ESETサイバーセキュリティ脅威レポート
2021年第2三半期版を公開

このメールは、アイルランドのベルギー大使館の職員になりすました者が発信した、”ミーティングへの招待”という題名のメールでした。
この偽の招待メールが巧妙な点は、不審な添付ファイルや、不正ファイルをダウンロードするリンクが含まれていないことです。
代わりに、次のように案内があります。

「I kindly ask you to confirm attendance by rsvping to myself before Thursday 15．（15日木曜日までに参加の可否を私にご連絡ください）」

攻撃者は、この指示に従って返信した真の標的にのみ、不正ファイルをダウンロードするリンクを送信していました。

また、偽の招待メールの本文では、「jirka.depaepe@diplobel.fed[.]be（ベルギー大使館のドメイン）」に返信するように求めていますが、実際にアンカーされているメールURLは「karsten@behrends[.]at（攻撃者のメールアドレス）」です。このため、返信先のメールリンクをクリックすると、ベルギー大使館のドメインではなく、攻撃者のメールアドレスがメールが返信先になります。 そして、偽の招待メールに返信してしまった被害者が、2通目として配信されるミーティング参加要領のメール内のリンクをクリックすると、不正なDLLがダウンロードされます。これらすべてのDLLはカスタマイズされた、マルウェア「Cobalt Strike loader」でした。
10年以上活動を続けている犯罪者グループThe Dukesは、Cobalt Strike を攻撃ツールとして使っているグループとしても知られています。このような攻撃事例から、The Dukesは、拡張性が高い攻撃ツールであるCobalt Strikeを、未だに使用し続けていることが伺えます。

サイバーセキュリティの世界においてグローバル全体で今、最も注目されているのが、端末内のデータを暗号化した上で身代金を要求するマルウェア「ランサムウェア」の動向。

2021年第2三半期のトピックでは、ランサムウェアによる被害を受けた米国の金融企業CNA Financial社が、ランサムウェア「Hades」の亜種「Phoenix Locker」のオペレーターに4,000万米ドル（約46億円）を支払ったことが発覚。実際に支払った身代金としては過去最高の金額となりました。

また、ESETによるランサムウェアの検出数に関する分析では、2021年第2三半期中に3回、検出数のピークがあったことが分かっています。

2021年5月8日、ランサムウェア「DarkSide」による攻撃により、米国最大のパイプライン会社であるコロニアルパイプライン社が操業停止に追い込まれました。これにより、ガソリンスタンドでの給油がストップする事態となり、ジョー・バイデン米国大統領が緊急事態宣言を発令。
最終的に、コロニアルパイプライン社の経営陣が、75ビットコインの身代金（当時の金額で400万米ドル以上）の支払いを決定したものの、うち63.7ビットコイン分は、送金後すぐに米国当局が押収し、返還されました。
この事件により、DarkSideの背後にいる攻撃者は、法執行機関からさらに注視されることとなり、ランサムウェア組織を糾弾しようとする圧力が高まりました。そして、Darksideの関連組織メンバーが、「社会問題を引き起こすつもりはなく、単に金儲けをしたかっただけ」などと釈明。このインシデントの1週間後には、すべての攻撃の停止を発表しました。

「長らく不正行為を繰り返してきたランサムウェア組織が、ついに一線を越えてしまった」というのが、ESETでランサムウェアの解析に携わるエンジニアの統一見解です。ランサムウェアは、社会に対し、あまりにも甚大な被害を与えるようになったことで、皮肉にも世界各国の法執行機関の注目を集めることとなり、テイクダウンが実施され、攻撃者らが逮捕されるケースも出てきました。
一方、今後、サイバー犯罪者たちは次なる手段を開発すると見られ、ESETでも引き続きランサムウェア組織の動向を注視していきます。

ESETは2021年7月3日、ランサムウェア「Sodinokibi（REvil）」を利用したサイバー攻撃を多数確認しました。ランサムウェアSodinokibiは、ITシステム管理サービスを提供するKaseya社のIT管理ソフトウェアである「Virtual System Administrator（VSA）」のゼロデイ脆弱性を悪用するランサムウェアです。

Sodinokibiによる攻撃により、Kaseya社のサービスを利用する世界中の1,500もの企業・組織が影響を受け、Kaseya社には、請求額としては過去最高となる7,000万米ドル（約79億円）の身代金が請求されました。

Kaseya社が身代金の支払いに応じるかが注目されていましたが、インシデント発生から数週間後、Kaseya社は”信頼できるサードパーティ”から復号ツールを入手したと発表しました。ESETは、このツールは身代金を支払うことなく入手したものだと推察しています。

RDPを破る手法のひとつが、パスワードになりそうな文字列を総当りして、次々とログインを試みる「ブルートフォース攻撃」です。

興味深いのが、RDPを標的とした攻撃の増加と同時期に、RDPサービスに対するブルートフォース攻撃が急増している点です。

ESETでは、2021年5月から8月の間で、RDPサービスを狙ったブルートフォース攻撃を550億回も検出。270億回だった2021年1月～4月期と比較して104%も増加しています。

一方、同じく2021年5月から8月の間、RDPに対して攻撃があったと報告した1日あたりのクライアント数は、160,000前後でほぼ一定していました。

すなわち、攻撃者たちは新しい標的を発掘するのではなく、すでに攻撃対象として認知した標的に的を絞ったブルートフォース攻撃を行い、よりRDPを破る確率が高い方法を選んでいることが伺えます。

なお、ESETでは、RDPに対するブルートフォース攻撃と同様、Microsoft SQL Serverに対するブルートフォース攻撃でも、同様の増加傾向を検知しています。

試行錯誤しているのはサイバー犯罪者だけではありません。ESETをはじめとするセキュリティ企業や政府機関も、ランサムウェアに対する対策を強化しており、これまでの努力が実を結びつつあります。

No More Ransomプロジェクト
法執行機関とITセキュリティ企業が連携してランサムウェアに立ち向かう国際的な取り組み、「No More Ransomプロジェクト」が、立ち上げから5周年を迎えました。ESETも参加しているこのプロジェクトにより、累計600万人以上のランサムウェア被害者が、暗号化されたファイルを無料で取り戻すことができました。金額に換算すると、合計10億ユーロ（約1300億円）以上の身代金の支払いを阻止したことになります。

Ransomwhere
セキュリティアーキテクトであるJack Cable氏が、身代金支払い追跡サイト「Ransomwhere」を立ち上げ。ランサムウェアとその背後の犯罪者に対し、これまで支払われた身代金の額を確認できます。

前項にて、2021年第2三半期において、グローバルでのランサムウェアの検出数に3つのピークがあると紹介しました。日本国内においては、同期間、ランサムウェアの検出数のピークは1つです。

日本国内では、2021年7月23日に開幕、8月8日に閉幕した東京オリンピック（Tokyo2020）期間中である、7月29日がランサムウェア検出数のピークとなりました。

また、RDPを狙った攻撃の数をグローバルと日本とで比較すると、東京オリンピック（Tokyo2020）期間中において、海外での検出がやや減少した一方、日本国内での検出がやや増加していました。

前項にて、2021年第2三半期におけるグローバルでのランサムウェアファミリの検出数TOP10を紹介しました。一方、同期間における、日本国内でのランサムウェアの検出数を見ると、グローバルとは検出の多いマルウェアファミリは異なっています。

2021年第2三半期中にESE T製品が、日本国内でブロックしたランサムウェアのファミリTOP10および、グローバルでの順位は以下の通りです。

特に、「Win/Filecoder.Locky trojan」が第3位、「Win/Filecoder.GandCrab trojan」が第4位、「Win/Filecoder.CryptoWall trojan」が第5位、「Win/Filecoder.Jaff trojan」が第6位と、グローバル全体での順位に対し、日本で多く検出したことが分かります。

また、2021年第2三半期中にESET製品が、ブロックしたダウンローダファミリの日本国内でのTOP10、およびグローバルでの順位は以下の通りです。

注目すべきは、第3位の「JS/TrojanDownloader.Nemucod trojan」が、グローバル全体での検出に対し、日本国内で多く検出していることです。このマルウェアファミリ「Nemucod」は、2021年第2三半期中、日本の他、ドイツでも多く検出しました。