原文のブログはこちらからご覧いただけます。
8 月下旬に 米国司法省(DOJ)と FBI が共同で行った Qakbot の解体は、世界で最も長い歴史を持つマルウェアファミリーとボットネットの 1 つを破壊することになる多国籍作戦でした。法執行機関が、感染したデバイスからマルウェアをリモートで駆除するための裁判所命令を得たところ、解体の時点で、米国内のコンピューター20 万台を含め、全世界で 70 万台という驚くべき台数であることが判明しました。
しかし、10 月になって、Qakbot (別名 Qbot)は、目立たなくなったとはいえ、まだまだ健在であるというニュースが報じられ始めたことは、驚くべきことではありませんでした。バンキング型トロイの木馬、ワーム、リモートアクセス型トロイの木馬(RAT)のいずれの分類にも該当する、この悪名高いマルウェアの背後にいる脅威アクターは、Cyclops ランサムウェア(別名 Ransom Knight)と恐るべき遠隔操作・監視ツール Remcos RAT を送り込む、進行中のフィッシングキャンペーンに関係付けられています。
解体時点で逮捕者が出ていないことから、この新たな憂慮すべき活動は、リサーチャーのGuilherme Venere 氏が最近のレポートで説明しているとおり、「法執行機関の活動は、Qakbot 運営者のスパム配信インフラに影響を与えず、コマンドアンドコントロール(C2)サーバーにのみ影響を与えた可能性がある」ことを示唆しています。同氏は、Qakbot の背後にいる脅威アクターは現在も活動しており、マルウェアは「今後も重大な脅威をもたらし続ける」と「一定の確信を持って」主張しています。
Qakbot に関する 2 回シリーズの第 2 回となるこのブログでは、Qakbot の脅威アクターがインフラを再構築した場合に身を守るための緩和策について考え、FBI と CISA (Cybersecurity & Infrastructure Security Agency)が推奨するスマートなセキュリティ対策を確認し、この悪名高いマルウェアに感染したことがあるかどうかの調べ方を学びます。
このブログの 1 回目はこちらでお読みいただけます。
解体の余波
Qakbot が解体されたということは、正義が勝ったということなのでしょうか。理想的な世界ではそうですが、私たちが住む世界はまだ完全からは程遠いものです。Qakbot は現在オフラインになっているかもしれませんが、疑うことを知らない被害者のマシンには、以前の感染で残された「厄介なもの」がまだ隠れている可能性があります。
この解体に関して DOJ が公開した報告書によると、連邦政府の職員が Qakbot のボットネット(感染したコンピューターのネットワーク)にアクセスし、ボットネットのトラフィックを法執行機関が管理する新しいサーバーに転送して、Qakbot に感染していたコンピューターに対し、このマルウェアを壊滅させるアンインストールファイルをダウンロードするよう指示を出しました。
しかし、但し書きがありました。政府の報告書の説明によると、「Qakbot のアンインストールファイルは、感染したコンピューターにすでにインストールされた他のマルウェアを駆除するものではない。被害者のコンピューターを Qakbot のボットネットから切り離し、感染したコンピューターへのさらなる Qakbot マルウェアのインストールを防ぐよう設計されていた」ということです。
平たくいえば、この解体は基本的に、感染して Qakbot のボットネットを構成していた直近のシステムを Qakbot 運営者が取り戻せないようにすることに重点が置かれていたのです。
利益の大きいランサムウェアの世界では、発案者とされる Gold Lagoon を含めた Qakbot の運営者らが新しいボットネットをゼロから構築しようとする可能性がないとはいえませんが、かなりの労力が必要になります。そのような選択がされるかどうかは、まだ分かりません。つまり、現時点で Qakbot は停止しているとはいえ、将来の Qakbot の復活に備え、セキュリティ侵害インジケータ(IoC)と、Qakbot で使用されるさまざまな手法を特定することには価値があります。
Qakbot:対策
CISA と FBI は、このマルウェアのリスクにさらされている産業部門に対し、将来 Qakbot が復活した際や同じように機能する他のマルウェアからネットワークを安全に保ち、感染を自衛できるように、以下の対策を講じることを強く推奨しています。
対策のヒントには、次のようなものがあります。
多要素認証の義務付け。内部ネットワークに対するリモートアクセスに、多要素認証を義務付けます。CISA の勧告では、標的にされることの多い医療機関など重要インフラ産業に対して、多要素認証(MFA)の使用を義務付け、内部ネットワークにリモートアクセスする従業員のすべてを対象とすることを推奨しています。この勧告では、MFA を使用するだけで自動化されたサイバー攻撃をほぼすべて阻止することができ、これまでに判明している侵害されたアカウントのほとんどで、この単純ながら効果的な技術が使用されていなかったと指摘しています。
従業員への定期的なセキュリティトレーニングを実施。スピアフィッシング訓練などがこれに含まれます。セキュリティ衛生(最も基本的レベルの)では、従業員に対して、クリックしようとしているものの出所を確認するための行動を取るまで「クリックしない」よう教育することに重点を置いています。従業員の取り得る簡単な事前対策としては、疑わしいリンクをクリックするのではなくマウスカーソルをかざし、ブラウザーの左下にあるアドレスバーでリンク先のウェブ URL を確認することなどがあります。また、メールで届いたショートカットやリンクに関しては、それをクリックするのではなく、ウェブサイトの名前を直接ブラウザーに入力する習慣も身に付けるべきです。
企業向けソフトウェアの更新。現実的に可能な範囲で頻繁に行います。ユーザーのオペレーティングシステム、アプリ、ファームウェアもこのリストに含める必要があります。米国保健福祉省(HHS)は、そのサイバーセキュリティプログラムのウェブサイトで、パッチの適用が遅くなったりおろそかになったりしないための集中型パッチ管理システムの使用と、システムに含まれるべきネットワーク資産やゾーンを把握するためのリスク評価戦略の策定を推奨しています。
脆弱なパスワードを排除。組織は従業員向けパスワードポリシーの導入にあたり 米国立標準技術研究所(NIST)への準拠を維持するよう努力すべきです。さらに、理想的にはパスワードへの依存をやめ、可能な限り多要素認証の導入へ移行することが必要です。
ネットワークトラフィックに対するきめ細かなフィルタリングの実施。ブロックリストや許可リストの導入により、既知の悪意ある IP アドレスとの送受信通信を禁止します。
有効な復旧計画の準備および維持。万が一の場合や Qakbot 関連の侵害が発生した場合に備え、IT チーム内のセキュリティ対応が可能なメンバー全員が取るべき対策を正確に把握していることを確認します。
「3-2-1」バックアップルールの導入。企業の最重要データのコピーを 3 つ以上保持します。2 つはそれぞれ個別の場所に、1 つは常に遠隔地に保管します。
Qakbot に感染したことがあるかどうかを調べる方法
明るい方向に目を向けると、過去の Qakbot の被害者に朗報があります。DOJ は、Qakbot の運営者によって盗まれた650 万件以上のパスワードなど認証情報を回復したと主張しています。その後同省は2 つの合法的なウェブサイトでこれらの認証情報を共有し、ユーザーは自分のログイン情報が流出したかどうかを確認できます。
チェックすべきウェブサイトには以下があります。
Have I Been Pwned
常日頃からセキュリティ意識の高いユーザーに最もよく知られるサイトが「Have I Been Pwned」です。ここでは、データ侵害において自分のメールアドレスが盗まれたり、流出したりしたことがあるかを無料で確認できます。創設者の Troy Hunt 氏は、オンラインアカウントの侵害によってリスクにさらされていないかどうかを誰でもすぐに評価できる無料リソースとして HIBP を創設しました。
このサイトには、700 以上の 「所有(ハッキング)され」たウェブサイトから作成されたデータベースが含まれており、執筆時点で 12,724,063,603 件の盗まれたアカウントのログイン名およびパスワード(あるいはそのどちらか)が含まれ、MySpace の時代から Facebook までの主要な流出が網羅されています。この安全なサイトでメールアドレスまたはパスワードのどちらかを入力すると、それがデータベースで見つかった場合には、瞬時に警告が返されます。このデータベースには、現在 Qakbot のデータセットが含まれています。
Check Your Hack
2 つ目のリソースは「Check Your Hack」というサイトです。このサイトは、オランダ国家警察が作成したもので、2 つの大規模な押収されたデータセットを使用しており、そのうちの 1 つは Qakbotからの押収物の一部です。このサイトによると、メールアドレスを入力するだけで、いずれかのデータベースで発見された場合には5 分以内に警察のタスクフォースからの自動メールが届きます。メールにはマルウェア駆除のために行う必要があることが書かれています。メールアドレスが発見されない場合、メールは届きません。
World’s Worst Passwords List (世界の最悪なパスワードリスト)
最後に、Qakbotが所持している中に、最も一般的に使用されるパスワードのリストを使用したメールアドレスのログイン名を総当たり攻撃するための「オプションの付属品」がありました。こちらをクリックし、2023 年の主要な複数の「最悪なパスワード」サイトで自分のパスワードの有無を確認してください。(Password123 を使っている方はいませんか ?)
結論
深く根を下ろしたマルウェア作戦の解体は、セキュリティコミュニティ全体にとっての大きな勝利です。年初に遡れば、DOJ はHive ランサムウェアの解体に成功しました。また、2023 年 5 月には「Snake」マルウェアを、感染していた世界中のマシンから粛々と駆除しました。この確立されたマルウェアファミリーは、ロシアの諜報機関と関係があると公表されていました。
しかし、ランサムウェアは依然として世界的な脅威です。打ちのめされ無力になったとされますが、Qakbot の俊敏性は、数か月から数年以内に復活する可能性があることを示唆しています。その運営者は、極めて豊富なリソースと、変化に対し迅速な適応能力を持つことが判明している、複数の強力な脅威グループに関与しています。
対策のためのその他の情報やリソースは以下のウェブサイトをご覧ください。新たな情報やリソースが利用可能な際は随時更新されます: https://www.justice.gov/usao-cdca/divisions/national-security-division/qakbot-resources
BlackBerry によるサポート
AI を活用した自己防衛型の予防、検知、対処ソリューションである CylanceENDPOINT™ をお使いの BlackBerry のお客様は、Qakbot が復活した場合にも BlackBerry のソリューションがマルウェアの実行を阻止するため安心いただけます。
また、BlackBerry Product Security Team は、お客様に対して、悪意あるスクリプトの実行を阻止するために CylancePROTECT の Script Control (CylanceENDPOINT のコンポーネント)を有効にすることを推奨しています。
悪意あるメールの添付ファイルなどのフィッシング関連の活動は、従来のウイルス対策プラットフォームでは検知が困難です。BlackBerry ではお客様に対し、Qakbot の導入を企てる脅威アクターが多く用いる戦術である、無効なファイルシグネチャを持つ脅威からの保護を提供可能な、独自の CylanceOPTICS® のルールを有効にするよう推奨しています。
推奨されるCylanceOPTICS のルールには、次のものがあります。
- Office Launched Unsigned Process: Microsoft® Office アプリケーションが署名されていない子プロセスを生成した。
- Internet Browser Launched Unsigned Process:インターネットブラウザーが署名されていない子プロセスを生成した。
また、BlackBerry では、システムの潜在的な感染によるリスクを減らすため、ベンダーによるアップグレードやパッチ適用のガイドライン(利用可能な場合)に厳密に従うことを推奨しています。
.png)
