2019年、サイバー犯罪者は合わせ技を使う
パソコンやスマートフォンなどのデータ、もしくは端末自体を暗号化して使用不能にし、それらの復号化と引き替えに身代金を要求する「ランサムウェア」。正規のサービスなどをよそおったメールで、偽のWebサイト(フィッシングサイト)に誘導させ、クレジットカード情報やログイン情報(IDとパスワードなど)を盗み出す「フィッシング詐欺」……。一つ一つの犯罪については、知識として対策を知っている人も多いだろう。
しかし、多数の攻撃を組み合わせることで、どのような被害に遭っているのかを見抜かれにくくする手口もある。たとえば、フィッシング詐欺メールにビデオ添付ファイルを含ませ、ビデオを開くと、ビデオプレーヤーが再生されず、コーデックを更新するように求められる。実行すると、マルウェアが秘密裏に動き出し、ランサムウェアまたは不正な仮想通貨マイニングの被害に遭う……といった具合だ。
このような「合わせ技」の攻撃は、1つのカテゴリに分類しようとすると、攻撃の検出や、被害に遭ったコンピューターの修復は困難となる。何が原因なのか、最終的にどのような被害に遭うのか、しっかりと見極める必要がある。セキュリティベンダーとサイバー犯罪者の戦いは、ますます激化しそうだ。
サイバー犯罪者の攻撃は進化している。パソコンやスマホを所持している我々は、何ができるのか。もちろん、セキュリティ ソフトウェアをしっかりとインストールする、ソフトウェアを最新のものに更新するなど、基本的なことはある。そのうえで、新しい脅威に対しては、セキュリティ情報を知識として蓄え、リテラシーを高めることが肝心だ。
2019年、備えあれば憂いなし。最新のサイバーセキュリティ事情をよく知るために、「マカフィーラボ、2019年の脅威予測レポート」をじっくりチェックしてほしい。盛りだくさんの内容になっているが、読めば読むほど、セキュリティ上の脅威について詳しくなる濃~いレポートだ!(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
マカフィーラボ、2019年の脅威予測レポート
2018年が終わろうとしていますが、今年はランサムウェアによる攻撃の影響が、少なかったことに感謝すべきでしょう。しかし、GandCrabやSamSamなどの亜種の発生は、サイバー脅威が引き続き活発であることを示しています。2019年に向けた我々の予測は、単に特定の脅威の増減に関する予測を提供するだけでなく、トレンドへと発展し、やがて脅威となるであろうサイバー犯罪組織の動向に着目しました。
我々は、サイバー犯罪者らが組織を通じて協力関係を深めた結果、ランサムウェアの脅威がより強化されたとみています。サイバー犯罪者は長年に渡ってこのような連携を保っていましたが、その傾向は2019年にさらに拡大するでしょう。セキュリティ業界とランサムウェア作成者との間で繰り広げられる攻防はエスカレートし、業界はこれまで以上に迅速かつ効果的に対策する必要があります。
ソーシャルメディアは、私たちの生活の一部となっています。最近では、国家が悪意を持って誤報を伝播するためにソーシャルメディアを悪用していたことが判明しました。2019年には、犯罪者が自身の利益のためにソーシャルメディアを活用し始めるとされています。同様に、家庭におけるIoTの普及によって、犯罪者の金銭的な利益獲得が助長されるでしょう。
一つ、確かなことは、我々はあらゆる面でテクノロジーに依存しているということです。IDプラットフォームの脆弱性による情報漏洩で5,000万人のユーザーに影響を与えるようなことが実際に起きているということを考えてみてください。もはや、情報漏洩がそのプラットフォームだけに限定されているということはあり得ません。すべてが接続しており、安全性はプラットフォームの最も脆弱な部分によって決まるのです。将来的に、我々はどの脆弱なリンクから情報が漏れたのかという問題に直面するでしょう。
—ラージ・サマニ, 米国マカフィー LLC チーフ サイエンティスト兼マカフィーフェロー Twitter @Raj_Samani
サイバー犯罪組織が統合し、
攻撃力を高めるためにより多くの連携が行われる
闇のハッカーフォーラムやチャットグループは、サイバー犯罪者のための市場として機能しており、そこではマルウェア、エクスプロイト、ボットネットなどをサービスとして購入が可能です。さまざまな経験や技術を持つ犯罪者による攻撃を容易に成功へと導きます。2019年には、市場の統合が継続され、数は少ないもののより強力なサービスとしてのマルウェアファミリーが作られ、活発に連携していくとみられます。連携によりさらに強力になり、より洗練された仮想通貨のマイニングや、新たな脆弱性を悪用した攻撃、モバイルマルウェアの増加、クレジットカードや信用情報の搾取が増加します。
我々は、さらに多くのアフィリエイトが、連携により拡大したマルウェアファミリーに加わると予測します。運用の容易さとエクスプロイトキット、クリプターサービス、ビットコインミキサー、そしてマルウェア対策への対抗サービスなど重要なトップレベルサービス(Best-of-Breed)との戦略的提携が理由です。2年前、我々は最大のランサムウェアファミリーの多くがアフィリエイト構造を採用しているのを確認しました。数々のランサムウェアが今も出現していますが、生き残ることができるのは少数です。これは、多くの組織は感染率が高いだけでなく運用上および財務上の安定性を備えた強力なブランドと競争するのに十分な取引を誘致できないためです。現時点では、最大級のマルウェアファミリーが積極的に商品を宣伝しています。マネーロンダリングや検出ができないマルウェアなどの他のトップレベルのサービスと連携する強力なブランド(GandCrab参照)であるためそういった犯罪組織のビジネスは順調です。
ダークウェブでの取引がビジネスとして成り立っているのは、信頼をベースとしたシステムであるためです。「盗人にも仁義」ということわざのように、犯罪者は彼らのフォーラム内には部外者は誰も入ってこられないだろうと安心しています。過去にもこのような信頼関係を見ることができました。例えば、今世紀の初期には、警察がその信頼モデルを壊すまで、クレジットカードショップがサイバー犯罪の温床として頻繁に利用されていました。
エンドポイントの検知が強化されるにつれて、脆弱なリモートデスクトッププロトコル (RDP) はサイバー犯罪者に別の道を開きました。2019年には、マルウェア、特にランサムウェアのRDPを感染のエントリーポイントとして、利用がますます増えると予測しています。現在、多くの犯罪組織では、通常、Amazon アカウントへアクセスするための足掛かりとして、あるいはクレジットカードの窃取のプロキシとして、ランサムウェア以外の目的でRDPアクセスを宣伝しています。ターゲットとされたランサムウェアグループとサービスとしてのランサムウェア (RaaS) モデルがRDP を活用し、秘密裏に成功させている攻撃が、この戦術を用いているのを我々は確認しています。攻撃者は、弱いRDPを持つシステムを見つけ、ランサムウェアで攻撃し、さらにワーム機能(EternalBlue)を用いてネットワーク経由で伝播します。GandCrab の作者がすでに RDP オプションに取り組んでいる形跡も見られます。
また、仮想通貨のマイニングマルウェアについては、より洗練され、処理ハードウェア(WebCobra)および特定の時点での具体的な通貨のレートに基づいて、被害者のマシン上で通貨の選択が可能となるようなより高度なマルウェアが出現するのではないかと見ています。
来年は、脆弱性の検出から攻撃までの時間はさらに短縮されることも予測されます。サイバー犯罪者の開発プロセスはより機敏になっています。彼らは、オンラインフォーラムや共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)データベースの欠陥からデータを収集し、マルウェアに追加します。犯罪者がソフトウェアやハードウェアの最新の脆弱性に対し、1日またはわずか数時間で攻撃を実施するようになると予測しています。
ボットネット、銀行詐欺、ランサムウェア、二要素認証セキュリティの回避など、Androidを中心としたモバイルマルウェアについて、サイバー犯罪者、犯罪組織等で議論が活発化することが予想されます。携帯電話からの銀行口座などの機密情報へのアクセス量を考えるとサイバー犯罪者が得られるものは多く、現在、モバイルプラットフォームを悪用する価値は過小評価されていると言えるでしょう。
クレジットカード詐欺と盗難クレジットカード情報の需要については、大規模な電子商取引サイト上のサードパーティの支払いプラットフォームを対象としたオンラインスキミングにさらなる重点を置いて継続されるでしょう。これらのサイトから、犯罪者は密かに何千人分もの新たなクレジットカード情報を盗むことが可能です。さらに、ソーシャルメディアを用い、ユーザーに気づかれないようにアカウントを操作し、ユーザーを獲得したり、商品の返品や金融サービスを提供するなど、知らないうちにユーザーが共犯者にされてしまうような事象も発生する可能性があります。
我々は、最近の大規模なデータ漏洩やユーザーの安易なパスワード設定によって盗まれた認証情報が市場にさらに多く出回ることを懸念しています。例えば、情報漏洩は有権者情報の販売やメールアカウントのハッキングに繋がります。こういった攻撃は毎日発生しています。
将来の回避技術における人工知能(AI)の更なる活用
成功の機会を増やすために、攻撃者は、セキュリティ対策をバイパスし、検出と分析を避けるための回避技術を長期に渡って採用しています。パッカーズ、クリプターズ、およびその他のツールは、攻撃者の武器の一般的なコンポーネントです。実際、犯罪組織による闇の経済が誕生し、犯罪活動を支援するための製品や専用サービスがそこで提供されています。現在では攻撃の主要コンポーネントの外部委託が容易であるため、2019年には人工知能を用いた回避技術がより機敏になると予測されます。
2018年には、 “process doppelgänging”とSynAckランサムウェア、またRigExploit KitによるPROPagate injection deliveredといった新しいプロセスインジェクション技術が登場しました。このような人工知能などの技術を追加することにより、さらなる防御回避が可能になります。