コピーしたリンクをクリップボードへ。

McAfee
ATR
脅威
レポート
06⋅2021

レポートおよびリサーチ

  • Christiaan Beek
  • Mo Cashman
  • John Fokker
  • Melissa Gaffney
  • Steve Grobman
  • Tim Hux
  • Niamh Minihane
  • Lee Munson
  • Chris Palm
  • Tim Polzer
  • Thomas Roccia
  • Raj Samani
  • Craig Schmugar

このレポートでは、今年これまでに生じた代表的な出来事を詳しく取り上げ、その中でも特に最近起きたランサムウェア攻撃に注目します。この話題自体は新しいものではありませんが、その脅威が今や真の意味で主流になっていることに疑問の余地はありません。

2021 年のこれまでを振り返ってみましょう。このレポートでは、今年これまでに生じた代表的な出来事を詳しく取り上げ、その中でも特に最近起きたランサムウェア攻撃に注目します。この話題自体は新しいものではありませんが、その脅威が今や真の意味で主流になっていることに疑問の余地はありません。

今回の脅威レポートでは、ランサムウェアの中でも、バイデン米大統領とプーチン露大統領との会談で議題項目となった DarkSide について深く掘り下げています。政治的な見通しについて詳しく説明する意図はありませんが、重要なサービスを停止させる脅威であることを認識しなければならないことは確かです。さらに、攻撃者はデジタル調査が困難な環境でサポートされており、特定の地域からはデジタル証拠の収集がほとんど不可能な法的な障壁があります。

とはいえ、最近のキャンペーンはすべて製品に組み込まれており、もちろん MVISION Insights のプレビュー ダッシュボードで追跡可能であることを読者の皆様に保証いたします。

このダッシュボードは、ニュースで取り上げられている以上に、多くの国がこのような攻撃を経験していることを示しています。そこに示されないのは、被害者が身代金を支払っており、その結果として犯罪者がサービスとしてのランサムウェア (RaaS) スキームをさらに導入していることです。No More Ransom イニシアチブが 5 周年を迎えた今、この脅威に対抗するためのグローバルなイニシアチブが必要であることは言うまでもありません。

今回の脅威レポートがお役に立てば幸いです。

—Raj Samani
McAfee フェロー兼チーフ サイエンティスト

Twitter @Raj_Samani

#ランサムウェア: Babuk から DarkSide、さらにその先へ

2021 年第 2 四半期は DarkSide のサービスとしてのランサムウェア (RaaS) による Colonial Pipeline 社への攻撃が大々的に報じられましたが、ランサムウェアの活動は、実際には第 1 四半期の方がより深刻でした。

BabukContiRyuk、および REvilが、 DarkSide に先行して、2021 年のランサムウェアのトレンドを確立しました。

第 1 四半期は、「小規模な」ランサムウェア キャンペーンが減少した一方で、サービスとしてのランサムウェア キャンペーンが大規模組織や大企業を標的にして猛威を振るいました。多くの攻撃者が、大規模なキャンペーンから、より少数でより利益の大きい標的へと移行したため、第 1 四半期のサンプル数は減少しました。標的となったこれらの大規模な被害者のほとんどは、ランサムウェア ファミリーのカスタム メイドの亜種を少量受け取っています。

このレポートでは、2021 年第 1 四半期の McAfee ATR によるランサムウェアの研究および調査結果の内訳をご紹介します。

日単位、週単位、月単位のランサムウェア

図01.2021 年第 1 四半期に McAfee クライアント間で検出されたランサムウェアのスナップショットによると、3 月 25 日に 1 日の最高記録である 5,634 件が検出され、3 月の最終週には 1 日平均 2,417 件が検出されています。2021 年第 1 四半期で、ランサムウェア検出数が最も多かったのは、3/21 ~ 3/27 の週でした (18,833 件) 。月間チャートによると、第 1 四半期でランサムウェア検出数が最も多かったのは 3 月でした。

トップ ランサムウェア ファミリーおよびテクニック

図 02.2021 年第 1 四半期に検出されたランサムウェア関連のマルウェア ファミリーを見ると、第 2 四半期の 5 月に DarkSide による Colonial Pipeline 社のシステム ハッキングが大ニュースになる前に、Revil、RansomeXX、Ryuk が蔓延していたことがわかります。

ユニーク ランサムウェア ファミリー

図 03. ユニークなランサムウェア ファミリーの数は、2021 年 1 月の 19 種類から 2021 年 3 月の 9 種類へと減少しました。これは、より高額な身代金を得られる可能性のある大規模な組織や企業を標的としたキャンペーンが減少した第 1 四半期の傾向に倣ったものです。

ランサムウェアの対象と保護

実際のランサムウェアのバイナリに関しては、エンドポイント保護を更新およびアップグレードし、改ざん防止やロールバックなどのオプションを有効にすることを強くお勧めします。詳細については、ENS 10.7 を最適に設定してランサムウェアから保護する方法に関するブログをお読みください。

McAfee は、Ransomware Task Force のパートナーとして、ランサムウェアによる攻撃の発生状況や、取るべき対策などの詳細を発表しています。弊社が調査成果を公開し、プレゼンテーションを行い、発表してきたように、今こそ行動を起こす時です。

#McAfee Global Threat Intelligence (GTI)

様々な脅威研究を行っている McAfee ATR は、世界各地に配備している数百万台のセンサーを利用し、McAfee Global Threat Intelligence (GTI) 経由で脅威情報をリアルタイムで提供しています。さまざまな脅威研究を行っている McAfee ATR は、世界各地に配備している数百万台のセンサーを利用し、McAfee Global Threat Intelligence (GTI) 経由で脅威情報をリアルタイムで提供しています。 このクラウド ベースの脅威情報サービスで脅威とコンテキストを評価することで、既知の脅威だけでなく、新たに発生する脅威にも的確な対応が可能になります。McAfee GTI は弊社のセキュリティ製品に直接統合されています。これにより、運用コストを削減し、検出から封じ込めまでの時間を短縮できます。

2021 年第 1 四半期の注目すべき統計をご覧ください。

ファイルの国別分布

図 04. 2021 年第 1 四半期に、米国が 7,750 億件という最も高いクエリー量を記録しましたが、検出率は 0.31% と低くなっています。ロシアにおける 550 億件の GTI クエリーのうち、マルウェアが検出されたのはその時点で 13.38% でした。つまり、ロシアでは上位 20 か国中で最も高いマルウェア検出率が記録されたことになります。前四半期からの変化が最も大きかったのはトルコで、検出率は 9.76% から 4.8% に低下し、クエリー件数は 190 億件でした。日本は、上位 20 か国中で検出率が最も低い 0.14% ですが、クエリー件数は 1,650 億件と高い数字になっています。中国の検出率は 1.26% で、クエリー件数は 2 番目に多い、1,990 億件でした。

クエリーと検出

図 05. 2021 年第 1 四半期の 1 日平均のファイル検出数は、2 億 5,200 万件 (検出率 0.99%) で、2020 年第 4 四半期の 2 億 4,300 万件 (1.03%) から増加しています。第 1 四半期の 1 日平均の URL 検出数は 2,600 万件 (検出率 0.15 %) で、第 4 四半期の 3,500 万件 (0.21%) から減少しています。第 1 四半期の 1 日平均の IP 検出数は 7,900 万件 (検出率 0.43%) で、第 4 四半期の 6,300 万件 (0.34%) から減少しています。

#セクターやベクターへの脅威

McAfee ATR は、2021 年第 1 四半期に、1 分あたり平均で 688 件のマルウェア脅威を確認しました。これは 1 分あたりで 40 件 (3%) の増加です。

2020 年第 4 四半期から 2021 年第 1 四半期におけるセクターの大きな変化:

公表済みセキュリティ インシデント

#マルウェア脅威統計情報

2021 年第 1 四半期は、複数の脅威カテゴリで顕著な増加が見られました。

2021 年第 1 四半期は、複数の脅威カテゴリで顕著な減少も見られました。

新しいマルウェア脅威

図10.2021 年第 1 四半期に検出されたユニークなランサムウェアは、2020 年第 4 四半期に比べて 50% 減少しました。これは CryptoDefense の減少によるものです。ランサムウェアは、2021 年第 1 四半期および第 2 四半期にも、依然として大規模な組織や企業に対する最も深刻な脅威となりました。

#トップ MITRE ATT&CK テクニック APT/犯罪

表 01. 2021 年第 1 四半期のトップ MITRE ATT&CK テクニック APT/犯罪の備考: スピア フィッシングは、使用されているテクニックのトップ 5 に返り咲きました。これに続いたのが、外部公開されたアプリケーションのエクスプロイトです。Microsoft Exchange の主要な脆弱性が公開され、世界中の何千もの組織が影響を受けたことから、初期アクセス テクニックのトップ 3 に残りました。Windows コマンド シェルや PowerShell などのコマンド ラインやスクリプティング インタープリターの使用は、攻撃者がペイロードを実行するために最も頻繁に使用したテクニックです。コマンド ライン スクリプトは、よく Cobalt Strike などのペネトレーション テスト フレームワークに組み込まれ、それによって実行がさらに容易になります。攻撃者は、悪意のあるバイナリを実行するために、ユーザーの特定の行動を利用することがあります。この手法は、多くの場合、初期アクセス テクニック (スピア) フィッシングと連動します。プロセス インジェクションは、主要な特権昇格テクニックの 1 つです。Lazange や Grabff などの一般的なオープン ソースのペネトレーション テスト ツールやほとんどの RAT ツールには、Web ブラウザーから認証情報を抽出する機能があります。2021 年第 1 四半期のさまざまなランサムウェア攻撃で、Lazange と Grabff の使用が確認されています。MEGAsync や Rclone などのツールは、被害者のネットワークからクラウド ストレージに機密データを流出させるために攻撃者がよく使用するものです。どちらのツールも、REvil、Conti、DarkSide などの複数のランサムウェア グループによって利用されていました。影響を与えるためにデータを暗号化するテクニックは、ほぼすべてにおいて、2021 年第 1 四半期の主要なサイバー脅威の 1 つであるランサムウェアに関係しています。

戦術 テクニック
(各戦術のトップ5)
備考
初期アクセス スピアフィッシング リンク スピア フィッシング (リンクと添付ファイル) が、使用されたテクニックのトップ 5 に返り咲き、「外部公開されたアプリケーションのエクスプロイト」がそれに続きました。

Microsoft Exchange の主要な脆弱性が公開され、世界中の何千もの組織が影響を受けたことから、外部公開されたアプリケーションのエクスプロイトがトップ 3 に残りました。
  スピア フィッシング用の添付ファイル  
  外部公開されたアプリケーションのエクスプロイト  
  フィッシング詐欺  
実行 Windows コマンド シェル Windows コマンド シェルや PowerShell などのコマンド ラインやスクリプティング インタープリターの使用は、攻撃者がペイロードを実行するために最も多く使用したテクニックです。コマンド ライン スクリプトは、よく Cobalt Strike などのペネトレーション テスト フレームワークに組み込まれ、それによって実行がさらに容易になります。
  不正なファイル  
  PowerShell  
  ユーザーによる実行 攻撃者は、悪意のあるバイナリを実行するために、ユーザーの特定の行動を利用することがあります。この手法は、多くの場合、初期アクセス テクニック (スピア) フィッシングと連動します。
  Visual Basic  
持続性 Windows サービス  
  レジストリの Run キー/スタートアップ フォルダー  
  スケジュール タスク  
  Web シェル  
  DLL のサイドローディング  
特権昇格 Windows サービス  
  プロセス インジェクション プロセス インジェクションは、依然として主要な特権昇格テクニックの 1 つです。
  レジストリの Run キー/スタートアップ フォルダー  
  スケジュール タスク  
  プロセス ハロウイング  
防衛回避 ファイルや情報の難読化またはデコード  
  難読化されたファイルまたは情報  
  ソフトウェアの圧縮  
  プロセス インジェクション  
  ファイルの削除  
  レジストリの変更  
認証情報アクセス キーロギング  
  Web ブラウザーから抽出した認証情報 Lazange や Grabff などの一般的なオープン ソースのペネトレーション テスト ツールやほとんどの RAT ツールには、Web ブラウザーから認証情報を抽出する機能があります。2021 年第 1 四半期のさまざまなランサムウェア攻撃で、Lazange と Grabff の使用が確認されています。
  ブルートフォース  
  OS 認証情報のダンプ  
  パスワード ストアから抽出した認証情報  
探索 システム情報の検出  
  ファイルおよびディレクトリの検出  
  プロセスの検出  
  システム ネットワーク構成の検出  
  システム所有者またはユーザーの検出  
水平展開 リモート ファイルのコピー  
  リモート デスクトップ プロトコル  
  SMB/Windows の管理共有  
  リモート サービスのエクスプロイト  
  SSH  
収集 ローカル システムからのデータ  
  スクリーン キャプチャ  
  キーロギング  
  収集されたデータのアーカイブ  
  クリップボードのデータ  
コマンド & コントロール Web プロトコル  
  入力ツールの転送  
  標準エンコーディング  
  対称暗号化  
  アプリケーション層プロトコル  
流出 コマンド & コントロール チャネルを介した流出  
  代替プロトコルを介した流出  
  自動化された流出  
  暗号化されていないまたは難読化された非 C2 プロトコルを介した流出  
  クラウド ストレージへの流出 MEGAsync や Rclone などのツールは、被害者のネットワークからクラウド ストレージに機密データを流出させるために攻撃者がよく使用するものです。どちらのツールも、REvil、Conti、DarkSide などの複数のランサムウェア グループによって利用されていました。
影響 影響を与えるために暗号化されたデータ  
  リソース ハイジャック サービス  
  システムのシャットダウンおよび再起動  
  ダイレクト ネットワーク フラッド