当レポートは、ITセキュリティに影響を及ぼすランサムウェアサービス、コモディティマルウェア、攻撃ツール、クリプトマイナーなどの最新動向を詳細に説明
次世代サイバーセキュリティのグローバルリーダー企業であるソフォス株式会社(東京都港区 代表取締役 中西 智行)は、本日、『2022年版ソフォス脅威レポート』を公開しました。このレポートでは、ランサムウェアというブラックホールがさまざまなサイバー脅威を引き寄せ、相互接続された一つの巨大なランサムウェア配信システムを形成し、ITセキュリティに大きな影響を与えていることを説明しています。また、このレポートはSophosLabsのセキュリティ調査担当者、Sophos Managed Threat Responseの脅威ハンターならびにラピッドレスポンス担当者、およびSophos AIチームが執筆しており、2022年に組織が直面すると考えられるセキュリティの脅威と傾向について、ソフォス独自の多面的な視点から解説しています。
2022年版ソフォス脅威レポートでは、以下の重要なトレンドについて分析しています。
今後1年間、ランサムウェアではモジュール化と均一化の両方が進むと考えられます。攻撃の「スペシャリスト」は、攻撃用のコンポーネントをサービスとして提供しているほか、ツールや手法を教唆する「サイバー攻撃教本」を提供していることから、多くの組織が似たような攻撃を実行できるようになることが予測されます。ソフォスの研究者は、2021年にはランサムウェア組織による個別の攻撃から、サービスとしてのランサムウェア(RaaS)への移行が多く見られ、ランサムウェア開発のスペシャリストが、悪意のあるコードやインフラストラクチャを別の複数の攻撃組織に貸し出すサービスに注力するようになったことを指摘しています。今年最も注目されたランサムウェア攻撃の中にもRaaSを利用したものがあります。その中には、DarkSideによる米国のコロニアルパイプライン社への攻撃も含まれます。Contiランサムウェアを使用しているサイバー攻撃組織は、オペレーターから提供された実装ガイドを流出させましたが、これにより、攻撃者がランサムウェアを展開するために使用しているステップバイステップのツールや手法が明らかになりました。
攻撃に必要なマルウェアを入手すれば、RaaSを利用する攻撃組織や他のランサムウェアオペレーターは、組織への最初の侵入を行う仲介者やマルウェア配信プラットフォームを利用して、標的とする組織を探して攻撃を仕掛けることができます。このような状況は、ソフォスが予測している次の2つ目の大きなトレンドに拍車をかけています。
- これまでに悪用されてきたサイバー脅威は今後もその形態や利用方法を変えながら、ランサムウェアを配信する目的に悪用されることが予測されます。これらの脅威には、ローダー、ドロッパー、他のコモディティマルウェア、最初の侵入を行う仲介者(人間が操作する攻撃であり高度化し続けています)、スパム、アドウェアなどがあります。2021年にソフォスが報告したGootloaderは、新しいハイブリッドな攻撃を展開していました。この攻撃では、大量のキャンペーンを実施しながらも、特定のマルウェアバンドルで攻撃する標的を慎重にフィルタリングしながらピンポイントで狙っていました。
- ランサムウェアの攻撃者が被害者に身代金の支払いを迫るため、今後もいくつもの方法で恐喝することが予測されます。また、恐喝方法の範囲は広がり、エクスカレートすると考えられます。2021年にソフォスのインシデントレスポンスチームは、身代金を支払うように圧力を強める10の方法についてまとめて公開しました。この記事では、脅迫の電話、分散型サービス拒否(DDoS)攻撃などの10の異なる種類の戦術について説明しています。
- 暗号通貨は、ランサムウェアや悪意のあるクリプトマイニングなどのサイバー犯罪を助長し続けると考えられます。ソフォスは、暗号通貨取引に関する規制が世界的に強化されるまで、この傾向は継続すると予測しています。2021年、ソフォスの研究者は、Lemon DuckやMrbMinerなどのクリプトマイナーを発見しています。これらのクリプトマイナーは、新たに公開された脆弱性を攻撃したり、ランサムウェアオペレーターによってすでに侵害されている標的のアクセス情報を利用したりして、コンピュータやサーバーにインストールされています。
ソフォスの主任リサーチサイエンティストのChester Wisniewskiは次のように述べています。「ランサムウェアが成功している理由は、その適応力と革新性にあります。たとえば、RaaSという形態は新しいものではありませんが、これまでは、スキルの低い攻撃者や資金力のない攻撃者でもランサムウェア攻撃を簡単に実行できるようにすることに主眼を置いていました。しかし、2021年にはRaaSの開発者は、時間とエネルギーを費やして高度なコードを開発し、被害を受けた組織、保険会社、交渉担当者から最大の支払額を引き出すための方法を見つけ出そうとしています。RaaSの開発者は、現在、攻撃対象組織の発見、マルウェアのインストールと実行、窃取した暗号通貨のロンダリングなどの作業は別の犯罪組織に委託しています。ランサムウェアの登場前から存在しており、ITセキュリティに混乱を引き起こしていたローダー、ドロッパー、組織への最初の侵入を行う仲介者など、これまでにも見られていた一般的な脅威が、すべてを飲み込む「ブラックホール」のようにランサムウェアに吸い込まれているのです。セキュリティツールを使用して社内のシステムを監視し、悪意のあるコードを検出するだけでは、組織のセキュリティを守ることはできなくなりました。検知や警告機能を正しく設定しなければ、空き巣が花瓶を割ってその音で注意を引き寄せている間に、裏窓から侵入されるような事態を招くことになります。過去に多く見られてきた侵入方法であってもネットワーク全体を侵害するための足場として悪用されることもあることから、防御側の組織は、これまで重点的な対策が必要ではなかったようなアラートにも注意して調査しなければなりません」
ソフォスは以下のようなトレンドについてもこの脅威レポートで分析しています。
- 2021年にはProxyLogonと ProxyShell(英語)の脆弱性が発見され、パッチが適用されましたが、攻撃者に瞬く間に悪用されました。ソフォスは、高度な技術を有する攻撃者と平均的なスキルしかもたないサイバー犯罪者の両方が、IT管理ツールやインターネットに接続している脆弱なサービスを標的として大規模な攻撃を今後も行うと予測しています。
- サイバー犯罪者が、Cobalt Strike Beacon、Mimikatz、PowerSploitなどの攻撃シミュレーションツールを利用するケースが増加することも予測されます。防御側の組織は、悪意のある操作をチェックするのと同様に、正規のツールやツールの組み合わせの異常な使用についてもチェックして、ネットワークに潜在している可能性がある攻撃者を特定しなければなりません。
- 2021年には、ソフォスの研究者は、Linuxシステムを標的としたいくつかの新たな脅威を特定してその詳細を報告しました。2022年には、クラウド、Webサーバー、仮想サーバーで利用されるLinuxベースシステムが標的となるケースが増加することが予測されます。
- FlubotやJokerなど、モバイルの脅威とソーシャルエンジニアリング詐欺は今後も多様化し、個人や組織の両方にとっての脅威となることが予測されます。
- 強力な機械学習モデルが脅威の検知や警告の優先順位設定に役立つことが証明されていることから、サイバーセキュリティへの人工知能(英語)の応用は今後も加速していくと考えられます。同時に、サイバー攻撃者もAIをさらに悪用することが予測されています。今後数年間で、AIを悪用したフェイク情報キャンペーン、ソーシャルメディアプロファイルの偽装、水飲み場攻撃のためのWebコンテンツ、フィッシングメールなど、ディープフェイクビデオや音声合成技術などが攻撃に利用できるようになると予測されます。
2021年の脅威の状況と、2022年のITセキュリティにこれらの脅威がどのように影響していくかについての詳細は『2022年版ソフォス脅威レポート』の全文を参照してください。
2022年版ソフォス脅威レポートに関する以下の資料も合わせてご参照ください
- ソフォス主任リサーチ・サイエンティストのChester Wisniewskiが示した主要調査結果のビデオ (※英語)
https://vimeo.com/643579643/d99c8bcf72 - SophosLabs Uncutに掲載された報告書の内容をまとめた記事
https://news.sophos.com/ja-jp/2021/11/09/2022-threat-report-jp/ - Wisniewski によるランサムウェアの縄張り争いに関する Sophos News の意見記事
https://news.sophos.com/en-us/2021/11/09/winners-and-losers-in-the-ransomware-turf-wars-jp/ - 『2022年版ソフォス脅威レポート』を紹介した Naked Security の記事(※英語)
https://nakedsecurity.sophos.com/ja/2021/11/09/2022-threat-report/
●その他の参考資料
- SophosLab Uncutではソフォスの最新の脅威インテリジェンスを公開しており、さまざまなタイプの脅威に応じた戦術、技術、手順 (TTP) などを参照できます。
- 攻撃者の行動、インシデントレポート、セキュリティ運用担当者のためのアドバイスなどは、 Sophos News SecOpsでご覧いただけます。
- 24時間365日体制で攻撃を封じ込め、無力化し、詳細を調査するソフォスのRapid Responseサービスの詳細をご確認ください。
- ソフォスのRapid ResponseとManaged Threat Responseチームが培ってきたセキュリティインシデント対応における重要な4つのヒント
- 受賞歴のあるソフォスのニュースサイト Naked Security と Sophos Newsで最新のセキュリティニュースとソフォスの解説をご覧ください。
●ソフォスについて
ソフォスは、次世代型サイバーセキュリティにおいて世界をリードする企業として世界 150ヶ国以上、50万社を超える組織と数百万のコンシューマ消費者を今日の高度なサイバー脅威から保護します。ソフォスは、SophosLabs と Sophos AI からの脅威インテリジェンス機能、AI、機械学習を活用して、ユーザー、ネットワーク、エンドポイントをランサムウェア、マルウェア、エクスプロイト、フィッシング、その他さまざまなサイバー攻撃から保護するために高度な製品やサービスの幅広いポートフォリオを提供します。ソフォスは、単一の統合されたクラウドベース管理コンソールである Sophos Central を提供します。これは、適応型サイバーセキュリティエコシステムの中心的存在であり、お客様、パートナー、開発者、その他のサイバーセキュリティベンダーが利用できる豊富なオープン API のセットを活用した一元化されたデータレイクを備えています。ソフォスは、リセラーパートナー、MSP (マネージド サービス プロバイダ) を通じてソフォス製品とサービスを販売しています。ソフォス本社は英国オックスフォードにあります。詳細については www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp )をご覧ください。
●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com