キヤノンMJ、「2022年上半期サイバーセキュリティレポート」公開

文●ASCII

  • この記事をはてなブックマークに追加
  • 本文印刷

 キヤノンマーケティングジャパンは9月27日、「2022年上半期サイバーセキュリティレポート」を公開した。

 本レポートでは、再び活動が活発になった「Emotet(エモテット)」における検出数の推移に加え、攻撃手法の変化を時系列で紹介。さらに、日本国内でEmotet感染を公表した組織数の集計を通じ、企業や団体など幅広い組織で攻撃を受けていることを報告している。

 また、2021年12月ごろから注目を集めた、さまざまなアプリケーションで利用されているロギングライブラリーLog4j2の脆弱性「Log4Shell(CVE-2021-44228)」について紹介している。この中で、脆弱性を悪用した攻撃の検出数の推移や被害状況、さらに脆弱性の発生要因について解説する。

 その他、本レポートでは、サポートが終了したInternet Explorerのこれまでの歩みとウェブブラウザーの今後の展望、国家によるセキュリティー製品の調達制限の背景とサプライチェーン・リスク、暗号通貨とサイバー犯罪の関わりなどについて紹介している。

2022年上半期サイバーセキュリティレポートの主な内容

■第1章:2022年上半期マルウェア検出統計
 ESET製品で検出されたマルウェアなどの検出状況について傾向を分析。2022年上半期の国内のマルウェア検出数は、2021年下半期に比べ増加傾向にある。なかでも、3月はマルウェアEmotetの感染拡大に伴い検出数が急増。マルウェア以外では、通信プロトコルであるSMBおよびRDPのデフォルトポートに対するブルートフォース攻撃や、5年以上前に公開された脆弱性を狙った攻撃も依然として観測している。本章では、検出数の多いマルウェアや、脆弱性の種類や侵入経路、検出数推移などを解説している。

■第2章:2022年上半期のEmotetの活動状況
 Emotetは、2021年1月に欧州刑事警察機構によってテイクダウンされた後、2021年11月から再活動し、2022年に入ると活発化している。Emotetへの感染を狙ったOffice文書ファイル形式のダウンローダーDOC/TrojanDownloader.Agentは、2022年上半期に国内で検出されたマルウェアの中で最も検出された。規模や業種に関わらず幅広い組織における感染が報告されている。

 従来の攻撃で使われたマクロを無効化するマイクロソフトのアップデートに対応するように、2022年4月以降、感染経路としてショートカットファイルが使用され始めるなど、常に攻撃の手法を変化させ感染拡大が図られている。

 Emotetは、メールでばらまかれる添付ファイルを人が実行することで感染するため、システムへの対策だけでなくセキュリティー教育や組織内の情報共有も重要だと考えている。本章では、Emotetの感染経路・手法の変化、統計情報、対策について解説する。

■第3章:Internet Explorerのサポート終了に伴う今後の展望
 ウェブブラウザーのInternet Explorerは1995年にリリースされた後、11までバージョンアップが行なわれ2022年6月にサポートが終了。その間、Windows OSに標準搭載され世界シェアを大きく伸ばしたが、表示不具合やマルウェア感染被害をもたらした脆弱性などが指摘されるようになり、台頭してきた新興ブラウザーにシェアを引き離された。

 本章では、Internet Explorerのこれまでの歩みを振り返りながら、業務用途のアプリケーションとして使用されることも多いウェブブラウザーの今後の展望について紹介する。

■第4章:Log4Shellの検出状況と解説
 Log4Shellとは、ログ出力が可能なJavaベースのロギングライブラリー“Apache Log4j バージョン2.x系”(Log4j2)で発見された脆弱性の呼称。汎用性が高く、オープンソースであるLog4j2は、様々なアプリケーションや製品のコンポーネントとして利用されているため、本脆弱性の影響を受ける製品は多く、世界中で注目を浴びた。

 ESET製品では、Log4Shellを悪用する通信を受信した場合、JAVA/Exploit.CVE-2021-44228として検出し、通信をブロックする。国内では、Log4Shellを解消する修正パッチが公開された2021年12月10日付近の検出数が突出して多くなっているが、半年以上経過した2022年6月14日においても同程度の検出数が確認されており、依然として油断できない状況だという。改めて、自身や自組織で使用する製品に脆弱なLog4j2がないか確認するとともに、Log4Shellが解消されたバージョンにアップデートするなどの対策が必要となる。

 本章では、Log4Shellを悪用する攻撃の概要や傾向と対策、Log4Shellが発生する原因について解説している。

■第5章:国家によるセキュリティー製品の調達制限の背景とサプライチェーン・リスク
 セキュリティー製品は広範囲に及ぶシステム権限を持つため、悪用された場合、大きな被害につながる恐れがある。こうした懸念は、近年の国家による製品の調達制限にも現れている。

 また、セキュリティー製品と同様に、広く使用されているソフトウェアやプラットフォームがサプライチェーン攻撃を受けている。サプライチェーン攻撃は、本命の標的組織の関連組織や取引先の企業などを狙うビジネス上のサプライチェーンが注目されるが、ハードウェアやソフトウェアの提供元を侵害するソフトウェアのサプライチェーンを悪用する攻撃や、マネージドサービスプロバイダーを侵害しサービスを介して利用者に被害を及ぼすサービスのサプライチェーンを悪用した攻撃なども含まれる。

 本章では、近年の国家によるセキュリティー製品に対する調達制限に着目し、その背景として、セキュリティー製品が持つ特性が悪用された場合に想定される影響と、サプライチェーン攻撃の懸念について解説。また、サプライチェーン攻撃などの被害に遭わないための製品・サービスの調達段階と運用段階の対策を紹介する。

■第6章:暗号通貨とサイバー犯罪との関わり
 国内において、暗号通貨を使用した投資詐欺の被害が増加している。被害の相談事例として、SNSやマッチングアプリで知り合った相手や友人・知人からの誘いがきっかけとなるトラブルが挙げられている。

 また、暗号通貨取引所に対する攻撃が定期的に発生している。暗号通貨取引所の被害は、銀行の金庫のお金をごっそり盗まれるようなもので、被害額が非常に大きくなる。暗号通貨取引所への攻撃は高度な手法が使われているため、国家支援ハッキンググループの関与が取り沙汰されている。

 暗号通貨はランサムウェアの攻撃でも悪用されている。従来、ランサムウェアの身代金支払いは郵送というアナログな手法だったが、課金サービスやデジタル通貨を経て、今日では、暗号通貨による身代金の支払いが主流となっている。近年では、重要インフラや医療機関を狙った多額の身代金を要求する攻撃も増えており、一件当たりの被害額が増加している。

 本章では、暗号通貨とサイバー犯罪の関わりについて、事例を交えて米国での被害状況や詐欺の手口、国内での動向、対策について解説する。

■本レポート解説動画
 本レポートについて、サイバーセキュリティーラボのマルウェアナリストが解説した動画を公開している。
https://youtu.be/TqCN4LNBS_Y