By Bob Rudis, Senior Director, Chief Security Data Scientist at Rapid7 Wade Woolwine, Principal Threat Intelligence Researcher at Rapid7 Kwan Lin, Principal Data Scientist at Rapid7 June 3, 2020
今回の四半期の脅威レポートが(少なくとも新型コロナウィルスを題材にした安易な内容のマーケティングメールよりは)お役にたてる内容であることを願っております。さて、2020年の第1四半期脅威レポートの主要な題材が、日々の生活や職場における「ニューノーマル」となっていることについては疑いの余地がありません。変化と適応、混乱と恐怖の時となりました。言うなれば攻撃者にとって最も都合の良い状況でした。今回の四半期レポートでは、COVID-19や、ライフスタイル、ワークスタイルおよび脅威ランドスケープの変化に起因する脅威に重点を置くことにしました。
脅威テレメトリ* のセクションでは、四半期で最も深刻だった脆弱性とビジネスサービスに対する認証の悪用について深掘りします。この四半期では、エンタープライズアプリケーションが脆弱であり攻撃に晒されています。リモートアクセス技術からMicrosoft Exchangeや、VMWare vCenterに至るまで、クリティカルなアプリケーションにパッチが適用されておらず攻撃者の標的になっています。Rapid7のMDRサービスのインシデント対応チームでは、外部公開されている脆弱性へのエクスプロイトに絡んだインシデント対応を9回実施しました。
検知テレメトリ* のセクションでは、スピアフィッシングと認証情報の窃取の影響について深掘りします。この四半期において、単一サードパーティのデータ侵害による漏洩が、80のMDRカスタマー、および286の認証情報に影響を与えました。これは、ビジネス上、認証情報を認められた方法で使用するようにユーザー教育を行う必要性があることを示しています。MDRサービスのSOCで報告されたマルウェア脅威の55%が従来の脅威防止ソフトウェアで検知することができませんでした。脅威に対する可視性を高めるためのセキュリティーチームが欠如しており、組織は、ユーザー行動の異常、攻撃行動の検知、プロセス動作の異常と次世代の脅威保護のテクノロジーとセキュリティアナリストのトレーニングに投資を行う必要があります。
推奨事項のセクションでは、ホームネットワークにおけるリモートアセットの安全性を確保するためのベストプラクティスと、景気低迷に備えた企業のセキュリティプログラムについて深掘りします。ビジネスユーザーは、自宅のネットワークとデバイスが脅威の元とならないよう、古いバージョンのファームウエアや既に感染していないかなど注意を払う必要があります。企業のセキュリティチームには、リモートエンドポイントに対して脅威の監視と修復が可能となるツールが必要です。レイオフや予算削減の要請に直面した際に、どのようにセキュリティプログラムを存続させていくか、セキュリティの責任者が戦略の立案を開始する時期かも知れません。
注記事項:*テレメトリとは、一般的に、観察された行動または観察された条件を指します。本レポートでは、直接的に測定/観察された結果をテレメトリと表現しています。脅威テレメトリとは、攻撃面の観点から配慮すべき潜在的な脅威です。本レポートの内容は、大部分が、Project HeisenbergとLabチームが実施した調査結果です。また、検知テレメトリとは、お客様の環境において発生した脅威とセキュリティ侵害です。本レポートの内容は、MDRサービスのデータによる調査結果です。
Rapid7では、現在、緊急対応チームが、今までになく長時間の残業をしています。新たな脅威や脆弱性の評価、コンテンツの作成、お客様やコミュニティへの通知の配信を行うのが緊急対応チームの役目です。この第一四半期では、毎週のように企業に深刻な脆弱性が問題となる日々が続きました。この四半期レポートでは、最も影響力のあるものにのみに絞り込んで説明します。
Rapid7では、1月にCitrix NetScalerのリモートコード実行の弱点に対してガイダンスを提供しました。それ以降、毎月、3月までインターネット上でこの脆弱性に対するスキャンを継続してきました。主に脆弱性の標的が隔離されたなどの理由があって、4月には脆弱性スキャンがありませんでしたが、最も重要なのは、現在、かなりの数の脆弱性の標的が存在していることです。
脆弱性が攻撃者にとってどの程度、標的として魅力的なのか情報を共有できるAttackerKB.comのコミュニティは非常に有用な情報源です。このコミュニティにおいて、この脆弱性は、攻撃者にとってどの程度価値があり、どの程度悪用の可能性があるかという両面において、最高評価となる「5」が付けられています。
リモートアクセスについては、他にも Pulse Secure、Fortinet、Cisco、Pao Altoが標的となっています。
Pulse Secure
Fortinet
Cisco
Palo Alto には、認証されていないリモートコード実行の脆弱性があります。(AttackerKB.com!で是非、最初の評価者になってはいかがでしょう)
本レポートの「検知テレメトリ」のセクションで詳しく説明しますが、MDRサービスのインシデント対応チームが、NetScalerの問題の悪用による9つのセキュリティ侵害について調査を実施しました。攻撃者はこれらの脆弱性を積極的に悪用しています。
Microsoftは、2月11日にMicrosoft Exchange(CVE-2020-0688)のセキィリティ更新をリリースしました。これは、窃取されたExchange Serverのユーザーアカウントでシステムを完全に侵害できるものです。本レポートの「検知テレメトリ」のセクションで認証情報の悪用について説明している内容も加味すると、この脆弱性に対して、迅速にパッチを当てる必要があることが理解できます。幾つかのパッチを当てたサーバーを確認しましたが、実際のところデータでは更に複数脆弱なサーバーが存在することが分かりました。
調査結果の要約は以下の通りです。
Rapid7のl findings, ブログ(英語)に調査結果の全貌を掲載しています。
まるで本レポートの執筆者の一人が作ったハロウィーンの衣装のよう見るからにとても恐ろしい脆弱性です。電子メールでやり取りされる機密データ、ソーシャルエンジニアリングで攻撃者が容易に取得する有効な認証情報、エグゼクティブのメールボックスへのアクセス権限で生じる多大な影響を考え合わせると、これは全てに優先して今すぐパッチを当てるべき危険なものです。
さらに、この脆弱性に関してAttackerKB.comのコミュニティには、攻撃者にとっての価値に関して「高い」と「非常に高い」の間、悪用の可能性に関して「高い」という評価が付けられた 9つもの評価結果 が掲載されています。
通常、脅威レポートでは、余程重大な脅威がない限り脆弱性について説明することはありません。しかし、次の脆弱性は例外的に、攻撃面というものは、外部から攻撃者に対してどう見えるかだけではなく、内部の悪意のある者からどう見るか、でもあることを改めて認識させられる内容です。VMWareは、2020年4月9日に、顧客に対して「vmdir」ディレクトリサービスの脆弱性情報を通知しました。4月に技術的な開示がされた内容ですが、Rapid7 Labsのチームは、第一四半期にこの問題を概要に追記していました。これは問題が単なる情報開示レベルではなく、インターネットにおける「vmdir」の存在が非常に深刻であるように見受けられたからです。
vCenterユーザーにとって残念なことに、この脆弱性により、認証されていないネットワークアクセスを持つユーザーが、vCenterで任意のユーザーを作成できるようになり、vCenter環境と内の仮想マシンへの完全な不正アクセスが可能になります。これは、フラットアクセスまたはオープンアクセスの内部ネットワークの配下にあるvCenterのすべてのインスタンスも、フィッシング攻撃の成功から初期アクセスを取得した攻撃者、もしくは不正を働こうとする可能性のある内部の信頼されたユーザーのリスクに晒されていることを意味します。
結果として、AttackerKB.comのコミュニティでは、この脆弱性について、攻撃者にとっての価値と悪用の可能性の両面で非常に高い「5」の評価が付けられています。
テレメトリデータにはインターネットに公開された約1,700のインスタンスしか表示されていません。しかし、この脆弱性は、vCenter内のデータまたはコンピューターリソースにアクセスしたい攻撃者や不正ユーザーにとって最適です。
インターネットに公開している900台のvCenterの内の1台をもし保有しているのであれば、是非修正してください。vCenterを使用している他のすべてのユーザーは、パッチの適用に加えて、承認されたアドレスまたはネットワークからのみvCenterへのアクセスを許可するようにネットワークベースの制御を検討してください。
昨今の非常に困難な状況下で、リモートアクセス、電子メール、仮想化はすべて、もはや対象外として扱うべきではない重要なサービスです。Rapid7 Labのチームでは、あらゆる業態と規模の組織と定期的に連絡を取り合っています。その中で、一部の組織で「効率的な運用」が行われていることに気付かされました。つまり、問題が発生した場合に、人が歩いて行って大きな赤いon/offボタン(緊急停止ボタン)を押せば良いというものではないので、これは、システムに対して余裕ある管理と変更に対する制限を行っているということをうまく言い表した表現です。重大な脆弱性は、十分な配慮をもって扱う必要があります。
データについて、まず非常に広範囲な分析から開始して、金融業(Financial)、サービス業(Professional)、製造業(Manufacturing)が上位の標的であることが判明しました。攻撃者にとって、エンドユーザーが一番の標的となっており、Rapid7 MDRサービスのレポートでは、96%がエンドユーザーの悪用であり、そのうち74%が認証情報の悪用であることが特定されています。51%が認証情報に関連しないマルウェアによる悪用であると特定されています。マルウェアの上位に挙がっているのは、ursnif、 Emotet,、Cryxos,、Trickbot、Rontobroです。以下のパーセンテージは、マルウェアに関連するインシデントの割合です。
通常、四半期ごとの脅威レポートではデータ侵害の開示に関連するアラートを除外していますが、ほとんどの組織でリモート作業への急速な移行の結果として、ユーザーアカウントのターゲティングが増加していることがわかりました。
Malware Family | % of Incidents |
ursnif | 25.0% |
Emotet | 15.0% |
Cryxos | 7.9% |
TrickBot | 6.4% |
Rontobro | 2.1% |
多くの組織で急速にテレワークに移行していることでユーザーアカウントを標的としたものが増加したことが判明しています。
攻撃者にとっての魅力度とデータへのアクセス性が原因で、金融業サービス業、製造業、小売業が継続して上位の攻撃者の標的となっていることが判明しています。第一四半期では、残念ながら、医療業界が明確な標的として増加しました。
MDRサービスのお客様においては、以下の17のセキュリティ侵害が発生しました。
これだけ多くのインシデントが外部公開された脆弱性によって引き起こされているのは比較的稀なことです。
これは異常な状況です。これだけ多くのインシデントが外部公開された脆弱性によって引き起こされているのは比較的稀なことです。Rapid7としては、第1四半期のいくつかの脆弱性の重大性と影響力が原因となっているものと考えています。いずれにせよ、とりわけ基幹系システムやインフラについて、重要なパッチは必ず評価を行い、迅速にパッチを当てておくようにしておくことの重要性を浮き彫りにしています。
MDRサービスのお客様のインシデントの96%が認証情報の摂取に関連しています。認証情報の摂取により影響を受けている上位の業界は、金融業(Finance)が19%、サービス業(Professional)が17%、医療業界(Healthcare)が9%です。攻撃面の管理で忘れられがちなのが、攻撃の兆候を知るために、組織が所有するか、もしくは組織を記述しているデータについて、犯罪者のためのデジタル市場を監視することです。Rapid7のMDRサービスなら、窃取されたユーザー認証情報を監視することができます。第一四半期では、MyHeritage.com(MyHeritage は家系図作成・検索サイト。2018年6月に9200万件のアカウント情報の漏洩を公表)の危殆化に関連するアカウント(合計286アカウント)が、80組織に通知されるケースがありました。
現在では、ビジネスに関連しないセキュリティ侵害によるデータ漏洩におけるビジネス用の認証情報の漏洩は、多要素認証(MFA)により軽減が可能です。しかしながら、参加する機会があった多くのセキュリティトレーニングが、ビジネス用途の認証情報の適切な使用方法を対象としており、パスワードの再利用を禁止しています。しかし、かなりの割合のビジネスユーザーが実際には再利用不可のルールに違反している事例があることを知っています。このデータは、これらの逸話を証明しています。Rapid7では、攻撃者にとって(アクセスできる)データの価値がどの程度なのかユーザーが理解できるよう支援すべきとだと提唱して来ました。ユーザー教育が必要です。次の図は、53%のケースで、Rapid7のMDRチームが多くの脅威に対する効果的な防止策としてユーザー教育を推奨していることを示しています。
スピアフィッシングに注意を払い、セキュリティ侵害によるデータ漏洩のデータを除外したところ、フィッシング攻撃が49件成功していることが明らかになりました。そのうち41%には、有効な認証情報の窃取を目的として、クラウドと企業の認証ページになりすましのリンクがありました。攻撃対象となる業界の上位は、金融業(Finance)が22%、小売業(Retail)が14%、製造業が10%です。影響度については、53%が認証情報の侵害、30%がマルウェア、16%がシステムレベルの侵害で、その内2件はエクスプロイトキットに関連しています。
Rapid7は、Cyber Threat Allianceにおけるパートナーと共に、COVID-19に対する恐怖の悪用と社会とビジネスがどのように反応したかについて両者を加味したデータセットでいくつかの攻撃キャンペーンを追跡しました。
従来のビジネスアプリケーションからSaaS活用へ移行が起きている中で、スピアフィッシングの動機も変化して来ています。また、Rapid7は、Cyber Threat Allianceにおけるパートナーと共に、COVID-19に対する恐怖の悪用と社会とビジネスがどのように反応したかについて、両者を加味したデータセットでいくつかの攻撃キャンペーンを追跡しました。2月には、COVID-19の治療方法や、世界保健機関からの公式通知のなりすまし、政府からの経済救済と景気刺激策の通知のなりすまし、職場調査や事業継続性の通知のなりすましなど、いくつかの詐欺手法を使用したHEUR.ADVMLC.Cマルウェア拡散のキャンペーンがありました。3月には、イタリアとイタリア政府の対応を標的としたCOVID-19を題材に使ったTrickbotマルウェアキャンペーンが明らかになりました。
過去の重要なイベントでも観察されたように、攻撃者は、ユーザーを誘惑してフィッシング攻撃の犠牲者にするべく姿勢を低くして節操なく忍び寄ります。さらに、単純におとりを表示させたり消したりすることができるので、積極的に防御することは不可能です。スピアフィッシングに対抗するための技術的な手段を諦めるべきではありませんが、ビジネスコミュニケーションに関するユーザー教育と期待値の設定こそが最も効果的なツールです
攻撃者がCOVID-19関連のフィッシング攻撃をいかに迅速かつ猛烈に活用しようとしたか、さらに詳しく説明するために、次のグラフでは、2020年の最初の4か月間のCOVID-19をテーマにしたドメイン登録数を示しています。これは、世界的なパンデミックが欧州にまず広がり次に米国に広がった後にグローバルに波及したのと時期が重なっています。
戦術面では、脅威インテリジェンスアライアンスが、COVID-19関連の脅威に対して脅威インジケーターフィードを無料で提供しているので、すべての組織が脅威検知テクノロジーを実装しておくことお勧めします。
エンドポイントに関しては、MDRサービスの98件の脅威調査レポートでマルウェアの存在が特定されました。その45%が、既知のセキュリティ侵害インジケーター(IoCs)によるものでした。14%が初回アクセスのフィッシングで、13%が複数のマルウェアファミリーをロード可能なマルチステージドロッパーでした。そして、2件はエクスプロイトキットでした。
この意味をきちんと理解するために、MDR SOCでは、通常、ネットワークとエンドポイントの脅威防止テクノロジーが見逃した(または脅威防止テクノロジーが可視性を持っていなかった)脅威を検知しています。防御層があったとしても、既知の脅威の45%が通過しています。さらに悪いことに、55%ものマルウェア脅威が、セキュリティ侵害インジケーターでは検知できませんでした。この未知の脅威メトリックスの存在は、脅威を検知するためには、複数の方法論が必要だということを如実に物語っています。
未知のマルウェアデータセットの中で、上位3つのMITER ATT&CK™テクニックが、Masquerading(24%)PowerShell/Scripting (22%)、User Execution (14%)であることが判明しました。このデータを調査するために、脅威の特定に効果がある検知において以下の3つの主要なカテゴリーが存在することが明らかになりました。
一歩下がって、MITRE ATT&CKの分類に焦点を当てると、「初期アクセス」と「実行」で検知がわずかにシフトレフトしていることがわかります。金融業、サービス業、不動産業では、攻撃ライフサイクルの最初の2つのフェーズで、侵害の90%以上が検知されています。
最後に、COVID-19関連のフィッシング攻撃を日和見的に使用する攻撃者以外は脅威の状況に大きな変化はありませんでした。Google AppsやMicrosoft 365などの主要なメールハンドラーが非常に優れたものになっているため、これらは徐々に減少し始めています。正当なCOVID-19の通知とスパムまたは悪意のあるメッセージを見分ける方法を周知徹底すべきでしょう。
MDRレポートにおける修復と軽減に関する統計については大きな変化がありませんでした。しかし効果的かつ迅速な脅威対応の重要性を裏付けるために、2020年脅威レポートで根拠を得たいと考えました。お客様のセキュリティチームにおいて、図7にあるような修復作業を迅速に実行するための準備ができていないとなると、組織に対するセキュリティ侵害の影響は確実に増大します。
テレワークの従業員のビジネスへの影響に焦点を当てるというテーマに沿って、この四半期では、従来のエンタープライズ環境の外側にあるエンドポイントの攻撃面の管理と検知と対応に関する推奨事項を説明します。
最初に、Rapid7ブログの専門家の意見の一部について確認しておきます。リモートワークの従業員数を増加させる際に、企業が検討すべき内容について説明します。ブロガーであるDarragh Delaney氏は、慌ててネットワークの設定を変更する際の課題と落とし穴に加えて、可視性を維持する方法について自身のブログで説明しています。外部公開されたシステムの監視と分析、ネットワーク設定の変更の制御と検証、SIEM/ログ、およびネットワークトラフィック分析は、セキュリティチームが脅威に対する防御を展開するために必要となる主要な機能とテレメトリーです。
脅威の問題とは関係なく、多くの組織やセキュリティチームは、世界規模のフィジカルディスタンスに対する取り組みで生じる経済停滞の影響について理解しています。Scott King氏は自身の投稿で、組織のセキュリティポスチャに対する対応と変化に対する回復力を強化するための短期、中期の取り組みに焦点を当てて、セキュリティ分野の上層部が取り組むべきいくつかの領域を挙げています。同氏はさらに、顧客、パートナー、および同僚を保護する上でユーザーを教育するのに役立つ、セキュリティ意識とエンタープライズセキュリティコミュニケーションに関するガイダンスを提供しています。
さらに、Tod Beardsley氏は、デフォルトパスワードの変更、効果的な暗号化、ネットワーク上のIoTデバイスの処理方法など、同僚が自宅のWi-Fi環境を保護するためのガイダンスを提供しています。自宅勤務命令が多くの地域で拡大しているため、セキュリティプログラムでは、新たな作業習慣に対応するために教育プログラムを進化させる必要があります。
今回の調査で浮かび上がって来た傾向を振り返ってみると、投資に値するいくつかのテーマが浮かび上がってきます。
確認事項について教育するということは、実際に脅威が生じた場合の意思決定について確認事項を用意しておくということになります。
他の組織が自社のインシデントの傾向と比較したり、他のベンダーのレポートと比較したりできるように、2020第一四半期にMDRサービスで扱ったインシデントのコーパスを作成しました。最初の図では、完全なMITER ATT&CKマップの中に、インシデントの検知に用いられた戦術の種類別の頻度を示しています。また、その次の図では、ATT&CKマップの中に、全体として用いられた戦術の種類別の頻度を示しています。
ATT&CKマッピングの詳細についてはresearch@rapid7.comまでお問い合わせください。
Rapid7は、Rapid7 Insight Cloudによって、Visibility - 可視化、Analytics - 分析、Automation - 自動化をもたらし、企業のサイバーセキュリティのさらなる向上を実現します。ラピッドセブンのソリューションなら、複雑なタスクがシンプルになり、セキュリティ部門がより効率的にIT部門や開発部門と共に、脆弱性を減らし、悪意ある行動を監視し、攻撃を調査し遮断し、ルーチン業務を自動化することが可能になります。全世界で、7,900社のお客様がラピッドセブンのテクノロジー、サービス、リサーチを活用することで、セキュリティを向上させています。詳しい情報は、ホームページをご覧ください。