよく目にすることになる関連ソフトウェアやツールが使用されるケースも目立ちました。たとえば今四半期は AnyDesk や TeamViewer などのリモート アクセス ソフトウェアや、PsExec などのコマンド ライン ユーティリティが使用されるケースが増えました。
  • 前四半期と比べて、今四半期はユーザーによる実行が多く確認されました。これはビジネスメール詐欺の事例が多かったことに関係している可能性があります。悪意のあるリンクや添付ファイルをクリックして実行するように誘い込むフィッシング攻撃が増加しています。
手法 サブ手法
初期アクセス(TA0027 T1078 有効なアカウント 盗み出したログイン情報を利用。
永続化(TA0028 T1053 スケジュール設定されたタスク/ジョブ サーバーに侵入した後、スケジュール設定されたタスクを作成。
実行(TA0041 T1059.001 コマンドとスクリプトインタープリタ:PowerShell クライアントの Active Directory 環境に関する情報を取得するために PowerShell コードを実行。
検出(TA0007 T1083 ファイルとディレクトリの検出 特定のディレクトリの内容を探索。
ログイン情報へのアクセス(TA0006 T1003 OS 認証情報のダンプ Mimikatz などのツールを使用して、環境内のログイン情報を窃取。
特権昇格(TA0029 T1055 プロセスインジェクション プロセスインジェクションを使用してマルウェアの実行チェーンの側面を隠蔽。
ラテラルムーブメント(TA0008 T1021.001 リモート デスクトップ プロトコル Windows リモートデスクトップを使用して横展開を試行。
収集(TA0035 T1114 電子メール収集 電子メールアカウントにアクセス。
防御の回避(TA0030 T1562.001 防御の妨害:ツールの無効化または改変 セキュリティツールを無効化。
コマンド & コントロール(TA0011 T1219 リモート アクセス ソフトウェア システムに侵入した後、リモート アクセス ツールを仕込む。
影響(TA0034 T1486 データ暗号化による被害 REvil ランサムウェアを展開。
データ漏洩(TA0010 T1048 代替プロトコルを介したデータ漏洩 GB 単位の顧客情報を SMB を介して攻撃者が管理する IP に移動。
ソフトウェア/ツール PsExec ラテラルムーブメントに PsExec を使用。

 

本稿は 2021 年 10 月 28 日に Talos Grouppopup_icon のブログに投稿された「Quarterly Report: Incident Response trends from Q3 2021popup_icon」の抄訳です。

 

Tags:
コメントを書く