ディープインスティンクト、2022年版サイバー脅威 中間レポート日本語版を公開 ~2022年における犯罪組織の変化と新しい戦術、被害者を特定~
ディープインスティンクト株式会社
年2回発表するサイバー脅威情勢レポートにおいて、ランサムウェア犯罪組織とマルウェアキャンペーンの大きな変化が明らかに
世界で初めてサイバーセキュリティにエンドツーエンドのディープラーニングを適用した※1 米Deep Instinctの日本法人である、ディープインスティンクト株式会社(本社:東京都 港区、カントリーマネージャー 並木俊宗、以下 ディープインスティンクト)は、本日、2022年版サイバー脅威 中間レポート日本語版を公開しました。この最新のレポートでは、2022年上半期に起こったマルウェアとランサムウェアのトップトレンドと戦術に焦点を当て、進化し続けるサイバーセキュリティの脅威状況について心に留めるべき重要なポイントと予測を示しています。
Deep Instinctの脅威ラボチームリーダーであるマーク・ヴァイツマンは次のように述べています。「2022年はサイバー犯罪者やランサムウェア犯罪組織にとって、記録に残る新たな年となりました。これらの脅威アクターが、従来型のサイバー防御を回避することを目的として設計された新規でより効果的な戦術によって、常に彼らの攻撃をアップグレードしていることは周知の事実です。このレポートの目的は、組織とそのセキュリティチームが日々直面している幅広い課題について概要を明らかにすることです。防御チームは引き続き警戒を怠らず、これらの攻撃を未然に防ぐための新たなアプローチを見つける必要があります」
本レポートは調査結果として以下の重要なポイントを含んでいます。
1. 脅威アクター構造の変化:
最も盛んに見られる動きとして、LockBit、Hive、BlackCat、Conti を含むランサムウェア 犯罪組織の内部的な変化が観察されています。Contiが生み出したのは、Quantum、BlackBasta、BlackByteから構成される「Conti Splinters」です。この3つの勢いのあるグループは、Contiの衰退に伴い、元はContiの提携グループであった組織が独立して生まれました。
2. マルウェアキャンペーンの変化:
本レポートは、Emotet、Agent Tesla、NanoCoreなどが顕著な変化を示している背景を明らかにしています。例えばEmotetは検出を避けるため、高度に難読化されたVBAマクロを使用します。
3. マイクロソフトがある道を閉ざせば悪質業者は別の道を行く:
マイクロソフトがMicrosoft Officeファイルのマクロをデフォルトで無効化したことを受け、Deep Instinctの研究者は、マルウェアの優先的な攻撃経路として文書を使用するケースが減少していることを発見しました。また攻撃アクターが、マルウェアを展開するための方法を、LNK、HTML、電子メールの添付ファイルなどに変更していることがすでに確認されています。
4. 悪用されやすい主な脆弱性:
SpoolFool、Follina、DirtyPipeなどの脆弱性は、WindowsとLinuxシステムによるセキュリティ強化努力にもかかわらず、その悪用可能性が浮き彫りになりました。CISAが公表している既知の悪用される脆弱性のカタログを分析すると、野放し状態で悪用される脆弱性の数は3~4カ月ごとに急増しており、年末に近づくにつれて次の急増期が予想されます。
5. 取引先の企業にまで及ぶ、データ漏えいによる二重恐喝攻撃:
脅威グループは流出データに対する身代金要求を目的とし、攻撃フローの中でデータ漏えいを利用しています。機密データの流出の場合には修復の選択肢が少ないため、流出したデータに他企業の機密情報も含まれている場合、多くの脅威アクターはさらに踏み込んでその第三者企業にも身代金を要求する二重恐喝を行います。
ランサムウェア攻撃が依然として組織にとって深刻な脅威であることは自明ですが、現在17の流出したデータベースが脅威者によって運用されており、そのデータを活用した第三者企業への攻撃が行われています。特に顕著なのはソーシャルエンジニアリング、認証情報の窃取、三重脅迫攻撃です。
また本レポートでは以下の具体的な3つの予想を行っています。
内部関係者および提携者プログラム:
悪意ある脅威アクターは、最も弱い箇所にほころびを見つけます。サイバーセキュリティの技術革新が進む中、一部の脅威アクターは脆弱な標的を見つけるか、内部関係者を買収するかのどちらかを選択します。Lapsus$のようなグループはエクスプロイトに頼らず、組織内のデータへのアクセスを喜んで金銭と引き換えにする内部関係者を探します。
増加するプロテストウェア:
プロテストウェアの増加現象がトレンドとなっています。プロテストウェアは、ソフトウェアを自滅させた上でマルウェア機能を搭載させて武器化し、そのユーザー全体または一部に危害を加える意図を持つものと定義されます。ロシアとウクライナの戦争はプロテストウェア急増の原因となりました。その最も顕著な例は、人気のNPMパッケージであるnode-ipc wiperです。このようなサプライチェーン攻撃を発見するのは容易ではなく、通常、複数の被害者が影響を受けた後に初めて検出されます。
年末年始の攻撃
2021年に見られたようなLog4JやExchangeと同様の大きな脆弱性は、2022年にはまだ報告されていません。しかし報告された脆弱性に対し公的に割り当てられたCVEの数は、前年比で増加しています。脅威アクターは単に2021年のCVEに対してパッチ未適用のシステムが大量に存在するため、2022年にも古い脆弱性を悪用しているにすぎないのです。
サイバーセキュリティの脅威の現状と今後どのように進化していくかについての詳細は、2022年版サイバー脅威 中間レポート日本語版<https://info.deepinstinct.com/ja-jp/cyber-threat-landscape-report-2022-october>をご覧ください。
注釈
※1:世界で初めてサイバーセキュリティにエンドツーエンドのディープラーニングを適用した:2022年12月 Deep Instinct社調べ
本リリースは米国時間2022年10月31日に発表したプレスリリースの抄訳です。
Deep Instinctについて
サイバーセキュリティにエンドツーエンドのディープラーニングを適用した初めての企業であり、唯一の企業です。Deep Instinct の人工知能はあらゆるタイプのサイバー脅威の検知を学習することによって、これらを本能的に予防できる機能を備えています。その結果、既知・新種、初見のマルウェア、ゼロデイ、ランサムウェア、APT(高度な持続的脅威)など、あらゆる種類のマルウェアをゼロタイムで予測・防御し、ネットワーク、エンドポイント、モバイルなど、企業内のあらゆる場所で、比類のない精度とスピードで、多層的な防御を可能にします。
Deep Instinctに関する詳細については、下記Webサイトをご覧ください。
https://www.deepinstinct.com/ja/