BlackBerryは、昨年2月末に人工知能(AI)を応用したセキュリティソフトベンダーであるCylanceを買収。現在は、Cylanceを含めてエンタープライズセキュリティソリューションを提供するSpark部門、自動運転などの組み込み型OSであるQNXを擁するIoTソリューション部門などが主要な事業となっている。
BlackBerry CylanceがAPT攻撃に関する脅威レポート
標的型攻撃の被害が拡大、攻撃手法はより巧妙化
2020.05.01−BlackBerryは4月23日、「BlackBerry Cylance 2020年脅威レポート」の日本語版を公開したと発表した。主に、APT(高度で継続的な脅威)攻撃と呼ばれる標的型攻撃を対象に、その攻撃技術と戦術を検証したもの。2019年のトレンドとして、国家の支援を受けた攻撃グループの活動が活発化していること、危険な攻撃ツールが容易に入手できるようになってきていること、自動車業界と小売業界を標的とする攻撃が目立っていることなどを指摘している。2020年の予想としては、クライムウエア、ランサムウエア攻撃が引き続き増加し、企業や政府機関が狙われる傾向が続くこと、国家支援による標的型攻撃がさらに拡大するとみている。
BlackBerryは、昨年2月末に人工知能(AI)を応用したセキュリティソフトベンダーであるCylanceを買収。現在は、Cylanceを含めてエンタープライズセキュリティソリューションを提供するSpark部門、自動運転などの組み込み型OSであるQNXを擁するIoTソリューション部門などが主要な事業となっている。
今回のレポートは、BlackBerry Cylanceの脅威解析チームが分析したもの。米国、欧州、日本にリサーチセンターを置き、24時間体制でネットワーク上の脅威を調べている。
まず、2019年の主要なインシデントとして、ベトナムの攻撃グループOceanLotus/APT32が多国籍自動車産業を標的とした攻撃を展開した。知的財産を狙ってもので、ベトナムの国内自動車産業を支援することが目的だとみられている。また、ロシアの攻撃グループAPT28は、オリンピックなどに関連して世界アンチ・ドーピング機構(WADA)へ2度目の攻撃を行ったほか、ロシアチームの参加動向を探る動きもみられたという。
さて、2019年のAPT攻撃では、オープンソースや既成の商用ツールを悪用した攻撃がみられた。これは、侵入テストによく使われるツールで、テストされていると思って警戒感を弱める心理的な隙を突いたもの。また、ランサムウエアが使われるケースも多く、個人を標的にするよりも大企業や政府機関を狙った脅迫が増えたという。
攻撃手法としては、ホスト依存型の暗号技術を使用してマルウエアを難読化する試みや、現地調達型攻撃(LotL)と呼ばれ、感染したマシンの中にあるファイルやツールを使ってネットワーク上の他のマシンから情報を盗もうとするものもあった。また、画像データに断片的にマルウエアのコードを埋め込んでおき、抽出・再構成してメモリー上で実行させるステガノグラフィと呼ばれる手法もある。これは、画像だけでなく音声ファイルでも実施可能で、マルウエア自体がそのまま存在しないため、検出が困難であり、メモリー上をサーチするセキュリティが必要になる。さらに、AI検知を回避するための敵対的機械学習もみられた。Cylanceとしては、トレーニングセットの拡張や特徴空間の洗練化などで対策を講じているという。
攻撃手法のトレンドをみると、主な目的は金銭であり、相変わらずフィッシング攻撃が多い。攻撃全体の32%、実際に被害が出たケースの80%はフィッシングによるもので、特定の標的を定めたスピアフィッシングも増えている。ランサムウエアは簡単につくることができるようになっており、すぐに使えるランサムウエア・アズ・ア・サービスも登場している。
APTで標的にされる業種はさまざまだが、攻撃者は知的財産を盗むことを目的としており、4分の1以上(26%)のランサムウエアの被害者はテクノロジー企業だった。また、ヘルスケア関連も標的で、医療データは重要性が高いため、他の業界よりも身代金を支払う傾向があったという。膨大な個人情報を保持している官公庁への攻撃も多い。国家の重要インフラに対する連鎖的な影響のみならず、個人への影響も大きいため深刻度が高い。個人情報を盗むという意味では、小売業や金融業も主要な標的となっている。医療機関などでは、セキュリティ的に脆弱なレガシーシステムが使われていることもあり、セキュリティ対策のリソースも不足している。現在、新型コロナウイルス感染症拡大で世界中の医療機関はひっ迫しているが、同社では「サイバー犯罪者には良心はない。むしろ絶好の機会だと考えているだろう」とコメントしている。
一方、Windowsを標的にした攻撃では、ウイルスメールを添付して、オフィスソフトの不正なマクロを実行させる手口が主流。ただ、最近のマクロは難読化されており、不要なコードをたくさん挿入したり、他のモジュールに変数が格納されていたりして、検出が難しくなっている。マクロを止めるスクリプトコントロールが重要になっているという。そのほか、Linuxへの攻撃も深刻化している。とくに、中国の攻撃グループが活発に動いており、基幹系で運用されているLinuxサーバーを戦略的に標的にしているという。オープンソースなのでより安全だという考え方もあるが、専門家を抱えてしっかりセキュリティ対策することが重要だとしている。
******
<関連リンク>:
BlackBerry(日本語トップページ)
https://www.blackberry.com/ja/jp
BlackBerry(脅威レポート日本語版ダウンロードページ)
https://www.blackberry.com/ja/jp/forms/cylance/gated-content/2020-threat-report
