本ブログは、英語版ブログ「https://www.proofpoint.com/us/threat-insight/post/proofpoint-q2-2019-threat-report-emotets-hiatus-mainstream-impostor-techniques」の翻訳です。
本レポートに使われているデータは2019年の第2四半期(Q2:4 - 6月)に収集されたもので、6月にEmotetボットネットの活動が停止した影響が反映されています。この停止の影響については議論が始まったところで、Q3も継続するでしょう。Emotetは2019年9月16日の中規模なキャンペーンで復活しましたが、本レポートの取り扱う期間外のため、それは反映されていません。Proofpointの研究者は今後も引き続きEmotetを監視し、Q3の脅威レポートでその復活に関する情報を提供します。
重要なポイント:Emotetが活動を停止し、なりすましが主流に
以下は、2019年Q2の脅威ランドスケープの重要なポイントです。
- 悪意のあるURLは、悪意のあるURLと悪意のある添付ファイルを含むメッセージを合わせた全体のボリュームの85%を占めました。これは5月以降わずかに増加していますが、全体としては2019年のトレンドと一致しています。
- 悪意のあるURLと悪意のある添付ファイルを合わせたグローバルのボリュームは、5月に比べて約10%減少しました。しかし、Proofpointの研究者が追跡している、常に最大の攻撃ボリュームを維持してきた脅威アクターであるTA542とTA511が6月の1ヶ月間活動していなかったことを考えると、この減少幅は意外に少なかったといえます。
- 6月のランサムウェアメッセージの量とキャンペーン活動は5月と比較して大幅に減少しましたが、電子メールおよびWebベースのキャンペーンにおけるSodinokibiランサムウェアの増加は、「引退した」GandCrabの後継となり得ることを示しています。
- なりすましの手法とIDディセプションを使ったメッセージは、Q2に大規模なスパムとして観測されました。以前は、これらのメッセージの多くはBECに関連していましたが、今では、アクターはこれらの手法を他の目的に使っており、以前よりもはるかに多くのボリュームを配信しているようです。
- なりすまし攻撃でのドメインスプーフィングの使用は、Q1の10%未満から47%に増加しました。
概要
重要な統計値:ペイロードの85%が電子メール内のURL経由で配信されており、これは2019年Q1に観察された悪意のあるURLと悪意のある添付ファイルの比率に一致します。
2019年Q2のマルウェアランドスケープで最も注目すべきポイントは、5月末のEmotetボットネットの活動停止です。Emotetは、昨年の大半メールランドスケープを支配し、大量のキャンペーンを行いましたが、Q2を通して徐々に減少しました。しかし、Emotetの停止とそれに伴う悪意のある電子メールの四半期ごとの減少にもかかわらず、メッセージの全体量は相対的には多く、2018年の同じ四半期から32%増加しました。
同様に、悪意のある添付ファイルとURLを含むメッセージの相対的な量はQ1とQ2で変わらず、脅威アクターはマルウェアペイロードのURLベースの配布を好んでいることがわかります。URLベースが優位性を維持している理由(図1および2)としては、さまざまな要因が考えられますが、今ではほとんどのエンドユーザーが迷惑メールの添付ファイルをクリックしないように訓練されているからかも知れません。また一方で、組織のクラウド利用が増えるに従い、ユーザーはファイル共有やコラボレーションに関する通知をメールで定期的に受信するようになるため、ビジネスメールでの悪意のあるURLの利用はますます増えるでしょう。
数字で読み解くマルウェア
2019年上半期、最終的なペイロードはさまざまでしたが、URLベースの悪意のあるメッセージは全体のボリュームの約85%を占め続けました。
図1:添付ファイルベースとURLベースの悪意のあるメッセージの相対量(インデックス値、2019年Q2)
図2は、2月にURLベースの配信が急増したことを除いて、この傾向が1年を通して一貫していることを示しています。
図2:添付ファイルベースとURLベースの悪意のあるメッセージの相対量(インデックス値、2019年Q1およびQ2)
図3は、Q2期間中のマルウェアファミリーごとのメッセージボリュームの全体的な分布を示しています。ボットネット(ほとんどがEmotetによるもの)がトップのペイロードである一方、バンキング型トロイの木馬と情報スティーラーが、悪意のあるペイロード全体の39%を占めています。
図4は、2019年Q1からQ2の間に観察された相対的なマルウェア量の劇的な変化を示しています。EmotetはQ2も全ペイロードの3分の1以上を占めましたが、クレデンシャルスティーラーはQ1に比べてほぼ2倍になりました。RAT(Remote Access Trojan:リモートアクセス型トロイの木馬)、バックドア、キーロガーなど、通常はボリュームの少ないマルウェアファミリーのいくつかも増加しましたが、合わせても全体のメッセージ量の15%未満です。
図4:悪意のあるメッセージの量の四半期ごとの比較(マルウェアファミリー別)
ここ数四半期の傾向と同様に、Q2もランサムウェアの活動はほとんどありませんでしたが、GandCrabおよびSodinokibiによる小規模なキャンペーンがいくつかありました。RATは、2019年Q1には最大でも全体のボリュームの1%しかありませんでしたが、Q2は全体の6%に増えました。これは、主に中規模のRATキャンペーンを頻繁に行ったTA505によるものです。キーロガーとバックドアのアクティビティも数倍に増加しましたが、それでもペイロードの8%未満でした。バンキング型トロイの木馬の活動は比較的安定しており、Q1の21%からQ2の23%に増加しました。スティーラーの活動はQ1と比較して80%増加しましたが、Q2のボットネットの活動はQ1の半分近くで、Emotetに代わってUrsnif(バンキング型トロイの木馬)およびPony(クレデンシャルスティーラー)が台頭しました。
Ursnif、Pony、およびURLZoneがEmotetに取って代わり、バンキング型トロイの木馬およびスティーラーが今夏のマルウェア活動を牽引
重要な統計値:Emotetが5月末から活動を停止したため、相対的なメッセージ量は2019年Q1からQ2の間に24ポイント減少しました。
図5:Emotetメッセージの相対量(インデックス値、2019年Q1およびQ2)
2018年Q4から2019年Q1にかけて行われた大量のキャンペーンの後、Q2に入りEmotetのボリュームは徐々に減少し始めました。2019年5月31日に夏休み前の最後のEmotetキャンペーンと思われるものが観測されました。しかし、他の大規模なマルウェアオペレーションでも見られることですが、脅威アクターがボットネットの改修、新しいインフラストラクチャの構築、または送信制御を復活させるために活動を一時停止することは珍しくありません。Emotetが膨大なボリュームによって全体的な脅威ランドスケープに及ぼす影響の大きさと、巧妙に作成されローカライズされたキャンペーンを考えると、今後数四半期はマルウェアとC&Cインフラの監視を続ける必要があるでしょう。
2019年6月のEmotetの不在を完全に補完した攻撃者やマルウェアはありませんでしたが、UrsnifとPonyのボリュームはQ2を通して高いものでした。また、継続的な大量のURLZoneキャンペーンも確認されました。そのほとんどは、Ursnifを日本でのセカンダリペイロードとして配布するために使用されました。
図6:Ursnifバンキング型トロイの木馬およびPonyスティーラーの相対的なメッセージ量(インデックス値、2019年Q1およびQ2)
2019年Q1には大量のIcedID、The Trick、およびQbotがバンキング型トロイの木馬ペイロードの85%を占めましたが、Q2はUrsnifが約80%を占めました。URLZoneは主にUrsnifをセカンダリペイロードとして配布するために使用され、11%を占めています。TrickとDridexは、それぞれ3%と2%を占めています。図7は、Q2にUrsnifが突出した状況を示しています。
図7:バンキング型トロイの木馬の相対的なメッセージ量(2019年Q2)
Q2は、Ponyに代表されるクレデンシャルスティーラーが注目されました。Ponyは、ProofpointがTA511と名付けて追跡している脅威アクターによる大量のキャンペーンによって、すべてのスティーラートラフィックの半分以上を占めました。他にはAZORultスティーラーが16%を占め、Loki BotとFormbookを加えて上位4つのスティーラーとなります。Q2の後半は停止していましたが、Emotetのマルチツールアプローチも含め、これらはすべて被害者の知らないうちにデバイスに感染し、静かに常駐するように設計された堅牢なマルウェアです。
GandCrab(ランサムウェア)の運営者が引退し、RATが台頭
重要な統計値:RATは、Q2のすべての悪意のあるペイロードの6%を占めました。
ランサムウェアは、2019年Q1以前にほぼ消滅していましたが、GandCrabは注意深く構築されローカライズした上で地理的にターゲットを絞ったキャンペーンにより、例外的に残っていました。しかし、Q2の終わりに、GandCrabの「ransomware-as-a-service」の運営者は、身代金として20億ドル以上を稼いだと報じられた後に、「引退」すると発表しました。Q2はSodinokibiランサムウェア(GandCrabの後継者と考える人もいます)を配布するいくつかの小さなキャンペーンを確認しましたが、電子メールを介したランサムウェア攻撃はさらに少なくなりました。
一方、RATを使ったキャンペーンは、他のマルウェアファミリーと比較して5倍に増加しました。これらの攻撃は主にTA505によって行われたもので、今四半期中にいくつかの中規模のFlawedAmmyyキャンペーンが観測されました。Q1のレポートでも述べたように、堅牢で多目的のマルウェアへの傾向は、TA505によるRATの広範囲な配布と、ランサムウェアからのシフトから始まったのです。
なりすましの脅威:Q2は、IDディセプション技術の使用が拡大
重要な統計値:なりすましメールでのドメインスプーフィングの使用は、Q1から47ポイント増加して57%になりました。
なりすましは、コンシューマを狙う電子メールスパムでよく使われる手法ですが、Q2は組織を狙ったバルクメールでも広く使われました。通常はビジネスメール詐欺(BEC)に関連して毎四半期数万~数十万通のなりすましメールを観測しますが、Q2は数千通のメッセージ規模でこの手法が使われました。ただし、これらのメッセージのほとんどはBECではなく、バルク詐欺やアフィリエイトスパムでした。この変化の理由は明確ではありませんが、一般的なコンシューマを狙った詐欺ではなく、組織とその従業員を対象としたバルク詐欺にこのような手法が使用されたのは、Proofpointが観測した限りでは初めてです。
同時に、Q2にはID詐欺の手段としてのドメインスプーフィングの使用が大幅に増加しました。Q1には、ディスプレイネームスプーフィングなどの単純な戦術ではなくドメインスプーフィングを使用したメッセージは10%未満でしたが、Q2にはその数は57%に増加しました。
また同様に、これらの攻撃で使用されるドメインの数と種類は、四半期ごとに劇的に増加しています。トップレベルドメイン(TLD)の使用数は2倍以上になりましたが、なりすまし攻撃の最初に使用されるユニークな送信元ドメインヘッダーの数は54倍に増加しました。
Proofpointはこの傾向を引き続き監視して、エンタープライズ向けの電子メールでのIDディセプション技術の使用と実装における大規模な変化の背後にある理由を調査します。
Proofpointからの推奨事項
本レポートは、組織のサイバーセキュリティ戦略に役立てていただけるよう、変化する脅威ランドスケープに関するインサイトを提供しています。今後数か月について、データ、顧客、ブランドを保護する方法についての推奨事項を以下に示します。
エンドユーザーは、怪しいリンクをクリックしてしまうものであると考えてください。ソーシャルエンジニアリングは電子メール攻撃において最もよく使われる手法であり、犯罪者は人的要因を悪用する新しい方法を探し続けています。従業員をターゲットとするインバウンドの脅威と、顧客をターゲットとするアウトバウンドの脅威の両方を識別して隔離するソリューションを活用して、受信トレイに到達する前にそれらを排除しましょう。
なりすまし攻撃に対抗するための強固な防御体制を構築します。標的を絞った低ボリュームのBEC(ビジネスメール詐欺)には、多くの場合ペイロードがまったく含まれていないため、従来のソリューションでは検出が困難です。検疫およびブロックのポリシーの構築に使用できる動的な分類機能を備えたソリューションに投資しましょう。このソリューションは、さまざまな目的と実践を持つ脅威アクターがIDディセプション技術を採用する可能性があるため、スケーラブルでなければなりません。また、可能であればDMARCを完全に実装する必要があります。
ブランド価値と顧客を保護します。ソーシャルメディア、メール、モバイル、特にブランドに便乗する不正アカウントを使って顧客を狙う攻撃と戦います。Webをスキャンし、不正で疑わしい活動を報告する包括的なドメイン詐欺への対抗ソリューションを探してください。
脅威インテリジェンスベンダーと契約してください。より小規模で、より標的を絞った攻撃に対抗するためには、高度な脅威インテリジェンスが必要です。静的手法と動的手法を組み合わせて新しい攻撃ツール、戦術、標的を検出し、それらから学習するソリューションを活用します。