ランサムウェアの脅威が後退傾向–Trellixの脅威レポート

今回は「ランサムウェアの脅威が後退傾向–Trellixの脅威レポート」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 セキュリティ企業のTrellixは8月4日、2021年1~3月期のセキュリティ脅威動向レポートを発表した。それによれば、主たるランサムウェアの活動が後退傾向にあることが分かったとしている。

 同日記者会見したセールスエンジニアリング シニアディレクターの櫻井秀光氏によると、1月にランサムウェア犯罪を行う「REvil」グループのメンバーが逮捕されたことで、ランサムウェア被害組織の身代金の支払いが減少したという。主たるランサムウェアファミリーの「Lockbit」では44%、「Conti」では37%、「Cuba」では55%と、それぞれにインフラへのクエリー数が2021年10~12月期よりも減少していた。

 この結果について櫻井氏は、主たるランサムウェアファミリーで感染が減少していることを示唆していると解説。ランサムウェア攻撃の主な目的が被害者から金銭を獲得することにあるため、「対策が進み、身代金を支払わないことが犯罪者を弱体化させる有効な対処法になる」とした。

 ただ、期中にランサムウェアが多く検出された業界は、通信の53%を筆頭に、コンサルティングやITなどの法人向けサービス事業者、メディア、金融、運輸および流通の順に多かった。この傾向はマルウェア全体も同様で、サイバー攻撃者が複数の業界・企業を同時多発的に狙う特徴的な動きだという。

 また期中にはサイバー犯罪者グループ「Conti」に関すると見られる内部資料がインターネット上に流出した。セキュリティ各社の分析から、Contiはかねてから指摘されていたようにロシアの諜報組織との関係性が裏付けられたとし、同グループがロシア側に忠実であることや、ロシアの諜報組織がContiにさまざまな指示を行っていたことが明るみなった。

 2021年4~6月期にはContiのサイバー攻撃インフラが解体された。ただし、Contiの主要メンバーらが拘束されてはおらず、櫻井氏はConti側が今後インフラを再構築して活動を再開させる可能性があると指摘し、「金銭の獲得や支援国家の意思を受けた攻撃を引き続き実行すると見られ、Contiが用いる戦術や手法、技術などを理解して事前に備える必要がある」と解説した。

 この他には、OSなどに標準搭載されている正規ツールを悪用する「環境寄生型」と呼ばれる攻撃も引き続き活発だった。期中に頻繁に使用されたツールは、「Windows Command Shell」が41.9%、「PowerShell」が37.14%、「Remote Access Tool」が20.48%だった。環境寄生型を用いるのは、「APT41」(39%)や「Gamaredon Group」(39%)、「APT35」(33%)といった攻撃者になるという。

 Trellixは、旧McAfeeの法人向け事業部門と旧FireEyeのセキュリティ機器部門の統合で発足しており、今回の発表では旧FireEyeが担っていたメールセキュリティ領域の動向も紹介された。

 櫻井氏によると、攻撃者にとってメールが標的のコンピューターへまず侵入するための主な手段になる。現在でも同社セキュリティ製品で検知される悪質なメールの大半に、フィシングサイトへの誘導やマルウェアダウンロードのためのURLが記載されており、URLだけなく悪質なファイルを添付して送り付けるケースも依然として少なくない。同社が検知した悪質な添付ファイルは、リッチテキスト(RTF)が50.76%で最も多く、Office関連が31.25%、Object Linking and Embedding(OLE)が17.99%と続いた。

 また、正規ユーザーになりすましてクラウドサービス上で不正行為をするために、認証情報(クレデンシャル)を盗む目的でもメールによるフィッシングが多用されている。櫻井氏は、こうした手法ではメール内のURLから誘導される偽サイトの多くが「HTTPS」の暗号化通信を導入していると指摘した。従来のメールセキュリティ対策では、暗号化通信の中身を復号して検査することが難しい(機能が対応していない、処理負荷による運用支障で機能が使われていない、などの理由が考えられる)としている。

 不審なメールやファイルなどがユーザーの手元に到達する前に「サンドボックス」と呼ばれる仮想コンピューター空間で実行することで悪性を検知する対策についても、攻撃者側はサンドボックスが対応していないアーカイブ形式やスクリプトを用いて検知を回避するようになってきているという。

 このようにメールを悪用するサイバー攻撃手法は高度化しており、櫻井氏は、URLのクリックから誘導されるウェブサイトの状態までも詳細に解析して悪性かどうかを判断する対策技術や、不審なファイルを実行することで具体的にどのような流れで攻撃が行われるかを分析する動的解析技術などを活用することが重要だとした。

 ビジネスシーンではメールによるコミュニケーションが今も中心であるだけに、「メールが脅威の主要な侵入口であり、メールセキュリティ対策を強く意識していただきたい」と述べている。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
唾液とアプリだけで迅速・正確な新型コロナの検査を可能にする英Vatic
ヘルステック
2021-07-12 23:11
F5のBIG-IPなどに複数の脆弱性–早期対応を
IT関連
2021-03-23 14:07
ニコ動、一般会員の投稿上限数を最大「無制限」に もともとはプレミアム会員の特典
企業・業界動向
2021-08-14 01:19
UberがドライバーにRosetta Stoneの語学レッスンを無料で提供へ
シェアリングエコノミー
2021-07-31 15:45
バイデン氏がビッグテックの「悪質な合併」阻止目指す大統領令に署名、過去のM&Aにも異議の可能性
パブリック / ダイバーシティ
2021-07-13 19:45
パートナーも含めた「四方よし」を目指す–日本オラクルがSaaS事業戦略
IT関連
2021-08-06 22:18
多くの企業のクラウド化を実現してきたCIerがモダンマネジメント/フルクラウド化を円滑に進めるためのヒントを公開 :5G搭載!“ARM版Windows 10”特集 第二弾
PR
2021-06-30 20:32
最新のITインフラに自信がある企業は2割強–IDC調査
IT関連
2021-03-23 20:34
あおぞら銀行、社給スマホの導入・運用コストを削減–BYODで安全に業務遂行
IT関連
2022-08-10 15:42
Microsoft、悪意あるドライバーに誤って署名(被害は未確認)
アプリ・Web
2021-06-29 05:30
伊藤園と富士通、AI画像解析で茶葉の摘採時期を判断する技術開発
IT関連
2022-05-14 18:55
ジョン・マカフィー氏、バルセロナの獄中で自殺
企業・業界動向
2021-06-25 01:58
インド最高裁がFutureとRelianceの3740億円の取引を停止する判決、アマゾンを支持
その他
2021-08-09 12:23
サプライチェーンで考えるセキュリティリスク管理と責任共有モデルの可能性
IT関連
2021-05-14 06:57