2021年は、サイバーセキュリティの最前線で働く人々にとって、またしても厳しい一年でした。サイバー攻撃の数と複雑さが増すにつれ、組織はネットワーク、データ、そしてエンドポイントを侵害から守るために、守勢に立たされました。世界各国の政府は、公共部門だけでなく民間部門への支援も強化しました。新たな政府勧告では、2021年に最も多く確認されたマルウェアの種類を検証し、それらを阻止するためのアドバイスを提供しています。
最も一般的なマルウェアの種類と系統を調べる
木曜日に発表されたこの共同勧告は、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)とオーストラリアサイバーセキュリティセンター(ACSC)によるものです。勧告で指摘されているように、サイバー犯罪者は脆弱なコンピュータやモバイルデバイスを侵害するためにマルウェアを利用することがよくあります。その目的は、侵害されたシステムにアクセスして機密情報を盗み出したり、ランサムウェアを送り込んだりすることです。
マルウェアの例としては、ウイルス、ワーム、トロイの木馬、ランサムウェア、スパイウェア、ルートキットなどが挙げられます。2021年にCISAとACSCが特定したマルウェアの主な種類は、リモートアクセス型トロイの木馬(RAT)、バンキング型トロイの木馬、情報窃取型マルウェア、そしてランサムウェアでした。これらのほとんどは5年以上前から存在しており、様々な亜種へと進化するのに十分な時間を与えています。
参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
具体的には、この勧告で特に注目されたマルウェアは、Agent Tesla、AZORult、Formbook、Ursnif、LokiBot、MOUSEISLAND、NanoCore、Qakbot、Remcos、TrickBot、GootLoaderです。これらはすべて少なくとも5年前から存在していますが、QakbotとUrsnifは10年以上前から活動しています。
ロシアの暗黙の許可を得て活動するユーラシアのサイバー犯罪者によって使用されるQakbotとTrickBotは、ランサムウェア攻撃を開始または促進するためのボットネットの構築に利用されています。勧告によると、TrickBotマルウェアは、2021年上半期に世界中で約450件のランサムウェア攻撃に使用されたContiランサムウェアの初期アクセスを提供することが多いとのことです。
その他のマルウェアの中でも、Formbook、Agent Tesla、Remcosは2021年に大規模なフィッシングキャンペーンに使用されました。フィッシングメールと関連ウェブサイトは、COVID-19パンデミックに対する恐怖や懸念を悪用し、企業や個人から個人データや機密性の高い認証情報を盗み出す目的で使用されました。
「マルウェアのほとんどはフィッシングメールと悪意のある添付ファイルを利用しています。これはそれ自体、特に従来のセキュリティ検出とフィルタリングでは、悪意のあるものとそうでないものを区別するのに苦労してきたことを考えると、それほど驚くべきことではありません」と、メールセキュリティプロバイダーTessianの脅威インテリジェンス責任者、ポール・ラウダンスキ氏は述べています。「今日の脅威アクターは、固有のフィッシングURLを利用しており、特に使い捨てのURLは、セキュリティ機関による標的の所在地の確認を困難にしています。」
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
セキュリティ専門家がマルウェアの脅威から組織を守る方法
最新のマルウェアから組織を保護するために、このアドバイザリでは次のヒントが提供されています。
すべてのソフトウェアを最新の状態に保つ
オペレーティングシステム、アプリケーション、ファームウェアを必ずアップデートしてください。ただし、既知の悪用される脆弱性や、インターネットに接続されたシステムでリモートコード実行やサービス拒否攻撃を可能にする重大なセキュリティ欠陥へのパッチ適用を優先してください。このプロセスを支援するために、パッチ管理システムの活用を検討してください。また、脆弱性スキャンを提供するCISAの無料サイバー衛生サービスに登録してください。
多要素認証を強制する
可能な限り、MFAを使用してください。さらに、サービスアカウントを含むすべてのアカウントに強力なパスワードを要求してください。パスワードを複数のシステム間で使用または再利用したり、攻撃者がアクセスできる可能性のあるシステムに保存したりしないでください。
RDP(リモート デスクトップ プロトコル)のインスタンスを保護し、監視します。
RDPはセキュリティ上の欠陥に対して脆弱であり、攻撃者にリモートセッションへの不正アクセスを許してしまう可能性があるため、マルウェアやランサムウェアの主要な攻撃経路の一つとなっています。どうしてもRDPが必要な場合は、アクセス元を制限し、アカウント認証情報の漏洩を防ぐためにMFAを必須にしてください。外部からRDPが必要な場合は、VPNなどの認証方法を使用して接続を保護し、セキュリティを確保してください。また、すべてのリモートアクセスとRDPログイン試行を監視し、一定回数の試行後にアカウントをロックアウトし、使用していないRDPポートを無効化してください。
重要なデータのオフラインバックアップを保存する
バックアップは定期的に、少なくとも90日ごとに実行する必要があります。バックアッププロセスを必ずテストし、バックアップがネットワーク接続から分離されていることを確認してください。バックアップ自体が暗号化され、バックアップキーがオフラインで保存されていることを確認してください。
ユーザーにセキュリティトレーニングを提供する
適切なセキュリティ意識向上トレーニングを実施することで、従業員は悪意のあるソーシャルエンジニアリングやフィッシング攻撃を見抜き、回避する方法を習得できます。不審なフィッシングメールやその他の脅威を受け取った場合の対処方法と連絡先を従業員に周知徹底しましょう。
