セキュリティの
学び場

今回の解説ニュース

2022年上半期のコンピュータウイルスと不正アクセスの被害について公表されています。IPAに届出がされた被害から、代表的なコンピュータウイルスについて説明します。

今回の資料は、2022年上半期の届出から主な事例を263件取り上げ、「コンピュータウイルスの検知・感染被害」「身代金を要求するサイバー攻撃の被害」「脆弱性や設定不備を悪用された不正アクセス」「IDとパスワードによる認証を突破された不正アクセス」「その他」の5種に分類し、詳細な被害概要を掲載しています。

2021年下半期まで届出数が減少傾向にあったウイルスの検知・感染の被害の届出が大幅に増加しており、中でもEmotetに関する届出が大半を占め、特に 2022年2月から届出が急増し、7月頃まで継続して多数の届出を受理していたということです。ただし、7月以降はEmotetの届出は減少し、7月中旬以降はEmotetの攻撃メールを観測しておらず、8月現在ではEmotetの攻撃活動は停止していると推測しています。

以前から被害が多い LockBit2.0、その特徴は？

以前にも取り上げた「LockBit 2.0」の特徴について説明します。

LockBitとは、攻撃者へランサムウェアのインフラとマルウェアを提供するRaaSの一種です。窃取したデータを暴露するリークサイトを持ち、期限までに身代金を支払わなければ窃取したデータをリークサイトで暴露すると脅迫する「二重の脅迫」を行うものです。LockBit2.0の被害に遭った届出の中には、リークサイト上に窃取されたと思われるデータが公開されていた事例もあったということです。

LockBit 2.0の特徴は、その攻撃方法にあるといわれています。侵入の手口としては、VPN 装置の脆弱性や、リモートデスクトップサービスの脆弱性を悪用されたというものが目立っています。侵入後にネットワーク内で拡散を図る攻撃手口の一つとして、LockBitはドメインコントローラを乗っ取ろうとします。今回の資料に書かれている届出事例においても、ドメインコントローラの機能を悪用して、組織のネットワーク内の多数の機器に拡散し、ファイルの暗号化をしたと考えられるものが複数見られました。

ドメインコントローラが悪用されると、その管理下にある機器全てに影響が及び、甚大な被害につながる恐れがあるため、特にドメインコントローラの脆弱性対策や、パスワード等の認証情報管理は確実に実施することが求められます。

なぜランサムウェアが BitLocker を悪用するのか

ランサムウェアがBitLockerを悪用する目的の一つとして、セキュリティ対策プログラムの検知を回避することが挙げられます。

例えば、Aさんがランサムウェアを検知するセキュリティ対策プログラムを開発するとします。ランサムウェアの特徴は、データを暗号化することです。Aさんは、インターネットからダウンロードされたプログラムがデータを暗号化しようとする動作を検知することで、ランサムウェアの監視を行うことができます。

その際に、攻撃者がデータの暗号化にBitLockerを悪用したらどうなるでしょう。AさんはBitLockerが使われることを検知する必要があるため、Windowsの機能としてBitLockerが正しく使われた場合と、ランサムウェアがデータ　を暗号化する際にBitLockerが悪用された場合を、それぞれ区別する必要があります。場合によっては誤検知を招く可能性が考えられるため、セキュリティ対策として正しくランサムウェアを検知することが難しくなるかもしれません。

このように、ランサムウェアを含むマルウェアはセキュリティ対策プログラムに自身を検知されないようにするために、BitLockerなどOSの標準機能を悪用することがよく見られます。BitLockerの他には、PowerShellが悪用されることもありますので、ランサムウェアの検知をより困難なものとさせています。

今回は、2022年上半期に届出られたコンピュータウイルスとして、LockBitとBitLockerを悪用するランサムウェアについてお届けしました。今回のようにセキュリティ対策プログラムで検知できないマルウェアも存在していますので、怪しいファイルはクリックしないことを常に心がけましょう。