フォームジャッキングで数百万ドルもの利益を獲得するサイバー犯罪者、企業や消費者にとって重大な脅威に
シマンテックの年次脅威レポートでは、野心的、破壊的で且つステルス性の高い攻撃が企業のリスクを高めていることが判明
2019.02.27 15:30
●標的型攻撃グループの10分の1がマルウェアを利用して業務オペレーションの破壊や妨害を図っており、そうしたマルウェアが2017年から25%増加
●攻撃者はスピアフィッシングや合法ツールの悪用、悪意のある添付付き電子メールなど、試行を重ねた戦略を強化
●企業のランサムウェア感染は12%増加
●クラウドリソースはデジタル窃盗犯の格好の標的となり、設定が不十分なS3パブリッククラウドストレージバケットから7,000万件以上の記録が窃盗または漏えい
●オペレーションシステムや産業制御システムへの不正侵入を試みる攻撃者が増加
株式会社シマンテック(本社:東京都港区赤坂、以下シマンテック)が本日発表した「インターネットセキュリティ脅威レポート(ISTR)第24号」によると、サイバー犯罪者は、ランサムウェアやクリプトジャッキングからの利益の減少を受けて、フォームジャッキングなどの別の手段を強化して利益を得ていることが明らかになりました。
シマンテックのISTRでは、グローバルな脅威活動、サイバー犯罪の傾向、攻撃者の動機に関する洞察など、脅威の現状を包括的に説明しています。また、世界最大規模の民間脅威インテリジェンスネットワークであるシマンテックのGlobal Intelligence Networkからのデータ分析、世界中の1億2,300万に及ぶ攻撃センサーからのイベント記録、1日当たり1億4,200万件の脅威ブロック、157以上の国における脅威アクティビティの監視を行っています。
ISTRの主な内容は以下のとおりです。
フォームジャッキングはサイバー犯罪者にとって容易に早く金銭を奪取する手法
フォームジャッキング攻撃はシンプルです。本質的にはATMスキミングと同じで、サイバー犯罪者が悪意のあるコードを小売業者のWebサイトに書き込んで、買い物客のペイメントカード情報を盗み出します。フォームジャッキング攻撃を受けたWebサイトは毎月平均で4,800以上に上ります。2018年、シマンテックはエンドポイントで370万件以上のフォームジャッキング攻撃をブロックしました。検出されたフォームジャッキング攻撃の約3分の1が、1年のうちでオンラインショッピングの利用が最も多い11月と12月に集中していました。
ここ数カ月の間に、チケットマスターやブリティッシュ・エアウェイズといった多くの有名企業のオンライン決済Webサイトがフォームジャッキング攻撃を受けましたが、シマンテックの調査では、全般的に中小規模の小売業者が最も被害を受けていることが明らかになっています。
控えめに見積もっても、サイバー犯罪者は昨年、クレジットカード詐欺やダークウェブでの販売からユーザーの金融および個人情報を窃盗することで、数千万ドルを稼いだとみられています。1回のWebサイトへの侵入でたった10枚のクレジットカード情報が盗取されるだけで、毎月最大220万ドルの利益を上げることができ、闇取引市場の掲示板では1枚のクレジットカード情報が最高45ドルで販売されています。38万人以上の乗客のクレジットカード情報が盗取されたブリティッシュ・エアウェイズへの攻撃だけでも、犯罪者は1,700万ドル以上の利益を得た可能性があります。
シマンテックの最高経営責任者(CEO)であるグレッグ クラーク(Greg Clark)は次のように述べています。「フォームジャッキングは、企業にも消費者にも重大な脅威をもたらします。包括的なセキュリティソリューションを使用しない限り、ユーザーは閲覧しているWebサイトが感染しているものかどうかを知る術はなく、貴重な個人情報や金融情報が盗まれる可能性があります。企業にとっては、不正侵入による信用問題や責任リスクはもちろん、急増するフォームジャッキングがサプライチェーン攻撃のリスクを高めます」
クリプトジャッキングやランサムウェアからの利益減少
サイバー犯罪者がユーザーや企業から盗用した処理能力やクラウド内のCPUの稼働率を悪用して仮想通貨を採掘するクリプトジャッキングとランサムウェアは近年、容易な稼ぎ口としてサイバー犯罪者によく利用されている手法です。ところが2018年は、主に仮想通貨の価値の下落とクラウドコンピューティングやモバイルコンピューティングの導入増加により、攻撃の有効性が低下し、攻撃者の活動が停滞したとともに利益も減少しています。ランサムウェアの感染数は2013年以降初めて減少し、減少率は20%でした。しかしながら、企業のランサムウェア感染は2018年に12%増加し、全体的な減少傾向とは反対に企業に対してはランサムウェアの脅威が継続しています。実際に、10件のうち8件以上のランサムウェア感染が企業に影響を及ぼしています。
クリプトジャッキングの活動は昨年前半にピークを迎え、2018年を通じて52%減少しました。仮想通貨の価値が90%低下し、攻撃者の収益は大幅に減少しましたが、それでもクリプトジャッキングは参入しやすく、費用もかからず、匿名性が高いため、引き続き攻撃者の関心を引いています。シマンテックは、2018年12月だけでもエンドポイントで350万件のクリプトジャッキングのイベントをブロックしました。
セキュリティの観点からはクラウドは「新しいPC」
企業がPCを初めて導入した時に犯した過ちと同じセキュリティ上の過ちが、現在はクラウドで起こっています。クラウドのワークロードやストレージのインスタンス設定をたった1つ間違えただけで、企業は何百万ドルを失い、コンプライアンスの問題に直面する可能性があります。昨年だけでも、設定が不十分だったS3バケットから7,000万件以上の記録が窃盗や漏えいに遭いました。また、攻撃者がインターネット上で設定を誤ったクラウドリソースを特定できる、アクセスが容易なツールも数多く存在しています。
Meltdown、Spectre、Foreshadowなどのハードウェアチップに先ごろ見つかった脆弱性からも、クラウドサービスは、同じ物理サーバーにある他の企業の保護されたメモリスペースにアクセスするために悪用される危険性があることを示しています。
現地調達型ツールとサプライチェーンの脆弱性が攻撃のステルス性を高め、野心的な攻撃を促進
サプライチェーン攻撃および現地調達型(LotL)攻撃は今や脅威の主流となっており、サイバー犯罪者と標的型攻撃グループに広く利用されている手口です。実際に、サプライチェーン攻撃は2018年に78%急増しました。
LotLの手法によって攻撃者は、目立たず、大量の合法なプロセスの中に攻撃活動を隠すことができます。例えば、悪質なPowerShellスクリプトの使用は、昨年で1,000%増加しました。シマンテックは毎月11万5,000件の悪質なPowerShellスクリプトをブロックしていますが、これは実際にはPowerShellを利用する全体の1%未満です。あらゆるPowerShell活動をブロックするための強力な手法は企業に混乱を招くことからも、LotL手法が多くの標的型攻撃グループから好まれていることがわかります。
これらの攻撃を特定してブロックするには、シマンテックの「Managed Endpoint Detection and Response(MEDR)」サービスやその拡張版である「EDR 4.0」テクノロジーのほか、高度なAIソリューションである「Targeted Attack Analytics(TAA)」といった分析や機械学習のような高度な検出方法を活用する必要があります。TAAによって、シマンテックはマルウェアをまったく使用せずにサイバー諜報活動を実行していたGallmakerグループからの攻撃を含む、ステルス性の高い多数の標的型攻撃を検出しました。
LotLやソフトウェアサプライチェーンの脆弱性に加えて、攻撃者は企業に侵入するためにスピアフィッシングをはじめとする従来の攻撃方法の使用も増やしています。機密情報の収集が依然として標的型攻撃の主な動機ですが、業務を妨害することを目的とするマルウェアを利用した攻撃グループの数は2018年で25%増えています。
サイバー犯罪者と攻撃グループが照準を定めるIoT(Internet of Things)
IoTへの攻撃量が依然として多く、2017年の水準を保っている一方で、IoT攻撃の傾向は大きく変化してきています。ルーターやインターネットに接続したカメラが感染したデバイスの大部分(90%)を占めていますが、スマート電球から音声アシスタントに至るまで、ほぼすべてのIoTデバイスで脆弱性が発見されており、攻撃者に新たな侵入口を与えています。
標的型攻撃グループは、重要な侵入口としてIoTに注目しています。VPNFilterというルーターマルウェアの出現は、従来のIoT脅威が進化していることを示しています。豊富な資金を持つ熟練した脅威アクターによって考え出されたこのマルウェアは、マルウェア作成者によるデバイスの破壊または消去、認証情報やデータの窃盗、SCADA通信の傍受を可能にします。
株式会社シマンテック マネージドセキュリティサービス 日本統括 滝口 博昭は次のように述べています。「ITおよびIoTが収束に向かう傾向が強まるにつれ、次なるインターネット上の戦場はOTになるでしょう。ThripやTritonなどは、オペレーションシステムや産業用制御システムに侵入しはじめています」
プライバシーの重要性認識の高まり
先般のケンブリッジ・アナリティカによるデータスキャンダルやFacebookによるデータ不正流用、一般データ保護規則(GDPR)の施行、そしてAppleのFaceTime機能などの広く利用されているアプリによる位置情報追跡やプライバシーに関するバグの表面化などを鑑みると、ユーザーのプライバシーに昨年から注目が集まっているのがわかります。
カメラ、盗聴器、位置情報監視機能が一体化していて、所有者が持ち歩く、いつでも使用できるスマートフォンは間違いなく、これまで作られたデバイスの中で最もスパイ活動しやすいデバイスになり得ます。スマートフォンはすでに国民国家のスパイ活動の標的となっていますが、悪質なモバイルアプリの開発者によってユーザーの個人情報が盗まれ、利益を得る手段としても使われています。
シマンテックの調査によると、最も人気のあるAndroidアプリの45%、iOSアプリの25%が位置情報を要求しており、人気の高いAndroidアプリの46%、iOSアプリの24%がデバイス内蔵カメラへのアクセス許可を要求してきます。また、上位のAndroidアプリの44%、最も人気のあるiOSアプリの48%で電子メールアドレスが共有されています。
子供や友人、紛失した携帯電話を追跡するために携帯電話のデータを収集するデジタルツールも増えており、同意なく他人を追跡するためのツールとして悪用される可能性があります。200以上のアプリやサービスが、基本的な位置情報追跡やテキスト収集、本人の許可を得ていない動画撮影といったさまざまな能力をストーカーに与えています。
インターネットセキュリティ脅威レポートについて
インターネットセキュリティ脅威レポートは、1年間の世界全体の脅威活動についての概要と分析を示したレポートです。このレポートは、シマンテックのGlobal Intelligence Networkから収集したデータに基づいています。このデータをシマンテックのアナリストが活用し、攻撃、悪意のあるコードの活動、フィッシング、スパムにおける新たな傾向の特定、分析、解説を行います。
なお、インターネット セキュリティ脅威レポートのWebinarを3月20日午後3時より予定をしております。ご登録ご希望の方は、https://symc.ly/ISTR24WebinarJPよりご登録をお願いいたします。
シマンテックについて
シマンテックコーポレーション(NASDAQ: SYMC)はサイバーセキュリティ業界をリードする世界的企業です。さまざまな場所に保管されている大切なデータを守るため、企業や政府機関、個人のお客様を支援しています。エンドポイントからクラウド、インフラまでを高度な攻撃から守るため、世界中の企業がシマンテックの戦略的統合ソリューションを選択しています。また、世界中で 5 千万以上の個人やご家庭が、自宅などで使用するデバイスそしてデジタルライフを守るために、ノートンと LifeLock 社の製品を使用しています。シマンテックのサイバーインテリジェンスネットワークは民間が運営するネットワークとしては世界最大規模を誇ります。このネットワークが、先進的な脅威をいち早く発見し、お客様を守ります。詳しくはwww.symantec.com/ja/jp/ をご覧ください。
*Symantec 社の名称、ロゴは、米国 Symantec Corporation の米国内およびその他の国における登録商標または商標です。
*その他製品名等はそれぞれ各社の登録商標または商標です。
この企業のプレスリリース MORE
シマンテック、業界で最も包括的なクラウドアクセスセキュリティソリューションを発表
2019.07.23 11:30
シマンテック、サイバーセキュリティのコストと複雑性を低減前例のない業界コラボレーションにより、自動化と連携を推進
2019.03.06 11:00
シマンテック、ビジネスメール詐欺攻撃を阻止する自動化ソリューションを提供
2019.02.19 13:00