セキュリティの
学び場

今回の解説ニュース

2021年のセキュリティ動向として、主にマルウェアについて公開されています。今年に入っても被害が減らない、マルウェアの傾向や対策について説明します。

今回のレポートは、2021年の脅威動向の主なトピックとして、主要な標的型ランサムウェア3種の検出台数が全世界で昨年比287％増に、日本だけでも167%増となったことを紹介しています。また、2021年11月に活動を再開したEmotetは、国内でも12月からマルウェアスパムによる拡散が拡大し、国内検出台数は2,400台以上に増加、2022年に入っても爆発的に検出台数が増加したことを取り上げています。

その他、多くの企業や組織でクラウドサービスの意図しない設定ミスによる情報漏えいや設定の隙を突いたサイバー攻撃が国内外で多数報告されたことを取り上げ、AWS、Azure、GCPの設定ミス発生率をグラフで掲載しています。

検出数が前年比287%増、主要標的型ランサムウェア3種の特徴

レポートで挙げられている、ランサムウェア3種のREvil、LockBit、Contiについて説明します。

REvil

被害者のネットワークからデータを盗みだし、ネット上に流出させると脅す「二重脅迫型」のランサムウェアです。REvilに感染すると、ファイルを暗号化して使用不可能にした上で、バックアップファイルも削除し、自力では復旧できないようにします。さらに、REvilはセキュリティ対策による検知をかいくぐる複数の機能が実装されており、検知することが難しいと言われています。

LockBit

REvilと同様に二重脅迫型のランサムウェアです。Active Directoryのグループポリシーを悪用することで、Windowsドメインに参加しているWindows端末を自動的に暗号化する機能が実装されています。さらに攻撃者は、有効なリモートデスクトップのアカウントを悪用して、被害者のシステムにアクセスすることもできるということです。過去に発生したインシデントとして、VPN装置が侵入の起点となった事例が確認されています。

Conti

同様に二重脅迫型のランサムウェアです。Windowsをターゲットにしており、フィッシングやリモートデスクトップなどを経由して侵入を試みますが、Log4jの脆弱性も悪用していると言われています。バックアップを削除してデータを復元できないようにするだけではなく、Windows Defenderをアンインストールして検知されることから逃れようとします。

偶然かもしれませんが、どのランサムウェアもロシアの攻撃者グループが関与していると言われており、現在の世界情勢にも少なからず影響を与えているのではないかと考えられます。

感染を防ぐには全て同じでいいの？マルウェアの基本対策

マルウェアの基本的な対策としては、主に入口対策と出口対策に分かれます。ただし、最新のマルウェアに対応するためには、人の対策が求められます。

外部からの侵入を阻止する「入口対策」

入口対策とは、マルウェア感染やサイバー攻撃による侵入を防ぐ対策です。ファイアウォールやアンチウイルスなどをゲートウェイやエンドポイントに導入することで、外部からの侵入をシステムの入口で阻止します。例えば、皆さんが風邪をひきたくないなと思った際に、マスクをしたり、予防接種をしたりしますね。外から体に菌が入らないようにしたり、排除したりすることが目的と思われますが、これがセキュリティの入口対策となります。

サイバー攻撃後に被害の発生を防ぐための「出口対策」

一方で、出口対策とは、マルウェア感染やサイバー攻撃の侵入後に、被害の発生を防ぐ対策です。入口対策を突破されてシステムに侵入された際に、外部への不審な通信を遮断したり、ログを監視して異常な通信を検知したりします。例えば、皆さんはいつも元気だと思っていても、体に異常がないか定期的に健康診断を受けていますね。病気の対策をしていても、自覚症状がなくても、異常があればすぐに発見できることが目的と思われますが、これがセキュリティの出口対策となります。

日々続く「いたちごっこ」セキュリティ対策は不可欠

ただし、マルウェアも日々進化しており、技術的なセキュリティ対策をかいくぐる、いたちごっこの状態が続いています。こちらでも何度もお伝えしているEmotetでは、パスワード付きZIPでセキュリティチェックを回避して、最も弱い人の判断をついて感染を広げています。最後は、システムを利用する人の対策であるセキュリティ教育が欠かせないことになります。

今回は、被害の減らないマルウェアの傾向や対策についてお届けしました