大規昨年は、サイバーセキュリティに携わるだれもがそうであったように、Cisco Talos インシデント対応チーム(CTIR)もさまざまな脅威の対処に追われた 1 年でした。模なランサムウェア攻撃と重大なサイバーセキュリティ インシデントが世界各地の組織に影響を与えたわけですが、世界的なパンデミックを背景に、サイバーセキュリティでも課題が浮き彫りとなりました。今回のレポートでは、いつもの四半期ごとのインシデント対応の動向ではなく、2021 年全体の動向を見ていきます。今回の動向調査では次の点が明らかになりました。
- 最大の標的にされた業種はほぼ 1 年を通して医療でした。
- 2021 年全体で最大の脅威となったのはランサムウェアでした。
- 初期ベクトルとして最もよく確認されたのはインターネット向けアプリケーションの悪用とフィッシング攻撃でした。
- CTIR は、次の 4 件の重大なセキュリティインシデントに対応しました。
以上 4 件のうち、今のところ CTIR のお客様にとっては Microsoft Exchange の脆弱性が最も影響が大きいように思われます。この冬も依然として Exchange を利用したインシデントが確認されています。
標的
最大の標的にされた業種はほぼ 1 年を通して医療でした。ただ秋だけは例外で、地方自治体が最も頻繁に狙われました。2020 年後半に医療機関を標的にしたランサムウェア攻撃が続発しました。これを踏まえて、CTIR は 2021 年も引き続き年間を通して医療業界が最大の標的になるだろうと予測しました。医療業界を標的にした攻撃が続いているのは、医療機関のサイバーセキュリティ予算は不足していることが多く、ダウンタイムの許容度も極端に低いことが多いからです。特に後者については、コロナ禍が続く中、状況は悪くなる一方です。
脅威
2021 年は、ランサムウェアの脅威が猛威を振るいました。1 年を通して、ランサムウェア対応では新たな 2 つの動向が見られました。攻撃の急増と、市販のツールやオープンソースツールが多用されるようになったことです。
2020 年全体と 2021 年の初めに、数多くのインシデント対応業務で主に確認されたランサムウェアファミリは Ryuk でした。ところがその後 Ryuk は徐々に姿を消していき、過去 2 四半期には確認されていません。2021 年に沈静化したランサムウェアファミリは Ryuk だけではありません。DarkSide、BlackMatter、REvil、Maze も先ごろ活動を停止したか、名称を変更しました。こうした有名なランサムウェアの活動が衰退したためか、この冬はかつてないほど多様な攻撃者が確認されていたのですが、複数回確認されたファミリは 1 つもありませんでした。
秋ごろからランサムウェア攻撃者が急増したほか、市販のツール、オープンソースツール、環境寄生バイナリ(LoLBin)が使用される例も増えました。次のものがよく確認されました。
- Cobalt Strike
- ADFind
- ADRecon
- GMER
- Bloodhound/Sharphound
- PowerShell
- PCHunter
- 7-Zip
- WinRAR
- Windows Management Instrumentation
- RDP
- Rubeus
- TeamViewer
初期ベクトル
2020 年と同じく 2021 年も、ログを適切に記録していない組織が多く、大半のインシデント対応業務では初期ベクトルや根本原因を突き止めることが困難でした。それでも合理的に考えると、初期ベクトルとして最も多かったのはインターネット向けアプリケーションの悪用とフィッシングでした。
エクスプロイトが頻発したのは、多くの組織に広く導入されているソフトウェアで重大なセキュリティの脆弱性がいくつも発覚したことなどが理由です。中でも Microsoft Exchange の脆弱性に懸念が集まり、インシデント対応業務が連鎖的に発生しました。
一方で、初期感染のよくある手段としてランサムウェアが使用されるためか、フィッシング攻撃が増えました。実際、2021 年全体の脅威の大半がランサムウェアで占められています。2021 年もビジネスメール詐欺が増えました。とりわけ秋に顕著で、初期ベクトルが電子メールに偏っていました。
重大なセキュリティインシデント
世界的なパンデミックの下で業務を行い、絶え間なく進化し巧妙になる一方のランサムウェアの脅威に対処しているとストレスがたまります。それでも、CTIR は世界各地の組織に影響を与えた 4 件の重大なセキュリティインシデントに対応しました。具体的には次のものです。
- 2020 年 12 月、巧妙なサプライチェーン攻撃がありました。SolarWinds Orion ソフトウェアの更新プログラムをトロイの木馬として悪用し、被害者のネットワークにアクセスするというものでした。多くの大企業や米国政府機関が標的となりました。
- 2021 年 3 月、Microsoft Exchange Server のゼロデイ脆弱性に関連した脅威活動の事例が増加し、CTIR が対応にあたりました。
- 2021 年 7 月、ランサムウェアグループ REvil が Kaseya 社を攻撃しました。マネージド サービス プロバイダ(MSP)に IT ソリューションを提供している企業です。クライアントの IT サービスを管理する MSP が標的となったため、1,500 以上の組織が被害を受けました。
- 2021 年 12 月、人気ユーティリティである Apache Foundation Log4j に潜むリモートコード実行の重大な脆弱性をスキャンして悪用する攻撃が発生し始めました。
以上 4 件の重大なインシデントのうち、CTIR のお客様にとっては Microsoft Exchange の脆弱性が最も影響が大きく、春先に確認されたインシデント全体の 35% を占めています。幸いインシデントの大部分はスキャンに関連するもので、ファイルの暗号化やデータ漏洩の証拠などの侵入後のアクティビティではありませんでした。
Exchange の脆弱性は 2021 年 3 月に公開されましたが、CTIR はその後も Exchange を利用して最初のアクセスを獲得するというインシデントを確認しました。冬に、Microsoft Exchange を悪用したインシデントが少なくとも 3 件確認されました。このうち少なくとも 2 件は、Exchange Server の Exchange Web Services(EWS)機能を悪用し、組織内でフィッシングメールを送信していました。残る 1 件は、ProxyShell の脆弱性を構成する 3 つ目の脆弱性 CVE-2021-31207 をエクスプロイトして Web シェルを実行し、ランサムウェアを配布していました。
これまでのところ、侵入後のアクティビティや攻撃活動など Log4j 関連で CTIR が対応したインシデントの件数はごく限られていますが、Conti のような攻撃者が依然として Log4j エクスプロイトをツールキットに組み込んでいるため、CTIR は現在も警戒を続けています。
なお、こうした事態が CTIR にとりわけ大きな影響を与えたのは事実ですが、2021 年に他に重大なセキュリティインシデントがなかったということではありません。たとえば DarkSide ランサムウェアグループが 5 月に Colonial Pipeline 社を標的にしました。パイプラインは操業停止に追い込まれ、全米でパニック買いが起きました。重要インフラが標的にされたらどうなるか、ランサムウェアの脅威を見せつけられました。
セキュリティの脆弱性
2021 年はランサムウェア対応が急増しました。これを踏まえて CTIR は、多要素認証(MFA)が導入されていないことは、企業のセキュリティにとって依然として最大の障害の 1 つであると強調しました。これまで、重要なサービスで MFA を利用していれば防止できたはずのランサムウェアのインシデントを数多く見てきました。可能な限り MFA を導入するよう、CTIR は組織に働きかけています。
今後の見通し:2022 年
2022 年も、2021 年と同じく対応業務に忙殺されるだろうと見ています。CTIR のインシデント対応件数に影響を与えた根本的な要因はこれからも変わらないでしょうし、増える可能性もあるからです。現在、2022 年に向けて次の動向を注視しています。
- Log4j の脆弱性についてはお客様やセキュリティコミュニティがそろって懸念を示していますが、CTIR がこれまでに確認した侵入後のアクティビティや攻撃活動はあまり多くありません。ただ、2022 年に関連するインシデントが増えるだろうことは容易に想像がつきます。多くの研究者が指摘しているとおり、Log4j が企業内で広く使用されていること、あらゆる脆弱性を見つけてパッチを適用することが難しい組織もあること、また Log4j を利用し始めた APT がすでに報告されていることを考えると、このインシデントの影響は広範囲に及ぶことになりそうです。多くの攻撃者が Log4j を介して被害者のネットワークにアクセスすると思われます。高度な脅威アクターがよくそうするように、まずは偵察してから今後の攻撃を計画するため、数か月は潜伏したまま活動しません。したがって Log4j 関連の CTIR の対応業務はまだ多くありませんが、今後は Log4j を初期感染ベクトルとするインシデントが確認されることになりそうです。
- サプライチェーンとサードパーティのリスクを考えると、2021 年はこれから起きることの前触れではないかと思われます。数え切れないほどの企業向け製品に組み込まれている大規模な MSP やオープンソースソフトウェアが標的にされた場合、被害が大きく拡大する可能性があります。サプライチェーンとサードパーティのリスクが引き続き企業のセキュリティにとって大きな脅威となると思われます。APT からランサムウェアグループに至るまで数多くの攻撃者が価値の高い標的に狙いを定めて攻撃を実行するからです。
- 先ごろ Emotet ボットネットが復活しました。ランサムウェア攻撃と何か新たなつながりがあるのか、そのうち監視することになるでしょう。Emotet を使用して Conti を配布している可能性が一部のセキュリティ研究者の間で指摘されていますが、CTIR のインシデント対応業務ではまだその指摘を裏付ける事実を確認していません。ただし、Emotet は感染後すぐに Cobalt Strike をドロップすることが先ごろ確認されています。Cobalt Strike を使用すれば、より簡単にラテラルムーブメントを行って重要なアセットにランサムウェアを仕掛けられるようになります。
- CTIR は、ジョー・バイデン大統領がランサムウェアの脅威への対抗策として打ち出した政府一丸のアプローチの影響も注視しています。これまでのところ、財務省や司法省をはじめとする行政機関により、ランサムウェア攻撃者の能力を阻止する構想が立てられています。こうした構想の多くが、今はまだ現れていない波及効果をもたらす可能性があります。米国当局がランサムウェアの脅威への対抗策を優先していることから、活動を停止する、新しい名称に変更する、RaaS 活動に参加するメンバーを厳しく制限する、攻撃が発覚しないような対策を強化するといったグループが今後も出てくるのではないかと見ています。また、これに関連した動きとして、法執行機関が先ごろ実施した REvil などのランサムウェア攻撃者の取り締まりを受けてアンダーグラウンドのサイバー犯罪フォーラムがどう変化するのか監視を続けています。XSS や Exploit のようにランサムウェア関連の販売に対する制限を強化する措置(投稿の削除やユーザーの禁止など)を講じているフォーラムもあれば、RAMP のようにそうした措置は取らないと明言しているフォーラムもあります。こうした変化がランサムウェアをめぐる脅威に影響を与える可能性があります。新手の攻撃者と身代金交渉が増え、オープンソースでのランサムウェアグループの監視が広まるのか、特に米国当局がランサムウェア攻撃者を阻止する目的でこのまま積極的に新たな措置を講じた場合、2021 年に見られた状況になるのかが注目されます。
本稿は 2022 年 01 月 22 日に Talos Group のブログに投稿された「Talos Incident Response year-in-review for 2021」の抄訳です。