Embed Size (px)
Citation preview
フォーティネット 脅威レポート2019年第 4四半期版
フォーティネット脅威レポート 2019年第 4四半期版
2
目次
概説 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
第 4四半期に検知数が上位だった脅威 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
第 4四半期の注目すべき新たな動き . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
探索的分析: スパムメールはどこから来てどこへ行くのか . . . . . . . . . . . . . . . . 13
3
フォーティネット脅威レポート 2019年第 4四半期版
2019年第 4四半期の概説
サイバー脅威が心配で眠れぬ夜を過している方もいらっしゃるのではないでしょうか。最優先で対処すべき脅威と後回しでも良い脅威の判断に
苦慮することも多いかもしれません。このような問題には誰もが頭を悩ませており、最も情報に通じた人でさえ時には答えを見つけるために追
加の情報が必要になります。そうした要望に応えるべく、フォーティネットはこの脅威レポートを公開してフォーティネットの研究者が分析し
た脅威とトレンドを詳しく説明しています。本レポートの内容の一部を以下にご紹介します。
検知数が上位の脅威
第 3四半期に最も高いレベルの活動を記録した脅威は何でしょうか。今に始まったものではない脅威、また警戒すべき新しい脅威は何でしょうか。フォーティネットのセンサーで収集し確認された数十億件規模のエクスプロイトやマルウェア、ボットネットのイベントを詳しく調査することで、フォーティネットはこれらの緊急課題に取り組んでいます。
あまりチャーミングではない子猫
Charming Kitten(別名 APT35)はキュートな名前の犯罪集団ですが、その性質はあまりキュートではありません。少なくとも 2014年から活動しているこの集団による最新の活動は、米国の大統領選挙戦に関連した特定のメールアカウントに対する一連の攻撃です。これは、選挙妨害ビジネスに向けてイランのサイバー犯罪者が爪を研いでいることを示唆しています。
新たな「Blue」問題
今後の展開が危惧される要素の 1つとして、Microsoftの RDP(Remote
Desktop Protocol)に存在する重大な脆弱性「BlueKeep」を悪用する機能が EternalBlueダウンローダーに追加されたことが挙げられます。この状況は、WannaCryランサムウェアと NotPetyaランサムウェアの感染拡大を引き起こした EternalBlueエクスプロイトのケースに不気味なほど似ています。専門家は、この最新の「Blue」によって同様の広範な攻撃が開始されることを危惧しています。
スパムメールはどこから来てどこへ行くのか
第 4四半期の調査分析では、FortiMailメールゲートウェイからのデータについて掘り下げます。最も多くのスパムを生み出しているのはどの国で、配信先はどこなのか疑問に思ったことはないでしょうか。本レポートでは、そうした疑問にもお答えしています。
ランサムウェアの死
永遠に消え去る「死」ではありません。金のなる木であるランサムウェアをサイバー犯罪者が手放すことはないでしょう。ここで言う「死(death)」とは、第 3四半期に出現した「DeathRansom」マルウェアのことです。このランサムウェアはあらゆる機能を備えているように見えますが、当初、ファイルの暗号化だけは行いませんでした。そのため、本物のランサムウェアではないと言う人もいます。フォーティネットは、この話がどの程度真実なのか、またその名前にふさわしいランサムウェアなのかどうかを検証します。
WIFICAMのミステリー
優れた「ミステリー小説」は誰もが大好きです。脅威研究者も例外ではありません。一見ありふれたネットワークカメラによるエクスプロイトの検知が第 4四半期に急増したことをきっかけに、何が起きていて背後にいるのは誰なのかをフォーティネットが注目することになりました。これは、単純明快な「事件」ではありません。見逃すには惜しい陰謀と予期せぬ展開に満ちています。
CMSにのしかかる新たなストレス
コンテンツ管理システム(CMS)の脆弱性についてはこれまで何度か報告していますが、侵入防止システム(IPS)による第 4四半期の検知ターゲット上位 5つのうち、4つを CMSの脆弱が占めているという事実を受け、フォーティネットは再度検証することになりました。本レポートでは、エクスプロイトチャートを上昇中のフォーラム構築用最新プラットフォーム、vBulletinに焦点を当てています。
4
フォーティネット脅威レポート 2019年第 4四半期版
第 4四半期に検知数が上位だった脅威本レポートで紹介する調査結果は、世界中の本番環境で観察された数十億件の脅威イベントを収集しているさまざまなネットワークセンサーから取得された、FortiGuard Labsの脅威インテリジェンスに基づくものです。第三者機関の調査によれば *1、フォーティネットはセキュリティデバイス出荷数において業界最大を達成しています。このフォーティネット独自の利点を活かした複数の観点から脅威の概観を提示する本レポートをお読みいただくことで、2019年第 4四半期のサイバー脅威環境がどのようなものであったかを理解していただけるはずです。
エクスプロイトの検知
エクスプロイト検知のトレンドからは、脆弱なシステムを偵察して感染させようとする敵対的な行動が明らかになっています。2019年第 4四半期も多くの脅威が検知されましたが、そのいずれについても、必ずしも攻撃が成功したことを示すものではありません。しかし、現在どのタイプの脆弱性とシステムが標的になっているのかを知ることはできます。2019年第 4四半期にエクスプロイト活動の標的となった上位のプラットフォームとテクノロジーを、検知率(横軸)と件数(縦軸)に従って図 1に示します。
左上隅で突出しているのは、Adaptive Security Appliancesの SIP(Session Initiation Protocol)検査モジュールの脆弱性(CVE-2019-12678)を悪用しようとする試みで、最大件数を記録しました。攻撃が成功すると、DoS(サービス拒否)状態が発生します。検知率が中程度であるにもかかわらず、このエクスプロイトの件数がこれほど多いのは、このためです。
HTTP.Server検知グループにはいくつかのシグネチャが含まれますが、大部分を占めていたのは過度に長い HTTP Authorization値の検知を示すシグネチャでした。攻撃が成功すると、リモートの攻撃者がWebサーバーのコンテキスト内で任意のコードを実行したり、影響を受けるアプリケーションをクラッシュさせたり、または正規ユーザーに対するサービスを拒否したりする可能性があります。
右下には、いくつかの無線カメラモデル(WIFICAM)で発見された複数の脆弱性を標的とするエクスプロイトがあります。この活動には、単独で分析する価値があると思われる側面がいくつかあります。詳細については、後述の「第 4四半期の注目すべき新たな動き」セクションをご覧ください。
図 1:2019年第 4四半期のエクスプロイト活動の標的となった上位 25のテクノロジー(グローバルの検知率と件数別)
Dasan.GPONPhpMoAdmin.moadminPHP.CGI OpenSSL.HeartbleedMS.O�ice Java.DebugObfuscated.Rich
MS.IISMikroTik.RouterOSZivif.PR115-204-P-RS
Generic.XXE
Apache.TomcatDrupal.Core
Oracle.WebLogicRed.Hat
MS.WindowsHTTP.Request Joomla!.Core
ThinkPHP.ControllervBulletin.Routestring Apache.Struts
Bash.FunctionWIFICAM.P2P
HTTP.Server
Cisco.Adaptive
99パーセンタイル
99.9パーセンタイル
100パーセンタイル
1 / 100 1 / 33 1 / 10 1 / 3
組織における検知率
件数
*1 IDC Worldwide Security Appliances Tracker – 2019年 3月(年間出荷台数に基づく)
5
フォーティネット脅威レポート 2019年第 4四半期版
図 1の右側の集団は、検知したことを報告する企業の割合の観点から、最も広く拡散している IPSの検知を表しています。最も検知数の多い 5つのエクスプロイトのうち 4つは、ThinkPHP、Joomla、Drupal、vBulletinなどの一般的な CMSの脆弱性を標的としています。最初の 3つについては過去のレポートで何度も取り上げてきました。これらはしつこく存在し続けておりその重要性を軽視するつもりはありませんが、第 4四半期は4つ目を重点的に扱うことにしました。vBulletinの詳細については、「注目すべき新たな動き」のセクションをご覧ください。
ブラックハットとレッドチームは、2年以上前の Equifaxの事件以降 Apache Strutsの脆弱性を熱心にスキャンし続けています。この脆弱性がお客様の環境にまだ存在している場合は、今すぐ読むのをやめて脆弱性の対処に取り組む必要があります。
上記が第 4四半期に最も広く拡散したエクスプロイトの上位 5つですが、多くの方は 6位以下の情報も希望されていることと思います。図 2は、その調査結果をより分かりやすく有用な情報として示したものです。この図では、地域間で検知率を比較することができます。
グラフの上部で目的の地域を見つけてから、脅威別のリストを下に向かって見ていきます。ほとんどの場合、上位 5位くらいまでの脅威には地域差がないことにお気付きだと思います。これは、広い IP範囲で ThinkPHPの脆弱性をスキャンするなどの日和見的な性質を反映しています。しかし、下位の方では様子が異なります。依然として標的型攻撃を示すものではありませんが、このような差異は、テクノロジーの導入状況、システム構成、セキュリティ体制、およびその他のさまざまな要素に起因します。
図 2:2019年第 4四半期の IPSによる検知率上位 25(地域別の検知率)
8.2%10.7%
11.5%
12.9%
13.0%
13.0%
13.0%
13.1%13.2%
13.2% 13.6%13.7%
13.7%
14.1%
14.1%
14.2%
14.6%14.7%15.2%
15.5%
15.5%
15.6%15.9%
15.9%
16.1%
16.3%
16.3%
16.4%
16.5%
16.6%16.6%
16.7%
16.7%17.1%17.2%
17.3%
17.4%17.5%
17.6%
17.7%
17.7%17.8%
18.1%18.1%
18.2%
18.2%
18.3%
18.4%
18.6%18.7%
18.8%
19.1%19.1%
19.2%
19.3%
19.3%
19.3%
19.4%
19.4%
19.5%
19.5%
19.5%
19.5%
19.6%
19.7%
19.9%
20.0%
20.0%20.0%
20.1%
20.1%
20.2%
20.3%
20.5%%1.12 %9.02
21.3%
21.8%
22.1%
22.5%
23.2%
23.6%
23.7%
23.8%
24.2%
24.7% 25.2% 25.4%
25.7%
26.5%
27.9%28.6%
28.8%28.8%
28.8%28.9% 29.0%29.3%
29.4%
30.6%
30.7%30.8%
30.9%
31.2%31.3%
32.1%32.6%
32.7%32.7%33.1%
33.2%
33.3%
33.8%
33.9%34.6%
34.8%35.0%35.3%
35.3%
36.4%
36.6%
36.9%37.5%
37.6%
37.6%
37.9%37.9%
38.2%38.8%39.1%
39.8%
40.0%
40.2% 40.5%41.0% 41.2%
42.5%42.5% 43.2%
44.5%
中東中南米 北米アジアアフリカ ヨーロッパ オセアニア
PHP.CGIMS.O�ice
AWStats.ConfigdirAlcatel-Lucent.OmniPCX
Plone.ZopeOpenSSL.Heartbleed
WIFICAM.P2PRed.Hat
Java.DebugPhpMoAdmin.moadmin
MS.IISApache.TomcatBash.FunctionDasan.GPONMS.WindowsApache.StrutsDrupal.CoreJoomla!.Core
vBulletin.RoutestringThinkPHP.Controller
マルウェアの検知
マルウェアのトレンドには、サイバー犯罪者の意図や能力が反映されるため、研究する価値は高いと言えます。エクスプロイトと同様に、フォーティネットのセンサーでマルウェアが検知されたとしても、必ずしもそれが実際の感染を示すものではなく、コードの武器化、あるいは標的とする個人やシステムへの拡散の試みを示していると考えられます。ネットワーク、アプリケーション、およびホストのレベルのさまざまなデバイスで、これらの試みを検知することができます。
図 3は、2019年第 4四半期に世界中の組織毎に最大の平均検知件数を記録したマルウェア亜種を示しています。マルウェアは反復し続ける性質を持っているため、マルウェア研究者やマルウェア対策製品の保守担当者以外の人にとって、ファイル名はほとんど意味がありません。このような専門グループに属さない方々も理解できるように、フォーティネットでは FortiGuard Labsによる用語解説 *2を公開しています。
図 3に概要を示していますので、マルウェアの名前の詳細を理解する必要はありません。たとえば、亜種のプレフィックスを見れば、その言語またはプラットフォームが分かります。Windows、Visual Basic、HTML、JavaScript、Adwareなどが名前の先頭に付いているのは、マルウェアが広範な攻撃ベクトルを介してさまざまなシステムを標的にするように設計されていることを意味します。マルウェアは革新的かつ急速に進化している脅威であり、私たち全員はその事実を肝に銘じておかなければなりません。
*2 FortiGuard Labsの用語解説(英語):https://fortiguard.com/encyclopedia
6
フォーティネット脅威レポート 2019年第 4四半期版
またこのグラフからは、マルウェアが世界中で均等には拡散されていないことも明らかです。当然ながら、これは攻撃者が標的にする地域が異なることが原因だと考えられます。確かにそれも要因の 1つではありますが、テクノロジーの導入状況、ユーザーの振る舞い、国および企業のポリシー、文化、さらには偶然の出来事によってもこうしたトレンドが形成されます。HTML/ScrInject.OCKK!trという亜種がその典型的な例です。 このトロイの木馬が南米の組織や個人を標的にした既知の攻撃で使用されたことは確認されていませんが、第 4四半期中には検知が急増しました(第 3四半期に最も件数が多かったのは北米でした)。
図 3:組織毎の地域別検知件数による、2019年第 4四半期のマルウェア亜種上位 25種
また、上位25以外で触れておくべきマルウェア亜種もいくつか確認されています。Dexphotはその1つです。このポリモーフィック型マルウェア(形
/ 機能を急速に変化させるマルウェア)は 2018年 10月に初めて発見され、それ以来、形を常に変えてファイルを展開することが観察されています。Dexphotのペイロードは、メモリ内でのみ実行され追跡が困難なクリプトマイナーです。そのポリモーフィックな性質と、監視および再感染の手法を利用する機能が組み合わさることで、このマルウェアの永続性は極めて高まります。Microsoftは Dexphotについて、最近の最も平凡なマルウェアツールでさえも高度で複雑であることを示すものだと説明しています。
もう 1つの例は、2019年 11月中旬に急増したMagentoの ECプラットフォームと CMSを標的とした、2つの悪意ある JavaScriptファイルです。この複合型のMagecartは、侵入した ECサイトにクレジットカードをスキミングする機能(スキマー)を配置するもので、第 4四半期に非常に活発な動きを見せました。Magecartを利用しているあるグループは、アクセスしたユーザーの追跡、広告の配信、サイト分析などに使用されるJavaScriptライブラリを介してスキマーを展開することが知られているため、これらが検知されたことでフォーティネットは強い関心を寄せました。
またこのやっかいなマルウェアのリストには、年末のボーナスや給与に関する偽メールを拡散する Trickbotがホリデーシーズンに戻ってきました。これらのメールの中には、Trickbotを含んだ悪意のある Google Driveドキュメントへのリンクが記載されています。Trickbotはここ数ヵ月で何度かコードが修正されており、標的を日本のモバイルデバイスとオンラインバンキングのユーザーに広げています。
「2019 Holiday Gift Everyone Wants But Nobody Needs(誰もが欲しがるけれど誰も必要としないホリデーギフト 2019)」の賞を受賞したのはAi.typeです。これは、キーボードのカスタマイズを可能にするAndroidアプリで、これまで4,000万回ダウンロードされています。このアプリは、ユーザーの知らないうちにさまざまな有料サービスに登録することが明らかになっており、Googleはこのアプリを Googleストアから削除しています。これまでに、1,400万件の不審なトランザクション(合計で 1,800万ドル以上)が Ai.typeから送信されていることが確認されています。
0.3
0.5
0.60.60.60.7
0.7
0.80.9
1
1
1.1
1.1
1.11.1
1.2
1.3
1.4
1.5
1.61.6
1.7
1.9
2 2.12.3
2.32.3
2.3
2.3
2.4
2.5
2.62.7
2.82.8
2.92.93
3
3.1
3.2
3.2
3.3
3.4
3.43.4
3.4
3.53.5
3.63.6
3.6
3.7
3.8
3.9
4.14.1
4.2
4.2
4.5
4.6
4.7
4.8
4.8
4.94.9
5
5
5.1
5.2
5.3
5.3
5.5
5.6
5.7
5.8
5.9
6.1
6.4
6.5
6.5
6.6
6.8
6.9
7
78.2
8.3
8.3
9.19.1
9.1
9.1
9.2
9.49.5
9.7
9.9
10
10
10.1
10.7
11.3
11.8
11.9
12.5
12.6
12.6
13.1
13.313.5
13.6
14.9
15
16
4.71 5.6117.7
19
19.1
20
20.7
20.9
21.9
22.124.5
31.2
31.631.7
32.4
32.7
44 7.33
45.1
48.159.7
81.483.6
163.8
HTML/Framer.INF!trW32/SillyFDC.A!worm
MSO�ice/CVE_2017_11882.B!exploitW32/Banker!tr.pws
W32/CrypterX.1A93!trW32/Glupteba.B!tr
MSO�ice/CVE_2017_11882.C!exploitVBA/Agent.F36A!tr.dldr
VBA/Agent.D5CD!trAdware/AdblockPlusVBA/Agent.IP!tr.dldr
VBA/Agent.136E!tr.dldrJS/ProxyChanger.ES!trW32/Frauder.ALT!tr.bdrVBA/Agent.NVE!tr.dldr
HTML/ScrInject.OCKK!trW32/Wintri!tr
W32/Injector.EHDJ!trVBA/Agent.QAP!tr.dldrW32/FlyAgent.K!tr.bdr
中東中南米 北米アジアアフリカ ヨーロッパ オセアニア
7
フォーティネット脅威レポート 2019年第 4四半期版
図 4:2019年第 4四半期に検知されたボットネット上位 25(グローバルな検知率と件数別)
ボットネットの検知
一般的にエクスプロイトとマルウェアのトレンドは感染前の攻撃の前兆を示すものであるのに対し、ボットネットのアクティビティはすでにそのボットネットに感染した事を示しています。システムが感染すると、リモートの不正ホストとの通信が頻繁に発生し、社内の環境でそのようなトラフィックが見つかった場合、何らかの不正な動きが進行していると考えられます。このデータセットには、失敗を教訓にするための重要な情報が隠されています。
2019年第 4四半期に最も活発だったボットネットには、見慣れた容疑者たちが並んでいます。ニュースとしての価値の点だけで言えば、これら上位のボットネットで注目すべきことはほとんどありません。大半のボットネットについて、フォーティネットは何年も前から分析 *3やブログ *4
などに書いてきました。では、テイクダウン(解体)するための共同作戦が実行されているにもかかわらず、これらのボットネットはなぜ力を維持し続けているのでしょうか。
ZeusJeefo FinFisher
RockloaderDorkbot Xtreme.RAT
njRAT MiraiRamnitNecurs Ganiw
Gh0st.RatMariposa
SalityGozi Pushdo
AAEH
NitolEmotet.Cridex
Conficker
H-worm
Sora XorDDOS
Torpig.Mebroot
Zeroaccess
99パーセンタイル
90パーセンタイル
100パーセンタイル
1 / 1000 1 / 100 1 / 10
組織における検知率
件数
1 / 1
99.5パーセンタイル
ボットネットとマルウェアは複雑に絡み合っていますが(マルウェア感染がボットネット拡大の種となっている)、この 2つの生存期間は大きく異なります。マルウェアは変化するように設計されています。したがって、検知を回避したり機能を追加したりするために少しずつ変更された亜種が絶えず出現します。一方ボットネットは、生き残って適応するように作られています。ボットネットのテイクダウン(解体)はギリシャ神話のヒュドラと戦うようなもので、コントロールノードを倒しても別のノードに取って代わられます。すべてのコントローラを何とか倒したとしても、コールホームしようとする感染ホストの大群がまだ残されています。
ZeroAccessボットネットがその典型的な例です。2011年半ばに誕生したボットネットが、今なおフォーティネットのセンサーで最大検知件数(検知率は最高ではありません)を記録し続けていることは注目に値します。システムに定着したボットネットは、そのボットネットを実行またはレンタルしている犯罪者の指示に従って、ホストを使用して追加のマルウェアのダウンロードや暗号通貨のマイニング、クリック詐欺などを実行します。また、感染したシステムに潜伏することを可能にするルートキット技術により、極めて長期間これらの機能を実行することができます。Gh0st RATや Miraiなどの主要なボットネットも同様です。
しかし、ここで重要なのは一時的に大騒ぎすることではなく、セキュリティ対策です。本レポートを最新の高度なボットネットを最先端の手法で分析した結果で埋め尽くしたいところですが、適切に監視されていないフラットネットワークでパッチ未適用のハードウェアやソフトウェアが稼働している旧型のシステムが、インターネットセキュリティを脅かしているという現実があります。今に始まったことではありませんが、この状況が変わらない限り図 4の内容も変わることはありません。
*3 Research: Disassembling Linux/Mirai.B!worm(英語):https://www.fortinet.com/blog/threat-research/disassembling-linux-mirai-b-worm.html
*4 Mirai Botnet : Protect Your Infrastructure with FortiDDoS(英語):https://www.fortinet.com/blog/industry-trends/mirai-botnet-protect-your-infrastructure-with-fortiddos.html
8
フォーティネット脅威レポート 2019年第 4四半期版
第 4四半期の注目すべき新たな動き
WIFICAMのミステリー
無線 IPカメラ(WIFICAM)は、さまざまなバイヤー企業向けに大量に生産、販売されているWebカメラです。バイヤー企業は、購入したカメラにソフトウェアのインストールとブランディングを行い、販売します。興味深いのは、カメラの HTTPインタフェースを提供しているサーバーが、大幅に変更された GoAhead Webサーバーサービスを基盤としている点です。この変更が原因で、WIFICAM固有の脆弱性が複数発生しただけでなく、GoAheadがすでに抱えていたさまざまな脆弱性(リモートコード実行の脆弱性 CVE-2019-5096および任意のファイルコンテンツ流出の脆弱性)も露呈することになりました。
これらのカメラには、販売した企業固有のソフトウェアがインストールされていますが、WIFICAMに存在する脆弱性は、どの企業が再販するかに関係なくすべてのモデルに影響を与えます。これらの脆弱性には、脆弱なバックドアアカウント(CVE-2017-8224)、Apple発行の証明書とRSAの秘密鍵(CVE-2017-8222)、認証バイパス(CVE-2017-8225)、認証されたリモートコード実行、認証なしのカメラストリームへのアクセス(CVE-2017-8223)、当該のカメラがデフォルトで使用する cCloud機能に存在する脆弱性(CVE-2017-8821)などが含まれます。このカメラは、約 185,000台が脆弱であることが判明しています。前述の脆弱性の存在は 2年以上前に判明していますが、パッチは未だ公開されていません。
2018年、Miraiベースの IoTボットネットである SatoriがWIFICAMおよびカスタマイズされた GoAheadサーバー構成を共有するデバイスをボット化する目的でエクスプロイトチェーンを実装していることを、フォーティネットの研究者が発見しました *5。このエクスプロイトチェーンは、かつて Persiraiボットネットに関連付けられており、無数の類似の IPカメラをボット化するために大きな影響を与えました。未だにパッチが提供されていないこと、当該のカメラに複数の脆弱性が存在していること、そしてこれらのデバイスを取り込もうとする IoTボットネットが複数確認されていることから、このエクスプロイトは第 4四半期に IPSが検知した全体の中でも 3番目に件数が多くなっています。
図 5:各業種のWIFICAMエクスプロイト検知率
14.2%
14.6%
10.8%
13.8%
11.5%
11.1%
31.7%
15.0%
8.5%
11.8%
23.5%
16.3%
11.2%
11.0%
19.2%
30.1%
14.6%
13.5%
19.0%
32.0%
13.1%
0 1 / 10 1 / 5 1 / 3
組織における検知率
電気通信 / 通信事業者教育機関
MSSP政府機関
メディア / 通信テクノロジー
医療機関エネルギー / 公益事業
農業非営利団体航空 / 防衛
銀行 / 金融 / 保険小売業 / 観光・宿泊業
運輸 / 物流食品 / 飲料
建設法務
コンサルティング製造
自動車環境
*5 Satori Adds Known Exploit Chain to Enslave Wireless IP Cameras(英語):https://www.fortinet.com/blog/threat-research/satori-adds-known-exploit-chain-to-slave-wireless-ip-cameras.html
9
フォーティネット脅威レポート 2019年第 4四半期版
図 6:vBulletinエクスプロイトのグローバルな検知率
WIFICAMの脆弱性を標的にするエクスプロイト活動を報告した企業のプロファイルを見てみると、興味深い点がもう 1つあります。決定的証拠ではありませんが、図 5に示した上位 5つの業種は、スパイ活動の標的パターンと完全に一致しています。また、通信事業者や大学のネットワークに接続している一般消費者向けデバイスで感染が広がっていることも、大規模ボットネットが構築される典型的なパターンに合致しています。
いずれにせよ、サプライチェーンにおけるセキュリティの難しさに注目が集まっています。何か不正な操作が行われているのでしょうか、あるいはこれもバグが存在するサードパーティのコードが開発された、または再利用されてしまった結果なのでしょうか。残念ながら、大半の製品についてはほとんどのエンドユーザーが具体的な事実を知ることはありません。
CMSにのしかかる新たなストレス
2019年第 4四半期、攻撃者は他のプラットフォームやテクノロジーよりも CMSの脆弱性を標的としてきました。CMSプラットフォームの 1つである vBulletinの脆弱性は、広範囲にわたってエクスプロイト活動の標的になった点が特に注目に値します。vBulletinは非常に人気のあるフォーラム管理プラットフォームであり、Sony、Zynga、EAなどの組織がオンラインコメントの管理やコミュニティWebサイトの構築に使用しています。
2019年 9月、匿名のセキュリティ研究者が vBulletinのバージョン 5.0.0から 5.5.4には未認証のリモートコード実行の脆弱性が存在していることを公表し、脆弱なシステムを発見する Google Dorksも公開しました。このため、この問題を悪用するエクスプロイトが瞬く間に広がりました。多数のベンダーからは、この脆弱性の公表から vBulletinがパッチを作成するまでのわずか数時間のうちに脆弱性を悪用する試みがあったことが報告されました。第 4四半期における vBulletinの検知率は全般的に高く、センサーが広い範囲で機能している国では、3分の 1以上の企業で vBulletin
関連の活動が検知されており、活動が全組織の 3分の 2に達した地域もあったことが明らかになっています。
2019年 9月の開示から 2日後、vBulletinはこの脆弱性(CVE-2019-16759)のパッチをリリースしました。しかしながら、容易に悪用できる点と深刻度の高さから、第 4四半期に発生した中で最大の脅威の 1つとなりました。この脆弱性を悪用した攻撃者は、ホストシステムの制御、アクセスを利用したマルウェアのドロップ、バックドアのインストール、シェルコマンドの実行、さらにはネットワーク内の水平移動(ラテラルムーブメント)の試みと実行が可能になります。エクスプロイトが公開されると、スキルレベルが比較的低い攻撃者であっても脆弱なバージョンの vBulletin
を実行しているホストを完全に制御することができます。vBulletinプラットフォームを未だ保護していない組織は、攻撃者がネットワークに侵入する足がかりを与えてしまうという非常に現実的なリスクに直面しています。
0% 10% 20% 30% 40% 50% 60%
組織における検知率(顧客数が10社以上の国)
10
フォーティネット脅威レポート 2019年第 4四半期版
CMS関連のもうひとつの脅威として、数年前に任意のファイルをアップロードできてしまう脆弱性(CVE-2012-3574)が発覚し、この第 4四半期に再び出現したWordPressの脆弱性についても取り上げます。MM Forms Communityプラグインのバージョン 2.2.5と 2.2.6に存在するこの脆弱性は、プラットフォームにアップロードされたファイルのサニタイズと検証が不十分であることが原因です。これにより、認証されていない攻撃者は脆弱なバージョンのソフトウェアを実行しているシステムで任意のコードを実行できます。シグネチャを作成する目的で、増加していた関連の活動を 2019年第 4四半期に観察した結果、そのほとんどがベラルーシとスペインから実行されていたことが明らかになりました。この事実には、古い脆弱性やエクスプロイトは決してなくならないことをあらためて再認識させられます。
このWordPressの脆弱性は、WordPressの脆弱なプラグインが原因でWebサイトのオペレーターが危険にさらされる、もう 1つの例です。この数ヵ月の間に、WordPressプラグインで同様の脆弱性が発見されています。それらの脆弱性には、WordPressプラグインの InfiniteWP ClientとWP Time Capsuleで 2020年 1月に、また Jetpack WPプラグインで 2019年 11月に報告された認証バイパスのバグ、Rich Reviewsプラグインで2019年 10月に報告されたバグ、複数の NicDarkプラグイン(Components For WP、ND- Bakery Page Builder、ND-Donations、ND-Booking、ND-
Travel Management、ND-Learning Coursesなど)で 2018年 8月に報告されたバグなどが挙げられます。
ここで理解しておくべき点は、CMSの導入によってWebサイトの構築と管理は容易になるかもしれませんが、Webサイトのセキュリティの管理が容易になる訳ではないことです。Webサイトのセキュリティを管理するためには、持続的な警戒と対策が必要です。
新たな「Blue」問題
新しい脅威の常に一歩先を行かなければならない状況にある組織は、古いエクスプロイトや脆弱性に有効期限などないことを忘れがちです。攻撃者は、それらが機能する限り古くても使用し続けます。その分かりやすい例が EternalBlueです。EternalBlueは、NSAが開発したエクスプロイト(CVE-2017-0144)で、Microsoftの SMBプロトコルの実装を標的にしています。Shadow Brokersを名乗るグループが、2017年にこのエクスプロイトをリークしました。それ以降、EternalBlueは 2017年のWannaCryおよび NotPetyaランサムウェア攻撃をはじめとする数多くの攻撃で使用されています。このマルウェアは、一般的な脆弱性や重大な脆弱性を悪用するように改良されています。その例として、SMBおよび SQLのブルートフォース攻撃の採用、Windows RDPの脆弱性(CVE-2019-0708)、LNKファイルの脆弱性(CVE-2017-8464)などが挙げられます。
今後の展開が危ぶまれる要素の 1つとして、Microsoftの RDP(Remote Desktop Protocol)に存在する重大な脆弱性「BlueKeep」を悪用する機能が、2019年第 3四半期に EternalBlueダウンローダーのトロイの木馬に追加されたことが挙げられます。被害者のデバイスが BlueKeepに対して脆弱であると判断した場合、ダウンローダーは C2サーバーに報告し、報告を受けた C2サーバーは攻撃実行に必要なツールを提供します。
念のため説明しておきますが、BlueKeep(CVE-2019-0708)は、すべてのWindowsバージョンが影響を受けるリモートコード実行の脆弱性です。2019年 5月に公表されたこの脆弱性が原因で、認証されていないユーザーであっても RDPを介して脆弱なシステムに接続し、そのシステム上で任意のコードを実行することができます。Microsoft、NSA、および多くの企業は、この脆弱性が「ワーム」の特性を持っており、WannaCryやNotPetyaと同様にマルウェアが猛烈な勢いで拡散すると警告しています。
図 7:EternalBlueダウンローダーと EternalBlueエクスプロイト(CVE-2017-0144、CVE-2017-8464)の検知率と検知件数のランキング
0% 25% 50% 75% 100%
組織における検知率
組織あたりの件数
EternalBlue LINKエクスプロイト
0% 25% 50% 75% 100%
組織における検知率
組織あたりの件数
EternalBlueダウンローダー
0% 25% 50% 75% 100%
組織における検知率
組織あたりの件数
パーセンタイル順位
EternalBlue SMBエクスプロイト
11
フォーティネット脅威レポート 2019年第 4四半期版
これまでのところ、BlueKeepを悪用するマルウェアが大流行するという懸念は現実にはなっていませんが、この脆弱性のエクスプロイトは数ヵ月前から入手可能になっています。2019年 11月に発生したコインマイナー攻撃を除き、BlueKeepが悪用された攻撃の報告はほとんどありません。だからといって、気を緩めてよい訳ではありません。インターネットにアクセス可能なWindowsシステムのうち、比較的多くのシステムにパッチが適用されておらず、BlueKeepエクスプロイトに対して未だ脆弱な状態です。最近になって EternalBlueダウンローダーのトロイの木馬にBlueKeepが追加されたことも、問題をさらに複雑化しています。BlueKeepと同様に、EternalBlueエクスプロイトに対するパッチも公開されてからすでに 2年以上が経過しているにもかかわらず、数十万台のシステムが依然としてこのエクスプロイトに脆弱な状態であると考えられています。
EternalBlueダウンローダーの検知数(JS/Kryptik.Q!trとして検知されます)は、現時点ではかなり低い水準となっています。とはいえ、相対的には依然として検知率においては IPSによる検知の上位 2%に入っています。また、このような組織では BlueKeepの検知件数は非常に多く、サイバー犯罪者が BlueKeepを標的型攻撃に使用する可能性が高まっています。EternalBlueと BlueKeepに対する攻撃者の関心が持続し、進化していることから、どちらの脅威についてもシステムへの適切なパッチの適用とセキュリティの確保が不可欠であることをあらためて意識しなければなりません。
ランサムウェアの死
最近のランサムウェア、なかでも「DeathRansom(死の身代金)」と命名されたランサムウェアには面白い要素など全くありません。しかし、この第 4四半期に初めて DeathRansomを発見した際に最も印象的だったのは、このマルウェアが多くの活動を実行していた一方で、ファイルの内容の暗号化をほとんど行っていなかったという点です。つまり、被害者はファイルの名前を変更するだけでシステムを復元することができたのです。このため、当初は DeathRansomをいたずらだと考える人もいました。しかし、今やそのような楽観的な意見も消えてしまいました。
フォーティネットが実環境で発見した DeathRansomの新しいバージョンは、標的とするシステム上のファイルを完全に暗号化する能力を備えています。この亜種は、Elliptic Curve Diffie-Hellman(ECDH)鍵交換スキームの Curve25519アルゴリズム、Salsa20、RSA-2048、AES-256 ECB、およびブロック XORアルゴリズムを組み合わせて、自身の暗号化スキームとして使用しています。この分析結果から、DeathRansom、および Vidar
(情報を不正取得するマルウェア攻撃)のオペレーターである scat01との間には密接なつながりがあることをフォーティネットは確信しています。日本、トルコ、英国、イタリア、ドイツ、台湾、フランスの 7ヵ国の一握りの組織において、フォーティネットは DeathRansomに関連する活動を発見しています。しかしながら、全体的なマルウェアの検知数はこれまでのところ非常に低水準な状態でした。
図 8:すべてのマルウェア亜種(灰色)と比較した、2019年第 4四半期のランサムウェアの検知率と件数(赤色)
Deathransom
1 / 100
組織における検知率
件数
1 / 100,000 1 / 10,000 1 / 1,000 1 / 10
99パーセンタイル
90パーセンタイル
50パーセンタイル
0パーセンタイル
100パーセンタイル
すべてのマルウェア亜種 ランサムウェア
12
フォーティネット脅威レポート 2019年第 4四半期版
しかしながら、この状況が永遠に続くことを必ずしも意味するものではありません。最近明らかになったことの 1つとして、攻撃者は企業に対するランサムウェア攻撃を止めるつもりがないということが挙げられます。すべてのマルウェア亜種を確認して検知率と件数別にグラフ化すると、ランサムウェアがマルウェアの最も一般的な形態ではないことは明らかです。全体として、ランサムウェアの量は 2年前に比べて大幅に減少しています。しかしその主な理由は、攻撃者がそれまでの不特定多数の企業を手当り次第に攻撃する方法から、大規模な標的型攻撃に切り替えたことにあります。大規模なエンタープライズを含む企業組織への攻撃が増加しているもう 1つの要因は、最近の Ransomware-as-a-Service(RaaS)サービスの入手のし易さです。Sodinokibi、Nemty、GandCrabなどの数多くのランサムウェア亜種は、すべて RaaSモデルとして拡散されました。
2019年 10月、FBIは複数の業種の組織(特に州政府、地方自治体、医療機関、運輸関連、産業分野)を標的としたランサムウェア攻撃が急激に増加していると警告しました。この警告は、フィッシングメール、RDP(Remote Desktop Protocol)の脆弱性、ソフトウェアの脆弱性を悪用して企業システムを感染させる攻撃者に関するものでした。また最近では、攻撃者がまず組織に侵入して価値の高いシステムを徹底的に探査し、その後にようやくランサムウェアを展開するという複数の段階を経る攻撃が増加している点にも、セキュリティ研究者は注目しています。こうした攻撃の目標は、主要な事業システムや業務システム、およびすべてのバックアップデータを暗号化することによって、組織に最大限の圧力を掛けることにあります。ここ数ヵ月の間にランサムウェアの攻撃を受けた病院や政府機関は、復旧までに数日から数週間もの時間を費やしています。
ランサムウェアは、さまざまな分野の企業組織に数百億ドルの損害を与えています。特に、データの堅牢なバックアップや復元プログラムを実装していない組織にとっては、今年最大の脅威の 1つと言えるでしょう。
あまりチャーミングではない子猫
2019年第 4四半期、フォーティネットは複数の地域でCharming Kittenに関連する相当量の活動を確認しました。Charming Kittenとは、「可愛い子猫」という名前とは裏腹に悪質な動機を持つ、イランと関係のある APT(持続的標的型攻撃)の実行集団です。
Charming Kittenは、他の APTと同様に Phosphorus、APT35、Ajax Security Teamなど別名がいくつもあります。この攻撃者が活動を開始したのは2014年頃で、現在まで多数のサイバースパイ活動に関与しています。しかし、最近では米国の大統領選挙に関連した特定のメールアカウントに対する一連の攻撃との関係が指摘されています。Charming Kittenの標的には、政府関係者、国際政治ジャーナリスト、著名な在外イラン人が含まれています。最近の活動は、このイランの攻撃者が選挙妨害ビジネスにまで手を伸ばしていることを示唆しており、2020年には別のグループによる同様の活動が増加することが予想されます。
第 4四半期は、Charming Kittenが標的を欺いて機密情報を提供させる 4つの新しい戦術を採用していることが確認されました。
n その攻撃は、Google Sitesへのリンクをクリックさせて悪意のあるファイルをダウンロードするように仕向けるフィッシングメールを使用し、標的となった被害者の Google認証情報の収集を試みることから始まっています。
n このグループは、メールアカウントのセキュリティに関するアラートを装った SMSメッセージを標的に送信し、悪意のあるリンクをクリックして身元を証明するように促しました。
n 第 3の戦術も偽のアラートでしたが、ここでは北朝鮮の攻撃グループが標的のアカウントを侵害していると警告するとともに、侵害されたとされるアカウントを保護すると偽って悪意のあるリンクをクリックすることを促すものでした。
n 第 4の戦術では、攻撃者が Facebookや Instagramなどのソーシャルネットワークのアカウントセキュリティチームになりすまして、標的とするユーザーから認証情報を入手しようとしました。
13
フォーティネット脅威レポート 2019年第 4四半期版
夏季オリンピックと米国大統領選挙が近づいている今、Charming Kittenやその他の攻撃、特にロシアとつながりのあるグループからのこうした攻撃が増加する可能性が大きく高まっています。2019年 10月、Microsoftは 3大陸の国々の 16の国際的スポーツ団体やアンチドーピング機関を標的とした、ロシアの悪名高い Fancy Bear/APT28による攻撃について警告していました。2016年および 2018年の攻撃で、Fancy Bearはアンチドーピング機関から医療記録などのデータを入手し、公開したと考えられています。こういった攻撃では標的になっていない企業組織でさえも、巻き添えで被害を受ける可能性があります。たとえば、選挙人登録サイトやアンチドーピング組織の機能を停止させるように設計された攻撃は、同じISPを使用している他のすべてのサービスまでも中断させる可能性があります。
セキュリティ専門家からは、特定の国家と連携している攻撃者による偽旗攻撃の可能性も指摘されています。偽旗攻撃とは、攻撃の責任を別の攻撃者に押し付けて、さらなる混乱と不信をもたらそうとするものです。この第 4四半期、英国立サイバーセキュリティセンター(NCSC)と米国家安全保障局(NSA)は共同で報告書を発行し、ロシアとつながりのある Turla Groupがどのような方法でイランの APT34(別名 Crambus/OilRig)が所有するインフラストラクチャを使用し、35ヵ国の標的に対して組織的攻撃を行っているかを解説しています。
探索的分析:スパムメールはどこから来てどこへ行くのか本レポートの探索的分析セクションでは、特定の課題を掲げずに FortiMailメールゲートウェイが導入された環境のデータから浮かび上がる結果を見届けることにしました。スパムは電子メールと同じくらい古いものですが、組織にとっても個人にとっても依然として大きな課題となっています。ほとんどのスパムは迷惑なだけですが、悪意のある活動に利用されることもあるため真剣に受け止める必要があります。
通常、スパム分析は受信する側の視点で行われますが、本書では国家間でのスパムの双方向フローを調査することにフォーカスしました。次のページのグラフは、FortiMailシステムが収集した国から国へのトラフィックフローを視覚的に示したものです。国は地域別にグループ化されており、各点のサイズはその国で確認されたスパムの総数に相当しています。連結する線の太さは国と国の間のトラフィックを表し、濃い赤が最も大量のフローを示しています。
図 9:Charming Kitten(別名 APT35)に関連する IOCのグローバルな分布
Charming Kittenに関する IOCへの接続数
1,000100101 10,000
14
フォーティネット脅威レポート 2019年第 4四半期版
図 10:国家間を行き来するスパムトラフィックの量
図 10で示したスパムの流れを 1つ 1つ追跡することは非常に困難です。しかし、視覚化したこの図の重要なポイントはそこではありません。この図の目的は、広範なパターンとフローを浮き彫りにすることです。たとえば、米国にとって最も量が多い「スパムの取引相手」は、ポーランド、ロシア、ドイツ、日本、ブラジルなどの国々です。
スパムとの関連については、どの国や地域がスパムの純粋な送出元であり、流入先なのか疑問に思われるかもしれません。その点を図 10に分かりやすく組み込むことは容易ではなかったことから、図 11で別途示すことにしました。スペースを節約し、伝えたいメッセージを簡素化するため、図 11では複数の国を地域別にまとめています。
カザフスタン
タジキスタン
ウズベキスタン
台湾
中国
日本
韓国
ブルネイ
インドネシア
ラオス
マレーシア
フィリピン
シンガポール
タイ
ベトナム
バングラデシュ
スリランカ
モルジブ
オーストラリアニュージーランド
コスタリカグアテマラメキシコカナダ米国
アルゼンチン
ブラジル
チリコロンビア
エクアドル
ペルー
スリナム
ケニア
マダガスカル
南アフリカ
ガーナ
セネガル
エジプト
インド
イラン
アラブ首長国連邦
イスラエル
オマーン
サウジアラビア
トルコ
ブルガリアベラ
ルーシチェコ
共和国ハンガリ
ーモルドバ
ポーランドルーマニアロシア
スロバキア
ウクライナ
フィンランド
英国
リトアニア
ラトビア
ノルウェー
スウェーデン
スペイン
イタリア
ポルトガル
オーストリア
ベルギー
スイス
ドイツ
フランス
ルクセンブルグ
オランダ
15
フォーティネット脅威レポート 2019年第 4四半期版
図 11:世界の各地域から送出されたスパムの流量(総送信量から総受信量を引いたもの)
この図で示すメッセージは極めて明確で、世界最大のスパム生産国は東ヨーロッパであることを示しています(無論、豚肉を使った SPAMを生産している Hormel社は除きます)。それ以外でアウトバウンドのボリュームが多いスパムの大半は、アジアの各地域を送出元とするものです。グラフの反対側を見ると、ヨーロッパのその他各地域が、スパムの流量がマイナス(送信量よりも受信量のほうが多い)の地域の上位を占めており、アメリカ大陸とアフリカがそれに続きます。
アフリカといえば、長年の誤りを正す必要性をフォーティネットは感じています。インターネットの世界では、西アフリカのナイジェリアがいわゆる「419詐欺」または「ナイジェリアの王子詐欺」の代名詞となっています。しかし、上記のデータに基づいてナイジェリアの王子には謝罪する必要があるようです。ナイジェリアのある地域に対しては、他国へのスパム送信量とほぼ同じ量のスパムが送られています。ステレオタイプは無知によって広まります。このデータがその固定観念を払拭することを期待しましょう。そして、本レポートで提供したすべてのデータが現在のサイバーセキュリティの多くの課題の克服に役立つことを願っています。
160万
0
-400万
1,200万
-69万8,000
2,800万
1億6,100万
-130万
-4,700万
-7,200万
1,900万
6,100万
-1,000万
1億100万
-1億4,000万
1万5,000
590万
-1億2,900万
-1億 -5,000万 5,000万 1億 1億5,000万0 0
総スパム送受信量
東ヨーロッパ
南アジア
東南アジア
東アジア
南アメリカ
中央アジア
西アジア
オーストラリアとニュージーランド
西アフリカ
カリブ海地域
東アフリカ
北アフリカ
中米
南アフリカ
北米
北ヨーロッパ
西ヨーロッパ
南ヨーロッパ
Copyright© 2020 Fortinet, Inc. All rights reserved. この文書のいかなる部分も、いかなる方法によっても複製、または電子媒体に複写することを禁じます。この文書に記載されている仕様は、予告なしに変更されることがあります。この文書に含まれている情報の正確性および信頼性には万全を期しておりますが、Fortinet, Inc. は、いかなる利用についても一切の責任を負わないものとします。Fortinet®、FortiGate®、FortiCare®、および FortiGuard® は Fortinet, Inc. の登録商標です。その他記載されているフォーティネット製品はフォーティネットの商標です。その他の製品または社名は各社の商標です。
〒106-0032東京都港区六本木 7-7-7 Tri-Seven Roppongi 9 階www.fortinet.com/jp/contact
TR-19Q4-202003-R1
