2023年07月12日 05時15分 公開
特集/連載

「マクロ悪用」はもう古い? サイバー攻撃は“驚くべき進化”を遂げた変化するサイバー攻撃手法【第4回】

サイバー攻撃の手法は、近年すさまじいスピードで進化している。これによりセキュリティチームに及ぶ影響とは。セキュリティベンダーの調査を基に解説する。

[Alex ScroxtonTechTarget]

 サイバー攻撃者が用いる手法は、近年すさまじいスピードで進化している。メールセキュリティベンダーProofpointは2023年5月、サイバー攻撃手法に関する調査報告書「Crime Finds a Way: The Evolution and Experimentation of the Cybercrime Ecosystem」を公開した。その内容を基に、攻撃の動向やセキュリティチームへの影響を解説する。

攻撃グループの「驚くべき進化」とは

 報告書は、2021年1月〜2023年3月の攻撃キャンペーン(一連の攻撃)の状況を、Proofpointの研究者がまとめたものだ。報告書は、同社が追跡する攻撃グループ「TA570」の動向を取り上げている。TA570は、トロイの木馬(正規プログラムを装って不正動作をするプログラム)型マルウェア「Qbot」(別名Qakbot)を使用することで知られている。その目的は、「ProLock」「Egregor」といったランサムウェア(身代金要求型マルウェア)をばらまくことだ。

 TA570は、PDFファイルを悪用する手法を取り入れている。この手法では、まずPDFファイルに見せかけたZIPファイルをメールに添付し、標的に送信する。ZIPファイルの中にあるIMG形式のディスクイメージファイルは、標的にマルウェアをダウンロードさせるものだ。IMGファイルはQbotを実行するショートカットを含む。Proofpointは2023年4月、TA570が第三者に活動を特定されることを回避するために、PDFファイルを暗号化する実験をしていることを確認した。

 「Proofpointが追跡する攻撃グループ、特に標的への不正アクセス手段を提供するイニシャルアクセスブローカー(IAB)は、新しいペイロード配信手法を試験運用し、効果が見込めるものを採用している」。こう話すのは、同社の研究者であるセレナ・ラーソン氏とジョー・ワイズ氏だ。ペイロードは、マルウェアの実行を可能にするプログラムを指す。

 「攻撃グループの活動は、2022年以前に観察されたものから大きく変化している」とラーソン氏とワイズ氏は話す。経験豊富な攻撃グループは、もはや1つのテクニックに頼らず、新しいTTP(Tactics, Techniques, Procedures:攻撃の戦術、技法、手順)を頻繁に開発、使用している。「手法が素早く変化する状況から、攻撃グループが迅速な技術開発と攻撃の実行に必要な時間と能力を有することや、標的のセキュリティの状況を熟知している状況がうかがえる」と両氏は指摘する。

 TTPが進化するペースの高速化は、セキュリティチームやアナリスト、研究者、開発者に影響を及ぼしている。こうしたセキュリティ関係者は攻撃トレンドをより迅速に特定し、システムを保護するための新しい防御策を考えなければならず、厳しい状況だ。ラーソン氏とワイズ氏は、この傾向は当分の間続くと考える。「かつて流行したマクロ(アプリケーション自動操作機能)悪用のような、持続性のある単一の攻撃手法が出現する可能性はほぼない」と両氏は言う。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news046.png

B2Bマーケティング支援のFLUED、国内のEC/D2C企業20万社のデータベース「StoreLeads」を提供開始
B2Bマーケティング・営業DXを支援するFLUEDは、カナダのLochside Softwareが提供するECサ...

news054.jpg

サブスク動画配信サービスの市場規模が5000億円超え 最もシェアを伸ばしたサービスは?――GEM Partners調査
定額制動画配信サービスの市場規模は2020年以降、堅調に拡大しています。ただし、成長率...

news044.jpg

ビルコム、PR効果測定ツール「PR Analyzer」に海外ニュースのクリッピング機能を追加
ビルコムは、クラウド型PR効果測定ツール「PR Analyzer」に新機能「海外メディアクリッピ...