コピーしたリンクをクリップボードへ。

McAfee
Labs
脅威
レポート
4⋅21

レポートおよびリサーチ

  • Christiaan Beek
  • Eoin Carroll
  • Mo Cashman
  • Sandeep Chandana
  • John Fokker
  • Melissa Gaffney
  • Steve Grobman
  • Tracy Holden
  • Tim Hux
  • Douglas McKee
  • Lee Munson
  • Chris Palm
  • Tim Polzer
  • Thomas Roccia
  • Raj Samani
  • Craig Schmugar

この最新レポートではマルウェアだけでなく、実際に検知された最近の攻撃に関する分析も行っています。 また2020年第4四半期の、犯罪者/APT グループによるトップ MITRE ATT&CK テクニック統計も提供します。

最新の McAfee Labs® 脅威レポートと激動の2020年についての報告をご覧いただきありがとうございます。 本レポートは主要な脅威についての弊社のレビューを新しいデジタル形式で紹介し、また脅威状況に関する新たな洞察を提供しています。

これまで弊社のレポートでは、「マルウェアにはどういったものがあるか」などといった、主要な脅威の件数について説明していましたが、2020年に MVISION Insights を導入したことで、キャンペーン (およびそれに関する IoC) を追跡し、実際に検知された脅威も確認できるようになりました。 この最新レポートではマルウェアだけでなく、実際に検知された最近の攻撃に関する分析も行っています。 また2020年第4四半期の、犯罪者/APT グループによるトップ MITRE ATT&CK テクニック統計も提供します。

こういった新しい洞察により、レポート内容がさらに充実しました。 しかしそれだけではありません。 2020年第4四半期末、SolarWinds への攻撃があり、侵害された結果何が起こるかが分かりました。 SUNBURST マルウェアは2021年第1四半期もニュースの一面を騒がせていますが、本レポートでは SUNBURST マルウェアについて分かったことを詳述しています。

パンデミックはこれらの時宜を得た脅威キャンペーンだけでなく、他の脅威にも影響を与え続けています。 10億台を超えるセンサーを用いた McAfee のグローバルなネットワークによれば、第2四半期、COVID-19 に便乗した脅威は605%増加しました。 McAfee COVID-19 脅威ダッシュボードから分かるように、パンデミック関連のキャンペーンは2020年第3-4四半期に増加を続けました。

図01. 2020年の年末が近づく中、パンデミックの状況で生活し仕事をするという困難な状況を攻撃者は悪用し続けています。 10億台を超えるセンサーを用いた McAfee のグローバルなネットワークによれば、COVID-19 に便乗した脅威の検出数は2020年第2四半期で合計445,922件 (605%増)、2020年第3四半期は1,071,257件 (240%増)、2020年第4四半期は1,224,628件 (114%増) となりました。

McAfee COVID-19 ダッシュボードのスクリーンショット。 国別に検出数で色分けされた世界地図が表示され、 その下には、詳細データを示す表やグラフが書かれています。

この最新の McAfee Labs 脅威レポートとデータがお役に立てば幸いです。

—Raj Samani
McAfee フェロー兼チーフ サイエンティスト

Twitter @Raj_Samani

#はじめに

本レポートでは McAfee® Labs による2020年第3-4四半期に急増した脅威の調査結果を説明します。 弊社の Advanced Threat Research チームは、2020年後半に企業を狙って世間を騒がせた主要キャンペーンの原因と影響を追跡、特定、調査しました。

世界、そして企業はパンデミックの中、さまざまな制約やリモートワークの課題に取り組んできましたが、セキュリティへの脅威は増加し複雑さを増しています。 従業員の大半がリモートワークに慣れて生産性を高めている中、このチャンスを狙った新しい攻撃スキームを用いた COVID-19 関連キャンペーンは企業を攻撃し続けています。 SUNBURST や新しいランサムウェア戦術などのキャンペーンにより、SOC は休む暇がありません。

企業が2021年も新たな課題に直面する中、従業員はオフィスでもリモートワークでも、一見いつも通りに見えるような日常的なコミュニケーションに潜む脅威に注意しなければなりません。 そのため、知らないリンクや、外部からのメール添付ファイルをクリックしないよう、従業員に注意喚起し、テストするようにしてください。 このレポートで説明するように、仕事のアプリやプロセスの脆弱性を狙うランサムウェアとマルウェアは2020年後半に活発に活動しており、今後もネットワークやデータを脅かす危険な脅威であり続け、数百万の資産と復旧のコストがかかり続けます。

McAfee の研究者は、新しい戦術や継続するテクニックを警戒し続け、お客様やセキュリティ コミュニティへの脅威を阻止すべく努力を続けています。 セキュリティ業界をけん引する McAfee は、世界各地に配備された10億ものセンサーを監視してインテリジェンス情報を提供し、ビジネスや資産を保護するための知見を提供し、パンデミックの中でも従業員が生産的に働けるようサポートしています。

McAfee セキュリティ解析センターにアクセスして、影響力の大きい進化する最新脅威に関する、脅威チームによる業界髄一の研究そしてセキュリティ ガイダンスをご活用ください。

#セクターやベクターへの脅威

McAfee Labs は、2020年第3四半期に、1分あたり平均で588件のマルウェア脅威を発見しました。これは1分あたりで169件 (40%) の増加です。 第4四半期は1分あたり平均648件で、1分あたり60件 (10%) の増加になります。

公表済みセキュリティ インシデント

国別クラウド インシデント

#マルウェア脅威統計情報

2020年第3-4四半期は、複数の脅威カテゴリで顕著な増加が見られました。

新しいマルウェア脅威

#SUNBURST マルウェアと SOLARWINDS サプライチェーンへの攻撃

FireEyeは、2020年第4四半期に SolarWinds の Orion IT 監視/管理ソフトウェアが SolarWinds.Orion.Core.BusinessLayer.dll のトロイの木馬バージョンを使った攻撃にあったことを明らかにしました。 トロイの木馬化されたファイルは、デジタル署名された Windows Installer パッチの一部としてバックドアから SUNBURST マルウェアを入り込ませました。 侵害を受けたソフトウェア サプライチェーン (T1195.002) が初期アクセスの方法として使われると長期間検出されないことがあり被害が大きくなります。 FireEye は SUNBURST マルウェアを識別できる対策をリリースしました。

McAfee はこちらのブログで SUNBURST について報告し、またバックドアについの追加分析を報告しています。SUNBURST バックドアを使った SolarWinds チェーンへの攻撃で世界中で多くの被害が出ており、McAfee は MVISION Insights を活用して追跡し続けています。 McAfee のシニア バイス プレジデント兼最高技術責任者の Steve Grobman は、SolarWinds-SUNBURST による多大なインパクトを詳しく説明しています。 MVISION Insights の公開バージョンで、最新攻撃の詳細、流行、テクニック、そして侵害の兆候をご覧いただけます。

図07. MVISION Insights は SUNBURST で使用されたインジケーターを提供しています。 このインジケーターは自動収集データと人の分析に基づいて更新されるので、 このインジケーターを使用すれば御社のネットワークを確認できます。

#トップ MITRE ATT&CK テクニック APT/犯罪者

表1. 公開アプリケーションのエクスプロイト: McAfee Labsは、公開アプリケーションのエクスプロイトの急増を確認しました。 CISA や NSA からの複数の報告によると、国家的後援を受けた攻撃者は、公開アプリケーション (人気のあるリモート管理ソフトウェアや VPN ソフトウェアなど) に関する複数の CVE を積極的に活用しています。 McAfee は、国家的後援を受けたグループに加えてランサムウェア グループもこの初期アクセス戦術を活用していることを確認しました。 プロセス インジェクション: McAfee Labs はまた、複数のマルウェア ファミリーと脅威グループもこのテクニックを使用していることを確認しました。 Remcos などの Rat ツール、REvil などのランサムウェア グループ、そして国家が後援する APT グループなどです。 McAfee Labs はまた、PowerShell を使った複数の攻撃を確認しました。

Tactics Techniques
(Top 5 per Tactic)
備考
Initial Access Exploit public facing application 第4四半期にこのテクニックの使用が急増しました。 CISA や NSA からの複数の報告によると、国家的後援を受けた攻撃者は、公開アプリケーション (人気のあるリモート管理ソフトウェアや VPN ソフトウェアなど) に関する複数の CVE を積極的に活用しています。

McAfee は、国家的後援を受けた攻撃グループに加え、ランサムウェア グループもこの初期アクセス戦術を活用していることを確認しています。
  Replication through removable Media  
  Valid accounts  
  Drive-by-Compromise  
  Phishing  
Execution User execution  
  Command -line Interface  
  Scripting  
  Windows Management Instrumentation  
  Scheduled Task  
Persistence Scheduled Task  
  Registry Run Keys / Startup Folder  
  DLL Side-loading  
  Valid accounts  
  Startup Items  
Privilege Escalation Process Injection プロセス インジェクションは依然としてよく使われる権限昇格テクニックの1つです。Remcos などの Rat ツール、REvil などのランサムウェア グループ、そして国家が後援する APT グループなど、複数の脅威グループやマルウェア ファミリーがこのテクニックを使用しています。 弊社では、PowerShell で別の実行中プロセスにコードをインジェクトする複数の攻撃を確認しました。
  Scheduled Task  
  Registry Run Keys / Startup Folder  
  DLL- Side loading  
  Exploitation for Privilege Escalation  
Defense Evasion Obfuscated Files or information 「これは2020年第4四半期に2番目に多く見られたテクニックです。 これはマルウェアとセキュリティ ソフトウェアのいたちごっこです。

攻撃者は検出を回避する新しい方法を常に考えています。 弊社が第4四半期に発見した目立った手法の1つは攻撃者グループの APT28 によるものでした。彼らは VHD ファイル (または仮想ハード ドライブ) を使って悪意のあるペイロードをパッケージ化して難読化しました。」
  Deobfuscate/Decode Files or Information  
  Masquerading  
  Modify Registry  
  Process Injection  
Credential Access Input Capture  
  Credential Capture  
  Keylogging  
  Brute Force  
  Steal Web Session Cookie  
Discovery System Information Discovery システム情報の探索は、2020年第4四半期のキャンペーンで最も使用された MITRE テクニックです。 これらのキャンペーンのマルウェアは被害者のマシンから OS バージョン、ハードウェア構成、ホスト名を収集し、攻撃者へと通信します。
  File and Directory Discovery  
  Process Discovery  
  Query Registry  
  System Owner/User Discovery  
Lateral Movement Remote File Copy  
  Exploitation of Remote Services  
  Replication Through Removable Media  
  Logon Scripts  
  Remote Services  
Collection Data from Local System  
  Screen Capture  
  Automated Collection  
  Input Capture  
  Data Staged  
Command and Control Standard Application Layer Protocol  
  Remote File Copy  
  Commonly used Port  
  Web Service  
  Connection Proxy  
Exfiltration Exfiltration Over Command and Control Channel  
  Automated Exfiltration  
  Exfiltration Over Alternative Protocol  
  Exfiltration to Cloud Storage  
  Scheduled Transfer  
Impact Resource Hijacking これは、暗号通貨のマイニングにシステム リソースを悪用しようとする暗号通貨マイニング マルウェアがよく使うテクニックです。
  Data Encrypted for impact 影響を与えるためにデータを暗号化するテクニックはほぼすべてにおいてランサムウェアに関係します。 これは2020年第4四半期でも最大のサイバー脅威です。
  System Shutdown/Reboot  
  Firmware corruption  
  Inhibit System Recovery  

トップ ランサムウェア ファミリーおよびテクニック

McAfee は、2020年第3四半期から第4四半期に新しいランサムウェアが69%増加し、この急増の要因は CryptoDefense にあることを確認しました。 McAfee Advanced Threat Research チームが収集したデータは以下のようになっています。

トップ ファミリー、MITRE ATT&CK テクニック、および主要セクター

図10.最も多く見られたランサムウェア ファミリーは REvil、Thanos、Ryuk、RansomeXX、および Maze です。

トップ MITRE ATT&CK テクニック

図11. 最も多く見られた MITRE ATT&CK テクニックには、ファイル/ディレクトリの検知 (T1083)、影響を与えるためのデータ暗号化 (T1486)、サービスの停止 (T1489)、難読化されたファイル/情報 (T1027)、およびシステム情報の検知 (T1082) があります。

図11. これはランサムウェア グループが企業ネットワークにアクセスするために他のチームやペンテスターをリクルートする方法の例です。 ランサムウェア グループは運任せで乱射する攻撃はあまりしないようになり、ランサムウェアを使う前にまず情報資産価値の高い ターゲットから情報を入手することに焦点を当てています。 そのためランサムウェア グループは、バックアップ/ESX サーバーの専門知識を持つ攻撃者を求めるようになっています。

2020年第4四半期に、McAfee はマイクロソフトおよび17社のセキュリティ企業/テクノロジー企業/非営利団体と Ransomware Task Force (RTF) を立ち上げ、ランサムウェアを阻止する活動をしています。