Analyst’s Choice
「アナリスト・チョイス」では、弊社インテリジェンスアナリストが注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションなどをコメントしています。
*先月から、タイトルを記事の発信月に合わせています。本記事(2月号)でピックアップされている記事は、1月末までに公開されたものです。
アナリスト:
(Intelligence Architect @Machina Record)
Articles
・2020年のマルウェア トップ10
・「Avaddon」のオペレーターが被害者に DDoS 攻撃を利用
・Microsoft Teams と Skype のデスクトップ・クライアントが暗号化されていないデータを保存
2020年のマルウェア トップ10
- Emotet
- AgentTesla
- NjRAT
- NanoCore
- Lokibot
- FormBook
- Remcos
- Ursnif
- Qbot
- Quasar
出展:https://any.run/malware-trends/
Analyst’s Comments
見解:
Any.Run は、研究者によるマルウェア調査を支援するオンライン・サンドボックス・ツールで、マルウェアサンプルに関する情報を提供するとともに、サンプルをリモートサンドボックス上において安全にアップロード・実行することも可能です。このサービスは、例えば企業が組織内の設備に対する脅威を調査する CTI チームについて不安を抱いている場合には、とりわけ有効です。
しかし、マルウェアを扱う集団の中には、マルウェアが実行されるのを防ぐことで調査を回避するオンラインサンドボックス検出メソッドを、すでにマルウェアに追加済みの者もいるということが知られています。
「Avaddon」のオペレーターが被害者に DDoS 攻撃を利用
・「Avaddon」 ランサムウェアのオペレーターが、分散型サービス拒否攻撃を被害者のサイトやネットワークに対して利用し始めていると、Emsisoft の Brett Callow 氏が BleepingComputer に伝えました。脅威アクターたちはこの戦術を用いて、ターゲットに交渉開始を迫ろうとしています。
・BleepingComputer の報告によると、「Avaddon」のある被害者のサイトは現在アクセスできないとのことです。「SunCrypt」 と 「RagnarLocker」 のオペレーターも、同じ戦術を使用していると伝えられています。
Analyst’s Comments
影響範囲:
攻撃緩和の戦略に、分散型サービス拒否攻撃が含まれていない企業
見解:
ランサムウェアのオペレーターたちは、すでに日本企業に対する攻撃に成功しています。よって日本企業は、この新たな戦術に対する緩和戦略の策定に取り掛かるのが賢明でしょう。とりわけ、ランサムウェア攻撃が成功した場合に交渉に応じないことが、企業の緩和戦略にすでに含まれている場合はなおさらです。
緩和戦略:
- 強固なネットワーク設計を維持しましょうa. もし可能ならサーバーを地理的に分散させますb. 攻撃の侵入口となり得るルーターとファイアウォールのコンピューティング・パワーを増大させますc. レート制限やディープ・パケット・インスペクションといったフィルタリングの技術 / 取り組みを導入します
- DDoS 保護サービスの利用を検討しましょう
Microsoft Teams と Skype のデスクトップ・クライアントが暗号化されていないデータを保存
・Trustwave の研究者が、Microsoft Teams と Skype のデスクトップ・クライアントにおけるプライバシーの脆弱性を発見しました。両クライアントのログデータベースが、チャットと画像の全てを、暗号化されていないデータとしてローカルストレージに保存していることが発覚したのです。管理者権限のある攻撃者は、通常のチャットや画像、削除済み・閲覧不能なチャットや画像に加え、暗号化されるはずの秘密の Skype チャットを盗み見することが可能です。
Analyst’s Comments
影響範囲:
Microsoft Teams および Skype を利用する企業
見解:
上記の脆弱性は、以下のことの原因となる可能性があります。
- チャット内に含まれる機密情報の漏えいリスク
- 知名度の低いマルウェアペイロードが、ファイルを盗んで C2 サーバーにアップロードすること
- インサイダー攻撃の可能性を高めること
- データリスクマネジメントと法規制コンプライアンスの不履行
- GDPR コンプライアンスの不履行
この脆弱性について通知を受けた際、マイクロソフトは、この機能が仕様によるものだと返答しました。
緩和戦略:
Trustwave の参考記事では、防止策として次のことが推奨されています。
- Username および Users パラメーターが異なるなど異常なアクセスがないか、記事に掲載された手順を注視する
- 記事で紹介したフォルダーに対するコピー、削除といったファイルの動きを監視する
これに加え、記事ではこの脆弱性を緩和するための非公式の次善策を提案しています。
「この問題に対する手っ取り早い次善の策は、ログ作成を防止するため、通常のユーザーアカウントによる『IndexedDB』および『Cache』フォルダーへの読み取り/書き込みを許可しないことだ」
Writer