企業経営に打撃を与える2つの脅威
EMOTET&法人狙いのランサムウェア

経営者が知っておくべき脅威の動向と対策-2020年

2020年は、ボット型マルウェアの「EMOTET」と法人狙いのランサムウェアが活動を活発化させ、企業に打撃を与え始めた年。これらのサイバー攻撃によって企業はどのような実害を被るリスクがあるのか。また、これらの攻撃の手口はどのようなもので、いかなる対策を講じるべきなのか。その全体像を解説する。








監修:岡本勝之
トレンドマイクロ株式会社
セキュリティエバンジェリスト

メール経由で拡散するボット型マルウェア、EMOTETの脅威

ここ数年来、サイバー攻撃は巧妙化・悪質化の一途をたどってきた。その傾向に変化はなく、極めて悪質で巧妙な2つの脅威が、企業経営を脅かしつつある。その1つは、ボット型マルウェアの「EMOTET」であり、もう一つは、法人組織を標的にしたマルウェアである。

そこでまずは、EMOTETの動向から確認しておきたい。

EMOTETは、メール経由で拡散するタイプのマルウェアだ。2020年8月には、トレンドマイクロ製品によるEMOTETの検出件数(台数)が、前年ピークの5.7倍に当たる4万6,000件を超えた(図1)。

図1:EMOTET検出台数の推移

出典:トレンドマイクロ調べ

このEMOTETに端末が感染すると、受信メールの内容や端末の認証情報、メールクライアントの認証情報などが窃取されてしまう。また、感染端末が二次攻撃の踏み台にされ、「他組織への攻撃メールの送信」「ネットワーク内での感染拡大」「ランサムウェアやバンキングトロジャン(オンラインバンキング詐欺ツール)の感染」などに悪用されるリスクがあるほか、EMOTETによって窃取された組織内ネットワークへのアクセス権限が闇市場で売買される可能性もある。

これらはいずれも深刻なセキュリティリスクと言え、自社内のみならず、取引先や顧客にも脅威を拡散させてしまい、信用・信頼を一挙に失うおそれがある。

EMOTET感染が防ぎにくい理由

EMOTETの感染と拡散のフローは、図2に示すようなものだ。

図2:EMOTETの感染と拡散のフロー


この図にあるとおり、EMOTETの攻撃ではまず、攻撃メール(マルウェアスパムメール)が法人内の端末に送りつけられ、様々な手法を使って添付の文書ファイル(Microsoft Wordファイル、など)をユーザーに開かせる。ここで、ユーザーが開いた文書の「コンテンツの有効化」ボタンをクリックすると、不正なマクロが起動し、外部のC&CサーバからEMOTET本体がダウンロードされ、端末に感染する(図3)。

図3:「コンテンツの有効化」ボタンのクリックにより、不正マクロが実行される


端末にとりついたEMOTETは、メールの内容やメールアドレスを収集して、攻撃者に送信し、攻撃者はその情報を悪用して、マルウェアスパムメールを拡散する。

ちなみに、EMOTETを配布するメールは図4に示すようなものだ。ご覧のとおり、メールの文面も含めてなかなか巧妙な作りになっている。したがって、攻撃メールに対して普段から警戒していないと、それがスパムメールであることに気づけない可能性が大きい。

図4:EMOTET配布用のスパムメールの例

また、EMOTET配布用のスパムメールは、セキュリティ製品による防御の網の目をすり抜ける仕掛けが随所に施されている。

そうした仕掛けの一つは、添付文書を「パスワード付きのZIPファイル」にして、セキュリティ製品の検知を回避するというものだ。ご存知の方も多いと考えるが、メールセキュリティ製品の中には、パスワード付きZIPファイルの内容を判定する機能を備えていないものがある。EMOTETのメールはそうした製品の弱点を突いてくる。

また、EMOTETでは、マルウェア本体(ファイル)の「ハッシュ値(パターン)」をさまざまに変化させて、セキュリティ製品のパターンマッチングによる検知もすり抜ける。さらに、感染に使う不正な文書ファイルの見た目や二次感染させるマルウェアを変化させるなど、検知の難度を高める機能も備えている。

ますます悪質化する法人狙いのランサムウェア

一方、ランサムウェア被害も2020年は増加傾向にあった(図5)。

図5:国内法人からのランサムウェア被害報告件数推

出典:トレンドマイクロ調べ


ご承知のとおり、ランサムウェアを使った攻撃は、サイバー攻撃の中でも特に悪質で、かつ危険性の高いものである。具体的には、感染端末に強制ロックをかけて使用不能にしたり、端末内のファイルや共有ファイルを暗号化して使用不能にし、そのうえで、復旧(ファイルやシステムを元に戻すこと)を条件に、金銭(=身代金)を要求する。

そうしたランサムウェアの最近の傾向として特に顕著なのは、ランサムウェアをクラウドサービスとして提供する「RaaS(Ransomware as a Service)」 が登場し、ランサムウェアを開発する能力がない犯罪者でも、それを使った攻撃が可能になっていることだ。また、もう一つ、法人を標的とした攻撃が増え始めているのも近年のトレンドである。

さらに、ランサムウェアを使った攻撃手法も多様化し、複雑化している。

例えば、従来のランサムウェアの侵入経路は、攻撃用のメールやWebサイトに限定されていたが、今日では、脆弱性攻撃や不正アクセスによってリモート(遠隔)から直接侵入し、内部活動によって攻撃基盤を拡大したのちに、ランサムウェア感染を一挙に広げようとする動きも活発化している。その感染拡大の手段としては、 ADサーバに侵入し、グループポリシーを使ってランサムウェアを拡散させるという方法がよくとられている。このほか、端末を乗っ取った攻撃者が、エンドポイントセキュリティ製品を停止したり、アンインストールしたりする場合もある。

広がる「暴露型ランサムウェア」の被害

もう一つ、最近のランサムウェアの動向として留意すべきは、「暴露型ランサムウェア」の被害が広がっている点だ。これは、身代金を支払わない法人の内部情報を、インターネット上に公開する(暴露する)タイプの攻撃である。

従来のランサムウェアは、攻撃によって端末/データが使用不能になり、業務停止を余技なくされるおそれが強い一方で、内部の重要情報(機密情報や社員・顧客の個人情報、など)が流出してしまうリスクはそれほどない脅威だった。

ところが、暴露型の場合、攻撃者は、端末内のファイルや共有ファイルを、暗号化などによって使用不能にするだけではなく、情報の窃取も併せて行い、身代金が支払われない場合には、窃取した情報をインターネット上の暴露サイトで公表すると脅してくる。

そして、身代金を支払われなかった場合、窃取した情報を窃取先の法人名とともに暴露サイト上で公開し、法人にダメージを与えるのである。また場合によって、窃取情報を闇市場で販売することもある。

すでに国内法人も、暴露型ランサムウェアによる実害を被っており、例えば、2020年9月には、ある企業が、暴露型ランサムウェアによって保有サーバの大半が暗号化され、かつ、社内にあるPCの多くからセキュリティ製品が削除されるという被害を受けた。また、それだけではなく、暴露サイト上に盗まれた情報が掲載されてしまったのである。

ちなみに、同社の場合、被害発生から7日後に基幹業務系のサーバを復旧させたものの、メールサーバの被害が深刻なために、臨時に外部メールシステムを導入して、メールを復旧させなければならなかったという。

ランサムウェアによる実害を被った際に、身代金を支払うことは犯罪を経済的に支援することと同じ行為であり、基本的には身代金の支払いは避けるべきといえる。また、身代金を支払ったところで、システムやデータが復旧する保証もない。そして新たに登場した暴露型ランサムウェアは、法人の業務継続だけでなく、信用・信頼にも大きなダメージを与えかねない攻撃だ。このため、法人としては、迅速に被害範囲を特定してシステムやデータの復旧を図るのと同時に、再発防止策の徹底と外部公表などの作業を行う必要がある。

2つの脅威への対抗策

では、暴露型などの法人狙いのランサムウェアや前述のEMOTETへの備えを固めるために、どの部分の対策を、どのように強化するべきなのだろうか。以下に、その対策の強化・見直しのポイントをまとめておくので今後の参考にされたい。

①不正ログイン・内部活動・マルウェア拡散リスクの低減施策

  • システム(ドメイン/ローカル)管理者のパスワードの変更・複雑化
  • ADサーバなど、重要なシステムに対する認証強化やアクセス制限の徹底
  • 意図せず外部に露出させてしまっているポートの調査と把握
  • ネットワーク内外の脆弱性の把握と対策の徹底
  • リモートデスクトップ通信、クライアント間のSMB通信の制限と見直し

②エンドポイントへのマルウェア感染リスクの低減施策

  • 脅威とその手法に関する社内への継続的な周知・注意喚起の徹底
  • セキュリティポリシーの見直し:Office文書のマクロは全て無効化して、メールへの添付ファイルは禁止する、など。
  • エンドポイントセキュリティ製品の機能強化:機械学習、振る舞い検知(挙動やイベントの監視)、不正URLへのアクセスブロック(Webレピュテーション機能)、メールフィルタリング、検知ログ確認などの機能の追加/強化

③セキュリティ侵害の早期発見と被害拡大リスクの低減施策

  • サーバでの侵入・改ざん防止やログ監視機能の利用
  • 不正な内部活動を可視化するためのネットワーク監視の強化

このほか、ランサムウェア対策に限って言えば、業務の遂行に支障をきたすような重要なデータについては、必ずバックアップをとり、確実にリカバリできる体制を築いておくことも大切だ。ただし、暴露型ランサムウェアの場合には自組織の被害が意図せず公になることがあるため、外部への説明や公表などの対応が必要になることも併せて考えておくべきだ。

以上に示した対策は、攻撃手法を複雑化させる今日のサイバー攻撃に対抗していくための基本的な施策と言える。技術者が対応すべき施策が多いように思えるかもしれないが、サイバーリスクに対する全社的な理解と協力がなければ、なかなか実現できないものも含まれている。その意味でも、今日の脅威に対抗していくには、経営層とセキュリティ管理を担当するIT組織が一体となって取り組むことが強く求められていると言える。

繰り返すようだが、今日のサイバー攻撃は悪質化しており、攻撃によるセキュリティ侵害が経営に与える負のダメージは以前にも増して大きくなっている。これからも、脅威の動向にアンテナを張り巡らせながら、対策の継続的な強化を図っていくことをお勧めしたい。

記事公開日 : 2020.12.22
※ 記載内容は2020年12月現在のものです