「クラウドが止まって電気が消せない」「VPNへの攻撃」……IIJが今年のセキュリティ課題を振り返る

マルウェア：「Emotet」が猛威、パスワード付きZIPファイルで伝播するマルウェアも

　さて、各論の最初はメールで伝播するマルウェアだ。

　齋藤氏は20世紀からのメール添付されたマルウェアに触れつつ、今年はEmotetが話題になっていたことを取り上げた。Emotetは、2014年に発見された当初はオンラインバンキングの認証情報を盗むものだったが、現在ではいろいろな機能が追加され、ボットや他のマルウェアのダウンローダとして活動しているという。

　「Emotet」については、IIJのSOCチームがまとめている観測レポートも紹介された。この約1年で、2019年9月、12月～2020年2月、7月、9月の4回の盛り上がりがあったという。特に7月がひどく、全マルウェア検出数の80%以上をEmotetが占める日もあったと齋藤氏は語った。

Emotetの感染状況

　同レポートでは、文言やどのようなメールに添付されるかも公開している。その一部では、正当なメールに返信する形で感染活動を行う、やりとり型攻撃に似た方式のメールもあるということで、齋藤氏は注意を呼びかけた。

どのようなメールに添付されるか

　そのほか、パスワード付きZIPファイルについても言及された。パスワードで暗号化されているため、「多くのゲートウェイ型検知システムで検査されない」という問題があるという。11月からは、パスワード付きZIPファイルで感染活動するマルウェア「IcedID」も登場している。

標的型ランサムウェア：狙われる「身代金を支払いそうな標的」

　各論の次のテーマは、標的型ランサムウェアだ。ディスクに記録した情報を勝手に暗号化して人質にし、金銭を要求するランサムウェアは、一般にも有名になった。

　さらに2～3年前からは、身代金を支払いそうな特定の標的に対してランサムウェアによる攻撃を仕掛ける、標的型ランサムウェアが登場しているという。

標的型ランサムウェア

　また、標的ランサムウェアでは、データを人質にするだけでなく、情報を窃取して、リークサイトに暴露すると恐喝するものも登場していることを齋藤氏は紹介した。

情報を暴露すると恐喝する標的型ランサムウェア

DDoS攻撃：最近は1日平均10回以上発生、「一度サイトが倒れると、繰り返し狙われる」

　各論の次のテーマはDDoSだ。DDoSは古くから続いている攻撃で、IIJでは2003年頃から脅威として取り上げているとのこと。現在は1日平均10回以上発生し、100Gbpsを超える規模のものもあると齋藤氏は報告した。IoTボットも依然として脅威だという。

DDoS攻撃の発生状況

　DDoSの中で、DDoS攻撃して金銭を要求する恐喝DDoS攻撃も、2007年ごろから発見されている。去年の同セッションでも方向されたテーマだ。

　「今年も夏ごろに世界中の金融期間に攻撃が発生した」として、齋藤氏は韓国やニュージーランド、国内の事例を紹介した。

恐喝DDoS攻撃の継続（1）

　また、一度DDoS攻撃でサイトが停止すると、くり返し狙われやすくなることも、齋藤氏は解説した。これには、特定の攻撃者が一連の攻撃をかける場合と、複数の攻撃者が弱いサイトの情報が共有している場合があるという。「最初に来たときに倒されないようにきちんと防御しておくのが対策」と齋藤氏は注意した。

恐喝DDoS攻撃の継続（2）

コロナ禍の影響でトラフィックが変化

　各論の次のテーマは、コロナ禍の影響だ。ネットワークについては、直接セキュリティではないが、テレワーク関連で通信の契約が伸びていることを紹介した。また、トラフィックが昼間は会社から・夜は自宅からという波が平準化して、一日中同じようにトラフィックがあるという。

　仕事の仕方も変化し、テレワークが増えた。ちょうど情報資産がオンプレミス環境だけでなくクラウド環境にも置かれるようになってきている。この2つが同時に進行して、会社からオンプレミス環境にアクセスするだけでなく、会社からクラウド環境にアクセス、自宅がオンプレミス環境にアクセス、自宅からクラウド環境にアクセス、という4パターンが広まった。

コロナ禍による仕事の仕方の変化

　これに運用体制が対応できているかどうかの問題を齋藤氏は取り上げた。オンプレミスでは、誰がいつどの情報にアクセスしたかログが残り、情報漏洩などの内部犯行への抑止力となっている。「たとえば自宅からクラウド環境にアクセスしたときにログが取れているか？」として、齋藤氏は注意を喚起した。

（協力：株式会社インターネットイニシアティブ）