新しいマイクロソフト デジタル ディフェンス レポートによると、サイバー攻撃はどのように変化しているか

2021 年、サイバー犯罪はより巧妙化、拡大し、執拗に行われています。犯罪者は、ヘルスケア、 ¹情報技術、 ²金融サービス、 ³エネルギー セクター⁴などの重要なインフラストラクチャを標的にして、ビジネスを麻痺させ、消費者に損害を与える見出しをつかむ攻撃を行ってきました。しかし、前向きな傾向もあります。被害者が名乗り出て、サイバー攻撃の犠牲者を人間味のあるものにし、法執行機関の関与を強めています。政府はまた、サイバー犯罪を国家安全保障への脅威と認識しているため、新しい法律を可決し、より多くのリソースを割り当てています。

今月初め、Microsoft は2021 Microsoft Digital Defense Report (MDDR) を公開しました。マイクロソフト クラウド、エンドポイント、インテリジェント エッジ全体で毎日 24 兆を超えるセキュリティ シグナルを利用する 2021 MDDR は、昨年の最初のレポートを拡張し、77 か国にまたがる 8,500 人を超えるセキュリティ専門家からの意見を取り入れています。 、悪意のある電子メール、マルウェアなど。

ランサムウェアが小売業に

ランサムウェアは、犯罪者にとって魅力的な、低投資で高収益のビジネス モデルを提供します。 1 台の PC への攻撃から始まった攻撃には、現在、人間の知性によって可能になった、データと評判の両方を標的とする複数の恐喝方法を使用したネットワーク全体の攻撃が含まれています。このリアルタイムのインテリジェンスとより広範な犯罪戦術の組み合わせにより、ランサムウェア オペレーターは利益を前例のないレベルに押し上げました。

この人間が操作するランサムウェアは、「ビッグ ゲーム ランサムウェア」としても知られ、シンジケートやアフィリエイトを通じて多額の報酬をもたらす大規模な標的を狙う犯罪者が関与しています。ランサムウェアは、サービスとしてのランサムウェア (RaaS) を含め、他の大企業と同様にモジュール式のシステムになりつつあります。 RaaS では、ランサムウェア攻撃の背後にいるのは 1 人ではありません。むしろ、複数のグループがあります。たとえば、ある攻撃者がマルウェアを開発して展開し、攻撃者が特定のカテゴリの被害者にアクセスできるようにする場合があります。一方、別のアクターは単にマルウェアを展開するだけかもしれません。それは事実上、各メンバーが特定の専門知識に対して報酬を受け取る犯罪シンジケートです。

犯罪者がネットワークに侵入すると、機密情報、財務書類、保険証書を盗む可能性があります。このインテリジェンスを分析した後、被害者のシステムのロックを解除するだけでなく、盗み出されたデータの公開を防ぐために、「適切な」身代金を要求します。これは、二重恐喝モデルとして知られています。被害者は、盗まれたデータと知的財産 (IP) の身代金を要求され、攻撃者がそれを公開するのを阻止するために再び恐喝されます。

通常、攻撃者は暗号通貨ウォレットによる支払いを要求します。基礎となるブロックチェーン技術により、暗号ウォレットの所有者は仮名を維持できます。しかし、犯罪者は現金化する方法を見つける必要があります。これは、身代金関連の取引と支払いを容易にするために暗号通貨エコシステムの仲介者が介入する場所です。民間部門と政府機関の両方が、民事訴訟、訴追、規制執行、国際協力を通じて、 ランサムウェアの仲介者に対して協調行動をとり、支払いプロセスを混乱させることができます。 Microsoft’s Detection and Response Team (DART) のデータによると、ランサムウェアの標的となった 3 つのセクターは、消費者、金融、および製造業でした。

図 1: 業界別の DART ランサムウェアの関与 (2020 年 7 月から 2021 年 6 月)。

ランサムウェアに備える最善の方法は、身代金を支払うことなく、攻撃者がシステムにアクセスするのを困難にし、被害者が回復しやすくすることです。最悪の事態に備えるよう組織を奨励することは、実際には積極的な戦略であり、攻撃者の金銭的インセンティブを最小限に抑えるように設計されています。ランサムウェアに対する防御の詳細については、2021 MDDR をお読みください。マイクロソフトは、サイバー レディネス インスティテュートがランサムウェア プレイブックで提示したガイダンスもサポートしています。

図 2: ランサムウェアによる被害を抑えるための 3 つのステップ。

悪意のあるメール: おとり商法

フィッシング攻撃の報告は 2020 年に 2 倍になり、最も被害の大きい攻撃の多くでクレデンシャル フィッシングが使用されました。 Microsoft Digital Crimes Unit (DCU) は、ビジネス メール侵害 (BEC) に関与するオンライン組織犯罪ネットワークを調査し、盗まれた資格情報の取得、検証、および使用方法が多様であることを発見しました。攻撃者は、自動化ツールや購入ツールへの投資を増やしているため、犯罪活動の価値を高めることができます。

全体として、 フィッシングは、脅威シグナルで観測された最も一般的な種類の悪意のある電子メールです。すべての業界がフィッシング メールを受け取りますが、攻撃者の目的、漏えいしたメール アドレスの入手可能性、または特定のセクターや業界に関する現在の出来事に応じて、一部の業界はより厳しく標的にされています。 Microsoft Exchangeのグローバル メール フローで確認されたフィッシング メールの数は、 2020 年 6 月から 2021 年 6 月にかけて増加しました。

「2020 年、業界ではフィッシング キャンペーンが急増し、2021 年を通して安定していました。Microsoft の内部では、フィッシング メールの総数が増加し、マルウェアを含むメールが減少傾向にあり、ボイス フィッシング (またはビッシング）」 —2021 マイクロソフト デジタル ディフェンス レポート

図 3: 悪意のある電子メールの手法。

フィッシング サイトは、 Microsoft Office 365などのよく知られた正当なログイン ページを頻繁にコピーして、ユーザーをだまして資格情報を入力させます。最近の一例では、攻撃者はオープン リダイレクター リンクと、よく知られた生産性向上ツールやサービスになりすますおとりを組み合わせました。ユーザーがリンクをクリックすると、正当性を強調する CAPTCHA 検証ページを含む一連のリダイレクトが行われ、その後、偽のサインイン ページが表示され、最終的に認証情報が侵害されました。盗まれた ID は、BEC 攻撃やフィッシング Web サイトを介して兵器化される可能性があります。攻撃が成功した後でも、資格情報が侵害されたままであれば、攻撃者はアカウントを再販売する可能性があります。

Microsoft Defender SmartScreenは、昨年、Web ベースのフィッシング攻撃で使用された 100 万を超える固有のドメインを検出しました。そのうち、侵害されたドメインは 5% 強にすぎません。これらのドメインは通常、正当なトラフィックを中断することなく、正当な Web サイトでフィッシング攻撃をホストするため、攻撃は可能な限り隠蔽されたままになります。

攻撃専用に作成されたドメインは、アクティブな期間が短い傾向があります。昨年、Microsoft は、攻撃が 1 ～ 2 時間以内に開始および終了する短いバーストで発生するのを見てきました。

これらの時間が重要であるため、Microsoft は、実世界のシミュレーションを使用して正確なクリックスルー統計を確立する年次Terranova Gone Phishing Tournament™を再び共催しています。 Microsoft Defender for Office 365に含まれる実際のフィッシング メール テンプレートを使用することで、 Attack Simulatorは、従業員を教育し、行動の変化を測定するために、コンテキスト認識シミュレーションとハイパーターゲット トレーニングを提供します。

マルウェア: 機会が訪れます

昨年、フィッシングの規模と複雑さが増したように、マルウェアも進化を続けています。 Microsoft 365 Defender Threat Intelligenceは、攻撃者の間でより大きな成功につながる可能性がある最近のイノベーションを観察しています。身代金、データ窃取、資格情報の盗難、スパイ活動など、さまざまな攻撃目標があっても、多くのマルウェア タイプは、ネットワーク内で自身を確立するための実績のある戦略に依存しています。

「2020 年 8 月から 2021 年 1 月までの毎月、サーバー上で平均 140,000 件の Web シェル脅威を登録しました。これは、月平均 77,000 件のほぼ 2 倍です。 2021 年を通して、1 か月あたり平均 180,000 件の出会いがあり、さらに大きな増加が見られました。」 —2021 マイクロソフト デジタル ディフェンス レポート

シンプルで効果的なWeb シェルの使用は、国家グループと犯罪組織の両方で増加し続けており、攻撃者がコマンドを実行して Web サーバーからデータを盗んだり、サーバーをさらなる攻撃の出発点として使用したりできます。疑わしいフラグまたはエンコードされた値を使用するPowerShellは、Microsoft が今年マルウェアから観察した最も一般的な動作でした。

また、システム プロセスを模倣し、ブラウザ キャッシュからデータを収集するためにペイロードの名前を変更または挿入しようとするマルウェアも人気があります。その他のマルウェアの形態は次のとおりです。特定の偵察文字列の使用。起動フォルダーに追加されたプロセス。 Windows Antimalware Scan Interface (AMSI) およびレジストリの変更。 Microsoft Office 365 ファイルからドロップされた実行可能ファイルと、その他の警告。また、次のような緩和がより困難なマルウェア戦術も観察されました。

• ファイルレス マルウェアと回避行動— これらには、ボットネット、コモディティ ダウンローダー、および高度なマルウェア キャンペーンで採用されている多数のファイルレス マルウェア技術が含まれます。これらはすべて、削除と検出をより困難にするように設計されています。
• ネットワーク通信における正当なサービスの悪用— Google Drive、 Microsoft OneDrive 、Adobe Spark、Dropbox、およびその他のサイトは依然としてマルウェア配信で人気がありますが、Pastebin.com、Archive.org、Stikked.ch などの「コンテンツ ダンプ」サイトはますます増加しています。マルチパートおよびファイルレス マルウェアのコンポーネント ダウンロードで人気があります。

もっと詳しく知る

すべての個人と組織は、使用するテクノロジーが安全であり、信頼できる企業によって提供されることを期待する権利があります。サイバーセキュリティに対する Microsoft の差別化されたアプローチの一環として、DCU は、2008 年以来被害者を保護するためにサイバー犯罪と戦ってきた技術、法律、およびビジネスの専門家からなる国際的なチームを代表しています。セキュリティ製品の機能につながる洞察を社内で共有し、世界中の法執行機関への犯罪者の照会の証拠を明らかにし、悪意のある活動を阻止するために法的措置を講じています。

悪意のあるドメインや敵対的機械学習の台頭など、今日のサイバー犯罪の状況を包括的に把握するには、 2021 年の Microsoft Digital Defense Reportをダウンロードしてください。 2021 年のサイバーセキュリティ意識向上月間の各テーマの週について詳細な情報を提供する今後のブログ投稿を探してください。年間を通じて組織を保護するためのリソースと情報については、サイバーセキュリティ意識向上月間ページを参照してください。あなたの役割を果たします。 #BeCyberSmart

Microsoft セキュリティ ソリューションの詳細については、 当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。

¹Cybercriminals Ramp Up Attack on Healthcare, Again , James Liu, Security Boulevard. 2021 年 6 月 3 日。

²マイクロソフトは、Nobelium Hacking Group による継続的な攻撃について警告します, Nathaniel Mott, PCMag. 2021 年 6 月 26 日。

³金融アプリへの攻撃は 2021 年上半期に 38% 増加、Natasha Chilingerian、Credit Union Times. 2021 年 8 月 23 日。

⁴1 つのパスワードにより、ハッカーはコロニアル パイプラインを妨害できた、と CEO が上院議員に語った、ステファニー ケリー、ジェシカ レズニック オールト、ロイター。 2021 年 6 月 8 日。