「マクロ悪用」はもう古い？ サイバー攻撃は“驚くべき進化”を遂げた：変化するサイバー攻撃手法【第4回】

サイバー攻撃の手法は、近年すさまじいスピードで進化している。これによりセキュリティチームに及ぶ影響とは。セキュリティベンダーの調査を基に解説する。

[Alex Scroxton，TechTarget]

　サイバー攻撃者が用いる手法は、近年すさまじいスピードで進化している。メールセキュリティベンダーProofpointは2023年5月、サイバー攻撃手法に関する調査報告書「Crime Finds a Way: The Evolution and Experimentation of the Cybercrime Ecosystem」を公開した。その内容を基に、攻撃の動向やセキュリティチームへの影響を解説する。

攻撃グループの「驚くべき進化」とは

併せて読みたいお薦め記事

連載：変化するサイバー攻撃手法

• 第1回：Microsoft Officeの「マクロ原則ブロック」がもたらした利点と“想定外の変化”
• 第2回：「Officeマクロ」原則ブロックが生んだのは“安全性だけ”ではなかった
• 第3回：「HTML」「PDF」を悪用――調査で分かった2023年“人気”のサイバー攻撃

「サイバー犯罪」の関連記事

• 英教育機関14校をランサムウェアグループが狙い撃ち　流出したデータは？
• 何が“普通の若者”を「サイバー犯罪」に走らせるのか？

　報告書は、2021年1月〜2023年3月の攻撃キャンペーン（一連の攻撃）の状況を、Proofpointの研究者がまとめたものだ。報告書は、同社が追跡する攻撃グループ「TA570」の動向を取り上げている。TA570は、トロイの木馬（正規プログラムを装って不正動作をするプログラム）型マルウェア「Qbot」（別名Qakbot）を使用することで知られている。その目的は、「ProLock」「Egregor」といったランサムウェア（身代金要求型マルウェア）をばらまくことだ。

　TA570は、PDFファイルを悪用する手法を取り入れている。この手法では、まずPDFファイルに見せかけたZIPファイルをメールに添付し、標的に送信する。ZIPファイルの中にあるIMG形式のディスクイメージファイルは、標的にマルウェアをダウンロードさせるものだ。IMGファイルはQbotを実行するショートカットを含む。Proofpointは2023年4月、TA570が第三者に活動を特定されることを回避するために、PDFファイルを暗号化する実験をしていることを確認した。

　「Proofpointが追跡する攻撃グループ、特に標的への不正アクセス手段を提供するイニシャルアクセスブローカー（IAB）は、新しいペイロード配信手法を試験運用し、効果が見込めるものを採用している」。こう話すのは、同社の研究者であるセレナ・ラーソン氏とジョー・ワイズ氏だ。ペイロードは、マルウェアの実行を可能にするプログラムを指す。

　「攻撃グループの活動は、2022年以前に観察されたものから大きく変化している」とラーソン氏とワイズ氏は話す。経験豊富な攻撃グループは、もはや1つのテクニックに頼らず、新しいTTP（Tactics, Techniques, Procedures：攻撃の戦術、技法、手順）を頻繁に開発、使用している。「手法が素早く変化する状況から、攻撃グループが迅速な技術開発と攻撃の実行に必要な時間と能力を有することや、標的のセキュリティの状況を熟知している状況がうかがえる」と両氏は指摘する。

　TTPが進化するペースの高速化は、セキュリティチームやアナリスト、研究者、開発者に影響を及ぼしている。こうしたセキュリティ関係者は攻撃トレンドをより迅速に特定し、システムを保護するための新しい防御策を考えなければならず、厳しい状況だ。ラーソン氏とワイズ氏は、この傾向は当分の間続くと考える。「かつて流行したマクロ（アプリケーション自動操作機能）悪用のような、持続性のある単一の攻撃手法が出現する可能性はほぼない」と両氏は言う。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。