Nozomi Networks Labsのセキュリティ・リサーチ・チームの責任者として、本日、2020年上半期(1H)のOT/IoT の脅威状況に関するレビューをご紹介させていただきます。この間、私たちのチームでは、OT およびIoT ネットワークに対する脅威、特にIoT ボットネット、ランサムウェア、COVID-19 をテーマとした攻撃の増加を確認しました。
これらの攻撃タイプは、世界的なコンピューティングおよび社会経済的トレンドと一致している。IoT 、デバイスや接続の急増、世界的なCOVID-19の流行、金銭的利益を得るためにランサムウェアを使用するサイバー犯罪者の増大と高度化が重要な推進要因となっています。
本レポートでは、上半期に確認された最も活発な脅威の概要、その手口やテクニックに関する洞察、重要なネットワークを保護するための推奨事項を紹介しています。レポートのハイライトをご覧ください。
IoT 急増するマルウェアの脅威
IoT マルウェアの脅威は増加の一途をたどっており、今後も脅威の重要な構成要素であり続けるだろう。この前例のない増加には、以下のようないくつかの要因があります:
- IoT デバイス数の指数関数的増加。
- インターネットを通じて直接アクセスできるIoT 機器の安全でない配備。
- IoT 機器に対するセキュリティアップデートが不足しているため、多くの脅威関係者による一般的な(ゼロデイでない)エクスプロイトに対して脆弱なままになっている。
- 多くの資産所有者が経験する、IoT デバイスのセキュリティ状況の可視性の欠如。
マルウェアの代表的な例を上に示す。
興味深いボットネットのひとつに、2020年4月に発見されたDark Nexusがある。そのコード開発プロセスは非常に興味深い。Dark Nexusの運営者は、商用ソフトウェアで見られるリリースと同様の新しいアップデートを頻繁に発行している。さらに、Dark Nexusの運営者は、オープンインターネット上でDDoSミティゲーションサービスを堂々と売り込んでいる。
技術的な観点から、競合するボットネットと比較してDark Nexusが際立っているのは、感染したデバイス上で実行されているプロセスをプロファイリングするために使用する精巧なメカニズムである。これらのメカニズムの目的は、マルウェアの円滑な実行を妨げる可能性のある疑わしいプロセスを特定することです。
Dark Nexusは当初、数千台のデバイスに感染しただけであったが、その数は急速に変動する可能性があり、防御者はこの種の脅威に目を光らせておく必要がある。
企業リスクを高めるランサムウェアの移り変わり
さまざまな業種を標的にしたランサムウェア攻撃は依然として日常的だ。変化しているのは、標的の重要性である。ランサムウェアの集団は、製造業者、エネルギー事業者、地方自治体など、より懐の深い、より大規模で重要なターゲットに焦点を移している。
ランサムウェアの運営者は通常、ファイルを暗号化し、感染者に身代金の支払いを要求する。現在では、より大きな影響力を行使する方法として、企業データを流出させ、それを公に漏らすと脅すこともあります。
これらのランサムウェアの脅威の詳細については、当社のレポートをご覧ください:
- メイズ、リューク、ソジノキビ、ドッペルペイムナー、SNAKE/EKANS
COVID-19をテーマにしたマルウェアがリモートワークと不安な風潮につけ込む
COVID-19の世界的大流行は、脅威行為者により多くの悪用のベクトルと機会を提供した。在宅勤務への急速な移行に伴い、ほとんどの企業にとって攻撃対象が大幅に拡大しました。VPNや業務用ラップトップなど、リモートワークを可能にするインフラを備えている企業もあります。しかし、他の多くの企業では準備が整っておらず、すぐに解決策を考え出さなければならなかったため、セキュリティ・リスクへの扉を開いてしまった。
さらに、COVID-19によって引き起こされた不安と不確実性の風潮は、標的をソーシャルエンジニアリング攻撃の影響を受けやすくしている。脅威の主体は、ユーザーを誘い込んで個人情報を提供させたり、悪意のあるソフトウェアを実行させたりするために、最初の攻撃段階では主にフィッシング・メールを使用していました。
その一例が、マルウェア「Chinoxy Backdoor」ファミリーだ。これは、CVE-2017-11882を悪用した.rtfファイルに、COVID-19支援に関連する情報を含む文書を埋め込みます。このエクスプロイトは、悪意のあるバイナリをマシン内にドロップするために使用され、C&C通信に443ポート上のHTTPを使用します。
脅威行為者がシステムにアクセスし、ネットワーク・データを流出させる際には、必ず痕跡が残ります。OT/IoT ネットワークで何が起こっているかを明確に可視化することができれば、その痕跡を特定し、迅速に対処することができるからだ。
ICSの脆弱性は依然として課題
ICSシステムで発見された脆弱性は、攻撃者にデータを混乱させたり、操作したりする機会を提供し、物理的なプロセスに影響を与え、非常に危険なものとなる可能性がある。したがって、セキュリティリスクを評価する際には、脆弱性と弱点の傾向を考慮に入れることが重要である。
2020年上半期にICS-CERTが追跡した脆弱性の数は、2019年に比べて大幅に増加した。資産所有者の合理的な行動方針は、まず対処が容易な脆弱性に対処することで露出を減らすことである。時間の経過とともに、より多くの脆弱性を緩和することができる。
不適切な入力検証とバッファオーバーフローの脆弱性が、数の上では2020年のチャートをリードしている。前者は対処が容易な部類に入るが、後者は対処が難しい。バッファ・オーバーフローでは、ベンダーによるファームウェアの更新、古い機器の交換、またはその他の緩和策が必要となる。残念ながら、このグループは今後数年間、発見される脆弱性のかなりの割合を占め続けるだろう。
全体として、モニタリング、脆弱性の排除、脆弱性の緩和という多面的な戦略が推奨される。
ShiftingOT/IoT 脅威は高いサイバー回復力を求める
IoT ボットネット、ランサムウェア、COVID-19 をテーマとしたマルウェアからの攻撃は、下半期には変化・適応するものの、引き続き増加すると予想しています。脅威が増加し、絶えず変化していることを考えると、高いサイバー回復力と迅速な対応能力を維持することが重要である。
この点で、人、プロセス、技術に関連するセキュリティー・ギャップは大きな影響を与える。例えば、IT、OT 、IoT システムがますます接続されている組織では、ITとOT が分離されているため、盲点が生じる可能性がある。しかし、適切なテクノロジーとベストプラクティスに集中することで、可視性と運用の回復力を高めることができる。
Nozomi Networks Labsを購読し、サイバーセキュリティ・コミュニティ・リソースを活用して、最新の脅威を常に把握することをお勧めします。
参考文献
- 「Gartner Says 5.8 Billion Enterprise and AutomotiveIoT Endpoints Will Be in Use in 2020,"Gartner, August 2019.
- 「2020 Unit 42IoT Threat Report"Palo AltoNetworks, March 2020.
- 「Digital Assets and Data Management - Managing Enterprise Risks and Leveraging Data in Digital World"BakerHostetler, April 2020.
- "FBI:Covid-19 Cyberattacks Spike 400% in Pandemic"MSSPAlert, April 2020.
