** 本記事は、Sophos releases the 2022 Threat Report の翻訳です。最新の情報は英語記事をご覧ください。**
SophosLabs、Sophos Managed Threat Response チーム、Sophos AI チームは、2022 年版ソフォス脅威レポートを公開しました。このレポートは、ソフォスの中核を担うマルウェアアナリスト、フォレンジックのスペシャリスト、機械学習のスペシャリストの知見を結集し、2021 年に起こったインシデントの分析結果と、その分析結果から、2022 年以降の脅威の傾向と影響について読み解いています。
レポート全文はダウンロードして参照いただけます。本記事ではレポートの中の重要な考察の一部を紹介します。
脅威レポートは 5 つのパートで構成されており、ランサムウェアの流行とその影響、Windows コンピュータを標的とした従来型マルウェアの動向、モバイルプラットフォーム上のマルウェア、インフラストラクチャに対するセキュリティの脅威、そして人工知能の分野に関するパートを取り上げ、IT セキュリティにどのように応用されるかを説明しています。
ランサムウェアとの戦い
2021 年のソフォスのランサムウェア対応は、リバースエンジニアリングを行ってマルウェアの挙動を研究するアナリストと、顧客を標的としたランサムウェア攻撃に介入するアナリストとの、ハイブリッドチームが中心となって行われました。Sophos Rapid Response と呼ばれる後者のグループは、さまざまなランサムウェアファミリーや、組織に侵入してそのネットワーク上へランサムウェア配信することを目的とした攻撃組織への対応で、多忙な 1 年を過ごしました。2021 年には、顧客対応の大半がランサムウェアに関するものでしたが、プロのペネトレーションテスト担当者や「レッドチーム」が正規に使用している市販ツールで、2020 年にソースコードがネットに流出した Cobalt Strike に関する案件でも顧客から対応を求められました。現在、サイバー犯罪者はこれらのツールをマルウェアのペイロードとして配信することで日常的に悪用しています。Microsoft Exchange の脆弱性が話題になった結果、2020 年の通常時よりも多くの Web シェルへの対応が求められました。
しかし、大半の対応はランサムウェアに関するもので、その中でも Conti ランサムウェアと REvil ランサムウェアが最も多く関わっていました。Conti とREvil は、サービスとしてのランサムウェア (RaaS) のビジネスモデルを最初に開発した犯罪者です。このビジネスモデルでは、少数精鋭の開発チームがランサムウェア自体を構築し、より規模の大きい関連性のある攻撃組織がランサムウェアの配信システムを提供し、あらゆる手段でネットワークに侵入します。インターネットに接続されたサービスへのブルートフォース攻撃、脆弱なソフトウェアの悪用、時には犯罪者向けのサービスを提供している「初期アクセスブローカー」から組織の正規ユーザーの認証情報を入手するなど、あらゆる手段でネットワークに侵入していました。
あらゆる場面で攻撃者に対抗
2021 年、SophosLabs チームは動作検出機能の向上を求められました。その結果、ランサムウェア組織が手動による攻撃で利用しているツールとして、Cobalt Strike のような正規の目的でも利用されるツールが最も頻繁に使用されていることがわかりました。しかし、Cobalt Strike 以外にも、IT 管理者やセキュリティ専門家向けに開発された多種多様な商用ソフトウェアやユーティリティを利用した攻撃も見られるようになりました。
Conti ランサムウェアを使用しているサイバー攻撃組織が、侵入方法や情報を盗む方法の記載がある「実装ガイド」を流出させたことで、Conti ランサムウェアを使用する攻撃者の戦術、技術、手順 (TTP) を知ることができただけでなく、「多くの組織が Conti ランサムウェアを使用して活動していたことがわかっていたのに、なぜこれらのグループの TTP が驚くほど似ているのか」という重要な疑問を解決することができました。
ソフォスのスキャナで頻繁に確認された攻撃ツールの中で、最も多く発見されたのが「mimikatz」というパスワードの盗聴・解読ツールでした。また、Metasploit フレームワークや Cobalt Strike のコンポーネントも、他のさまざまなツールと一緒に頻繁に悪用されています。ソフォスは現在、180 種類以上のソフトウェアを検出していますが、これらは明確に悪意のあるソフトウェアと、完全に良性のソフトウェアとの間の、グレーゾーンに分類されています。
脅威にさらされる Android と iOS
モバイルプラットフォームの登場によって、私たちが毎日コンピュータで行っていたタスクの多くがモバイルデバイスで実行できるようになりました。このような状況に伴って脅威も増加しています。Apple 社とAlphabet 社のモバイルプラットフォームで見られる攻撃の大部分は、詐欺や不正行為によるものです。これらの攻撃の中には、プラットフォーム独自のアプリストアから配信されるものもありますが、SMS を介したテキストメッセージや Telegram などのモバイルチャットプラットフォームから配信されるマルウェアも増加しています。モバイルデバイスのユーザーは、これらのプラットフォームで送られてくる短縮リンクがどこにアクセスしているのか分からないことが多く、トラブルに巻き込まれる可能性があります。
本記事の詳細や、脅威の傾向に関するその他の分析については、「2022 年版ソフォス脅威レポート」をご覧ください。