FortiGuard Labs、ランサムウェアの勢いは衰えず、引き続き執拗で破壊的であるとレポートで報告

攻撃手法の巧妙化、高速化、多様化が、サイバーキルチェーン全体の強化の重要性を実証

※本プレスリリースは米Fortinet, Inc. が2月23日（現地時間）に発表したプレスリリースの抄訳です。

サイバーセキュリティの世界的リーダーで、幅広い適用領域で（Broad）システム連携し（Integrated）自動化された（Automated）ソリューションを提供するフォーティネット（Fortinet®）は、最新のグローバル脅威レポートの調査結果を発表しました。2021年下半期の脅威インテリジェンスは、攻撃の自動化と高速化が加速し、APT（高度な持続的標的型攻撃）戦略がこれまで以上に破壊的で予測不能になっていることを示しています。さらには、ハイブリッドワークやハイブリッドITによる攻撃対象領域の拡大に乗じて、サイバー犯罪者がエクスプロイトを試行していることもわかりました。このレポートの詳細と重要なポイントについては、フォーティネットセキュリティブログ(https://www.fortinet.com/jp/blog/industry-trends/fortiguard-labs-ransomware-not-slowing)をご参照ください。また、本レポート（日本語）の全文は、https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/ja_jp/TR-21H2.pdf でご覧いただけます。2021年下半期版レポートのハイライトを以下に紹介します。

組織が驚異的な速度でエクスプロイトの脅威に直面していることがLog4jで証明される：2021年下半期に発生したLog4j (https://www.fortinet.com/jp/blog/threat-research/critical-apache-log4j-log4shell-vulnerability-what-you-need-to-know)の脆弱性は、サイバー犯罪者がエクスプロイトを急速に加速させることで、自らの優位な立場を利用しようとしていることを証明しています。年度末まで1ヵ月を切った12月第2週に発生したにもかかわらず、エクスプロイト活動が急拡大し、2021年下半期でIPS検知数が最多になりました。Log4jはさらに、2021年前半に発生した著名なアウトブレイクであるProxyLogonの50倍近い活動件数を記録しました。サイバー攻撃者が極めて短時間で新たな機会を最大限に活用しようとしている点を考慮すると、組織に対策やパッチの適用の時間がほとんどないのが現状です。そのため、AIやMLを活用した侵入防御システム（IPS）、パッチ管理の積極的な戦略、さらには脅威インテリジェンスの可視性を活用し、最も活動が活発で急速に拡散している脅威に最優先で取り組むことで、全体的なリスクを軽減する必要があります。

攻撃対象領域の新しいベクトルを標的にする攻撃が急増している：小規模や件数が少ない脅威も将来的に大きな問題につながる可能性があり、監視する価値が十分にあります。このような例の1つが、Linuxシステムのエクスプロイトの目的で設計された、ELF（Executable and Linkable Format）バイナリです。Linuxは、多くのネットワークのバックエンドシステム、さらには、IoTデバイスやミッションクリティカルなアプリケーションのコンテナベースのソリューションで利用されており、これまで以上に攻撃の標的にされるようになりました。第4四半期にLinuxマルウェアの新しいシグネチャの割合が2021年第1四半期の4倍になり、ELF亜種であるMuhstik、RedXORマルウェア、さらにはLog4jといった、Linuxを標的にする多くの脅威が存在します。ELFをはじめとするLinuxマルウェアの検知数が2021年に2倍になり、このような亜種や検知の増加は、Linuxマルウェアがサイバー犯罪者の重要な武器の一部になりつつあることを示しています。Linuxもネットワークの他のエンドポイントと同様に、高度で自動化されたエンドポイントの保護、検知、レスポンスにより、保護、監視、管理する必要があります。さらには、件数が少ない脅威に攻撃される可能性のあるシステムについては、セキュリティ対策に優先度を設定し、アクティブな脅威保護が提供されるようにする必要があります。

ボットネットのトレンドは攻撃手法の巧妙化が進んでいることを示している：脅威トレンドは、ボットネットが進化し、より新しく、より進化したサイバー犯罪の攻撃手法を採用するようになっていることを示しています。ボットネットは、主としてDDoS攻撃に特化したモノリシック設計ではなく、ランサムウェアなどの多様で高度な攻撃手法を活用した多目的型の攻撃手段になっています。例えば、Miraiをはじめとするボットネットを運用する脅威アクターたちは、Log4jの脆弱性のエクスプロイトを攻撃キットに統合しています。さらには、Linuxシステムを標的にしてデータを流出させるRedXORマルウェア (https://www.fortinet.com/jp/blog/threat-research/omicron-variant-lure-used-to-distribute-redline-stealer)の新しい亜種に関連するボットネット活動も確認されました。RedLine Stealerマルウェアの亜種を拡散するボットネットの検知が10月上旬に急増しましたが、この亜種は、COVID関連と思わせるファイルを使用して、新しい標的を見つけようとするものでした。ネットワークとアプリケーションを保護するには、最小アクセス権限を提供するゼロトラストアクセスソリューションを実装することでネットワークに侵入するIoTエンドポイントとデバイスを重点的に保護し、自動検知 / レスポンス機能を導入して異常な振る舞いを監視する必要があります。

マルウェアのトレンドはサイバー犯罪者が全面的なリモートを最大限に活用していることを示している：マルウェア亜種を地域別に評価すると、サイバー犯罪者がリモートワーク / 遠隔学習という攻撃ベクトルを最大限に活用しようと常に考えていることがわかります。特に多く検知されたのが、ブラウザベースのさまざまな形のマルウェアで、多くの場合、マルウェアが埋め込まれたフィッシングやスクリプトという形で送り込まれ、コードをインジェクションしたりユーザーを不正サイトにリダイレクトしたりします。検知されるマルウェアは地域によって異なりますが、その拡散のメカニズムは、Microsoft Office実行ファイル（MSExcel/、MSOffice/）、PDFファイル、ブラウザのスクリプト（HTML/、JS/）の3つに大別することができます。これらの手法は、パンデミック、政治、スポーツなどの最新ニュースを知りたいという人間の願望を悪用し、企業ネットワークへの侵入経路を探す手段として、サイバー犯罪者に広く採用されています。ハイブリッド型の働き方や学び方が定着しつつある今、マルウェアと潜在的な被害者の間の保護レイヤーが少なくなっています。ユーザーを追いかけて保護できるソリューションを導入することで、あらゆる場所で働く従業員を保護するセキュリティアプローチを採用する必要があり、ZTNAなどのゼロトラストアクセスソリューションを組み合わせた高度なエンドポイントセキュリティ（EDR）が必要です。セキュアSD-WANも、拡張ネットワークのWAN接続の保護で重要な役割を果たします。

ランサムウェアの破壊的な活動が継続している：FortiGuard Labsのデータから、ランサムウェアが昨年のピーク時から沈静化するどころが、その巧妙化、攻撃力、影響が拡大していることがわかります。脅威アクターは、新旧のさまざまなランサムウェアで組織を攻撃し続け、多くの場合に破壊の痕跡を残しています。古いランサムウェアの更新や強化も活発で、時にはワイパーマルウェアが含まれていたり、ランサムウェアが進化してRaaS（Ransomware-as-as-Service：サービスとしてのランサムウェア）ビジネスモデルが採用されたりすることもあります。RaaSがあれば、より多くの脅威アクターが、ランサムウェアを自ら作成することなく、マルウェアを利用し、拡散できます。FortiGuard Labも、Phobos、Yanluowang、BlackMatterの新バージョンを含む複数のランサムウェア亜種が関与する不正活動が一定のレベルで継続していることを確認しています。BlackMatterを運用する集団は、医療機関やその他の重要インフラストラクチャを攻撃しないとしていたにもかかわらず、実際には攻撃を実行していました。ランサムウェア攻撃が、業種や規模に関係なく、すべての組織にとって現実の脅威であることに変わりはありません。そのため、リアルタイムの可視化、分析、保護、修復にゼロトラストアクセスソリューション、セグメンテーション、データの定期バックアップを組み合わせた、プロアクティブなアプローチを採用する必要があります。

攻撃手法の十分な理解がサイバー犯罪の迅速な阻止につながる：サイバー犯罪者の攻撃目標の分析は、変化する攻撃手法のスピードに合わせた適切な防御策を講じる上でとても重要です。FortiGuard Labsは、この1年に収集したマルウェアサンプルを活性化することで、検知したマルウェアの機能を分析し、さまざまな攻撃でもたらされる結果を観察しました。その結果を、攻撃ペイロードが実行された場合にマルウェアが行うであろう個々の戦術、手法、手順（TTP）をリストにまとめました。この詳細なインテリジェンスは、サイバー犯罪者をできるだけ早く阻止することがこれまで以上に重要であり、特定された一部の手法に注目することでマルウェアの攻撃手法を効果的に停止できる場合もあることを示しています。例えば、「実行」フェーズの上位3つの手法が活動の82%を占め、「永続化」フェーズで足掛かりを築くための上位2つの手法が確認された機能の95%近くを占めました。この分析を活用して、組織が自ら最大限の防御を強化するにあたって最優先すべきセキュリティ戦略を判断することで、大きな効果がもたらされます。

急速に変化する巧妙なサイバー攻撃からの保護

攻撃の巧妙化と攻撃対象領域全体の拡大が加速する今、組織に必要なのは、単独で機能するのではなく、相互運用を可能にするように設計されたソリューションです。進化する攻撃手法からの保護を可能にするには、リアルタイムの脅威インテリジェンスを取得して脅威のパターンやフィンガープリントを検知し、大量のデータを相関付けることで異常を検知し、連携型のレスポンスを自動的に開始する方法を理解する、高度なソリューションが必要です。ポイント製品をサイバーセキュリティメッシュプラットフォームに置き換えることで、一元管理と自動化を可能にし、すべての機能が連携する統合ソリューションを提供する必要があります。

レポートの概要
このグローバル脅威レポートは、2021年下半期にフォーティネットのさまざまなセンサーを駆使して世界中で観測された数十億件もの脅威イベントに基づく、FortiGuard Labs (https://www.fortinet.com/jp/fortiguard/labs) の脅威インテリジェンスを説明するものです。FortiGuard Labsのグローバル脅威レポートでも、MITRE ATT&CKフレームワークによるサイバー攻撃者の最初の3つのグループである、偵察、リソース開発、初期アクセスの戦術と手法と同じ分類方法を採用し、サイバー犯罪者がどのように脆弱性を見つけて攻撃のためのインフラストラクチャを構築し、標的を攻撃するかを解説しています。さらには、世界全体と地域別の現状も説明しています。

FortiGuard Labsのグローバルセキュリティストラテジスト、Derek Manky（デレク・マンキー）は、次のように述べています。
「サイバーセキュリティは、激しく変動する業界ではありますが、最近の脅威イベントは、今日のサイバー犯罪者が驚異的なスピードで攻撃を開発し、実行するようになっていることを示しています。進化する新たな攻撃手法はキルチェーン全体に及ぶものですが、特に武器化フェーズで、APT（持続的標的型攻撃）戦略がこれまで以上に破壊的で予測不能になっていることを示しています。このような広範な脅威から保護するには、サイバーセキュリティメッシュアーキテクチャに基づく、AIを活用した、予防、検知、レスポンスの戦略を実装することで、拡張ネットワークにおける密接な統合、自動化の強化、協調型で迅速かつ効果的なレスポンスを可能にする必要があります」

本プレスリリースの原文
https://www.fortinet.com/corporate/about-us/newsroom/press-releases/2022/fortiguard-labs-reports-ransomware-continues-relentless-more-destructive
日本語版は　https://www.fortinet.com/jp/corporate/about-us/newsroom/press-releases/2022/fortiguard-labs-reports-ransomware-continues-relentless-more-destructive からもご覧いただけます

フォーティネットについて
フォーティネット（NASDAQ: FTNT）は、あらゆる場所で人、デバイス、データを保護するというミッションを通じて、常に信頼できるデジタルワールドを実現します。これが、世界最大の企業、サービスプロバイダー、政府機関が、デジタルジャーニーを安全に加速させるためにフォーティネットを選択する理由です。フォーティネットのセキュリティファブリックのプラットフォームは、データセンターからクラウド、ホームオフィスまで、重要なデバイス、データ、アプリケーション、接続を保護し、デジタルのアタックサーフェス（攻撃対象領域）全体にわたって幅広い適用領域で（Broad）システム連携し（Integrated）自動化された（Automated）保護を提供します。セキュリティアプライアンスの出荷台数では世界で最も多く出荷している第1位であり、565,000以上のお客様がビジネスを守るためにフォーティネットを信頼しています。また、フォーティネットのTraining Advancement Agenda（TAA）の取り組みであるFortinet NSE Training Instituteは、業界最大級かつ最も幅広いトレーニングプログラムを提供し、誰もがサイバー関連のトレーニングや新しいキャリアの機会を得られるようにすることを目的としています。詳しくは、https://www.fortinet.com/jp、フォーティネットブログ、またはFortiGuard Labsをご覧ください。

Copyright© 2022 Fortinet, Inc. All rights reserved. 「®」および「™」マークはいずれも、Fortinet, Inc.とその子会社および関連会社の米国における登録商標および未登録商標であることを示します。フォーティネットの商標には、Fortinet、FortiGate、FortiGuard、FortiCare、FortiManager、FortiAnalyzer、FortiOS、FortiADC、FortiAP、FortiAppMonitor、FortiASIC、FortiAuthenticator、FortiBridge、FortiCache、FortiCamera、FortiCASB、FortiClient、FortiCloud、FortiConnect、FortiController、FortiConverter、FortiDB、FortiDDoS、FortiExplorer、FortiExtender、FortiFone、FortiCarrier、FortiHypervisor、FortiIsolator、FortiMail、FortiMonitor、FortiNAC、FortiPlanner、FortiPortal、FortiPresence、FortiProxy、FortiRecorder、FortiSandbox、FortiSIEM、FortiSwitch、FortiTester、FortiToken、FortiVoice、FortiWAN、FortiWeb、FortiWiFi、FortiWLC、FortiWLCOS、FortiWLMなどが含まれますが、これらに限定されるものではありません。その他の製品名およびサービス名等は、各社の商標である場合があります。フォーティネットは、本プレスリリース内の第三者に帰する声明、認可またはテストについては、検証を行っておらず、また、このような第三者に帰する声明を承認するものではありません。本プレスリリースは、保証または債務保証、または契約として一切拘束を受けるものではなく、記載された製品仕様または製品性能は、ある特定の環境や条件のもとで計測されていることがあります。また、本プレスリリースには、将来の見通しに関して不確実性および仮説を伴う記述が含まれている場合がありますが、本不確実性が現実になったり、あるいは本仮説が正しくないことが判明したりする場合、明文的あるいは暗黙的に記述された内容と異なる結果が生じることがあります。これには、サイバー犯罪活動の動向予測に関する記述などが含まれますが、これに限定されるものではありません。このような動向は予測することが困難であり、また、このような動向に関する公開予測や期待事項は結果として正しくないことがあります。フォーティネットは、このような将来見通しを改正する義務を一切負うものではなく、また改正を発行することもありません。