海の向こうの“セキュリティ”
ランサムウェア攻撃に見られる「共通の傾向」とは?
多くのランサムウェアは就業時間外に動き始める ほか
2020年5月8日 06:00
多くのランサムウェアは就業時間外に動き始める
企業や組織を狙ったランサムウェア攻撃による被害が続く中、米セキュリティ企業FireEyeは実際のランサムウェア攻撃の流れを調査した結果を公開しました。これは2017年から2019年にかけて調査したランサムウェアによるインシデントに基づいており、その結果、共通の傾向が見られることが分かりました。対象となったインシデントが発生した企業や組織は北米、欧州、アジア太平洋、中東で、業種は金融から化学、法律、地方政府、医療などさまざまな分野にわたっています。
ポイントは以下の3点。
1)最初の感染の入り口として最も多く観測されているのは、RDP、フィッシング、ドライブ・バイ・ダウンロードの順
2)悪意のある活動の最初の兆候からランサムウェアの実行までの潜伏期間はほとんどのケースで3日以上
3)76%のケースでランサムウェアは就業時間外に実行
この結果を踏まえ、悪意のある活動を早い段階で検知できれば、多くのランサムウェア被害を発生前に防げるとし、感染の入り口となる可能性のあるものに対する備えを十分に行なうとともに、従業員への教育や就業時間外にもインシデント対応ができる体制の整備などを推奨事項として挙げています。なお、推奨事項として挙げられている項目はランサムウェアに特化したものというよりは、基本的にインシデント全般に当てはまる一般的なものです。
特に驚くような結果ではないですが、検知と初動対応の重要性を訴えるものとして、うまく利用してください。
URL
- FireEye Threat Research(2020年3月16日)
They Come in the Night: Ransomware Deployment Trends - https://www.fireeye.com/blog/threat-research/2020/03/they-come-in-the-night-ransomware-deployment-trends.html
- FireEye Threat Research(2019年9月5日)
Ransomware Protection and Containment Strategies: Practical Guidance for Endpoint Protection, Hardening, and Containment - https://www.fireeye.com/blog/threat-research/2019/09/ransomware-protection-and-containment-strategies.html
- Dark Reading(2020年3月17日)
Many Ransomware Attacks Can be Stopped Before They Begin - https://www.darkreading.com/attacks-breaches/many-rasomware-attacks-can-be-stopped-before-they-begin/d/d-id/1337329
パッチ適用漏れやOSの設定ミスが根本原因の侵害は多い
パッチ管理の自動化ソリューションなどを提供している米セキュリティ企業Automoxは、エンドポイントのパッチ適用やハードニングの現状を調査した結果を公開しました。調査の対象は560名のIT運用およびセキュリティ専門家で、その勤務先は15以上の業界の従業員数500名から2万5000名の企業や政府機関です。
なお、この調査における「ハードニング」とは、侵害されたり、サイバー攻撃に使われたりしないためのプロアクティブな方策であり、例えば、ポートの閉鎖や管理者権限の制限、不要かつ未承認のソフトウェアの削除、ファイアウォールやアンチマルウェアパッケージをはじめとするセキュリティツールが適切に設定されていることの確実化などが挙げられますが、OSやアプリケーションのパッチ適用は意図的に別扱いとなっています。その上でAutomoxは、パッチ適用とハードニングの両方が適切に施されている状態を「サイバー衛生(Cyber Hygiene)」と定義し、今回の調査報告書はそのサイバー衛生の重要性を訴える内容となっています。
まず、回答者のうち過去2年間で侵害に遭ったのは81%に上っています。
その侵害の根本原因を複数回答可で選んでもらった結果は以下の通り。最も多いのはフィッシング攻撃ですが、技術的なものに限定すれば、パッチの適用漏れやOSの設定ミスが上位を占めていることが分かります。
特に驚くような結果ではなく、パッチ適用や設定の堅牢化は昔から言われている基本中の基本の対策です。しかし、一方でそのような基本的な対策が十分に行われていない実態も今回の調査によって明らかになっています。
攻撃に悪用しやすい深刻な脆弱性は公になってから悪用開始までの時間が短くなってきており、速やかなパッチ適用が求められますが、以下の図が示すように、深刻度が“Critical”または“High”に分類される脆弱性に対して3日以内にパッチを適用すると回答しているのは半分以下、24時間未満は2割程度となっています。30日が過ぎてもパッチ未適用のままとの回答も15%ほどあります。
今回の報告書では、ほかにも自組織の「サイバー衛生」の状態を自己採点した結果などを紹介していますが、あまり意味がないので、ここではあえて紹介しません。今回の調査結果で注目すべきは、パッチ適用や設定の堅牢化という昔から言われている基本中の基本の対策がいかに重要かということ。そして、考えるべきはそのような基本的な対策をどうすれば完璧に近づけられるのかという点です。当たり前のことですが、その当たり前のことを強く裏付ける資料として使ってみてください。
URL
- Automox(2020年3月25日)
Real Trends and Practical Solutions for More Effective Cyber Hygiene - https://blog.automox.com/ax-ceo-real-trends-practical-solutions-cyber-hygiene
- Dark Reading(2020年3月25日)
Missing Patches, Misconfiguration Top Technical Breach Causes - https://www.darkreading.com/vulnerabilities---threats/missing-patches-misconfiguration-top-technical-breach-causes/d/d-id/1337410
フィッシング攻撃に対するクリック率の業種による違い
英セキュリティ企業NCC Groupはフィッシングメール内のリンクのクリック率などを業種別にまとめた調査結果を公開しました。これはNCC Groupのフィッシング攻撃シミュレーションプラットフォーム「Piranha」から得られた顧客のデータに基づき、36万以上の電子メールによる1300を超えるフィッシングキャンペーンをシミュレーションした結果を分析したものです。
まず業種ごとにフィッシングメール内のURLをクリックしてしまう割合と実際に認証情報を入力してしまう割合をまとめたのが以下の図です。
防衛(Defence)や慈善事業(Charities)の多さが目につきます。最も割合の低い小売り(Retail)や医療(Health)と比べて3倍以上のクリック率となっています。一方、実際に入力してしまう割合は業種によらず、クリック率の半分程度となっています。しかし、運輸だけはクリック率に迫る割合を示しており、これについてNCC Groupは今回の分析対象のデータで運輸のデータが少ないため(≒統計的信頼性が低い)としています。
なお、割合ではなく、観測数の平均をまとめたのが以下の図です。
よく知られているように、このようなメール訓練では、クリック率や入力率に注目するのは無意味とまでは言いませんが、それよりも、不審なメールやサイトの存在に気付いたり、誤って認証情報をフィッシングサイトに入力してしまったことに気付いたりした場合に、ルール通りに「正直に」報告できるかどうかを確認することの方が重要です。そもそも今回の調査はNCC Groupが自社のサービスを売るための宣伝が目的なので必要以上に重要なデータとして受け取る必要はありません。
それでも、業種によってクリック率に違いがあるのは興味深く、このような傾向の違いはすでに攻撃者側で情報共有されている可能性もあるため(もしかすると)注意が必要かもしれません。一方で、クリック率自体は業種によって違っていても、そこからさらに認証情報を入力してしまうのは業種によらずにおおよそ半分という結果も目を引きます。
いずれにせよ、クリックしてしまう人も認証情報を入力してしまう人もゼロにはできないとの前提で備えなければならないことに変わりはなく、今回の調査結果もあまり深刻に受け止めず、あくまで参考情報の1つとして受け止めるべきでしょう。
URL
- NCC Group(2020年4月3日)
Crave the Data: Statistics from 1,300 Phishing Campaigns - https://research.nccgroup.com/2020/04/03/crave-the-data-statistics-from-1300-phishing-campaigns/
山賀 正人
CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。