X-Force

激増する破壊的マルウェア攻撃

2019-10-03

カテゴリー X-Force | インシデント・レスポンス | 検知状況 | 脅威管理

記事をシェアする:

国家の支援を受けた攻撃者から一般的なサイバー犯罪者に至るまで、増大する破壊的マルウェア攻撃

この数年間、破壊的な攻撃が大きな脅威となり、世界中の企業でデータを消去したり、数百万台のエンタープライズ・デバイスを操作不可能に陥らせたりしています。IBM X-Force Incident Response and Intelligence Services 最新レポートでは、こうした攻撃が増えていること、また「自社が標的になり得ること」を想定すらしていないさまざまな企業への脅威が増大していると提起しています。

かつて破壊的マルウェアは、主に高度な技術を持った国家レベルの攻撃者によって使われていました。X-Force チームが対応したインシデント・データの最新の分析から、こうした攻撃は今やサイバー犯罪攻撃者の間でより一般的になりつつあること、またワイパー(データを破壊することを目的としたマルウェア)の要素が取り入れられたランサムウェア攻撃によって被害者への身代金支払いの脅迫が増加していることが明らかになりました。攻撃手法の拡大に伴い、IBM Security X-Forceのインシデント対応チームが過去 6 カ月に支援した企業が受けた破壊的攻撃の数は、実に200 % 増となっています (IBM Security X-Forceが対応したインシデントに関する2018 年後半と 2019 年前半との比較)。

破壊的マルウェア (英語, 1.1MB)攻撃の増加は、あらゆる形態のあらゆる規模の企業が、近い将来標的となる可能性があり、適切に準備する必要があることを意味します。

数字で見る破壊的攻撃

IBM Security X-Force チームが実際に手がけたインシデント対応データの分析により、こうした攻撃が企業にもたらす破壊的な影響の実態が表されています。主要な調査結果として、次のようなものがあげられます。

  • 大規模な破壊と多額のコスト: 破壊的攻撃は、多国籍企業に平均 2億 3900 万ドルの負担をかけます。これは平均的なデータ侵害のコスト (392 万ドル) の 61倍になります。
  • 復旧までの長い道のり: こうした攻撃は企業を消耗させる性質を帯びているため、対応と修復には多大なリソースと時間が必要であり、平均的な企業のインシデント対応チームでは 512時間必要です。また、インシデントへの対応と修復に複数の企業を利用することも一般的であり、このような場合、所要時間はさらに増えます。
  • RIP ラップトップ: 一度の破壊的攻撃により、企業当たり平均 12,000台のマシンが破壊されており、従業員が活動を再開するための新しいデバイスを手当てするために膨大な費用が発生します。

この新しいホワイト・ペーパーは、こうした攻撃の発展的性質、影響、そして企業の 自衛方法について深く研究しています。このブログでは、このホワイト・ペーパーからほんの一部を取り上げて説明していきます。

国家レベルの攻撃者とサイバー犯罪者のツールは類似

IBM Security X-Force は、破壊的マルウェアを、影響を受けたシステムを操作不能に陥らせる機能を含んだ悪意のあるソフトウェアと定義しています。このマルウェアには多くの場合、政府関連マルウェアであっても犯罪組織のマルウェアであっても、ワイパー機能 (データを破壊することを目的としたマルウェア)が含まれています。

2010 年から 2018 年まで、私達は主に破壊的マルウェアを用いる国家レベルの攻撃者を観察し、彼らが自分たちの立場で説得力のある反証をかざして、さらなる利益を主張し、多くの場合は地政学的な敵に害を及ぼすことを見てきました。Stuxnet(スタックスネット)、Shamoon (シャムーン)、Dark Seoul (ダーク・ソウル)などの悪名高い亜種による攻撃は、破壊的な爪痕を残しています。

しかし 2018 年以降、ワイパー・マルウェアなどの破壊的コンポーネントを攻撃に取り込むサイバー犯罪が増えるにつれて、私達は国家レベル以上に拡大するこうした攻撃のプロファイルを観察してきました。これは、LockerGoga および MegaCortex などの亜種を含むランサムウェアを用いるサイバー犯罪者に特に当てはまります。金目当ての攻撃者は、こうした破壊的な要素を採用して、被害者に身代金支払いの圧力をかけたり、不当な扱いを受けたと感じる場合は被害者を激しく非難したりすることがあります。

あらゆる企業を対象に増大する脅威

攻撃者の動機が変化した結果、破壊的マルウェアの標的になる業界の種類は時間と共に拡大し、あらゆる企業に影響を及ぼすようになってきています。IBM Security X-Forceによる分析によると、インシデント対応チームが 2019 年前半に支援した破壊的マルウェアのケースが、2018 年後半と比較して200 % 増であることから、破壊的マルウェアが世界中の企業にとってさらにまん延していることが示唆されています。これらの破壊的マルウェアのケースの半数は製造業で発生しており、石油/ガス教育の各分野も、破壊的攻撃の重大な標的になっていました。私達が観察した破壊的攻撃の大半はヨーロッパ、米国、中東で起きています。

IBM Security X-Force が提示する教訓

破壊的マルウェア攻撃の修復を行う過程で、IBM Security X-Force はこのジャンルの攻撃に関する重要な教訓をいくつか得ました。破壊的マルウェアを扱う攻撃者は、悪賢く周到である傾向があります。多くの場合、破壊的攻撃を開始する数週間から数カ月前に、セキュリティーの低いデバイスやネットワークに侵入しています。

破壊的マルウェアの敵はしばしば、まずはフィッシングメール社内ネットワーク侵入に必要な認証情報の窃盗サード・パーティー接続水飲み場型攻撃によってシステム内に侵入します。私達が観察したところでは、彼らは破壊的な攻撃を行うために、特権アカウントまたは重要なデバイスへのアクセス権限を注意深くひそかに保持し、ターゲット環境内の合法的なリモート・コマンド・サービス (PowerShell スクリプトなど) と共にこれを使用して、被害者のネットワーク内で更なる横展開を行います。

破壊的マルウェア攻撃のリスクを軽減するために企業ができること

  • プレッシャー下で企業の対応計画をテストする。十分に調整された机上演習とサイバー攻撃対応訓練を用いることで、戦術的かつ戦略的に破壊的マルウェア攻撃に備えることができます。
  • 脅威インテリジェンスを活用し、組織に対する脅威を理解する。脅威攻撃者の動機、能力、目的はそれぞれ異なります。脅威インテリジェンスはこの情報を使って、インシデントに対する組織の対応の効率性を高めることができます。
  • 効果的な防御に徹底的に取り組む。サイバー攻撃準備と攻撃実行のフレームワーク (英語, 5MB)全体にわたり、複数層のセキュリティー管理を組み込みます。
  • 環境全体を通して多要素認証 (MFA) を実施する。多要素認証の費用対効果については誇張しすぎるということはありません。盗難または類推されたパスワードの価値を大幅に低下させ、著しいサイバー・セキュリティー効果をもたらします。
  • バックアップを行い、テストして、オフライン化する。組織は、1 次ネットワークとは別にバックアップを保管し、バックアップへのアクセスは読み取りだけを許可して、書き込みは禁止するべきです。
  • まずは迅速かつ一時的にビジネスを機能させるためのアクション・プランを検討する。破壊的攻撃の後にビジネスの運用を一部でも復元できた組織は、同じような被害を受けた他社よりもうまくいっています。
  • 社内ネットワーク・アクティビティーのベースラインを作成し、横展開される可能性のある変化がないか監視する (詳しくはこちら のポッドキャスト(英語)をご覧ください)。

IBM Security X-Forceによる最新レポートを読む (英語)

【関連情報】
IBM X-Force Incident Response and Intelligence Services の概要はこちらから
太陽生命保険における実務に生かせるサイバー攻撃対応訓練の事例はこちらから

【お問い合わせ】
メールでのお問い合わせ
https://www.ibm.com/account/reg/jp-ja/signup?formid=MAIL-security

【著者情報】

Camille SingletonCamille Singleton

Camille Singleton は、サイバー・セキュリティーのトピックについて、米国政府内および IBM のアナリストとして 13 年間のプロとしての実績を持っています。サイバー・セキュリティー問題と潜在的なソリューションを全体から見る戦略的分析が専門です。ブリガム・ヤング大学、ジョージ・メイソン大学、オックスフォード大学の学位を持ち、分析に学術的な奥行きを加えて、プロとしての経験を補完しています。

Joanne GodfreyCharles DeBeck

Charles DeBeck は、IBM Security X-Force(Incident Response and Intelligence Services)のサイバー脅威インテリジェンスの首席戦略アナリストです。コンピューター・セキュリティー、政治学、法律の学位を取得しており、米国国家安全保障局(NSA)、Deloitte & Touche LLP、IBMでの勤務歴があります。IBMでは、破壊的なマルウェア攻撃、攻撃者によるラテラル・ムーブメント技術、そしてハードウェアの脆弱性に関する発表を行っています。また、Dark Webの研究、サービスとしてのマルウェア(malware-as-a-service)、未知のマルウェア脅威など、さまざまなトピックについて講演を行っています。これまで、米国防総省のシステムに影響を与える非常に高度なマルウェア攻撃について、大統領官邸の職員およびその他の軍関係者やNSAの責任者にブリーフィングを行ってきました。現在は、脅威インテリジェンスを使用して、重要な情報を利害関係者に効果的に伝達しながら、戦術、運用および戦略レベルで組織の防御力を強化することに焦点を当てて活動しています。

この記事は次の記事の抄訳です。
From State-Sponsored Attackers to Common Cybercriminals: Destructive Attacks on the Rise (英語)


前の記事

ポーランド語とドイツ語ユーザーを標的にした「Emotet (エモテット)」のマルウェア攻撃が拡大

次の記事

IBM セキュリティーによる調査結果: ランサムウェア攻撃を受けた自治体がハッカーに金銭を支払うことに納税者は反対
More X-Force stories

セキュリティー・インテリジェンス

2024-02-27

大規模言語モデル(LLM)の隠れたリスク:催眠術をかけられたAIの実状

この記事は英語版 Security Intelligenceブログ「Unmasking hypnotized AI: The hidden risks of large language models」(2023年8月8 […]

さらに読む

インシデント・レスポンス

2022-09-15

インシデント・レスポンス研修 (旧称 CSIRT研修)

IBMインシデント・レスポンス研修 (旧称:CSIRT研修)を、2023年3月6日(月曜日)~9日(木曜日)の4日間にて開催! 締切は2023年2月16日(木曜日)です。 サイバー脅威に備えてセキュリティー・インシデント […]

さらに読む

Tokyo SOC Report

2020-10-26

マルウェアEmotetへの感染を目的としたURL記載型メールの検知状況

2020年7月20日にJPCERTコーディネーションセンター(JPCERT/CC)から発表[1] (IBM外のWebサイトへ)されている通り、Tokyo SOCにおいてもマルウェアEmotetへの感染を目的とした不審なメ […]

さらに読む