Proofpointによる2020年の予測:サプライチェーンの侵害とアカウント侵害がフィッシングを牽引し、ダウンローダーとボットネットが増加

本ブログは、英語版ブログ「https://www.proofpoint.com/us/threat-insight/post/proofpoints-2020-predictions-downloaders-and-botnets-abound-while-supply-chains」の翻訳です。

概要

毎年12月、Proofpointの研究者は前年からの傾向を調べ、防御側が翌年遭遇する可能性のある脅威ランドスケープの変化を予測します。Proofpointでは、2020年を予測する上で重要な数々のトレンドの中から、RATとダウンローダーの増加、なりすまし攻撃の急速な進化、クラウドアプリケーションを狙う攻撃の高度化などが大きな影響を与え始めたと考えています。

ほとんどの攻撃者にとって、電子メールは攻撃の第一歩であり、バンキング型トロイの木馬、ダウンローダー、バックドアなどのマルウェアの広範囲な配布、組織内の足場を確立するための標的型攻撃、そしてクレデンシャルフィッシングキャンペーンなどにとって欠かせません。しかしその一方で、Microsoft Office 365やG Suiteなどのクラウドベースの電子メールシステム自身も脅威アクターの重要なターゲットとなっており、標的となった組織内での将来の攻撃やラテラルムーブメントのためのプラットフォームとして悪用されています。

ランサムウェア

ランサムウェアは、悪意のある電子メールの主要なペイロードとしての存在感は薄れていましたが、2019年はいわゆる「Big Game Hunting(猛獣狩り)攻撃」でニュースになりました。Proofpointでは、主にミッションクリティカルなシステムのサーバーやエンドポイントを狙い、復旧のための高額の身代金が期待できるこれらのタイプの攻撃は、2020年も継続すると予想しています。しかし通常この種類の感染は、RAT、ダウンローダー、およびバンキング型トロイの木馬による最初の感染に続いて起こるため、組織にとっては最初の感染を如何に防ぐかが重要になります。2020年には、ランサムウェアの被害に遭った組織が、データや知的財産を漏洩させる汎用のマルウェアに長い間侵害されていたことを発見するケースが増えるでしょう。

複雑化する感染チェーン

2019年は、悪意のあるマルウェアを含んだ添付ファイルを使ってマルウェアを配布するメッセージよりも、URLを使うメッセージのほうが数の上では上回っていました。多くのユーザーは未知の送信者からの添付ファイルをクリックしないように教育されていますが、最近ではクラウドアプリケーションや共有ストレージが普及したことでさまざまなコンテンツを表示、共有、および利用するためにURLリンクをクリックすることが増えており、URLをクリックすることへの警戒心が薄れています。URLを使う手法はソーシャルエンジニアリングによってさらに効果的になり、加えてURLを使うことで複雑化する感染チェーンを隠蔽してペイロードへの単純なリンクよりも検出を困難にすることができるため、脅威アクターは2020年もこれを活用し続けるでしょう。またこれまでは、URLは悪意のあるドキュメントの実行可能ファイルにリンクされることが多かったのに対し、2020年にはURL短縮サービス、トラフィック配信システムその他を使って最終的なペイロードを防御担当者および防御システムから隠蔽するようになるでしょう。

同時に、キャンペーンは引き続き複雑さを増し、ユーザーを騙してマルウェアをインストールさせるソーシャルエンジニアリングが高度化するでしょう。攻撃者は被害者との信頼関係を確立した後、LinkedInやスレッドハイジャック、有害なメールに先立つ複数の無害な電子メールなどの複数の接触点を使用するなど、マルウェアやフィッシングキャンペーンにBECの手法を取り込んでいます。同様に、追加の機能をダウンロードするように設計されたモジュール型マルウェアや最初の感染後に感染させるセカンダリマルウェアによる「静かな感染」は、アクターが後に悪用することができるため、今後も続くでしょう。

正規のサービスの悪用

上記と同様に、攻撃者は悪意のある電子メールキャンペーン、マルウェア、フィッシングキットをホストおよび配布するために、合法的な正規のサービスを悪用するでしょう。たとえば、Microsoft SharePointへのリンクを使用してマルウェアをホストすることはこれまでもよく見られましたが、今では内部のフィッシング攻撃に使用されるようになっています。具体的には、侵害されたOffice 365アカウントが、別の侵害されたアカウントがSharePoint上でホストしているフィッシングキットへのリンクを含むフィッシングメールを組織内へ向けて送信します。この場合、組織内の正当なユーザーからメールが送信されているように見え、被害者は外部のフィッシングサイトにリダイレクトされることはありません。この攻撃では侵害されたアカウントが2つだけあればよく、エンドユーザーと多くの自動セキュリティシステムの両方にとって検出は困難です。このテクニックは効果的であることから、2020年にはもっと広がるでしょう。

同様に、この他の正規のクラウドベースのホスティングサービスを悪用したマルウェア配信は広い範囲で行われるでしょう。これは共有コンテンツへのリンクをクリックしてしまうというユーザーの習慣や、ほとんどの組織がDropboxやBoxなどのサービスをブラックリストに登録できないという事情が背景にあります。

最後に、ProofpointではKeitaroトラフィック配信システム(TDS)に関連する高レベルのマルバタイジングを確認しています。Keitaroは、主にWeb広告をはじめとするさまざまなアプリケーションを備えた合法的なサービスですが、被害者の位置情報やオペレーティングシステムを元に特定のペイロードに誘導しようとする攻撃者によって度々悪用されています。この種のサービスに関連するIPをブラックリスト登録することは難しく、トラフィック統計も考え合わせると、このタイプの攻撃は2020年も拡大して継続すると予想されます。

より賢くなるブルートフォース攻撃

組織でのクラウドベースの生産性向上およびコラボレーションソフトウェアの採用が増え続けていることで、これらのプラットフォームは脅威アクターにとってますます魅力的なターゲットになっています。Microsoft Office 365のユーザーを狙ったクレデンシャルフィッシングキャンペーンが急増していることを考えると、侵害されたアカウントが今後のキャンペーンで使用されるという潜在的なリスク、組織内でのラテラルムーブメント、Microsoft SharePointなどの関連サービスの悪用が懸念されます。

これら、およびその他のクラウドサービスに対する従来型のブルートフォース攻撃は2020年も継続しますが、これらの攻撃はますます高度になると予想されます:

  • 新しいクレデンシャルダンプ(大量のユーザーIDとパスワードのペア)が利用可能になるたびに、攻撃は段階的に進化します。脅威アクターはプロセスを自動化してパスワードスタッフィングを効率化し、流出したパスワードや複数のダンプを相互参照して共通の組み合わせに置き換えるアルゴリズムを強化します。

  • 脆弱なネットワークデバイスは乗っ取られ、レガシーな電子メールプロトコルを活用してMFAなどの認証を回避し、大規模に繰り返されるブルートフォース攻撃に利用されます。

  • PythonやPowershellなどのツールを使用したブルートフォース攻撃の自動化が進み、レガシープロトコルと他の侵入技術の両方を利用して不正アクセスを行うハイブリッド攻撃も増加します。

多要素認証の採用はクラウド攻撃に関連するリスクを軽減するのに役立ちますが、堅牢な実装は困難を伴う場合もあり、組織はインフラを保護するために(所有であれサービスとしての利用であれ)生体認証やその他のソリューションを検討しています。

サプライチェーンのパートナーが狙われる

2013年と2014年に起きた大手小売業者の侵害では、サプライチェーンの脆弱性が注目されました。脅威アクターはクレジットカード情報からビジネスメール詐欺(BEC)に至るまでのサプライチェーン全体を侵害しようとしており、Proofpointでは2020年にはこの手法がさらに洗練されると予想しています。

たとえば多くの組織では、顧客とのエンゲージメント、マーケティング、またはその他の目的のために、サプライヤが自組織に代わってメールを送信することを許可しています。Proofpointではこれらのベンダーが侵害され、影響が及んでいることをすでに確認しています。広範なフィッシングキャンペーンにより、組織のブランドが悪用される可能性があるのです。そのため多くの組織は、ベンダーが自らのメールドメインを使用してマーケティングキャンペーンを適切に管理し、侵害のリスクを回避することを求めるようになっています。

またProofpointではこれらの組織が、関連するさまざまなサプライヤをもっときめ細かく管理することを期待しています。最近ヘルスケア業界をサンプリング調査したところ、サプライヤ間の複雑な連携が明らかになりました。しかしサプライヤの多くは元の組織と同じレベルの電子メールセキュリティを採用しておらず、サプライヤ側での潜在的な侵害や脆弱性が悪用されるリスクを生み出しています。これらのサプライヤを特定し、契約によって具体的に電子メールセキュリティの導入を要求することが重要です。アクターは脆弱性を利用してサプライヤ間を行き来し、最終的に狙ったターゲットを侵害するからです。

ニュースの見出しになるようなBEC攻撃の多くは、サプライチェーンに関連しています。それだけでなく、サプライヤになりすましたり侵害されたアカウントを使用したりしてフィッシング攻撃の信頼性を高める技術は、クラウドアカウントへの攻撃をさらに効果的にします。これは組織内部でのフィッシング攻撃の検出が困難であるのとほぼ同じ理由です。情報セキュリティチームは調達チームと協力してベンダーに対して標準ベースのアプローチを要求するため、DMARCの採用が促進されるでしょう。

教育が主役に

自動化されたシステムにより、多くの脅威が受信トレイに到達するのを防ぐことができますが、脅威アクターがボイス/SMSフィッシングとマルチチャネル攻撃に移行するため、ユーザーは引き続き最後の防衛線となります。トレーニングはセキュリティの重要な要素ですが、リソースが不足しているため、組織はユーザーに提供するトレーニングを絞り込む必要があります。したがって:

  • トレーニングの優先順位は、脅威インテリジェンスと組織が実際に経験している脅威の種類によって決まります。

  • より多くの組織が、従来の境界型防御をすり抜けるフィッシング攻撃を検出するために、エンドユーザーに依存するようになるでしょう。ITリソースへの莫大な投資を回避するために、自動化を含むクライアント内の電子メールレポートメカニズムが広く採用されるでしょう。

  • 組織は、自動化されたシステムでは検出が難しい内部フィッシングとメールアカウント侵害について、集中的にトレーニングを行うようになるでしょう。

 

 

Proofpointについて
Proofpoint Inc.(NASDAQ:PFPT)は、人々の働き方を守るクラウドベースのソリューションを提供する次世代の主導的セキュリティ/コンプライアンス企業です。Proofpointのソリューションは、電子メール、ソーシャルメディア、モバイル、クラウドアプリケーション経由で行われる高度な攻撃からユーザーを保護し、高度な攻撃やコンプライアンスリスクからユーザーが作成した情報を保護し、インシデント発生時には迅速に対応できます。詳細はwww.proofpoint.com/jpをご覧ください。

© Proofpoint, Inc. Proofpointは米国及びその他の国々におけるProofpoint, Inc.の商標です。本ドキュメントに記載されている会社名、製品名、サービス名は、一般に各社の登録商標または商標です。本ドキュメントの記載内容、製品及びサービスの仕様は予告なく変更されることがあります

www.proofpoint.com/jp