トレンドマイクロでは2019年における国内外での脅威動向について分析を行いました。特に国内での脅威を振り返った場合、個人利用者が直接の被害を受ける攻撃としては、9月以降に顕著化した国内ネットバンキングのワンタイムパスワード突破を狙うフィッシング攻撃に加え、利用者のカード情報詐取を狙うECサイト改ざんの攻撃などが挙げられます。また、特に法人組織に被害を与える攻撃として、2019年前半には法人利用者におけるランサムウェア被害が顕在化しました。そして、10月以降には、メール経由で拡散する「EMOTET」の攻撃が、最も大きな脅威となりました。これらの攻撃の中からは「人の弱点を利用し常識を覆す攻撃」と「高度な攻撃手法の一般化」が見られています。
![図1:EMOTETを感染させるWord文書の表示例 不正マクロが含まれているため、標準設定では [コンテンツの有効化]のボタンが表示される](https://blog.trendmicro.co.jp/wp-content/uploads/2020/03/1.png)
図1:EMOTETを感染させるWord文書の表示例
不正マクロが含まれているため、標準設定では [コンテンツの有効化]のボタンが表示される
■個人利用者に被害を与える脅威
個人利用者に直接の被害を与える攻撃では、人の弱点を利用してこれまでのセキュリティ常識を覆す攻撃の被害が顕著化しています。ワンタイムパスワードの突破を狙うフィッシング攻撃では、二要素認証は安全、というセキュリティの常識が覆されました。何らかの手法でアカウントとパスワードの認証情報が盗られた場合にも不正利用を防ぐための手法として、ワンタイムパスワードなどの二要素認証による追加の認証が用いられてきました。しかしこの攻撃では、ネットバンキング用のアカウントとパスワードを詐取した背後で、その認証情報を使用して正規サービスにアクセスします。そして、追加の認証として正規サービスから利用者に通知されるワンタイムパスワードまでも、偽画面を表示して入力させ、突破します。つまり、利用者という人を騙す巧妙な手法によって、二要素認証という安全の常識を覆すことに成功した攻撃となりました。
図2:フィッシング詐欺によるワンタイムパスワード突破の概要
また、利用者のカード情報詐取を狙うECサイト改ざんの攻撃では、ECサイトのカード情報非保持化というセキュリティ常識が覆されました。この攻撃では、利用者がECサイトを利用した際に、カード情報を入力させる偽画面が表示されるようECサイトを改ざんします。図式として、ECサイトを改ざんされる部分については運営する法人組織の被害ですが、カード情報の詐取と不正利用という直接的な被害を受けるのは利用者となります。その利用者側から見ると、正規のECサイトを利用していたにもかからず、その途中でフィッシングサイトが表示されたような形であるため、気づくことは難しい攻撃手法です。また、ECサイトの改ざん原因としては既知の脆弱性や設定ミスの放置により不正アクセスが可能になっていたことが挙げられています。つまり、ECサイトにおける弱点の放置という人的要因から利用者をだます巧妙な攻撃が可能となり、ECサイト側でカード情報を保持しないから安全、という常識が覆されたものと言えます。
図3:利用者のカード情報を狙うECサイト改ざん攻撃の概要
■法人組織に被害を与える攻撃
2019年にもっとも注目されたマルウェアとして「EMOTET」が挙げられます。EMOTETの拡散経路としてはばらまき側のマルウェアスパムもありますが、法人における被害公表が10月以降急増している事実からは、特に法人組織に被害を与える攻撃であるものと言えます。国内におけるEMOTETの検出台数は、2019年9月までは100件未満を推移していましたが、10月以降急増しており、法人での被害公表の急増とも符合しています。
図4:国内におけるEMOTETの検出台数と公表された
主な感染被害件数の推移
また、法人組織に被害を与える攻撃として、2019年前半にはランサムウェア感染の事例が顕在化しました。前出のEMOTETもランサムウェアの侵入に繋がる可能性があるマルウェアですが、国内ではまだEMOTETの感染からランサムウェア感染に繋がったと断定できる事例は確認していません。ただし、活動内容の調査においてはEMOTETがランサムウェア「RYUK」をダウンロードする場合があることを確認しています。
図5:国内法人から報告のあったランサムウェア感染被害事例件数の推移
2019年にトレンドマイクロが国内法人組織に行ったインシデント対応の中でも、ランサムウェアの被害事例は全体の40%を占め、最多となっています。これらのランサムウェア被害の対応事例における調査では、法人ネットワークを侵害する巧妙な手口が明らかになっています。特に、これまでは標的型攻撃で見られてきた、認証情報窃取に使われるツールであるMIMIKATZや遠隔実行のツールであるPSEXEC 、またEternalBlueの名称でも知られるMS17-010の脆弱性などを利用した巧妙な内部活動が行われていたことを確認しています。
このように、以前は限られた標的型攻撃の中だけで見られていた高度な攻撃手法は、今やより広い法人組織に対する攻撃で使用されるようになっています。データ的に一般化が示せる代表例としては「ファイルレス活動」があります。トレンドマイクロ製品の挙動監視では、ファイルレス活動関連の不審な挙動を検出可能ですが、その検出数は2019年に入り急増し高止まりの状況となっています。これらのことからは高度な攻撃手法が一般化している傾向が見てとれます。
この他、2019年1年間に確認された脅威動向についてより深く知るためには、以下のレポートをご一読ください。
・詳細レポートはこちら:
2019年年間セキュリティラウンドアップ
