プラットフォームビジネス化するサイバー犯罪　テレワーク時代のセキュリティは「エンドポイント」がカギ

新型コロナの流行が変えた私たちの生活

植松智和氏：みなさん、こんにちは。キヤノンマーケティングジャパンの植松と申します。本セッションは「クラウドシフトはセキュリティに何をもたらすか？」と題して、お話させていただきます。よろしくお願いいたします。

さて、新型コロナが非常に大きな広がりをみせてから1年となります。この1年で、我々の身近な生活でもさまざまな変化が起きております。

まさに本日、テレワーク環境で視聴している方も多くいらっしゃるかと思います。テレワークというのも一般的な働き方となってきました。会議や商談、そして本日のようなセミナーなど、コミュニケーションの機会が、オンラインにどんどんシフトしています。

また、スマホを利用する機会も非常に増えたと感じられていると思います。テレワークやオンラインコミュニケーションの際に、スマホを利用するのももちろん、いわゆる巣ごもり消費としてネットショッピングや動画・音楽配信サービスを利用するのにスマホを使う機会が増えたことも身近で感じられている変化かと思います。

パンデミックが加速させるシェアビジネスの成長

この変化は、働き方……言い換えるなら稼ぎ方にも起きています。その代表例がシェアビジネスというものです。メルカリのようなフリマアプリはモノのシェアということになります。

そしてUber Eatsのようなフードデリバリーは、いわゆる宅配における労働力、リソースのシェアですね。それ以外にも最近では知識や経験、ノウハウといったスキルをシェアすることで新しい働き方、稼ぎ方をしている方も増えています。

副業としてこうしたビジネスに取り組む、あるいは、そもそもこうしたビジネスを本業として捉える方々が増えているということも変化として起きています。

こうしたシェアビジネスが、2つの結果をもたらしています。1つはプラットフォーマーの急成長です。サービスの利用者と提供者のマッチングの機会を提供したり、それをアプリとして提供したり、あるいは決済の機能を提供するなど、サービスの基盤を提供するような事業者が急成長しています。

直近の決算情報によれば、メルカリは第2四半期の売上が前年比46パーセントの増加、そしてUberは事業全体としては苦戦しているものの、フードデリバリーの事業においては、第2四半期の売上が前年比224パーセント増と、どちらも非常に大きく伸びているということです。

そして、そのプラットフォーマーの急成長に伴い、プラットフォーマーが提供するサービスを利用して稼ぐ側の利用機会も非常に増えています。プラットフォーマーが提供するマニュアルやノウハウを使うことによって、スキルがなくても手軽にビジネスができること。こうした需要と供給の高まりが新しいビジネスモデルを作り出して、拡大進化をしているという変化が起きています。

プラットフォームビジネス化するサイバー犯罪

さて、こうしたシェアビジネスのような新しいビジネスモデルが、サイバー犯罪の中においても起きています。CaaS（Crime as a Service）と呼ばれるものです。日本語では“サービスとしてのサイバー犯罪”と訳されることもあります。

いわゆるシェアビジネスと同様、攻撃のためのツールや情報をプラットフォーマーのようにクラウドで提供するものがいて、それらを利用して実際の攻撃をするものがいる。そうした構造で成り立っています。攻撃のためのツールの製作者と実務者が異なるということです。

代表例はフィッシングサイトを作るPhaaSというサービスや、不正なツール、マルウェアを提供するMaaSと呼ばれるようなもの。それから、不正に取得したアカウントの情報そのものを販売するものや、暗号通貨のトランザクションを隠して追跡ができないようにするマネーロンダリングのサービスなども存在しています。

これらがダークウェブの中でクラウドのサービスとして提供されている、サイバー犯罪の産業化が起きています。

SNSすら使う自己顕示欲型の犯罪手法

このCaaSについて具体的なサービスをいくつか見てみましょう。下図の左側が、RDPを介してアクセスできるサーバーのアクセス権が販売されているサイトです。

このサイトの場合は、国や地域、OSなどで情報のフィルタリングができ、この画面ではコロンビアのサーバー250台ほどの情報が販売されていることが確認できます。当時、1台あたり10ドル前後でこれらのサーバーのアクセス権情報が販売されていました。

具体的には下図の右側の画面のように、非常に詳細なサーバーの情報を入手することができます。攻撃者はこうした情報を購入した後、ランサムウェアを実行したり、トロイの木馬やスパイウェアのような目立ちにくい攻撃ツールをインストールするといった、次の活動に進んでいきます。

ボットネットを構築できた犯罪者は、ボットネットを攻撃のインフラとしてレンタルする取り組みをしています。スパムメールの送信や、DDoS攻撃を行うためのコンピューターリソースとして、ボットネットを提供するというものです。

下図の左側の例では、当時は価格が攻撃の継続時間とトラフィック量によって変動するというものでしたが、3時間の攻撃で58ドルという金額設定がされていました。

その他、ボットネットのレンタルをInstagramなどのSNSで提案している事例もありました。隠れて行うのではなく、どちらかというと自己顕示欲からくるような行動も見られています。

ランサムウェアをパッケージ化するというビジネス

こうしたCaaSの中でも、特に最近活発な動きを見せているのが、RaaS（Ransomware as a Service）と呼ばれるものです。攻撃に必要なランサムウェアやC&Cサーバーのようなものをパッケージとして提供するものがいて、それを利用して実際の攻撃を行うものがいるというモデルです。

サービスとして提供されるので、攻撃者は比較的容易にランサムウェアの攻撃を行うことができます。

健全なシェアビジネスにおいて、通常、収益は実務者とプラットフォーマーが分配するかたちになります。RaaSにおいても、アフィリエイトプログラムという名称になりますが、RaaSの被害者から得た身代金のうち70～80パーセントをこのサービスの利用者（攻撃の実務者）が取って、残りの20～30パーセントをRaaSの提供者が取るという割合の分配が一般的となっています。

サービスの提供者と攻撃の実務者が別であるということ、また、これを利用して攻撃を行う実務者が複数いることも特徴です。

ゆえに、攻撃者によって攻撃や脅迫の手法も異なる戦術がとられることになります。例えば悪意あるマクロを埋め込んだファイルを添付したメールを送りつけるとか、脆弱性を足がかりに侵入しようとするなど、さまざまな手法がとられます。

標的型ランサムウェアによる二重の脅迫

RaaSのスキームを利用して非常に活発な動きを見せていたのが、一昨年後半から世界中に被害をもたらしている、特定のターゲットを狙ったランサムウェア攻撃、つまり標的型ランサムウェアというものです。目立ったものを6つあげております。

特に右下のRagnar Lockerは、昨年11月に大手ゲーム会社が被害にあったことが非常に多く取り上げられておりました。1,100万ドル相当の暗号通貨を身代金として要求されたと報じられていたものです。

これらに共通しているのは、データを暗号化するというランサムウェアの機構と共に、同時に情報を盗むということ。そして「身代金の支払いに応じない場合には、その盗んだ情報を公開するぞ」というドキシング、つまり「さらし」といわれる二重の脅迫を行っていることです。

ゆえに暴露型のランサムウェアとも言われ、最近のランサムウェア攻撃の標準的な手法になっています。

侵入→窃盗→暗号化→身代金要求→リークの5段階プロセス

このような新たな戦術が次々と生まれております。その中から3つを、「三重の脅迫」と題してご紹介します。図にあります1から5、これは今の標的型ランサムウェアが標準的に行ってくる手口です。

まず侵入した上でデータを盗む。そしてデータを暗号化する。さらに暗号化したデータを「元に戻したければ身代金を支払え」と要求するのが、1から3の流れです。

「この要求に応じない場合は盗んだデータを公開するぞ、身代金を支払え」と要求をするのが4番目。それにも応じない場合には、盗んだデータをダークウェブ上のオークションサイトで販売するとか、リークサイトで公開するといったアプローチをとるのが5番目の動きです。

これらに加えて、昨年の10月頃から動きを見せているものがあります。SunCryptと呼ばれるランサムウェア、それから先ほどの例示にもあったAvaddonや、Ragnar Lockerでも一部使われていたものです。ランサムウェアの被害者のウェブサイトに対して、交渉に応じるまでDDoS攻撃を仕掛け続けるアプローチです。

まさに三重の脅迫と言える事例です。支払いの圧力を高めるような新たな手法が生み出されています。

ランサムウェアが人を死に至らしめた事例

そして脅迫の手法の2つ目は電話を使った脅迫です。これはDoppelPaymerというランサムウェア、それから他にもいくつかのランサムウェアで採用されている手法です。

DoppelPaymerでいうと、昨年9月にランサムウェアの被害が初めて死者を招いたという、痛ましいニュースが非常に話題となりました。

ドイツの大学病院がこの被害に遭ってシステムがダウンしてしまったことで、患者さんを受け入れることができなくなり、近隣の病院に搬送しなければならなくなった。そのため救急治療が遅れ、この患者さんは死に至ってしまったことが報じられました。

DoppelPaymerは、例示しているとおりFBIでも注意喚起をしております。昨年12月に出された注意喚起のドキュメントの中で、昨年2月に起きたケースとして電話を使った脅迫が取り上げられています。

具体的には、データの流出や販売をちらつかせて支払いを要求する脅迫電話をかけてきたり、「従業員の家に人を向かわせる」といった脅迫をするとか、従業員の身内にも電話をかけて支払いを成立させようという動きをとっていたということです。

言語の問題があるので、この攻撃がそのまま日本で通用することはないと思われますが、日本の組織をターゲットとした場合、アレンジした攻撃をしてくる可能性は十分に考えられます。

あらゆるプリンターから脅迫文をプリントさせる恐怖の手口

そして3つ目は、物理的な脅迫ということで、プリンターを使った脅迫も現れてきています。これはEgregorというランサムウェアがとってきた手法です。

Egregorは昨年9月頃に発見されたランサムウェアで、標的型ランサムウェアでも非常に著名なMazeの後継と言われています。世界中でも150以上の組織が被害に遭って、しかも防御が困難だということもあり、これも同じくFBIが注意喚起をしています。

この被害の例ですが、被害企業が正式な表明をしていないことから「発生したとされる」と書いてありますが、チリを拠点とする大手上場小売業の店舗がEgregorの被害に遭い、店舗のシステムが止まってしまったということです。クレジットカードの処理ができなかったり、返金等の業務ができないといったことが現場で発生していたようです。

そして、このEgregorには利用可能なネットワークプリンターやローカルのプリンターを使って、ランサムノートという、いわゆる脅迫文を印刷する機能が備わっています。

この小売業のケースで言えば、店舗のレシートプリンターからランサムノートを印刷する行動をとったということです。

こちらに載せているTwitterのアカウントでは、店頭のレシートプリンターからランサムノートが印刷される様子が動画で掲載されてますので、ご覧いただければと思います。

事務所のプリンターの至るところから一斉にランサムノートが印刷される光景を想像しますと、非常に恐ろしいと思います。まさにランサムウェアの攻撃者は、そうした恐ろしい光景を見せつけることでランサムウェアの攻撃の成功を印象づけて、恐怖心を煽ることによって身代金の支払いへの圧力を高めるといった手法をとってくることになります。

高度なスキルがなくても攻撃に参加できてしまう

標的型ランサムウェアの動きは、今年も継続することが予想されます。加えてビットコインのような暗号通貨が最近非常に高くなっていることを踏まえると、身代金の要求額が増えていくことが想像されます。それを成功させるために、先ほど見てきたような新しい恐喝や脅迫の手法も次々に出てくるのではないかと想像できます。

また、身代金が高くなっていくことに目をつけた新しい攻撃者が、どんどん参入していくことも想定されます。特にRaaSのような攻撃のインフラが充実してくると、高度なスキルを持たなくてもランサムウェアの攻撃に参加できるようになります。

そうした高度なスキルを持たない攻撃者が現れてきている状況を裏付ける出来事も実際に起きています。

こちらはランサムウェアのインシデント対応に特化したアメリカのサイバー企業 Coveware社による昨年4Qのランサムウェアに関するレポートです。

データの取り扱いに最新の注意を払うサイバー犯罪者の一面

通常ランサムウェアは、情報価値の高いマシン、バックアップのシステムなどを対象にして暗号化をしていく方法がよく取られます。ゆえにオフラインのバックアップをするのが推奨の対策として言われています。

最近起きているケースとしてこのレポートの中で触れられているのは、重要なデータや重要なシステムを消去してしまうランサムウェアの攻撃が起きているということです。

復号キーを購入しても復元ができない、元の状態に戻せないことが複数発生していることが、レポートの中で触れられています。データを消去されてしまって元に戻すことができないということになれば、当然被害者としては身代金を支払う理由がなくなります。つまり、そもそもランサムウェアのビジネスが成り立たないということになります。

ゆえに本来攻撃者はデータの扱いには非常に注意をし、ランサムノートの中でも「無理に復元を試みないように」というメッセージを添えたりもします。

それに反して、こうしたランサムビジネスを台無しにしてしまうようなデータ消去が起きていることを踏まえると、スキル的に成熟していない攻撃者が現れてきているのではないかという可能性も考えられます。

当然ながら被害に遭ってしまうと、重要なデータが消えてしまい、システムを再構築しなければならないということになります。長期にわたってビジネスが中断されますし、事業継続の観点でも非常に大きな影響を及ぼすことになります。

ここまでの内容をまとめます。攻撃ツールやアクセス権などの情報がクラウドサービスとして充実しています。それらを利用して攻撃が可能となり、攻撃者のハードルも低くなっています。

特にRaaSが活発な動きを見せる中で、これを利用した攻撃者も複数いることから、攻撃の手法や身代金の支払いに対する圧力も多様化しています。

また、暗号通貨の価格が高くなることで、こうした攻撃は今後も続いていくことが予想されますし、特にスキルの成熟していない攻撃者が現れることによって破壊的な活動につながることも考えられます。

こうした状況を踏まえて、後半では具体的な対策をご紹介します。

エンドポイントは最初で最後の防衛線

ランサムウェアの中でもRDPの環境を狙う標的型ランサムウェアが非常に増えております。FBIも標的型ランサムウェアの初期侵入のおよそ7～8割が、RDPの不備な環境を狙ったものだと注意喚起しております。

これを裏付けるように、世界的にテレワークが広がっていった昨年2月以降、RDPを狙う攻撃、いわゆるブルートフォース攻撃を仕掛けようとした傾向が、右肩上がりに上がっていることがグラフからもうかがえます。

他にもRaaSのところでご紹介したように、悪意あるマクロコードを埋め込んだファイルをメールで送りつけるとか、不正なサイトに誘導するメールを送りつける、こういったメールを起点とする手口もあります。そのため、メールを処理する環境、我々が利用するエンドポイントの環境を、まずしっかりと対策していくことが重要となります。

特にテレワークで、働く環境や働く場所が変わると、境界型の防御が有効でないケースがたくさん生まれます。事務所の中のようにさまざまなツールで安全性が確保できたということではなくて、エンドポイント自体、エンドポイント単体で守らなければならないというケースが増えてきます。

まさにエンドポイントは最初で最後の防衛線と言えます。ここで多重の対策をしていくことが重要になります。

その対策としてはアンチウイルス・アンチマルウェアといった基本的なものはもちろんですし、次世代アンチウイルスのようなものを使っていくことも有益です。本日は時間の都合上、この中からEDRについてご紹介します。

侵入後の実被害を防ぐためのEDR

EDRとは、エンドポイントの中の不審な挙動・マルウェアの感染等を見つけ出すツールです。どちらかというとこれまでの対策は、感染や侵入自体を防ぐ事前対策というものでした。

EDRはそうではなくて、仮に進入されてしまったとしても、長期の活動の中で実被害が出る前に、いち早く発見して被害を抑えていこうという事後対策に有効です。

特にランサムウェアに関しては、ランサムウェア攻撃に関係するファイル自体を見つける・検知していくということでも、EDRは有効です。

暗号化となりますと、当然ながらさまざまなファイルに対するアクセスが増えます。人が触るような数十・数百という単位ではなく、数万・数十万の単位で、ファイルタッチをしていくことになります。そうした不審な挙動から、ランサムウェアの感染が始まっているのではないかという発見ができます。

また、標的型ランサムウェアのように情報を外に盗み出すような挙動ですと、外部への情報発信・通信の頻度が増えていきます。そうしたことを踏まえて感染の状況を知るといった使い方もできるのがEDRです。

きめ細かいインシデント対応が可能なESETの「EDR」

私どもはESET社のEDR「ESET Enterprise Inspector（EEI）」をご提案しております。いくつか特徴がありますが、その1つ目は「EPP」（アンチウイルス）と同じツールで統合管理ができることです。管理コンソールを複数またぐような煩わしい運用がありません。

そしてアラートから、MITRE社のATT&CKフレームワークのリファレンスを1クリックで参照することができます。どういった攻撃テクニックが使われていたのか、そしてその後行うべき対応策は何なのか。そういったものをいち早く把握することによって、迅速で的確な対処ができていくことになります。

感染が疑わしい端末をネットワークから論理隔離したり、不正なプロセスを止めるといった緊急処置も1クリックで行えますので、被害の早期抑制ができるというのが特徴です。

最近強化された機能の1つに、リモートPowerShellというものがあります。EEIのコンソールからエンドポイントに対してリモートPowerShell経由でアクセスをして、PowerShellのコマンドを実行できるというものです。

インシデント対応に必要な調査や修復、保全をわざわざ利用現場に直接出向かないでリモートで行うことができる。そしてユーザーからPCを回収することもありません。ユーザーのPC業務の利用を止めずに対応できることも特徴です。

1つ前のスライドでご紹介したような、EDRとしての基本機能に加えて、Windowsの持つPowerShellの強力な機能を併用することで、インシデント対応をきめ細かく行えるのがこのESET社のEDRとなっております。

LiveGridの情報のトリアージに使う

前半で、攻撃者のクラウドシフト、クラウドサービスの悪用についても触れてきました。これに対して、防御側もクラウドのテクノロジー、クラウドの脅威の情報を使うことで、新たな脅威に対抗することができます。

ESETではLiveGridというクラウドシステムと各製品が連携しております。このLiveGridには世界1億1,000万台以上のセンサーから集められた脅威の情報があり、それが分析・体系立てられています。そこから各種オブジェクトのレピュテーションの情報を提供するという使い方になります。

例えばESET製品のアンチウイルスであれば、LiveGridと連携することによって、定義ファイルの更新を待たずとも不審なファイルをブロックすることができます。それからEEIにおいては、トリアージを効率化するという運用でも使うことができます。

具体的には、信頼度を表すレピュテーションという指標、それから流行度合いを表すポピュラリティという指標に、LiveGridが活かされています。

左側の画面はEEIのダッシュボードの1つです。赤い点がレピュテーションが低い、信頼度が低いファイルの自社のネットワーク内での存在を表しています。そして緑色が信頼度が高い、レピュテーションが高い安全なファイルの存在であることを表しています。

縦横の2軸になっていて、縦軸が自社のネットワークの中におけるポピュラリティ、いわゆる存在数を、そして横軸はLiveGridでのポピュラリティ、いわゆるグローバルでの存在数を表しています。

緑色で、右側に配置されるようなファイルはレピュテーションが高くて、それからグローバルのポピュラリティも高いファイル、世界的に使われているような正当なファイルや、アプリケーションの存在を示します。

一方で自社で開発したような独自の業務アプリケーションであれば、レピュテーションが低くなるため赤の表示がされますが、相対的に自社のネットワークの中では存在が多くなりますので、自社ネットワークでのポピュラリティが高い、左上のほうにプロットされることになります。

簡単に使うとすれば、チャートの左下に存在する赤い点、レピュテーションが低く、グローバルと自社の中でもポピュラリティが低いものは自社を狙ってカスタマイズされたファイル、標的型攻撃に使われるファイルではないかと注意し、優先的に対応をしていく。そうしたトリアージをするための材料としても使えるのが、LiveGridの情報になります。