日本企業に対するインシデント解説サイバー攻撃者の攻撃手法とは

前回は、サイバー攻撃者の種類を敵対国家、組織犯罪、ハクティビスト、破壊行為者の4つの動機に分けて解説しました。今回は、これらの攻撃者の攻撃手法について、最新の事例と共に紹介します。

1．攻撃手法の説明

ここでは、近年観測されている攻撃手法を、攻撃者ごとに見ていきます。

敵対国家

機密情報の窃取を目的とした攻撃です。秘密裏に敵対する国家や組織に侵入し、盗聴活動を維持する手法を用います。今までは、攻撃の入り口として標的がよく利用するウェブサイトを改ざんし、利用者をマルウェアに感染させる手法（水飲み場型攻撃）や、マルウェア付きのなりすましメールを送付する手法（スピアフィッシング攻撃）が常套手段でした。しかし近年では、取引先や標的のシステムと接続された第三者など、ビジネス上のサプライチェーンを介して標的に侵入するなど、その手法は一段と巧妙化しています。また、新型コロナウイルス感染症（COVID-19）の影響を受けて在宅勤務（リモートワーク）が急速に進む中で、VPN（Virtual Private Network）の脆弱性が悪用され、不正アクセスの起点になっている事例が増加しています。侵入後には、ネットワーク内のサーバーや端末に横展開しながら情報を収集・感染を拡大させ、重要情報を持ち出します。

組織犯罪

金銭を得る目的で、端末をランサムウェアをはじめとするマルウェアに感染させる攻撃が多く見られます。感染した端末を用いて銀行口座の不正操作、クレジットカード情報の窃取、さらに感染した端末を攻撃用途で貸し出すなどの事例も発生しています。以前は無差別の攻撃が主流でしたが、近年では明確な標的を定める「標的型」の攻撃事例が多くなっています。例えばランサムウェア攻撃においては、組織のネットワークの脆弱性を特定して外部から不正侵入し、サーバー群や基幹システムへ横展開を行います。そうしてランサムウェアをばらまき、膨大なランサム（身代金）を要求します。さらに、支払いに応じない場合、窃取した機密情報を使い、第三者への公表による脅迫を行うこともあります。

ハクティビスト

政治的主張を目的とした迷惑行為のために、ウェブサーバーに対する脆弱性検査ツールでのスキャンを実施し、脆弱なサイトに対するページの改ざん、大勢のメンバーを募集した後に専用ツールを用いてサイトに対してDDoS攻撃（分散型サービス妨害攻撃）を仕掛け、利用不能に陥らせるなどの攻撃を行います。メンバーを集める代わりにDDoS代行サービス（DDoS-as-a-Service）を活用し、ボットネット（マルウェアによって乗っ取られた多数のIoT装置やパソコンで構成されているネットワーク）を用いてサイトを攻撃することもあります。機密情報を何らかの手段で外部に持ち出し、世間に暴露することもあります。

破壊行為者

業務の妨害などを目的とし、組織犯罪における標的型のランサムウェア攻撃のように、外部から不正侵入後、ランサムウェアの代わりに、データを破壊するワイパー型マルウェアを標的端末などに感染させ、システムの破壊を行う攻撃手法が使われています。

2．PwCサイバーセキュリティエンジニアリングチームにおける事例

こうした攻撃者の中でも、日本企業が特に注意する必要があるのは組織犯罪と敵対国家です。近年、企業に対して見られる攻撃の多くはこの2つによるものであり、PwCサイバーセキュリティエンジニアリングチーム（以下、PwC CSET）においても、多数のインシデント対応を行っています。ここでは3つの事例を紹介します。

標的型フィッシング攻撃（組織犯罪）

クラウドサービスのメールアカウントが不正利用されたインシデントです。まず、攻撃者により、複数のIDに対して同一パスワードによる認証を繰り返す「パスワードスプレー攻撃」が試行されました。これは、さまざまな国のIPアドレスから定期的に実施されており、検出を回避する目的があったと見られます。

不正ログインによりユーザーアカウントの窃取に成功した場合、図表1の右側のように、メールボックスから抽出した社内外のメールアドレスに対し、迷惑メールやマルウェアを添付した不正メールが送信されました。直近でやり取りがある関係者または取引先からのメールである場合には、受信者はメールや添付ファイルを開く可能性が高くなります。さらに、自然な日本語で当事者を装って作成されたメールである場合には、そのメールがフィッシング攻撃であると見極めることは困難になります。

標的型ランサムウェア攻撃（組織犯罪）

これまでPwC CSETが支援してきたインシデント対応においては、ランサムウェアに関連する事例が多くを占めています。これらの事例においては、従来のばらまき型の攻撃とは異なった「標的型」のランサムウェア攻撃も多く確認されています。

図表2のように、攻撃者はまず、標的組織の脆弱性が存在するウェブサーバーおよび端末からセキュリティ防御を突破し、内部ネットワークへ侵入しました。乗っ取ったサーバーと端末から、AD（Active Directory）サーバーや運用管理サーバー、資産管理サーバーを標的として横展開を行い、これらにマルウェアを感染させました。さらに、これらのサーバーやサービスの高権限アカウントを入手・利用し、サーバーのソフトウェア配布機能により、一斉にネットワーク内の各端末にランサムウェアをばらまきました。また、この攻撃では身代金の要求に留まらず、さらなる利益を得るための機密情報の窃取も確認されました。

RATを使用した長期にわたる標的型攻撃（敵対国家）

金銭を目的とした組織犯罪とは異なり、機密情報を狙う敵対国家の攻撃では、膨大な時間とコストをかけ、検知が行われない高度な攻撃手法が継続的に利用されます。この事例では、被害にあった組織は、5年以上にわたり攻撃を受け続けていたことが確認されました。多数の従業員が使用する端末が、標的端末の遠隔操作を行うRAT（Remote Access Tool）に感染しており、外部との不審な通信が行われ、多くの機密情報が流出したと考えられます。

また、DMZ（非武装地帯）に設置されたウェブサーバーにもRATの感染が及び、ウェブサイトの改ざんなどの被害が拡大する恐れもありました。さらに、ADサーバーにも侵入を許しており、社内システム連携用の管理者権限を持つ不正アカウントが作成された痕跡も確認されました。このアカウントは長期にわたりパスワードの変更が行われなかったため、継続的な攻撃に利用されてしまいました。

遠隔操作にあたり、攻撃者はファイアウォールやIPS／IDSによる検知が行われないよう、インターネットから社内環境にVPN経由で接続してこのアカウントにログインし、複数の社内システムにバックドアツールを埋め込んだと見られます。標的組織内での横展開においては、ブラックリストによる通信拒否やシグネチャベースのウイルス対策ソフトによる実行防止を回避するために、攻撃ツールの改修が適宜行われていました。

今回は攻撃手法について述べましたが、次回はインシデントに対応するために企業が行うべき準備について説明します。