目次 |
原文のブログはこちらからご覧いただけます。
市場の変化を常に把握し、絶えず計画を微調整して、収益の見込みに影響するニュースや出来事をうまく利用する―― こうした行為は、業界で大きな成功を収める企業だけが行っているわけではありません。犯罪組織もまた、同じ戦略に従っているのです。
少なくとも成功を収めているハッカーやマルウェア作成者、国家規模の攻撃者は、絶えず TTP(戦術、技法、手順)を見直しては手を加え、必要に応じて運用方法を変えることで、リスクを最小化しながら利益を最大化しています。
本記事では、マクロを脅威ベクトルとする攻撃者の近年の動向変化に焦点をあて、一部のハッカーが過去の手法をあえて採用し、被害者の不意を突こうとしている様子を明らかにします。
マクロと脅威アクターの素早い方向転換
2022 年 8 月公開の BlackBerry ブログでは、 Visual Basic for Applications(VBA)マクロをデフォルトでブロックする方針をめぐる Microsoft 社の紆余曲折を取り上げました。一般的に、従業員は Word や Excel® などの Microsoft® Office ファイルでこれらのマクロを用いることで、ワークフローを合理化し、繰り返しの作業を自動化して、概して生産性を向上させています。商業組織では Office 製品群がほぼどこにでもある状態となっているため、脅威アクターは当然のように、この世界規模の巨大なユーザー基盤をサイバー攻撃の起点として利用しようと画策しています。悪意のあるスクリプトやペイロードをマクロの内部に忍ばせる手口は、長年にわたってこうした攻撃アプローチの定石となっています。
Microsoft 社はここ最近、これらのマクロをデフォルトでブロックする新しいアプローチを段階的に導入しています。ある意味では、同社はこの措置によって Office 関連の攻撃対象領域の一部を縮小したことになります。これに対し攻撃者は、従来の検知手法の弱点を突くなど、他の潜在的な侵入経路を悪用するように戦術を調整して対抗しました。
経験豊富なハッカーたちは、「神(あるいは Microsoft)が扉を閉ざすと別の窓(Windows)が開く」という格言をよく心得ているようです…。
脅威アクターの次なる一手
Microsoft 社がマクロの対策方針を発表した後、一部の攻撃者は即座に方向転換を図り、LNK、RAR、ISO ファイルなど、被害者にとってなじみが薄いと思われるファイルタイプを使用し始めました。このようなファイル拡張子が採用されると現行のセキュリティ製品が回避されやすくなるため、被害者が起こり得る結果を意識せずファイルを実行してしまう可能性が高まります。
たとえば、脅威アクターが悪意のある .RAR アーカイブを被害者に送りつけ、そこに友人や同僚の夏休みの写真が入っていると説明を添える手口が考えられます。被害者がこのアーカイブファイルを開くと、攻撃者が被害者のデバイスへのアクセス手段を確立することになります。また、悪意のある LNK ファイルが正当な情報源にリンクしていると被害者をだます手口や、ISO ファイルがインストールすべきアプリケーションを含んだ光ディスクイメージであると偽る手口もあり得ます。攻撃者は、疑いを持たない被害者を欺くのに十分な性質を備えたさまざまなファイルタイプを選ぶことができるのです。
攻撃によるリスクを軽減するには
攻撃者が日々変化する防御技術に対処しようと戦術を変化させる中、このリスクを軽減し、脅威環境における「次の大きな流れ」から組織を守る方法はいくつかあります。
これまでに報告されたサイバー攻撃のうち、データ侵害、マルウェアの配信、ランサムウェアの展開に成功した攻撃の約 90% はいずれも、悪意のあるファイルやリンクを含んだフィッシング/スパムメールという単一の脅威ベクトルに依拠していると推定されています。
基本的には、この種の攻撃を特定して報告できるようにユーザーを訓練すると、組織を狙う脅威アクターによる攻撃の成功率は下がります。しかし、私たち人間は間違いを犯しやすい存在であるため、十分な訓練を受けた従業員であっても、リスク要因を減らすためにはテクノロジーの助けが必要です。
リンクや添付ファイルが自社のメールサーバーを通過すること自体が懸念事項となる場合は、「ホワイトリスト」のアプローチを採用し、企業のドメイン外から受信するメールに対して、承認した一部のファイルタイプ以外の添付ファイルをすべてブロックすることができます。ただし、パスワードで保護されたアーカイブファイルなどは例外となる可能性があります。
さらに、一部の組織においては、「この送信者からのリンクと添付ファイルを信頼しますか ?」と尋ねるポップアップウィンドウを表示するなど、リンクや添付ファイルの送信元を改めて意識する機会を受信者に与えるプロセスが実施されています。
これらのアプローチはいずれも、ファイルを開く前にインフォームドコンセントを確立するのに役立ち、ユーザーがうっかりファイルをクリックしてしまうリスクを軽減します。
また、BlackBerry のお客様は、当社の Cylance® AI ベースのエンドポイント保護プラットフォーム(EPP)ソリューションである CylancePROTECT® のスクリプト制御機能もご利用いただけます。スクリプト制御を使用すると、管理者がしかるべきシステムに対しては適切なスクリプトを有効化しながら、企業内のそれ以外の場所では他のすべての(安全でない/許可されていない)スクリプトを無効化できます。これは、システムごとにスクリプト専用のホワイトリストを用意していると言えるかもしれません。
さらに、BlackBerry® の EDR(エンドポイント検知/対処)プラットフォームである CylanceOPTICS® は、コンテキスト分析エンジンを活用し、予期しない動作や望ましくない動作を示すスクリプト(ファイルをダウンロードして未承認のディレクトリに保存するなど)をブロックします。また、悪意のある目的を隠蔽するためにエンコードされたコマンドを起動する PowerShell スクリプトもブロックできます。
悪意のあるマクロ攻撃の今後の展開
Office ファイルが攻撃者に極めて狙われやすくなっている理由は、これらのファイルが持つ力と幅広さにあります。多くの人は Office ファイルを単に見栄えのよい文書ファイルやスプレッドシートと考えがちですが、これらはむしろアーカイブファイルに近いものです。ファイルの構造的に、強力なスクリプト言語(VBA)を含むさまざまな種類のコンテンツを埋め込むことができるためです。ユーザーにしてみれば、このスクリプト言語は作業中の Office ファイルの機能だけを使用できると考えるのが妥当ですが、残念ながら実際にはそうではありません。VBA はオペレーティングシステムに組み込まれたさまざまなプログラムやコマンドを直接呼び出せるため、脅威アクターに「標的に富む」環境を与えることになります。
マクロを含む Office ファイルは依然として極めて強力かつ手軽な攻撃経路となっていますが、これが唯一の選択肢というわけでは決してありません。マクロがデフォルトでブロックされるようになった今、脅威アクターは必然的に別の種類のアーカイブファイルで別の種類のスクリプトを使用するように方針を変え、さらにその先へと歩を進めるでしょう。脅威アクターが TTP を進化させ、私たちの防御の抜け穴を新たに探り出すまでには、少し時間がかかるかもしれません。その場合、私たちが脅威アクターに先んじるためのつかの間のチャンスが生まれる可能性はあります。
とはいえ、それを当てにするわけにはいかないでしょう。
関連ブログ
- マクロを取り巻くセキュリティに関する懸念:無効化すべきか?それともデフォルトで有効とすべきか?
- サイバー保険が抱える課題:何が問題で、どうしたらよいかを解説します。
- BlackBerry 2022 脅威レポート
- パスワードマネージャーと暗号通貨ウォレットを狙う Luca Stealer
- お問い合わせ:https://www.blackberry.com/ja/jp/forms/enterprise/contact-us
- サイバーセキュリティチームによるコンサルティング: https://www.blackberry.com/ja/jp/services/blackberry-cybersecurity-consulting/overview
- BlackBerry Japan:https://www.blackberry.com/ja/jp
- Facebook(日本語): https://www.facebook.com/watch/BlackBerryJPsec/
- Twitter(日本語): https://twitter.com/BlackBerryJPsec
- LinkedIn: https://www.linkedin.com/company/blackberry/
- YouTube(日本語): https://www.youtube.com/channel/UCT2VHYwfUVC4V0AnkVZ2QIg/videos
.png)
