Compact

NECソリューションイノベータ株式会社 安達誠です。
インシデントレスポンス業務として、マルウェア解析、フォレンジック解析、ログ解析に従事しています。また、これらの解析について講義の経験があります。2024年もマルウェアを利用したサイバー攻撃が引き続き確認されています。そこで、マルウェア解析の経験から得られた、いま必要なマルウェア対策について解説します。本記事をご覧いただくことで、マルウェア対策の一助となれば幸いです。

最新のマルウェア攻撃手法と拡大する感染経路

サイバー攻撃の傾向として、マルウェア攻撃、特にランサムウェア攻撃が引き続き今年も続いています(図1)。

企業・団体等におけるランサムウェア被害の報告件数の推移図
図1:企業・団体等におけるランサムウェア被害の報告件数の推移[1]
50

かつてランサムウェア攻撃は、ランサムウェアを添付したり、ランサムウェアのダウンロードサイトのリンクを記載したりしたメールを、不特定多数へばらまく手法がほとんどでした。いわゆる、ばらまき型攻撃の手法が利用されていました。
しかし、2021年あたりよりVPNの脆弱性を悪用しネットワーク経由での侵入が確認されるようになりました。あらかじめ攻撃者はターゲットの弱点を調査し、それを利用するといった標的型攻撃の手法が、ランサムウェア攻撃にも利用されるようになりました。現在、さらに攻撃の侵入起点は拡大し、サプライチェーンの弱点を悪用した他組織経由での侵入や、クラウド上のデータセンター内のシステム経由での侵入も確認されています。
このように攻撃者は、アタックサーフェス(攻撃対象領域)を年々拡大させ、さまざまな感染経路からより確実にマルウェア攻撃を成功させています(図2)。

ランサムウェアの感染経路図
図2:ランサムウェアの感染経路[1]
50

サイバー攻撃におけるマルウェアの役割の大きさ

攻撃者が攻撃する際に踏む一連の段階に注目してモデル化されたものとして、サイバーキルチェーンがあります。サイバーキルチェーンは、標的型攻撃といった巧妙なサイバー攻撃から防御することを目的に定められています。この攻撃をサイバーキルチェーンのフェーズの早い段階で断ち切ることができれば、その影響も少なくて済みます。
サイバーキルチェーンは2011年にロッキード・マーチン社により7段階で開発されましたが、最近では「収益化」を含め、次の連続した8つのフェーズで語られることが増えています。

順序
1
1
フェーズ
1
2
説明
1
1
説明
1
3
Column5
1
1
Column6
1
1
1
1
1
偵察
1
2
説明
1
1
標的となる個人、組織を調査する
1
3
Column5
1
1
Column6
1
1
2
1
1
武器化
1
2
説明
1
1
攻撃のためのエクスプロイトキットやマルウェアなどを作成する
1
3
Column5
1
1
Column6
1
1
3
1
1
デリバリー
1
2
マルウェアを添付したメールや悪意あるリンク付きメールを仕掛けたり、直接対象組織のシステムへアクセスしたりする
1
1
マルウェアを添付したメールや悪意あるリンク付きメールを仕掛けたり、直接対象組織のシステムへアクセスしたりする
1
3
Column5
1
1
Column6
1
1
4
1
1
エクスプロイト
1
2
マルウェアを添付したメールや悪意あるリンク付きメールを仕掛けたり、直接対象組織のシステムへアクセスしたりする
1
1
標的にマルウェアを実行させたり、悪意あるリンクにアクセスさせエクスプロイトを実行させたりする
1
3
Column5
1
1
Column6
1
1
5
1
1
インストール
1
2
マルウェアを添付したメールや悪意あるリンク付きメールを仕掛けたり、直接対象組織のシステムへアクセスしたりする
1
1
エクスプロイトを成功させ、標的がマルウェアに感染する
1
3
Column5
1
1
Column6
1
1
6
1
1
C&C
1
2
マルウェアを添付したメールや悪意あるリンク付きメールを仕掛けたり、直接対象組織のシステムへアクセスしたりする
1
1
マルウェアとC&Cサーバーが通信可能となり、リモートから標的への操作が可能となる
1
3
Column5
1
1
Column6
1
1
7
1
1
目的の実行
1
2
マルウェアを添付したメールや悪意あるリンク付きメールを仕掛けたり、直接対象組織のシステムへアクセスしたりする
1
1
情報搾取・改ざん・データ破壊・サービス停止など、攻撃者の目的が実行される
1
3
Column5
1
1
Column6
1
1
8
1
1
収益化
1
2
マルウェアを添付したメールや悪意あるリンク付きメールを仕掛けたり、直接対象組織のシステムへアクセスしたりする
1
1
サイバー犯罪者が攻撃から収入を得る
1
3
Column5
1
1
Column6
1
1

表1:サイバーキルチェーン

これら複数のフェーズでマルウェアが利用されていることからも分かるように、攻撃者にとってはマルウェアを有効活用することが、サイバー攻撃の成功につながります。

マルウェアの種類

また、マルウェアとは、動作・目的・拡散メカニズムに関わらず、悪意のあるソフトウェア全体を表します。本来ウイルスは、マルウェアの一種を示し、悪意のあるソフトウェア全体のことを示しません。
以下に、代表的なマルウェアの種類を紹介します。

種類
1
1
説明
1
4
Column3
1
1
Column4
1
1
Column5
1
1
トロイの木馬
1
1
正規のソフトウェアに偽装し、侵入する
1
4
Column3
1
1
Column4
1
1
Column5
1
1
ウイルス
1
1
感染対象となるファイルに寄生し、自己複製する
1
4
Column3
1
1
Column4
1
1
Column5
1
1
ワーム
1
1
単体で自分自身を複製して、ネットワークに拡散する
1
4
Column3
1
1
Column4
1
1
Column5
1
1
ランサムウェア
1
1
攻撃者は被害者のデータを暗号化し、復号キーの提供と引き換えに支払いを要求する
1
4
Column3
1
1
Column4
1
1
Column5
1
1
キーロガー
1
1
ユーザーが端末に入力した内容を記録する
1
4
Column3
1
1
Column4
1
1
Column5
1
1
スパイウェア
1
1
ユーザーの同意なしにユーザーのWebアクティビティに関する情報などを収集する
1
4
Column3
1
1
Column4
1
1
Column5
1
1
バックドア
1
1
裏口から、内部への侵入や外部へのデータ送信を行う
1
4
Column3
1
1
Column4
1
1
Column5
1
1
ボット
1
1
攻撃者が外部から遠隔操作できるようにする
1
4
Column3
1
1
Column4
1
1
Column5
1
1
ダウンローダー
1
1
勝手にマルウェアをダウンロードする
1
4
Column3
1
1
Column4
1
1
Column5
1
1
ワイパー
1
1
データを破壊する
1
4
Column3
1
1
Column4
1
1
Column5
1
1

表2:代表的なマルウェアの種類

なお、マルウェアの機能は多数存在するため、マルウェアの種類もこの限りではありません。さらに、マルウェアは、バックドア型のトロイの木馬や、ワイパー型のワームと表現されることもあるように複数の機能を有しています。これらの呼び方では、あくまでも限られた機能を示しているに過ぎないため、多機能化しているマルウェアについては、どのような機能があるのかを知ることが、マルウェアの特性を理解するうえで重要になります。

感染時に必要となる「インシデントレスポンス」

サイバー攻撃により発生したインシデントに対して、被害を最小限に止め、再発の防止を行うためには、インシデントレスポンスが必要です。インシデントレスポンスについて6つのステップで構成した一例(図3)を、以下に紹介します。

インシデントレスポンスの6つのステップ図
図3:インシデントレスポンスの6つのステップ
50

セキュリティ対策におけるマルウェア解析の重要性

攻撃者は、サイバー攻撃を成功させるために、マルウェアに多様な機能を実装し利用します。そのため、マルウェア解析を行うことはセキュリティ対策に有効です。
サイバー攻撃からシステムや情報を守るためには、不正通信先の情報をもとに、ファイアウォール機能を有するプロキシを利用し、不正通信の遮断や検知を行うなどします。その際、不正通信先の情報をあらかじめ設定しておく必要があります。例えば、セキュリティベンダーから不正通信先のC&Cサーバーのアドレスを得ることはできます。しかし、C&Cサーバーは世界中に存在し、そのアドレスは攻撃者により頻繁に変更されます。そこで、セキュリティベンダーから得た情報に、自組織が直面しているサイバー攻撃に利用されたマルウェアの解析結果を加えることにより、そのサイバー攻撃により適合した即時性の高い情報になります。
マルウェアを解析することにより、得ることができる情報は多種多様です。例えば、マルウェアのファイル名、変更されるレジストリ(Windows OSで用いられる設定情報のデータベース)、利用されるプロセス名、通信先のドメインやIPアドレスなどです。これらの解析によって分かった情報を利用することで、セキュリティ対策の中で事後対応になりやすい局面をリアルタイムの防御に繋げることができます。

マルウェア解析結果の利用方法

それでは、マルウェア解析結果の情報の利用方法をいくつか紹介します。

マルウェアの高度化に伴い、解析には専門性の高さが必要

先述の通り、マルウェア解析を行うことはセキュリティ対策に非常に有効です。VirusTotalやANY.RUNといった自動解析システムを利用することで、マルウェア解析についてそれほど知識がない方でも、解析結果を得ることはできます。しかし、攻撃者側も容易に解析できないように耐解析機能をマルウェアに組み込んできます。耐解析機能のあくまで一例ですが、サンドボックス上でのマルウェア実行を検知したり、マルウェア実行環境の解析ツールの利用を検知したりします。その場合、マルウェアは自身のプロセスを終了させ、不正な挙動を行わないことで、解析側をだまそうとします。解析側はこれらの耐解析機能を回避しながら、解析を行わなければなりません。攻撃者により耐解析機能の仕組みが次々とマルウェアに実装されることと、解析者がこれらの耐解析機能を回避することは、いたちごっこの状態となっているため、マルウェアの耐解析機能の高度化がさらに進んでいます。そのため、自動解析は進化していますが、それだけに頼れない状況が続いています。そこで、耐解析機能の有効な組み合わせや新しい耐解析機能の実装により、自動解析では解析できない場合には、解析者が手動でマルウェア解析を行う必要があります。

高度化するマルウェアの例

高度な耐解析機能として、最近では、ファイルレスという機能が攻撃者により利用されています。ファイルレスマルウェアは、マルウェア本体のファイルが実体として存在するわけではなく、端末のメモリ上に存在することとなります。これは実体がないことでマルウェア対策ソフトなどの検知も難しく、マルウェア実行後の痕跡からも異常性が発見しづらいです。
ファイルレスマルウェアでは、元々OSに存在するPowerShellといった正規ツールを悪用するといった方法がよく見られます。持ち込んだ正規ツールの悪用やターゲットの環境にあるシステムを悪用する、痕跡を残さない手法を用いる攻撃手法は、LotL(Living Off The Land:環境寄生型)と呼ばれます。また、通常時は暗号化されているため、無害に見えるファイルですが、別のプログラムに読み込まれることにより、メモリ上で復号され、不正な挙動を行うものもファイルレスマルウェアと呼ばれます。後者は、やはり検知および解析が困難な上、情報窃取といった目的に合った活動を行いやすいため、標的型攻撃で利用されるケースが多くあります。
以前に解析したファイルレスマルウェアの中には、無害に見える13ファイルが、復号機能のある実行ファイルに次々と読み込まれ、メモリ上で情報窃取機能を持つ10のDLLデータと通信先を示す設定情報に復号されるものありました(図4)。この場合、復号機能のある実行ファイル自体は悪性な挙動を行わないので、マルウェアと検知される可能性は低く、さらに、メモリ上のDLLデータを利用することで、攻撃者はLotL攻撃よりも複雑な挙動を行わせることができます。

ファイルレスマルウェアの復号とメモリ展開のイメージ図
図4:ファイルレスマルウェアの復号とメモリ展開のイメージ
50

マルウェア感染を防ぐための対策

組織・企業だけでなく、個人に対しても、マルウェア感染の脅威は迫っています。被害を防ぐためには対策が不可欠です。
まず、組織・企業向けに警視庁[2]より案内されている以下の対策を紹介します。

次に、個人向けにモバイル端末の対策を紹介します。

また、組織・企業、個人にかかわらず、セキュリティリテラシーの向上が非常に重要です。これらの対策を組み合わせることで、マルウェア感染のリスクを低減できます。

マルウェアに感染した場合の対応

マルウェア感染した場合、インシデントレスポンスを行います。インシデントによる被害を最小限に抑止するためには、適切かつ迅速なインシデントレスポンスが必要です。
一方、セキュリティを取り巻く状況は厳しくなっています。サイバー攻撃の侵入起点や経路が拡大しているため、より広範囲からインシデントの痕跡を探さなければなりません。さらに、攻撃者側が独自の攻撃マニュアルを利用していることが確認されており、より短時間でより有効な情報が得られるように攻撃を仕掛けてくるため、時間の余裕もありません。また、攻撃者によるマルウェアの耐解析機能の高度化のため、現状の自動解析では解析できないケースも多くあります。
このような状況において、自組織内でインシデントレスポンス全ての対応を行うことが難しくなっています。

しかし、自組織内でこれらの全てを行う必要はありません。自組織では対応できないところは、セキュリティベンダーなどの専門家に相談し、連携をとることで解決に向かいます。弊社にも専門家がいますので、相談ください。また、弊社ではサイバーセキュリティについて様々な製品・ソリューションを提供しています。ご利用のほどご検討いただけますと幸いです。

出典情報

[1] 警察庁 令和5年におけるサイバー空間をめぐる脅威の情勢等について
[2] 警視庁 マルウェア「ランサムウェア」の脅威と対策(対策編)

執筆者プロフィール

写真
100

安達 誠(あだち まこと)

所属:NECソリューションイノベータ株式会社
インシデントレスポンス業務を専門として、マルウェア解析、フォレンジック解析、ログ解析に従事しています。業務の一環として、情報漏洩の調査や攻撃アクターの動向の把握を行うため、ネット上の情報のモニター&リサーチを行っています。また、講師としてインシデントレスポンスや解析に関する知識を後進に伝えています。