国・業種別に見る、インシデント対応事例

足立修氏:ソフォス株式会社・技術サポート本部の足立と申します。ソフォスには、セキュリティインシデント対応のスペシャリストで構成される、Rapid Responseというチームがございます。

実際に攻撃を受けた組織で発生したセキュリティインシデントについて、攻撃者やツール、攻撃行為についての詳細を報告しております。これは各組織のセキュリティ担当者が攻撃者の活動を理解して、内部ネットワーク上で発見して防御するための助けとなることを目的としております。

それではまず、インシデント対応調査を行った対象者についてご説明いたします。

ご覧のように、本レポートは幅広い業種、あらゆる規模の組織を標的とした、2021年に発生した144件のインシデントについて作成されております。標的となったのは世界17ヶ国です。被害者の6割がアメリカで、4分の1以上の組織はヨーロッパに多いです。

また業種別で見ますと、最も多いのは製造業におけるインシデント対応の事例が17パーセント、次いで小売業が14パーセント、医療が12パーセント、ITが9パーセント、建設が8パーセント、教育が6パーセントとなっております。

攻撃者の滞在時間は、1年間で約30パーセント増加

次に「8つの数字で見るアクティブな攻撃」ということで、主な調査結果を確認して説明させていただきます。まず「15日間」と出てきましたが、これは侵入者がネットワークに滞在する時間の長さです。

滞留時間と言っているんですが、この中央値が2020年の11日から2021年には15日となって、約3割ほど増加しております。攻撃の状況把握に費やす時間が増えているという現状です。

ランサムウェアのインシデントをこの調査から外した場合の滞留時間は34日となって、ランサムウェアを入れた場合の15日に比べると倍以上になっています。ランサムウェア攻撃では、攻撃者は金儲けにつながる段階にできるだけ早く進みたいため、滞留時間は短くなる傾向があります。

次に「4.28日」です。データを密かに盗んでからランサムウェアを展開するまでの時間は、だいたい平均で4日間になります。

まず、攻撃者は被害者に影響を行使するために、別のツールを入手する目的でデータを盗みます。まだランサムウェアは展開せず、少し待ってからランサムウェアを展開をします。その日数が、だいたい平均して4日になっています。

また「47パーセント」ということで、調査対象となった攻撃の約半分は脆弱性の悪用から始まっております。これが攻撃者の進入経路の第1位になっておりまして、あとで説明させていただきます。

組織の6割以上が、過去1年間にランサムウェア攻撃を受けた

次が「82パーセント」です。5件中4件くらいがこのインシデントで、ネットワーク内の移動にRDPが使われています。「リモートデスクトッププロトコル」というのが正規のツールではあるんですが、これも攻撃者によって悪用されている現状です。

次に、インシデントの「73パーセント」はランサムウェアが関与していました。この割合の高さは、ソフォスのレポートの『ランサムウェアの現状2022年版』の調査結果と一致しております。

(調査対象の)組織の66パーセントが「過去1年間にランサムウェア攻撃を受けた」と報告しており、前年度では37パーセントでしたので、倍近く増えています。

ランサムウェアに限って言えば、ソフォスが最も多く遭遇したランサムウェアのグループがございます。ここではContiというランサムウェアグループが最も多く、全体の18パーセントを占めております。

最後に、データが盗まれたり、盗まれたデータが流出することは増加傾向にありまして、インシデントの約3割強、38パーセント発生しています。これも前年度の27パーセントから増加している傾向にあります。

攻撃者の侵入から攻撃までに数ヶ月間空くことも

それでは「2021年脅威環境における主な動き」ということで、特徴的なインシデントの傾向を説明いたします。

2021年の3月と8月に、その年に最も大きな影響力を誇った2件のサイバー脅威が報告されました。Microsoft Exchange Serverにおける「ProxyLogon」、および「ProxyShell」の脆弱性です。これはたぶん、みなさんの記憶にも新しいのではないかと思います。

ProxyLogonやProxyShellの脆弱性は広範に悪用されておりまして、ソフォスが2021年に調査したインシデントの中でも、相当数がこれらの脆弱性を突く攻撃に関連するインシデントになっております。

2021年のサイバー脅威の環境を形成するもう1つの大きな進化の特徴として、初期アクセスブローカー(IAB)というものが登場しております。これは数年前から登場しているんですが、2021年は特に顕著になっています。

まずIABというのは、窃取したデータやアクセス権をほかの悪意のある業者に売り渡す役割なんですが、誰よりも早く標的に侵入して販売できるアクセス権を獲得できるかどうかが、このIABの成功にかかっています。

IABは多くの場合、新たに報告されたバグ、いわゆる脆弱性や製品の弱点にいち早く反応して、パッチが普及する前に標的を攻撃しようとします。IABの目的は、被害者のネットワークに足場を固め、場合によっては資産の価値を知るために初期の探索をすることです。

そのあと、ランサムウェアのサービサーと言われるオペレーターや、他の攻撃者にアクセス権を売却するという手順になっています。最初の進入から攻撃の発生までに何ヶ月も間が空くこともあるんですが、それが大きな特徴です。

滞留時間の長い「見えない侵入者」の存在

IABの台頭に絡みまして、攻撃が専門化していること、つまりサイバー脅威市場において専門的なサービスを提供するサプライヤーが増加していることが大きな特徴になっています。よくRaaS(Ransomware-as-a-Service)と言われますが、この産業もかなり成長しています。

最後に、2021年のインシデント対応調査における、フォレンジック調査により得られた証拠です。いろいろあるんですが、IAB、ランサムウェアグループ、クリプトマイナー。時にはランサムウェアのオペレーターなど、複数の攻撃者が同じ組織を同時に標的にする事例が増えてきていることが大きな特徴になっております。

次に「見えない侵入者」ということで、侵入者の滞留時間について見ていきたいと思います。2020年から2021年にかけて、攻撃者の平均滞留時間の中央値が11日から15日と、3分の1程度増加しています。その中でランサムウェアの配信を目的とした攻撃は平均して11日ぐらいで、前年度2020年の18日からは短くなっています。

その反面、ランサムウェアを伴わない攻撃については、滞留時間が34日と大幅に長くなっていますので、かなりのばらつきがあります。また、業種や規模によっても差があります。まず業種によりますと、医療での平均滞留時間はわずか8.5日なのに対し、教育では34日とかなり開きがあります。

また、滞留時間の長さはIABの関与を反映している可能性がありますので、社内のITセキュリティ担当者が不審なアラートや潜在的な脅威をプロアクティブに探し出して、調査して対応することが困難であることを物語っているのではないでしょうか。

企業規模が小さいほど、侵入者の滞留時間は長くなる

次に企業の規模です。規模の違いによって、滞留時間も違ってきます。規模の小さい組織ほど、滞留時間が長いという相関関係が明らかになりました。

100人以下の組織ですと、平均滞留時間は52日、約1ヶ月半ぐらいですね。ところが、3,000人以上の組織では20日以下でした。規模の小さい組織は検知に時間がかかってしまうのと、長い時間脆弱な状態にあるので、かなり攻撃しやすくなっているのではないかと思います。

侵入者を迅速に発見するためのリソースが自社内にない場合、侵入者を早期に発見・排除するという目的で、外部のサービスのベンダーに頼むのも1つの手ではないかと思います。

次に「攻撃の根本原因」ということで、攻撃者がどのように侵入したのか、あるいは防御のどこの弱点を突かれたのかという点が重要なポイントになります。自分たちの組織にどのように侵入したのかがわかれば、それに対する防御策を強化するための行動を取ることができると思います。

まず、ソフォスが2021年に調査したサイバーインシデントの約半数、47パーセントが「脆弱性が悪用された」となっています。これがProxyLogonやProxyShellなどに代表されるものです。

パッチが適用されていない環境で攻撃されることが、根本原因の大きな部分を占めております。侵入者に対して侵入経路を開いたままにしておきながら、パッチ適用をタイムリーに行っていなかったというのは、簡単に攻撃を許してしまいます。

次に「不明」とありますが、その次の「フィッシング」も8パーセントです。これも、ユーザーへのセキュリティトレーニングを継続することが重要なポイントになっております。

2021年に発生した主な攻撃の種類

次に、主な攻撃の種類です。セキュリティチームは、ランサムウェアが配信されたタイミングでだいたい攻撃を検知するんですが、ソフォスが対応したインシデントの73パーセントがランサムウェアに関連するものだったということは、当然だったと思います。

インシデント対応調査で発見された攻撃のうち、2番目に多かったのは「その他の侵入」。先ほど2番目に「不明」というのがありましたが、「その他の侵入」という広いカテゴリーで、インシデント全体の23パーセントを占めました。

本レポートにおいて、「その他の侵入」とはランサムウェアやその他の分類可能な攻撃に至らなかった、分類できなかった侵入のことを意味します。

侵入は、しばしばパッチ未適用のProxyLogonやProxyShellなどの脆弱性が悪用されることで起こるんですが、それだけではありません。リモートアクセスや安全ではないVPNの悪用、あるいはアカウント認証情報の盗難、セキュリティ上の注意不足、インターネットへの接続口を開放したままにする、といったものが一因になっていることが多いです。

重要なのは、主要な悪意のあるペイロードが標的に配信される前に侵入を検知して、それを無力化することです。

これらの侵入のうち、少なくとも一部はIABの余剰在庫。つまり、まだ他の攻撃者に販売されていない、ストックされたアクセスだったということも考えられます。もし侵入が検知されていなければ、かなりの数がランサムウェア攻撃に発展していった可能性がございます。

複数の攻撃者が同時に発生するケースも

数は少ないんですが、調査したインシデントのうち2パーセントには、「クリプトマイナー」という暗号資産に関する攻撃が用いられていました。

悪意のあるクリプトマイナーは、しばしばシステムのパフォーマンスに影響を与えるので検出されるんですが、不正な暗号通貨のマイニングによってコンピュータの処理が低下することが原因となっています。

ネットワーク内に不正なクリプトマイナーが存在するということは、どこかに脆弱な侵入口があるということでもありますので、今後深刻な攻撃に発展する前兆となるのではないでしょうか。

「共存する攻撃」ということで、実はそれぞれの攻撃は独立したものではなくて、IABやランサムウェアグループ、クリプトマイナーということで、ある標的ネットワークに複数の攻撃者が同時に出現することがありますし、実際そういう事例にも遭遇しております。

例えばインシデントの対応事例のうち、クリプトマイナーが主な攻撃手段だったのがわずか2パーセントであるのに対し、ランサムウェアインシデントの全体の7パーセントにクリプトマイナーが存在しておりました。

クリプトマイナーは、感染したネットワークの他のマイナーをスキャンして削除することが多いのですが、ランサムウェアなどの他の脅威とは問題なく共存することができる、悪意のあるツールとなっております。

ここにありますように、2021年にはAtom Siloランサムウェアと、それから2つのクリプトマイナーが同じ環境に共存していた攻撃を確認しております。

NetwalkerとRevilが同時に関与する、いわゆるデュアルランサムウェア攻撃など、同時攻撃インシデントをソフォスは複数回検知して報告しております。この傾向は、2022年になっても続いているようです。

「RDP」は、深刻な内部脅威となっている

「攻撃者が用いるツール」ということで、ツールについて見ていきたいと思います。一番大きいのがRDP、リモートデスクトッププロトコルです。RDPは少なくとも83パーセントの攻撃に関与しており、2020年の73パーセントの攻撃からさらに増加傾向になっております。

ここにありますように、内部アクセスで発生したインシデントが82パーセント。12パーセントと70パーセントの合計なんですが、それに比べて外部アクセスで発生したものが13パーセントと、少し減少しております。

2020年においてはそれが逆になっていまして、内部アクセスのものが69パーセント、外部アクセスによるものが32パーセントと、1年経って内部アクセスが増えて外部アクセスが減っている現象になっています。

特に興味深いのは、攻撃者によるRDPの利用方法です。RDPが関係するインシデントの70パーセントでは、ツールは内部アクセスとラテラルムーブメント(「水平展開」を意味し、サイバー攻撃において攻撃者が特定の環境に侵入した後、より活動の手を広げるために行う行動)のみに使用されております。この数字は、2020年の41パーセントから大幅に増加しています。

同時にRDPが外部アクセスのみに使用された事例はわずか1パーセントなので、RDPによるアクセスが減少したのは、このサービスを無効化するとか、セキュリティの体制が強化された結果だったのではないかと推測しております。

依然としてRDPはネットワーク内で広く使われており、アクセス可能ですので、このアクセスを制御することがセキュリティチームにとっては重要な焦点となります。

同じツールでも「悪意があるもの」と「正規のもの」がある

次に、攻撃に使用される主なツールセットです。我々は「アーティファクト」という言葉で言っていますが、ツールのほかに手法、あるいはサービスなどを総称してアーティファクトと言っています。

IT専門家が正当な目的で使用するようなツールは、実は日常のITアクティビティに紛れ込みながら認証情報の窃取・探索、それからラテラルムーブメント、マルウェアの実行など、それらの攻撃の中に組み込むという行動になっています。

このようなアーティフィクトの数と種類は、ネットワーク上の悪意のあるアクティビティと正規のアクティビティを区別する必要があります。同じツールでも、悪意のあるものと正規のものとに分かれてしまいます。

今回の調査で大きく分けると、正規のツールとハッキングツール、Microsoftのバイナリ、それからその他のスクリプトや手法・サービスの3つに分類することができます。

攻撃に使用される、主なツール・手法・サービス

まず、表の中の水色の枠で囲まれたところが、正規のツールおよびハッキングツールになっております。

(水色の枠で囲まれたツールの中で)一番多いのがCobalt Strikeで48パーセントで、Mimikatzが28パーセント。これが、昨年に続いて上位2件を占めています。それ以下はAnyDeskが22パーセント、Advanced IP Scannerが19パーセント、ADFind15パーセントと、みなさんおなじみのツールが続いています。

Cobalt Strikeは、セキュリティチームが、さまざまな攻撃シナリオを再現できるように設計されたソフトウェアやネットワークに対して、ペネトレーションテスト(実際に侵入を試みる手法)を行って、脆弱性の評価をする正規のセキュリティツールです。

ネットワーク上で意図しないCobalt Strikeが検出された場合には、ただちに調査する必要がありますし、2番目に多く発見されたMimikatzも、もともとは攻撃を再現するセキュリティツールとして設計されたものです。このMimikatzによって、パスワードやその他のアカウント認証情報を窃取して攻撃に活用します。

次に、MicrosoftのバイナリはPowerShell、PsExec、Net.exe、Rundll32.exeと、みなさんにとってはおなじみのツールなんですが、それぞれ74パーセント、53パーセントといったかたちで、多くの部分を占めています。

このほかに、その他のアーティファクトということで、このカテゴリーにはツールと手法の両方が含まれていまして、一番多かったのがPowerShellを除く悪意のあるスクリプトです。Webシェルは2番目に多く発見された脅威ですが、このWebシェルを使ってPowerShellやProxyLogonの脆弱性を突いた攻撃が発生していました。

「主なアーティファクトとMITRE攻撃チェーン」ということで、これはMITREアタックフレームワークと対照して、インシデントで実施されるツールやアーティファクトを分類したものです。

例えば、防御回避などではPowerShell、ラテラルムーブメントではCobalt Strikeなどが使われています。

複数のツールを組み合わせた攻撃

「ツールの組み合わせ」ということで、ここにあるようにツールがいくつか組み合わされて実行されます。

例えば、「PowerShellと悪意のあるスクリプト」が64パーセント。それぞれPowerShellが中心になっておりますが、「PowerShellとCobalt Strike」が56パーセント、「PowerShellとPsExec」が51パーセント。以下同様に、攻撃を複数組み合わせて使っている現状になっております。

それから「データ窃取は増加傾向にある」。全インシデントの3分の1、約38パーセントがデータの窃取を伴うもので、前年の27パーセントから増加しています。多くのインシデントで、全体の約8パーセントでデータを収集したあと削除しようとした痕跡が見られます。

そのインシデントの分析によりますと、データ窃取が発生してからランサムウェアが展開されるまでのタイムラグの中央値が約44時間、約2日弱ですね。平均値は4日強という結果でした。

どのツールを探すべきかという点なんですが、さまざまなクラウドストレージプロバイダーに接続するためのRcloneというコマンドラインツールが、2021年度にデータ窃取に最も多く使用されたツールになっており、その他にもMegasyncやFileZillaなどがあります。

サイバー脅威は時代とともに変化している

「ランサムウェアの主な攻撃者」「複雑で変化し続けるランサムウェアの状況」ということで、今回の144件のインシデントにおいて確認されたランサムウェアは41種類です。

前年度の2020年にはあった28種類が、2021年度にはなくなってしまいました。サイバー脅威環境に多くの攻撃者と、それから攻撃自体にもいろいろな流動性があって、新しく出てきたり古いのは消えてしまったりというのが引き続いている状況です。

2021年はContiが18パーセントです。これも活発なRansomware-as-a-Serviceのオペレーターで、ソフォスが調査したインシデントの5件に1件ということで、非常に流行しております。

これ以外にも、アメリカのColonial Pipelineで有名になったRansomware-as-a-ServiceであるDarkSideや、ProxyLogon脆弱性をきっかけとして2021年3月に登場した新しいランサムウェアファミリであるBlack KingDomが挙げられます。

最後にまとめということで「インシデント対応から得られた重要な教訓」。すべての組織が標的になりますし、複数の攻撃者による同時攻撃も増加しております。攻撃者が被害者のネットワーク内で過ごす時間が長くなっておりますし、攻撃者はパッチが適用されてない脆弱性を迅速かつ広範に攻略します。

ほとんどの攻撃でRDPが使用されており、主に内部移動のためにこのツールが使われております。「攻撃者は複数のツールを悪用する - その痕跡の確認が必要」というのが、今回の教訓になっております。

バックアップは「復元する練習」がキーポイント

「サイバーセキュリティの必須事項」として、まず弊社がご提案するのが、すべてのエンドポイントに高品質なエンドポイント保護機能を導入すべき点です。

それからプロアクティブに脅威を探し出して、攻撃が実行される前に攻撃を阻止する。そしてITの整備をして、パッチが適用されていないデバイス・保護されていないマシンなどを特定する。さらにサイバーインシデント対応計画を策定して、最悪の事態に備える。発生した時にどうするかという手順・連絡網が必要です。

それからこれは何度も言いますが、バックアップの作成。みなさんもバックアップは作成しているんですが、復元の練習をするのが重要になってきます。

最後に従業員教育です。アクセスコントロール、それからポリシー、さらに基本的には脆弱性への迅速なパッチ適用など、セキュリティの基本的なことを忘れないでやっていくことが必要だと思います。

以上のような内容を『Active Adversary Playbook 2022』というホワイトペーパーにまとめておりますので、ぜひご確認いただければと思います。

教訓を踏まえた上で、実際にはどう対応する?

最後にソフォスの製品の機能です。今まで得た教訓を踏まえて、どのようなかたちで対応したらいいのかを、弊社の製品を例にご説明させていただきます。

ソフォスの製品の機能で一番大きいのは、高品質なエンドポイント保護製品です。脅威が展開される前に自動ブロックする、いわゆるディープラーニング機能がございます。

マルウェアの拡散、認証情報の窃取、検出の迂回に使用されるエクスプロイト手法をブロックするエクスプロイト対策。Sophos Emailは、ランサムウェアの侵入をブロックします。

Sophos Firewallも、ファイルのダウンロードに対する広範囲に及ぶ機械学習、サンドボックス検査によって、悪意のあるサイトや悪意のあるダウンロードから保護するようになっております。また、未知のランサムウェアの攻撃も識別します。

(事例として)多いのは、ファイアウォールによるRDPのロックダウン。これによってRDPを制御することが可能になっております。

他社製品も一括で管理が可能

もう1つ「Cld」と書いてありますが、Cloud Optixですね。これはクラウド上のサービスの中のパブリックラウドにおけるセキュリティの脆弱性や、そのあたりのロール管理等をチェックするツールです。

一番最後の「Ph」はPhish Threat、フィッシングの攻撃シミュレーションです。自動化されたセキュリティの意識向上トレーニング、包括的なレポート機能を通じてセキュリティ意識を高め、ユーザーを教育するツールとなっております。

まとめますと、(スライド)右側にあるお客さま自身で運用されるべきエンドポイント、サーバーの管理、それから左にあるMDRという、プロフェッショナルな集団に任せるサービス。弊社の場合は24時間365日、専門家チームによる脅威のチェック・検知・対処をやっています。

それから、Rapid Responseという緊急のインシデントレスポンスのチームもございます。例えばファイアウォールやエンドポイント、クラウド、Eメール等の他社製品も、弊社のAPIを通じて統合できますので、現在お使いのソリューションもSophos Centralの中で一緒に管理できます。

簡単ではございますが、2021年「Adversary Playbook」のご説明と、ソフォスの簡単なご紹介をさせていただきました。本日はご清聴ありがとうございます。