macOS と Windows を標的とする各種のサイバー攻撃を解説

原文のブログはこちらからご覧いただけます。

サイバー脅威に関して言えば、macOS^® は Microsoft^® Windows^® よりも幾分「安全」であると長年考えられてきました。しかし、かつてはその通りだったにせよ、今日の脅威アクターはもはやそうした選択眼とは無関係です。つまり、Mac であろうとサイバー犯罪を逃れることはできないのです。

市場の変化

過去数十年にわたり、Windows は企業組織に選ばれるオペレーティングシステム（OS）であり続けてきました。開発者向けのドキュメントを幅広く生み出し、広範でほぼ均質なグローバルソフトウェアコミュニティを形成しており、これが脅威アクターの標的となっています。一方、macOS はエンタープライズ市場では比較的後発ですが、今では Windows に代わる OS として企業環境にますます浸透しつつあります。企業における Mac のインストールベースが拡大するにつれ、Mac を中心とするユーザー層をターゲットにすることのリスクと見返りも同様に高まっています。

マルウェアは単一の OS、あるいは複数の OS を標的として作成できます。また、悪用の機会を執拗にうかがう脅威アクターにとっては、脆弱性のないプラットフォームなどあり得ません。セキュリティリーダーと IT リーダーはいずれも、リスクと利益を天秤にかけ、組織にとって最適な行動指針を定めるという難しい任務を抱えています。これに対し BlackBerry の事前対応型のサイバーセキュリティ理念は「脅威への備えあれば憂いなし」というものです。本記事では、BlackBerry のチームが2022年第4四半期版のグローバル脅威インテリジェンスレポートで明らかにしたように、macOS と Windows の両環境を標的とする主要なサイバー脅威に関する最新の調査結果をご紹介します。

なお、このレポートでは 2022 年 9 月 1 日から 11 月 30 日に発生したマルウェア攻撃を解析しました。この期間中、Cylance® AI を搭載した BlackBerry® エンドポイントセキュリティのソリューション群が阻止したサイバー攻撃は 1,757,248 件に上ります。弊社の Threat Research & Intelligence チームは、このデータをさまざまなソースに基づくサイバー脅威インテリジェンス（CTI）とともに解析し、企業が両プラットフォームにおけるセキュリティ体制を改善するために役立つガイドを作成しました。

Windows を標的とするサイバー脅威

それでは本題に入りましょう。まずは、Windows ベースの OS やデバイスに対するサイバー脅威として特に蔓延しているものを見ていきます。

Windows ダウンローダ

ダウンローダは被害者がファイルを開くように仕向け、マルウェアをダウンロードさせます。このファイルは多くの場合正規のデジタル文書か実行可能ファイルを装っています。Windows を標的とするダウンローダとしては、次のようなものがよく知られています。

• Emotet は、現在使用されている中でも特に蔓延している脅威です。2020 年に活動を一時休止した後、世界の法執行機関の取り組みによる停止措置を受けていますが、その後悪意ある Microsoft® Office 文書を拡散するフィッシングキャンペーンとともに再び姿を現しました。これらの文書は Microsoft の公式ディレクトリに自身をコピーするよう被害者を誘導しますが、そこではユーザーに対する実行許可が要求されず、マクロがそのまま実行されます。

• Qakbot（別名 Qbot）はポリモーフィック型マルウェアであり、通常はおとりのメールを用いたフィッシングの手法で配信されます。このおとりには通常ハイパーリンクが含まれており、そこから悪意のある Web ページへのリダイレクトが行われます。Web ページにはパスワードで保護された ZIP ファイルがあり、中には ISO ファイルが含まれています。最終的には、LNK ファイルが JavaScript コードを実行し、そのコードが Qakbot を実行します。Qakbot の注目すべき特徴は、拡散手段として既存のメールスレッドを用いる点です。メールが受信者への「返信」の形となっているため、標的となった被害者が、既存のメールスレッドに含まれるリンクや添付ファイルが信頼できる送信元から送られていると錯覚する恐れがあります。
• GuLoader は、RedLine や Raccoon などのインフォスティーラをダウンロードして実行するために頻繁に利用されています。多くの場合はペイロードをホストするため Google Cloud™ や OneDrive® など、クラウドベースのサービスを悪用していますが、BlackBerry の Threat Research チームでは、GuLoader が悪意ある Telegram メッセージングボットを利用している様子も確認しています。

Windows を標的とするインフォスティーラ攻撃

コロナ禍でリモートワークやハイブリッドワークが増加したことで、社内ネットワークにアクセスするためのリモート認証のニーズがますます高まっています。これをチャンスと捉えた脅威アクターは、しばしばインフォスティーラを用いて企業の認証情報を窃取し、ネットワークへの不正アクセスを直接実施するか、あるいはそのアクセス権を闇市場で販売しています。後者のシナリオでは、窃取された認証情報を初期アクセスブローカー（IAB）が配布する場合や、RaaS（Ransomware-as-a-Service）のアフィリエイト（攻撃参加者）が被害者のネットワークを侵害してランサムウェアを展開するために使用する場合があります。確認されたインフォスティーラの中では、次のようなものがよく知られています。

• RedLine インフォスティーラは、BlackBerry が2022年第4四半期版のグローバル脅威インテリジェンスレポートの観測期間に遭遇した中で、最も活発で広く蔓延するインフォスティーラです。このマルウェアはブラウザー、仮想通貨ウォレット、FTP サイト、仮想プライベートネットワーク（VPN）ソフトウェアなど、多くのターゲットから認証情報を窃取する機能を備えています。

• Raccoon インフォスティーラは MaaS（Malware-as-a-Service）サービスとして提供されており、サイバー犯罪を企む人物がマルウェアの強力な機能を月々わずか 100 ドルで「レンタル」できるようになっています。Raccoon は仮想通貨ウォレット、ブラウザー拡張機能、Discord、Telegram から認証情報を窃取するほか、スクリーンショットの取得機能や、ローダーとして動作して追加のペイロードを起動する機能も備えています。

Windows を標的とする RAT

リモートアクセス型トロイの木馬（RAT）は、キーボード入力の記録、ユーザーの Web カメラへのアクセス、ブラウザー認証情報の窃取といった機能を備えています。また、攻撃者にリモートコマンドラインプログラムを提供し、感染デバイスや感染ネットワーク内の他のコンピューター上でシェルコマンドを実行できるようにします。BlackBerry が報告期間中に確認・解析した RAT には、次のようなものがあります。

• njRAT は、金銭目的の脅威アクターによって展開されているだけでなく、より標的を絞った攻撃（概してサイバー諜報活動や国家的な情報収集に関連している）でも展開されています。ビルダープログラムが広く利用できるため、脅威アクターはこのマルウェアを望みの攻撃モデルに適応させることが容易です。このマルウェアは通常、中東で活動する脅威アクターに関連付けられます。
• FlawedAmmyy は、正規のリモートアクセスツール Ammyy Admin から流出したソースコードが基になっています。Ammyy Admin は Windows マシンの遠隔操作と診断のためのツールであり、企業と一般消費者の両方に利用されています。FlawedAmmyy は主にサイバー犯罪グループ TA505（Cl0p ランサムウェアによるランサムウェア活動で知られる）に帰属するとされていましたが、現在では複数のサイバー犯罪者に利用されています。

Windows を標的とするファイル感染型ウイルス

ファイル感染型ウイルスは実行可能ファイルに感染することで機能し、ネットワーク共有やリムーバブルデバイスを介して拡散します。

ファイル感染型ウイルス Neshta は 2003 年に初めて確認され、以前から BlackPOS マルウェアとの関連が指摘されています。BlackPOS は POS（Point-Of-Sale）システムからクレジットカードデータを抜き取る機能を持ち、消費財、エネルギー、金融、製造の各業界に対する 2018 年の攻撃で広く利用されました。

macOS を標的とするサイバー脅威

ここからは、macOS に対するサイバー攻撃のうち、現在最もよく見られるものをいくつか見ていきましょう。

macOS を標的とするアドウェアとスパイウェア

macOS のマシンに影響を与えるサイバー脅威の中で、圧倒的に多く確認されているのがアドウェアとスパイウェアです。これらのアプリケーションは、ユーザーをだますために正規のソフトウェアを装っています。ステルス性の高い感染キャンペーンを介してコンピューターに侵入する脅威とは異なり、ユーザーはアドウェアやスパイウェアを正規のアプリケーションと思い込み、自らの手でそれらをインストールすることが頻繁にあります。

BlackBerry の Threat Research & Intelligence チームが実施した最新調査では、調査期間中に macOS 環境で最もよく見られた脅威として、悪意あるアプリケーションの Dock2Master が挙げられています。Dock2Master は Web ページに広告を密かに直接挿入します。ユーザーがこのような Web ページにアクセスすると、Dock2Master はそのユーザーの個人データやシステムデータを収集し、闇市場で販売します。BlackBerry の調査によると、macOS を利用しているお客様の組織の34% でネットワークに Dock2Master が存在し、それらの組織が所有するデバイスの 26% に Dock2Master が見つかっています。

引き続き macOS を標的とするブラウザーハイジャッカー

ブラウザーハイジャッカーは今日 2000 年代初頭ほど一般的ではありませんが、脅威アクターは今なおこれらを展開しています。ブラウザーハイジャックの影響として最も顕著なのは、ユーザーのデフォルト検索エンジンが同意なく変更されることです。また、インストールされた悪意のあるブラウザーからの収益化は、ブラウザーに保存された個人情報の窃取や、表示された Web ページへの有料広告の挿入を通じて行われる場合もあります。BlackBerry のグローバル脅威インテリジェンスレポートでは、OriginalModule や SearchInstaller（InstallCore を使用して複数のプラットフォームを標的とする）などのブラウザーハイジャッカーの活動の詳細について説明しています。

macOS を標的とするトロイの木馬

トロイの木馬の一種であるプロキシ型マルウェアは、感染システムをプロキシサーバーに変えることで、被害者のマシン上で攻撃者が各種の処理を同意なくリモート実行できるようにします。通常はホストコンピューターがボットネットの一部となり、そこから攻撃者がさらなる標的への攻撃を実施します。多くの場合、プロキシ型マルウェアは他のマルウェアよりもサポートする機能が少なく、必要なライブラリの数も少なくなるため、標的となる被害者はより広範になります。また、この種のマルウェアではプログラミング言語 Go が多用されますが、これは Proxit などのプロキシライブラリがサポートされており、経験の浅いサイバー犯罪者でも開発が容易なためです。

確認されたプロキシ型マルウェアのサンプルは大半がプロキシエージェントで、複数のプラットフォームで動作するブラウザーを攻撃できるようになっています。一部の亜種は RAT のような機能（感染マシン上でローカルコマンドを実行する機能など）を備えることから、プロキシエージェントは別種の危険性をはらんでいます。

重要ポイントのまとめ

BlackBerry の Threat Research チームが四半期ごとの脅威レポートに向け解析を実施した期間（および 2022 年全体）では、2023 年以降も継続すると思われる、サイバーセキュリティの重要なトレンドが明らかになっています。

最も重要なポイントは、「安全」なプラットフォームは存在しないということです。Windows は今なお最も普及し、それゆえ最も攻撃される OS であり続けていますが、他の OS のユーザーに比べると、Windows ユーザーはマルウェア攻撃への備えが幾分整っていると言えるかもしれません。他の OS のユーザーはいまだに、サイバー攻撃のリスクが比較的低いという信念を抱いている可能性があります。しかし BlackBerry のテレメトリデータが示すのは、macOS、Linux®、モバイルユーザーまでもが頻繁に攻撃を受けており、いかなるプラットフォームもその影響を免れないという事実です。

マルウェアやサイバー攻撃から組織を守るためには、脅威アクターが業界や環境を狙う方法と理由をはじめ、攻撃に使用されるツール、さらには考えられる動機についての深い知識が必要です。この詳細な知識は、コンテキストに基づく先見的かつ実行可能なサイバー脅威インテリジェンスをもたらし、脅威が組織に与える影響の軽減を可能にします。

関連記事

• サイバー脅威アクターのトップ 6：現在最も活発な6グループを解説
• The Top 10 Countries Most Targeted by Cyberattacks（サイバー攻撃の標的上位10カ国）
• Cybersecurity’s Top 3 Opportunities for 2023（2023年のサイバーセキュリティ業界に訪れるチャンスTop3）

• 製品のお問い合わせ：https://www.blackberry.com/ja/jp/forms/enterprise/contact-us
  
• 攻撃や感染した事故対応はこちらまで　サイバーセキュリティチームによるコンサルティングサービス: https://www.blackberry.com/ja/jp/services/blackberry-cybersecurity-consulting/overview
  
• AIを使ったランサムウェア対策: https://www.blackberry.com/ja/jp/solutions/malware
  
• BlackBerry Japan：https://www.blackberry.com/ja/jp
  
• Facebook（日本語）: https://www.facebook.com/watch/BlackBerryJPsec/
  
• Twitter（日本語）: https://twitter.com/BlackBerryJPsec
  
• LinkedIn: https://www.linkedin.com/company/blackberry/
  
• YouTube（日本語）: https://www.youtube.com/channel/UCT2VHYwfUVC4V0AnkVZ2QIg/videos