2022年1月7日 Leave a Comment

2021 年のマルウェアとサイバー攻撃を振り返る：SolarWinds から Log4j まで

1 min read

TALOS Japan

2020 年の暮れに大規模な SolarWinds 攻撃が発覚し、さまざまな機関や企業が調査と回復に追われながら迎えた 2021 年。この史上最大級のサイバー攻撃から丸 1 年経ったところで別の脅威が突如として発覚。その影響は何年も続く可能性があります。

このように、2021 年はあらゆる脅威が次から次へと襲いかかって来る年となりました。米国最大級の石油パイプラインが操業停止に追い込まれ、国家の支援を受けた攻撃者が市民の生活を混乱に陥れました。また（重大度は一段劣りますが）Twitch ストリーミングプラットフォームそのものが漏洩する事件もありました。

2022 年は誰が標的になるのか予想もつきませんが、大物狙いの攻撃やランサムウェアが引き続き猛威を振るうものと思われます。ここで 2021 年の主要なセキュリティインシデントを振り返って、新年に備えることにしましょう。

	1 月 SolarWinds サプライチェーン攻撃が発覚したのは 2020 年 12 月でしたが、2021 年が始まってもその影響は続いていました。この時点では多くの疑問が未解明となっていました。攻撃者の追跡を行うサイバーセキュリティ業界の研究者が国家の支援を受けた攻撃者に狙われるようになりました。Talos のアナリスト数名も標的になっており、ソーシャルメディアの偽アカウントから悪意のあるリンクや情報を求めるメッセージが送り付けられました。
	2 月 Lockbit ランサムウェアの攻撃者に話を聞き、過去のマルウェア攻撃について情報を得ることができました。サービスとしてのランサムウェア（RaaS）を巡る状況について貴重な知見が得られただけでなく、標的の選び方を攻撃者から直接聞き出すことができました。トロイの木馬「Masslogger」によってファイルレスマルウェアが勢力を伸ばし始めました。このトロイの木馬の亜種は、Web ブラウザやその他の機密性の高いサイトのログイン情報を窃取することに特化しています。攻撃者は基本的に最も金払いのよい相手から仕事を引き受ける傾向が 2021 年を通じて見られました。この種の攻撃者は国家の支援を受けて他国を標的にする攻撃者とはやや異なる存在ですが、拠点を置く国家が保護している（または法を執行しない）ことによって恩恵を受ける点は同じです。そして資金提供者が現れれば、その相手のために活動を行います。Gamaredon の進化はこの最初の兆候でした。
	3 月 Talos がまだ SolarWinds の全容解明を進めていたときに攻撃者「HAFNIUM」が登場し、Microsoft Exchange Server の複数のゼロデイ脆弱性を悪用する攻撃を展開して注目を集めました。この攻撃によって明らかになった脆弱性の中で最も危険だったのが「ProxyLogon」でした。この脆弱性を含む一連の脆弱性がエクスプロイトされると、最終的に標的のサーバーが攻撃者に完全に制御される危険性があります。これは言うまでもなく重大な事態です。
	4 月この時点で新型コロナワクチンは大量供給されていましたが、人々が「通常の」勤務形態に戻る兆しはまだありませんでした。社内のコミュニケーションには Slack や Discord などのコラボレーションアプリが引き続き使用されましたが、攻撃者は早々に目を付けており、信頼されているサーバーを乗っ取ってマルウェアを拡散させました。
	5 月 2020 年に初めて発見された LemonDuck がさらに進化しました。前述の脆弱性を持つ Exchange Server を標的にし始めただけでなく、Cobalt Strike がツールセットに追加されました。先ほど Gamaredon に起きた変化について取り上げましたが、同じような攻撃者がほかにも存在することが分かりました。国家の支援を受けてはいないものの、監視の目をかいくぐって活動するだけの独立したサイバー犯罪グループではありません。Talos ではこうしたグループを「国家容認のハッカー集団」と呼ぶことにしました。米国東海岸で最大の石油パイプラインである Colonial Pipeline 社が DarkSide ランサムウェアの攻撃を受けました。多くの州のガソリンスタンドでガソリンが数日のうちに枯渇し、価格が上昇しました。この事件がきっかけとなって米国内の重要なインフラを保護する必要性が認識されるようになりました。
	6 月 Colonial Pipeline 社への攻撃から数週間後に DarkSide グループが支払いポータルを閉鎖し、活動を停止すると発表しました。その後、このグループは BlackMatter という名前で復活しました。世界最大手の食肉加工会社である JBS 社がランサムウェア攻撃を受け、最終的に 1,100 万ドルの身代金を支払いました。業務に影響はありませんでしたが消費者に供給不足への不安が広がり、米国の食料品店で食肉のパニック買いが発生しました。
	7 月この月は Microsoft 製品の別のゼロデイ脆弱性が標的になりました。今回は「PrintNightmare」と呼ばれる Windows 印刷スプーラサービスの脆弱性が攻撃者によってエクスプロイトされ始めました。 7 月 4 日は米国の独立記念日でしたが、新たなサプライチェーン攻撃への対応に追われたセキュリティ研究者にとっては休暇どころではありませんでした。今回はマネージドサービスプロバイダーの Kaseya 社が標的となり、REvil ランサムウェアの感染が発生しました。

	8 月 PrintNightmare が再びエクスプロイトされました。今回は Vice Society ランサムウェアグループがこの脆弱性を悪用しています。Cisco Talos インシデント対応チームは、この手法によるランサムウェアの標的になった組織を複数発見しました。インターネット共有アプリケーションの人気上昇に伴い、それに目を付けた攻撃者が詐欺に悪用する方法を編み出しています。このアプリを利用すると未使用の帯域幅を他のユーザーに「貸与」して収益を得ることができますが、これを悪用する攻撃者が多数存在することが調査によって判明しました。

	9 月攻撃者が Amnesty International の偽 Web サイトを立ち上げ、モバイルデバイスから Pegasus スパイウェアを駆除できると謳って偽のウイルス対策ソフトウェアを拡散しています。このソフトウェアはマルウェアをインストールして標的から情報を窃取します。サービスとしてのランサムウェア（RaaS）を巡るドラマに新展開。Conti グループに不満を抱いたメンバーがプレイブックを流出させました。Conti の運営方法についてさまざまな知見が得られただけでなく、同様のグループに関する情報を得られる貴重な機会となりました。ロシアの APT グループ「Turla」が使用するツールセットに新たなバックドアが加わりました。これは基本的に標的のマシンに留まるための最後の手段として機能します。
	10 月リス（SQUIRREL）とワッフル（WAFFLE）がタッグを組んで、スパム攻撃で最も猛威を振るう脅威になろうと勢力を拡大しています。この SQUIRRELWAFFLE という脅威は今年のマルウェアマスコットの中でもダントツの可愛さでしたが、大変危険であることに変わりはありません。
	11 月またしても新たなゼロデイ脆弱性が判明しました。Windows インストーラを標的とする攻撃が活発に行われており、エクスプロイトされると管理者への特権昇格の危険性があると Microsoft 社が注意喚起しました。また、Exchange Server の脆弱性も引き続き Babuk ランサムウェアの標的になっています。米国の警察当局が、Kaseya 社のサプライチェーン攻撃に関与した容疑で REvil 脅威グループの構成メンバー 2 名を逮捕しました。また、REvil のリーダーの逮捕につながる情報に対して新たに 1,000 万ドルの報奨金を支払うことも発表しています。米国で 1 兆ドルの大規模なインフラストラクチャ法案が正式署名され、サイバーセキュリティに対して新たに 20 億ドルが投じられることになりました。2022 年には、地方政府が助成金を申請して重要インフラの保護強化とサイバーセキュリティのトレーニングを行えます。今年初めに国際警察機関が Emotet を活動停止に追い込んでいましたが、そのボットネットが息を吹き返していることが判明しました。

	12 月 Talos は、「Magnat」と呼んでいる攻撃者による一連のマルウェア攻撃を確認しました。この攻撃者は偽の Google Chrome ブラウザ拡張機能を感染させます。 Log4j の脆弱性のせいであらゆる人のホリデーシーズンが台無しになりました。セキュリティ担当者は残業を余儀なくされ、開発担当者は大量のパッチ適用に追われました。Log4j の最新情報については、Talos のブログをご覧ください。

本稿は 2021 年 12 月 27 日に Talos Group のブログに投稿された「2021: Looking back on the year in malware and cyber attacks, from SolarWinds to Log4j 」の抄訳です。

Authors

TALOS Japan

Tags:

コメントを書く

	1 月 SolarWinds サプライチェーン攻撃が発覚したのは 2020 年 12 月でしたが、2021 年が始まってもその影響は続いていました。この時点では多くの疑問が未解明となっていました。攻撃者の追跡を行うサイバーセキュリティ業界の研究者が国家の支援を受けた攻撃者に狙われるようになりました。Talos のアナリスト数名も標的になっており、ソーシャルメディアの偽アカウントから悪意のあるリンクや情報を求めるメッセージが送り付けられました。
	2 月 Lockbit ランサムウェアの攻撃者に話を聞き、過去のマルウェア攻撃について情報を得ることができました。サービスとしてのランサムウェア（RaaS）を巡る状況について貴重な知見が得られただけでなく、標的の選び方を攻撃者から直接聞き出すことができました。トロイの木馬「Masslogger」によってファイルレスマルウェアが勢力を伸ばし始めました。このトロイの木馬の亜種は、Web ブラウザやその他の機密性の高いサイトのログイン情報を窃取することに特化しています。攻撃者は基本的に最も金払いのよい相手から仕事を引き受ける傾向が 2021 年を通じて見られました。この種の攻撃者は国家の支援を受けて他国を標的にする攻撃者とはやや異なる存在ですが、拠点を置く国家が保護している（または法を執行しない）ことによって恩恵を受ける点は同じです。そして資金提供者が現れれば、その相手のために活動を行います。Gamaredon の進化はこの最初の兆候でした。
	3 月 Talos がまだ SolarWinds の全容解明を進めていたときに攻撃者「HAFNIUM」が登場し、Microsoft Exchange Server の複数のゼロデイ脆弱性を悪用する攻撃を展開して注目を集めました。この攻撃によって明らかになった脆弱性の中で最も危険だったのが「ProxyLogon」でした。この脆弱性を含む一連の脆弱性がエクスプロイトされると、最終的に標的のサーバーが攻撃者に完全に制御される危険性があります。これは言うまでもなく重大な事態です。
	4 月この時点で新型コロナワクチンは大量供給されていましたが、人々が「通常の」勤務形態に戻る兆しはまだありませんでした。社内のコミュニケーションには Slack や Discord などのコラボレーションアプリが引き続き使用されましたが、攻撃者は早々に目を付けており、信頼されているサーバーを乗っ取ってマルウェアを拡散させました。
	5 月 2020 年に初めて発見された LemonDuck がさらに進化しました。前述の脆弱性を持つ Exchange Server を標的にし始めただけでなく、Cobalt Strike がツールセットに追加されました。先ほど Gamaredon に起きた変化について取り上げましたが、同じような攻撃者がほかにも存在することが分かりました。国家の支援を受けてはいないものの、監視の目をかいくぐって活動するだけの独立したサイバー犯罪グループではありません。Talos ではこうしたグループを「国家容認のハッカー集団」と呼ぶことにしました。米国東海岸で最大の石油パイプラインである Colonial Pipeline 社が DarkSide ランサムウェアの攻撃を受けました。多くの州のガソリンスタンドでガソリンが数日のうちに枯渇し、価格が上昇しました。この事件がきっかけとなって米国内の重要なインフラを保護する必要性が認識されるようになりました。
	6 月 Colonial Pipeline 社への攻撃から数週間後に DarkSide グループが支払いポータルを閉鎖し、活動を停止すると発表しました。その後、このグループは BlackMatter という名前で復活しました。世界最大手の食肉加工会社である JBS 社がランサムウェア攻撃を受け、最終的に 1,100 万ドルの身代金を支払いました。業務に影響はありませんでしたが消費者に供給不足への不安が広がり、米国の食料品店で食肉のパニック買いが発生しました。
	7 月この月は Microsoft 製品の別のゼロデイ脆弱性が標的になりました。今回は「PrintNightmare」と呼ばれる Windows 印刷スプーラサービスの脆弱性が攻撃者によってエクスプロイトされ始めました。 7 月 4 日は米国の独立記念日でしたが、新たなサプライチェーン攻撃への対応に追われたセキュリティ研究者にとっては休暇どころではありませんでした。今回はマネージドサービスプロバイダーの Kaseya 社が標的となり、REvil ランサムウェアの感染が発生しました。

	8 月 PrintNightmare が再びエクスプロイトされました。今回は Vice Society ランサムウェアグループがこの脆弱性を悪用しています。Cisco Talos インシデント対応チームは、この手法によるランサムウェアの標的になった組織を複数発見しました。インターネット共有アプリケーションの人気上昇に伴い、それに目を付けた攻撃者が詐欺に悪用する方法を編み出しています。このアプリを利用すると未使用の帯域幅を他のユーザーに「貸与」して収益を得ることができますが、これを悪用する攻撃者が多数存在することが調査によって判明しました。

	9 月攻撃者が Amnesty International の偽 Web サイトを立ち上げ、モバイルデバイスから Pegasus スパイウェアを駆除できると謳って偽のウイルス対策ソフトウェアを拡散しています。このソフトウェアはマルウェアをインストールして標的から情報を窃取します。サービスとしてのランサムウェア（RaaS）を巡るドラマに新展開。Conti グループに不満を抱いたメンバーがプレイブックを流出させました。Conti の運営方法についてさまざまな知見が得られただけでなく、同様のグループに関する情報を得られる貴重な機会となりました。ロシアの APT グループ「Turla」が使用するツールセットに新たなバックドアが加わりました。これは基本的に標的のマシンに留まるための最後の手段として機能します。
	10 月リス（SQUIRREL）とワッフル（WAFFLE）がタッグを組んで、スパム攻撃で最も猛威を振るう脅威になろうと勢力を拡大しています。この SQUIRRELWAFFLE という脅威は今年のマルウェアマスコットの中でもダントツの可愛さでしたが、大変危険であることに変わりはありません。
	11 月またしても新たなゼロデイ脆弱性が判明しました。Windows インストーラを標的とする攻撃が活発に行われており、エクスプロイトされると管理者への特権昇格の危険性があると Microsoft 社が注意喚起しました。また、Exchange Server の脆弱性も引き続き Babuk ランサムウェアの標的になっています。米国の警察当局が、Kaseya 社のサプライチェーン攻撃に関与した容疑で REvil 脅威グループの構成メンバー 2 名を逮捕しました。また、REvil のリーダーの逮捕につながる情報に対して新たに 1,000 万ドルの報奨金を支払うことも発表しています。米国で 1 兆ドルの大規模なインフラストラクチャ法案が正式署名され、サイバーセキュリティに対して新たに 20 億ドルが投じられることになりました。2022 年には、地方政府が助成金を申請して重要インフラの保護強化とサイバーセキュリティのトレーニングを行えます。今年初めに国際警察機関が Emotet を活動停止に追い込んでいましたが、そのボットネットが息を吹き返していることが判明しました。

	12 月 Talos は、「Magnat」と呼んでいる攻撃者による一連のマルウェア攻撃を確認しました。この攻撃者は偽の Google Chrome ブラウザ拡張機能を感染させます。 Log4j の脆弱性のせいであらゆる人のホリデーシーズンが台無しになりました。セキュリティ担当者は残業を余儀なくされ、開発担当者は大量のパッチ適用に追われました。Log4j の最新情報については、Talos のブログをご覧ください。

2021 年のマルウェアとサイバー攻撃を振り返る：SolarWinds から Log4j まで

1 月

2 月

3 月

4 月

5 月

6 月

7 月

8 月

9 月

10 月

11 月

12 月

Authors

TALOS Japan