ネットスコープ、2023年マルウェア配布に最も多く悪用されたクラウドアプリ「OneDrive」を介した手口と被害軽減策を公開
Netskope Japan株式会社
2024年02月26日
Netskope Japan株式会社
セキュアアクセスサービスエッジ(SASE)のリーディングカンパニーであるNetskope(以下、ネットスコープ)は、正規のクラウドサービスであるMicrosoft OneDriveを悪用したマルウェア配布の手口について注意を呼びかけるとともに、被害軽減策を公開しました。
クラウド関連の脅威を中心に独自のリサーチを行うNetskope Threat Labs < https://www.netskope.com/jp/netskope-threat-labs > が収集したデータによると、2023年中、OneDriveはマルウェアのダウンロードにおいて最も多く悪用されたクラウドアプリ < https://www.netskope.com/jp/netskope-threat-labs/cloud-threat-report/cloud-and-threat-report-2024 > でした。
本年1月初旬には、プルーフポイント(Proofpoint)の研究者がTA866 < https://malpedia.caad.fkie.fraunhofer.de/actor/ta866 > の金銭的な動機に基づく新たなキャンペーンを9カ月ぶりに検知しました。TA866は、サイバー犯罪およびサイバースパイの両方の活動に関与することを特徴とする脅威アクターです。
TA866は最新のキャンペーンにおいて、北米のターゲットに向け、PDFドキュメントが添付され、被害者のファイル開封を誘う件名が記された数千通もの電子メールを送付しました。PDFファイルはマルウェアで多く用いられるファイルタイプランキングで < https://www.netskope.com/jp/blog/netskope-threat-labs-stats-for-november-2023 > 上位を保っており、今回のキャンペーンも例外ではありません。キャンペーンで用いられるPDFにはOneDriveのURLが含まれており、これをクリックすると多段階感染が引き起こされ、攻撃者によって武器化されたスクリーンショット撮影ユーティリティであるScreenshotterマルウェアのペイロードがドロッパーを介してインストールされる事態を招きます。
特にこのOneDrive リンクからもたらされるJavaScriptファイルをユーザーが実行した場合、MSIファイルがダウンロードされ動作し、悪意あるドロッパーWasabiSeed を実行します。WasabiSeed VBSはその後さらに2つ目のMSIファイルをダウンロードして実行します。この2つ目のMSIファイルには、デスクトップのスクリーンショットを撮影してコマンド&コントロールに送信するスクリーンショットユーティリティScreenshotterのコンポーネントが含まれています。
このキャンペーンは、攻撃者が複数のソーシャルエンジニアリングの手口を用いる新たな一例です。すなわち、被害者の好奇心をくすぐる件名を利用すると同時に、正規のクラウドサービスを利用して、巧妙な多段階感染チェーンを引き起こします。
正規のクラウドサービス経由でのマルウェア感染リスクを軽減するために
Netskopeの次世代セキュアウェブゲートウェイ(SWG) < https://www.netskope.com/jp/products/next-gen-swg > は、Microsoft OneDriveを含む数千ものクラウドサービスに対し、Adaptive Access Control < https://www.netskope.com/jp/platform/adaptive-access-control > と脅威対策 < https://www.netskope.com/jp/platform/threat-protection > 、データ漏洩防止(DLP) < https://www.netskope.com/jp/products/data-loss-prevention > の機能を提供します。OneDriveは、インスタンス検出が利用可能な数百のアプリの1つでもあります。そのため、OneDriveや類似のクラウドストレージアプリが、悪意あるペイロードの配信やコマンド&コントロールインフラをホストするために悪用された場合、個人であれ企業インスタンスであれ、そのサービスを組織で必要としていない場合、潜在的に危険なアクティビティ(“アップロード”や“ダウンロード”など)を防止するポリシーを、単独あるいはカテゴリーとして設定できます。一方で、そのアプリが組織によって利用されている場合には、企業以外のインスタンスのみに対し、あらゆる危険なアクティビティを防止するポリシーを設定でき、マルウェア配信やデータ流出のリスクを軽減できます。
また、Netskopeのお客様は、Netskopeの脅威対策 < https://www.netskope.com/jp/platform/threat-protection > によって、高度な多段階感染チェーンの中で正規のクラウドサービスやウェブ全般から配布されるマルウェアからも保護されています。Netskopeの脅威対策はウェブやクラウドのトラフィックをスキャンし < https://www.netskope.com/jp/blog/netskope-real-time-threat-protection-and-av-test-results > 、シグネチャベースのAV、実行ファイルとOfficeドキュメントのための機械学習を用いた検出機能、ペイシェントゼロプロテクション < https://docs.netskope.com/en/netskope-help/data-security/threat-protection/creating-a-threat-protection-policy-for-patient-zero/ > を備えたサンドボックス化などを含む一連の包括的なエンジンによって、既知および未知の脅威を検出します。また、Netskopeの脅威インテリジェンスは、たとえ正規のクラウドサービスに向けられたものであっても、コマンド&コントロール接続を検出できます。
Netskope Cloud Exchange(CE) < https://www.netskope.com/jp/products/cloud-exchange > は、脅威インテリジェンスフィード、エンドポイント保護、電子メール保護技術などのサードパーティー製ツール(プルーフポイント製品を含む < https://docs.netskope.com/en/netskope-help/integrations-439794/netskope-cloud-exchange/threat-exchange-module/configure-3rd-party-threat-exchange-plugins/proofpoint-plugin-for-threat-exchange/ > )との統合を通じ、ユーザーのセキュリティ体制全体への投資を最大限に活かすための強力な統合ツールを提供します。
最後に、Netskope Advanced Analytics < https://www.netskope.com/jp/products/advanced-analytics > は、豊富な詳細およびインサイトによって、マルウェアの配布に悪用されている不正なクラウドインスタンスのリスクや、異常な通信のターゲットになるリスクを評価するためのダッシュボードを提供し、分析および緩和/修復のプロセスにおいてセキュリティチームをサポートします。
Netskope Threat Labs < https://www.netskope.com/jp/netskope-threat-labs > について
業界屈指のクラウド脅威およびマルウェア研究者が在籍するNetskope Threat Labsは、企業に悪影響を及ぼす最新のクラウド脅威に対する発見、分析および防御策の設計を行なっています。クラウドフィッシング、詐欺、マルウェア配信、コマンド&コントロール、データの抜き出しやデータの暴露など、クラウド関連の脅威に関する独自のリサーチと詳細な分析を用いることで、同ラボは、ネットスコープのお客様を悪意ある脅威アクターから守り、研究、助言、ベストプラクティスを通じてセキュリティの世界的コミュニティに貢献しています。同ラボはシリコンバレーを始めとする世界各地で企業の設立・経営に携わった経験を持つセキュリティ研究者やエンジニアによって率いられており、本社を拠点に世界中に展開しています。同ラボの研究者は、DefCon、BlackHat、RSAなどを含む最も権威あるセキュリティ会議に定期的に参加し、登壇者およびボランティアとして尽力しています。
ネットスコープについて
グローバルなSASEのリーダー企業であるネットスコープは、クラウド、データ、ネットワークセキュリティを再定義することによって、ゼロトラストの原則を適用してデータを保護できるように企業を支援しています。Netskopeプラットフォームは、場所に関わらず、人、デバイス、データに最適なアクセスとリアルタイムのセキュリティを提供します。ネットスコープは、お客様がリスクを軽減し、パフォーマンスを加速させ、あらゆるクラウド、Web、プライベートアプリケーションのアクティビティを比類のない方法で可視化させることをサポートします。フォーチュン100社のうちの25社以上を含む数千社のお客様がネットスコープやその強力なNewEdgeネットワークを利用し、進化しつつある脅威、新しいリスク、テクノロジーの移り変わり、組織やネットワークの変化、新しい規制要件への対処に取り組んでいます。ネットスコープによるお客様のSASE導入サポートについては、netskope.com/jpをご覧ください。
本件に関する報道関係者からのお問い合わせ先
Netskope 広報事務局 (合同会社NEXT PR内)
TEL: 03-4405-9537 FAX: 03-6739-3934
E-mail: netskopePR@next-pr.co.jp
