ブログ(エグゼクティブ視点)

認証情報窃取マルウェアをあなどるなかれ

2018年も終わり、この1年間見てきた脅威 – 特にヨーロッパ地域でのそれを振り返ってみた。ヨーロッパ地域は相変わらず、組織だったサイバー犯罪グループやサイバー・エスピオナージ・グループによる標的型攻撃に悩まされる傍らで、ほぼどの業種もが直面している新たな脅威が登場している。ランサムウェアだろう、と思われるかも知れない。ランサムウェアも大いなる脅威の一つではあるが、実際のランサムウェアの観測数は減少傾向にある。これは2017年末から見られる傾向だ。

おっと、今回のブログは認証情報窃取マルウェアについて話すつもりだったのだった。2018年、サイバー犯罪者集団をはじめとする攻撃者による、認証情報窃取マルウェアは絶え間なく観測され続けた。これには、フィッシング・メールへの添付ファイルとして送られるマルウェアから、エクスプロイト・キット経由でばらまかれるマルウェアなどのすべてが含まれる。

認証情報窃取マルウェア v.s. 他のマルウェア

Threat Intelligence (DTI) が検知した結果を分析すると、ヨーロッパ地域にて検知された脅威のうち実に50%近くが認証情報窃取マルウェアに分類されるものだった(図1)。 このデータはFireEye Eメール・セキュリティおよびネットワーク・セキュリティが検知したものから構成される。


図1: 2018年1月1日~12月31日にヨーロッパ地域にて検知されたマルウェア分類

ヨーロッパ地域における課題

認証情報窃取マルウェアは実際のところ全世界的な問題であり、世界中の企業組織がその危機にさらされていると言える。しかしヨーロッパ地域、特にEU加盟国にとっては大きな課題であり、2019年はこの問題に備える必要がある。この問題の背景の一つに、長期に渡るEUの電子化がある。電子化イニシアチブは、EU加盟国内の企業や市民のビジネスオンライン化はもちろんのこと、EU市民を高速に接続することから市民と政府のやりとりまで、非常に幅広い。


図: DESI 2018 Ranking

脅威観点では、接続性の向上が攻撃で狙われるポイントを増加させたという点のほか、より危険なのは、政府が提供するWebポータル経由で提供される認証情報および機微(である可能性を秘めた)情報を狙う攻撃者にとって、オンライン行政サービス(Digital Public Services) は非常に興味を惹かれるものであるということだ。

  • 2017年, 行政サービスを必要としているEU市民の58%は政府が提供するポータルサイト経由で情報を提出するオンラインサービスを選択している
  • 2018年9月29日には、選挙時の身分証明にeIDAS 規則が全EU地域に求められるようになった。デジタル単一市場戦略(Digital Single Market Strategy) 化にあるこれらのイニシアチブはEU市民、政府およびビジネスの効率性向上と同時に、政府サービスのコストダウンが期待されている

想定される脅威シナリオ

従来、認証情報窃取マルウェアは、基本的に金融業界顧客を標的にしたものとして観測されてきた。しかし2018年を通じて、同マルウェアは、より、EU独自のシステムを狙ったものとなる可能性がある。例えば政府や医療、給与システムなどを始めとする機微な情報を扱うシステムなどが狙われる。また、以下の点についても注意が必要だ:

  • 2018年を通じ、企業システムへのアクセスや再販を目的とした認証情報の大量窃取が観測されている
  • 年間を通じて観測され続けた認証情報窃取マルウェアは、その標的を有名オンラインショップ、ギャンブルサイトなど、金融サービス業界以外に広げている
  • サイバー・エスピオナージ(サイバースパイ)脅威の観点では、攻撃者は侵入の初期段階をスキップする目的で、漏洩した認証情報を購入する可能性がある

M-Trends 2018 レポートでは、認証およびアクセス管理の基本的なセキュリティ基盤の欠落について指摘していた。多要素認証(MFA/Multi Factor Authentication) の普及が徹底していない事実は攻撃者にとって都合が良く、マルウェアを使って効率よく認証情報を集め、機密情報を扱うシステムへのアクセスを容易にするだろう。

過去数年、fFireEye はブログやレポートを通じて、攻撃グループ(サイバー犯罪組織からスパイグループまで)がいかに正規の認証情報を攻撃に活用しているということを発信し続けてきた。以下にその例を挙げる:

  • 2014年には、金銭的動機を持つ攻撃者グループである FIN4についての考察を発表した。このグループはスピア・フィッシングEメールを使って正規の認証情報を盗み、買収や統合に関わる情報にアクセスしていた
  • 2015年10月には、私たちが FIN5 と名付けたサイバー犯罪グループについての考察を発表した。このグループは給与システムを乗っ取り、不正に入手した正規の認証情報を用いてクレジットカード履歴へのアクセスを入手していた
  • 2016年4月には、FIN6 についてのレポートを発表した。FIN5 同様、このグループも正規の認証情報を使ってPOSシステムを攻撃し、クレジットカード履歴を入手していた

まとめ

ランサムウェアなどへの対策の一方で、企業組織や政府は、より、認証情報窃取マルウェアに対して注意を行うべきである。これは全世界的な脅威であるものの、特にデジタル化戦略を急速に進めているヨーロッパ地域では大きな問題となる。EU内の組織はサイバー空間に貴重な認証情報があること、そして窃取された認証情報が機密度にかかわらず、不適切に利用されるのだという事実をを認識すべきである。