原文のブログはこちらからご覧いただけます。
サイバー脅威に関して言えば、macOS® は Microsoft® Windows® よりも幾分「安全」であると長年考えられてきました。しかし、かつてはその通りだったにせよ、今日の脅威アクターはもはやそうした選択眼とは無関係です。つまり、Mac であろうとサイバー犯罪を逃れることはできないのです。
サイバー脅威に関して言えば、macOS® は Microsoft® Windows® よりも幾分「安全」であると長年考えられてきました。しかし、かつてはその通りだったにせよ、今日の脅威アクターはもはやそうした選択眼とは無関係です。つまり、Mac であろうとサイバー犯罪を逃れることはできないのです。
過去数十年にわたり、Windows は企業組織に選ばれるオペレーティングシステム(OS)であり続けてきました。開発者向けのドキュメントを幅広く生み出し、広範でほぼ均質なグローバルソフトウェアコミュニティを形成しており、これが脅威アクターの標的となっています。一方、macOS はエンタープライズ市場では比較的後発ですが、今では Windows に代わる OS として企業環境にますます浸透しつつあります。企業における Mac のインストールベースが拡大するにつれ、Mac を中心とするユーザー層をターゲットにすることのリスクと見返りも同様に高まっています。
マルウェアは単一の OS、あるいは複数の OS を標的として作成できます。また、悪用の機会を執拗にうかがう脅威アクターにとっては、脆弱性のないプラットフォームなどあり得ません。セキュリティリーダーと IT リーダーはいずれも、リスクと利益を天秤にかけ、組織にとって最適な行動指針を定めるという難しい任務を抱えています。これに対し BlackBerry の事前対応型のサイバーセキュリティ理念は「脅威への備えあれば憂いなし」というものです。本記事では、BlackBerry のチームが2022年第4四半期版のグローバル脅威インテリジェンスレポートで明らかにしたように、macOS と Windows の両環境を標的とする主要なサイバー脅威に関する最新の調査結果をご紹介します。
なお、このレポートでは 2022 年 9 月 1 日から 11 月 30 日に発生したマルウェア攻撃を解析しました。この期間中、Cylance® AI を搭載した BlackBerry® エンドポイントセキュリティのソリューション群が阻止したサイバー攻撃は 1,757,248 件に上ります。弊社の Threat Research & Intelligence チームは、このデータをさまざまなソースに基づくサイバー脅威インテリジェンス(CTI)とともに解析し、企業が両プラットフォームにおけるセキュリティ体制を改善するために役立つガイドを作成しました。
それでは本題に入りましょう。まずは、Windows ベースの OS やデバイスに対するサイバー脅威として特に蔓延しているものを見ていきます。
ダウンローダは被害者がファイルを開くように仕向け、マルウェアをダウンロードさせます。このファイルは多くの場合正規のデジタル文書か実行可能ファイルを装っています。Windows を標的とするダウンローダとしては、次のようなものがよく知られています。
コロナ禍でリモートワークやハイブリッドワークが増加したことで、社内ネットワークにアクセスするためのリモート認証のニーズがますます高まっています。これをチャンスと捉えた脅威アクターは、しばしばインフォスティーラを用いて企業の認証情報を窃取し、ネットワークへの不正アクセスを直接実施するか、あるいはそのアクセス権を闇市場で販売しています。後者のシナリオでは、窃取された認証情報を初期アクセスブローカー(IAB)が配布する場合や、RaaS(Ransomware-as-a-Service)のアフィリエイト(攻撃参加者)が被害者のネットワークを侵害してランサムウェアを展開するために使用する場合があります。確認されたインフォスティーラの中では、次のようなものがよく知られています。
リモートアクセス型トロイの木馬(RAT)は、キーボード入力の記録、ユーザーの Web カメラへのアクセス、ブラウザー認証情報の窃取といった機能を備えています。また、攻撃者にリモートコマンドラインプログラムを提供し、感染デバイスや感染ネットワーク内の他のコンピューター上でシェルコマンドを実行できるようにします。BlackBerry が報告期間中に確認・解析した RAT には、次のようなものがあります。
ファイル感染型ウイルスは実行可能ファイルに感染することで機能し、ネットワーク共有やリムーバブルデバイスを介して拡散します。
ファイル感染型ウイルス Neshta は 2003 年に初めて確認され、以前から BlackPOS マルウェアとの関連が指摘されています。BlackPOS は POS(Point-Of-Sale)システムからクレジットカードデータを抜き取る機能を持ち、消費財、エネルギー、金融、製造の各業界に対する 2018 年の攻撃で広く利用されました。
ここからは、macOS に対するサイバー攻撃のうち、現在最もよく見られるものをいくつか見ていきましょう。
macOS のマシンに影響を与えるサイバー脅威の中で、圧倒的に多く確認されているのがアドウェアとスパイウェアです。これらのアプリケーションは、ユーザーをだますために正規のソフトウェアを装っています。ステルス性の高い感染キャンペーンを介してコンピューターに侵入する脅威とは異なり、ユーザーはアドウェアやスパイウェアを正規のアプリケーションと思い込み、自らの手でそれらをインストールすることが頻繁にあります。
BlackBerry の Threat Research & Intelligence チームが実施した最新調査では、調査期間中に macOS 環境で最もよく見られた脅威として、悪意あるアプリケーションの Dock2Master が挙げられています。Dock2Master は Web ページに広告を密かに直接挿入します。ユーザーがこのような Web ページにアクセスすると、Dock2Master はそのユーザーの個人データやシステムデータを収集し、闇市場で販売します。BlackBerry の調査によると、macOS を利用しているお客様の組織の34% でネットワークに Dock2Master が存在し、それらの組織が所有するデバイスの 26% に Dock2Master が見つかっています。
ブラウザーハイジャッカーは今日 2000 年代初頭ほど一般的ではありませんが、脅威アクターは今なおこれらを展開しています。ブラウザーハイジャックの影響として最も顕著なのは、ユーザーのデフォルト検索エンジンが同意なく変更されることです。また、インストールされた悪意のあるブラウザーからの収益化は、ブラウザーに保存された個人情報の窃取や、表示された Web ページへの有料広告の挿入を通じて行われる場合もあります。BlackBerry のグローバル脅威インテリジェンスレポートでは、OriginalModule や SearchInstaller(InstallCore を使用して複数のプラットフォームを標的とする)などのブラウザーハイジャッカーの活動の詳細について説明しています。
トロイの木馬の一種であるプロキシ型マルウェアは、感染システムをプロキシサーバーに変えることで、被害者のマシン上で攻撃者が各種の処理を同意なくリモート実行できるようにします。通常はホストコンピューターがボットネットの一部となり、そこから攻撃者がさらなる標的への攻撃を実施します。多くの場合、プロキシ型マルウェアは他のマルウェアよりもサポートする機能が少なく、必要なライブラリの数も少なくなるため、標的となる被害者はより広範になります。また、この種のマルウェアではプログラミング言語 Go が多用されますが、これは Proxit などのプロキシライブラリがサポートされており、経験の浅いサイバー犯罪者でも開発が容易なためです。
確認されたプロキシ型マルウェアのサンプルは大半がプロキシエージェントで、複数のプラットフォームで動作するブラウザーを攻撃できるようになっています。一部の亜種は RAT のような機能(感染マシン上でローカルコマンドを実行する機能など)を備えることから、プロキシエージェントは別種の危険性をはらんでいます。
BlackBerry の Threat Research チームが四半期ごとの脅威レポートに向け解析を実施した期間(および 2022 年全体)では、2023 年以降も継続すると思われる、サイバーセキュリティの重要なトレンドが明らかになっています。
最も重要なポイントは、「安全」なプラットフォームは存在しないということです。Windows は今なお最も普及し、それゆえ最も攻撃される OS であり続けていますが、他の OS のユーザーに比べると、Windows ユーザーはマルウェア攻撃への備えが幾分整っていると言えるかもしれません。他の OS のユーザーはいまだに、サイバー攻撃のリスクが比較的低いという信念を抱いている可能性があります。しかし BlackBerry のテレメトリデータが示すのは、macOS、Linux®、モバイルユーザーまでもが頻繁に攻撃を受けており、いかなるプラットフォームもその影響を免れないという事実です。
マルウェアやサイバー攻撃から組織を守るためには、脅威アクターが業界や環境を狙う方法と理由をはじめ、攻撃に使用されるツール、さらには考えられる動機についての深い知識が必要です。この詳細な知識は、コンテキストに基づく先見的かつ実行可能なサイバー脅威インテリジェンスをもたらし、脅威が組織に与える影響の軽減を可能にします。