皆さまはサイバー攻撃者に対してどのようなイメージをお持ちですか?テレビや映画では、髭を伸ばしTシャツを着たサイバー攻撃者がコンピュータやモニタに向かい、暗い部屋でキーボードをカタカタ打ってはニヤッと笑うと言った、いかにも悪役のイメージですが、恐らく本当の世界では「普通の会社員です」と言われたら信じてしまうような人達だと思います。
一般的な攻撃者の分類では、「愉快犯や悪意のある個人」、「ハクティビスト(思想犯)」、「産業スパイ」、「国家支援型組織」、「サイバー犯罪組織」などに分かれていますが、攻撃に対する投資金額が大きく、組織力があると言う意味で、「産業スパイ」、「国家支援型組織」、「サイバー犯罪組織」が経済的にも社内的にも被害を甚大にする攻撃者です。
- 「産業スパイ」・・・・・ワクチン情報、製造技術などを経済的目的で搾取する組織
- 「国家支援型組織」・・・防衛情報など国家機密を知るため、国家を挙げて活動する組織
- 「サイバー犯罪組織」・・上記2つの組織からの委託を含め、純粋な経済的目的で活動する組織
基本的には、例えば現在COVID-19で全世界が混乱していることに乗じてワクチン製造に関する情報搾取をするなど、全て経済的理由や国際的・社会的優位性の為に攻撃活動をするケースが多いと思います。
サイバー犯罪組織もエコシステムが確立されており、「攻撃方法を考える組織」、「ツールを開発、販売(提供)する組織」、「攻撃を実行する組織」と言った様に分業されており、中にはRaaS (Ransomware as a Service) の様に活動がサービス化されているケースがあるのは、以前の「最近のサイバー攻撃の特徴」で述べた通りです。
今回のBlogでは、実際に攻撃者がどのような手口で攻撃を行うのかをお話ししたいと思います。
マルウェアの感染経路について
よくある手口だと、攻撃者は偽メールを被害者に送り、偽サイトに誘導する、あるいは重要なファイルである様に見せかけて、請求書、連絡書、応募書類などの添付ファイルを開封・実行させる方法があります。
偽サイトはフィッシングサイトと呼ばれており、そこにあるファイル(絵、図、pdf文書、ワードやエクセルなど)には通常マルウェアが仕込まれています。
偽サイトでは本物のサイトに見せかけることで、閲覧者に対して口座番号や名前、パスワードを入力させることで、情報搾取を行います。
また、上記の悪意のあるファイルにはランサムウェアなどのマルウェア本体が仕込まれているケースや、ファイルを開いただけでマルウェア本体をダウンロードする為のダウンローダが実行され、マルウェア本体のダウンロードと実行がされてしまうケースがあります。
マルウェアに感染させる手口は?
個人的にですが、私は情報収集のためにクラウドメールを、ハニーポット(情報収集のために仕掛ける罠)として活用しています。
そこに送られてくるメールを見ると、侵入する手段として
- BEC(Business Email Compromise、ビジネス上の情報に見せかけたメール)などのフィッシングメール
- 水飲み場攻撃(高い頻度で参照されるWebサイトに仕掛けられた罠)
がよく見られます。
上記のような攻撃をきっかけに、ファイルに隠されたマクロウイルスなどの不正スクリプトを実行したり、Webサイトの閲覧やファイル参照により、偽のサイトであるフィッシングサイトへ誘導しコードを勝手に送り込み実行するドライブバイダウンロードと呼ばれる手法により、本来意図しないマルウェアプログラムの実行や侵入を許してしまうこともあります。
その手法を分かり易く言うと、大別して2種類あります。
1つ目は、メールやWebサイトに記述されているリンク先のURLに関して:
- フィッシング
表示されているURLは正常だが、実際ジャンプする先であるハイパーリンクは表示されているURLではなく、全く違うWebサイトにジャンプするケースです。いわゆる、フィッシングサイトと呼ばれる本物そっくりに作った偽のWebサイトに誘導して、口座情報、パスワードなどを搾取する方法です。 - URLハイジャッキング*1
タイポスクワッティング(typosquatting:タイプミス不法占拠)と同意語であり、URLが本来のウェブサイトのものに似たドメイン名を取得し(ex. amazomなど)URLの入力ミスを悪用して偽のWebサイトに誘導する方法や、同じような方法で本来のウェブサイトに文字が似たドメイン名(ex. рayрay:左記のрはロシア語のr)を取得して悪用するケースもあります。この攻撃も上記のフィッシングと同じで、偽のWebサイトにジャンプして情報搾取がされます。 - クリックジャッキング*2
Webサイト上に偽物あるいは透明のURLリンクやボタンを設置して、Webサイト訪問者が知らずにクリックした時に、マルウェアをダウンロードする攻撃です。
2つ目はメールであれば添付ファイル、Webサイトであればダウンロードされるファイルに埋め込まれているケースで:
- マクロウイルス
WordやExcelなどのMicrosoft Office製品では利便性の為にマクロと言われるアプリケーション操作を自動化したり、自動化の手順を記録したりする機能があります。この機能を活用することで作業時間の短縮化、品質向上を図ることができます。
しかし、攻撃者からしてもマルウェアを実行させるには非常に便利な機能です。(これに関しては、別のBlogで解説します) - jpeg、pngなどの絵や図にマルウェアが埋め込まれているケース
アクロバットのpdfファイル、マイクロソフトのdocやpptファイルなどに貼り付けられている、絵や図のファイルを開くこと自体は問題なしと思いがちですが、攻撃者はこれらのファイルにマルウェアを仕込むことができます。つまり、絵や図を閲覧するアプリケーションの脆弱性を悪用して、閲覧しただけでマルウェアに感染させることができるのです。
他にも、攻撃者は手を替え、品を替え攻撃手法を開発してきます。特に最近では、上司の名前でメールを送りつけたり、あるいは金融機関から口座を凍結したなどと言葉巧みに人の心理の弱さにつけ込むような攻撃手法もあります。
どうやって人間である攻撃者は侵入してくるのでしょうか?
今まではマルウェア、つまり悪いプログラムが侵入する事を中心に話をしてきました。では、人間の攻撃者はどうやって侵入するのでしょうか?
この場合のマルウェアは、ランサムウェアなど直ぐに被害に繋がるマルウェアではなく、トロイの木馬やRAT(Remote Access Tool)と呼ばれる一見悪い活動を行わない様に見えて、実は攻撃者が侵入するためのバックドアをしかけて門外不出の情報を搾取するなど、とんでもない被害を引き起こすプログラムの事を指します。
例としては、
- 利用者のキー入力、マウスの動きなどの活動情報を盗む
- 電子通貨などの暗号解読を行うマイニングウェアにコンピュータを感染させる
- C&Cサーバと通信をさせて、情報搾取活動をする
- 攻撃者が侵入するためのバックドアが仕掛けられ、最終的に横展開の踏み台になる
など様々な活動のうち、最後のバックドアを開けて入口を作ることで、人間の攻撃者を呼び込んでいるのです。
一見すると、マルウェアに侵入されていない、問題無いように見えて、実は攻撃を受けて被害が出ていることがあります。
メールを開けるとき、Webサイトを閲覧する時には上述の手法に引っかからない等に十分に気を付けてください。
- マルウェア攻撃を実行不可能な状況を作りだす「Morphisec」はこちら
資料ダウンロード(目次)
番外:ハッカーとは悪い人のこと?
ハッカーとは本来、非常に技術の造詣が深いエンジニアと言う意味で、本当は誉め言葉なのですが、何故か「攻撃者=ハッカー」と使われることが多いです。
本Blogでは攻撃者と呼んでいますが、同意義語としては「クラッカー(Cracker:破壊者)」のことを指します。「ハッカー」を使うのであればブラックハッカー(Black Hacker:悪いことをするハッカー)と呼ぶのが正しいのではないかと思います。
因みに、フェイスブック本社の住所は1 Hacker Wayで、ハッカーを尊敬し付けた住所です。グーグル日本語辞書で使用されている、Oxford Languagesでは:「普通のコンピュータ利用者なら知らずに済むようなシステムやネットワークの内部の働きに通じ、その上を行くのを喜びとする人。」
gooやWeblioで出典として使用されている、小学館のデジタル大辞泉*3では「ハッカー」とは:「コンピュータやコンピュータネットワークに精通した人。高い技術力や豊富な知識をもち、プログラムを解析して巧妙に改良したり、ネットワークの安全性を検証したりする者を指す。」と書いてあります。
もっとも、残念ながらその後には『「ハッカー」は不正行為者のイメージで捉えられている傾向が見られる』とも書いてありますが。
