マルウェアIcedId

マルウェア『IcedID(アイスドアイディー)』の攻撃が本格化!Webサイト改ざんに要注意

by ブログ

 前回『Emotet(エモテット)』について注意喚起をしたところですが、今回はEmotetに類似した別のマルウェア『IcedID(アイスドアイディー)』の攻撃が活発化していることが観測されています。11月6日、JPCERT コーディネーションセンター(JPCERT/CC)からも、マルウェア「IcedID」感染を目的とした不正なメールについて注意喚起出されています。IcedIDはメールやブラウザなどの情報を窃取するトロイの木馬型の不正プログラムです。 Emotetと同様に他のマルウェアを二次感染させる機能を持ちます。感染攻撃に使われる不正メールは10月下旬に流通し始め、11月3日頃から増加しています。今回は今攻撃を本格化させているIcedIDいついて詳しく解説していきます。

 

IcedID(アイスドアイディー)の特徴と被害

IcedIDは2017年に登場が報告されているマルウェアです。2017年にIBMのセキュリティ研究者が発見したトロイの木馬型の不正プログラムで、銀行やペイメントカード会社、モバイルサービスプロバイダー、オンライン小売り、給与計算ポータル、メールクライアントなどを標的に、金融関連情報や資格情報などを窃取したり、他のマルウェアローダーとして活動したりすることが報告されています。他に主な特徴をまとめてみました。

  • 感染手法や発生する被害はEmotetと非常に類似しているもののEmotetとは異なるマルウェア
  • Emotetの場合、Display Name/表示名を偽装しているがIcedIDは正規の送信メールアドレスを使用
  • メールの件名が「返信(Re:)や転送(FW:)」ではじまる
  • ZIPで圧縮されたパスワード付きメールを送付
  • メール文面が日本語で書かれており、日本人をターゲットにしている

セキュリティ製品によってはパスワード付き圧縮ファイルの解凍に対応していないため、検出が回避されて受信者の元にメールが届く可能性があり、感染の拡大が危惧されています。JPCERT/CCが提供しているEmotet感染チェックツール「EmoCheck」ではIcedIDを検出することができず、やっかいなマルウェアです。またIT管理者などがEmotetの攻撃手法が似たIcedIDの攻撃に気付けず、被害につながる恐れがあると警告されています。

攻撃の流れ

  • パスワード付きZIP形式の添付ファイル付きメールが配送(パスワードは同一メールに記載)
  • ユーザがZIPファイルを解凍し、Wordファイルを開封
  • ユーザがWordファイルを開いた時、マクロの有効を許可
  • マクロがWindowsのシステムからmshta.exe をコピー
  • コピーされたmshta.exe を利用して、htaファイルのダウンロード、実行。
  • htaファイルによって、COM DLLファイルがダウンロードされ、regsvr32.exeでサービス登録。並行して、IceID /IcedIDマルウェアをダウンロード、実行。
  • IceID /IcedIDマルウェアに感染

攻撃は上記のような流れで行われますが、件名が「返信(Re:)や転送(FW:)」ではじまるメールをうっかり開き、マイクロソフトの「セキュリティ警告」を無視して「コンテンツの有効化」クリックすると感染します。

IcedIDの被害

  • メールアドレスやパスワード、ブラウザなどの認証情報など個人情報の盗取
  • 自組織から他の組織へ過去にやり取りしたメールに返信する形で攻撃メールが送信される
  • 別のマルウェアがダウンロードされる
  • IcedIDは不正なプログラムを受け取ると、ユーザが金融機関やカード支払を行う際の表示を偽装したり偽サイトに誘導したりする攻撃手法(Webインジェクション、リダイレクト攻撃)により、金融情報や資格情報を盗み取る(バンキングトロイ)

IcedIDは感染しても自らの存在がばれないように痕跡を隠します。そして密かに外部の犯人(C&Cサーバ)と交信し、感染したパソコンの概要(コンピユーター名、どんなソフトが動いているかなど)を伝えてしまいます。感染パソコンの概要を知った外部の犯人が攻撃方法を決め、IcedIDに不正なプログラムを送り攻撃命令を出し被害を及ぼします。以上のようにIcedIDはいったん感染するとなかなか発見されずに、長期間にわたって被害を与えていく可能性があります。

 

IcedIDの対策

IcedIDはユーザがWordファイルを開いた時、マクロの有効を許可することで発動します。そのためJPCERT/CCでもEmotetと同様にマクロを有効化しないことを推奨しています。また、なりすましメールの送信元はマルウェア起因でなく、メールアカウントへの不正ログインが疑われるのでパスワードを再設定するようにとも言われています。

マルウェアによる標的型攻撃とWebサイト改ざんへの対策

EmotetやIcedIDのようなマルウェアによる標的型攻撃を防ぐには、従来のセキュリティ対策ソフトだけでは不十分です。近年は従来のセキュリティ対策ソフトでは検知できない標的型攻撃が増加しており、一度マルウェアが侵入すると攻撃に対処することは不可能です。日々深刻化する標的型攻撃の中でもWebサイト改ざんによる被害が増加しています。WAF(Web Application Firewall)はホームページへの通信内容を監視し、脆弱性などを検知します。HTTPプロトコルやパラメータの名前・値などを検査し、不正な通信を検知すると自動でそれを遮断します。他にも、Cookieの暗号化や応答ヘッダの追加など、さまざまなWebアプリケーションの防御機能を搭載しています。そのためWebサイト改ざんといった攻撃の防御に有効です。

WAFは、従来のネットワークセキュリティであるFW(Firewall:ファイアウォール)、IPS(Intrusion Prevention System:侵入防止システム)、NGFW(Next Generation Firewall:次世代ファイアウォール)と異なり、防御可能な通信レイヤー(層)および防御可能な攻撃の種類にその差があります。クラウド型WAFは導入コスト・運用コストが安く、自社にセキュリティのエンジニアを配置する必要がないメリットがあります。数あるクラウドがタWAFの中でもクラウドブリック(Cloudbric)は日本国内のみならず海外でも多く利用されているだけではなく、セキュリティの安全性を表す世界的な基準に準拠している点が特徴です。さらに、クラウド型WAFサービスを含め、L3/L4/L7DDoS攻撃対策サービス、SSL証明書サービス、脅威情報データべースに基づく脅威IP遮断サービス、ディープラーニング(AI)エンジンによるWebトラフィック特性学習サービスなど5つのサービスを1つのプラットフォームにて提供するため、Webサイトに対する高度かつ幅広いセキュリティを実現することができます。まさに「グローバルに活躍するクラウド型セキュリティ・プラットフォーム・サービス」であり、さまざまな機能を数多く持ち合わせたセキュリティ対策です。

 

さいごに

IcedIDは前述のように、Emotetと似ていますが異なるマルウェアなのでEmotetを対策するツールでは防御できません。Emotetは2019年末から日本で流行し多くの被害を与えていることから、広く認知されています。2020年2月にはJPCRET/CCがEmotetに感染していないかを確認する「EmoCheck(エモチェック)」をリリースしました。Emotetへの感染が疑われたらEmoCheckで確認している企業様も多いと思いますが、IcedIDはEmoCheckでは確認できません。感染の事実に気が付かず長い間被害にあい続けてしまう、という事態が発生する可能性がでてくるのです。

IcedIDの対策は、不審なメールを受信した・不審なメールの添付ファイルを開いた場合は特定の部門まですぐに報告するよう周知するのに加え、メールで送付されたWord文書ファイルの「コンテンツの有効化」は基本的に実行しない、なりすましメールの送信が疑われる場合はメールアカウントのパスワードを再設定するといった対策を徹底するようにしましょう。またWAFの導入等、一般のセキュリティソフトでは対策できない攻撃を防ぐセキュリティツールの利用の検討も行い、日頃から多層的に防御していくことが重大な被害を防ぐことに有効です。

一石五鳥のWebセキュリティ対策「クラウドブリック」に関する詳細情報はこちらからご確認ください。

Cloudbric WAF+

クラウドブック「リモートアクセスソリューション」

テレワーク導入を阻むセキュリティ課題をゼロトラスト視点で見直す

by ブログ

大東建託株式会社が今年9月に行ったテレワーク実施状況などに関するインターネット調査では、実施率は26.3%と依然4分の1以上の企業がテレワークを継続している状況です。コロナ過の長期化に伴い、テレワークで働く人が一定数いる状況は今後も続くと予想されますが、セキュリティ対策強化の困難さが問題として浮き上がっています。従来、業務用PCは物理的にIT部門の近くにあるため管理も比較的容易でしたが、テレワークにより設置場所が社員の自宅へと一気に拡散し、管理が複雑になることで、セキュリティリスクの上昇とともに、トラブル対応が増加し生産性の低下などを招く可能性も出ています。 今回はテレワークを推進するにあたっての、セキュリティ上の課題とその解決策をまとめていきたいと思います。

 

テレワークのセキュリティ課題

Wi-Fiからの情報漏えい

外出先でインターネットに接続して作業する際に、公共Wi-Fiを利用することがあるかもしれません。公共Wi-Fiは無料で利用できて便利です。しかし、公共のWi-Fiはどのようなセキュリティ対策が施されているかわかりません。万が一不備がある場合は、データの盗み見や詐欺サイトへの誘導など、第三者への情報漏えいの懸念があります。

また家庭用Wi-Fiもセキュリティに不備があると、ネットワークへの不正侵入や不正サイトへの誘導、ウイルス感染の可能性があります。社内ネットワークにアクセスする手段として、家庭内Wi-Fiが悪用される可能性もあるので注意が必要です。

セキュリティ対策のない私物端末の使用

テレワークで使用されるパソコンに、ウイルス対策ソフトなどのセキュリティ対策が施されていないと、万が一ウイルスに感染した際に対処できません。最悪の場合、パソコンからデータを抜き取られ、会社の情報漏えいにもつながります。

 

VPNの負荷と脆弱性

VPN(Virtual Private Network)接続とは、インターネット上に仮想の専用線を設定し、特定の人のみが利用できる専用ネットワークです。接続したい拠点(支社)に専用のルーターを設置し、相互通信を行うことができます。「トンネリング」「暗号化」「承認」を設定することで、セキュリティ上安全にデータのやり取りを行うことができるといわれていて、テレワーク下で多くの企業が利用しています。しかし、VPNアプリは決して万能ではありません。

実際にテレワークで使ってみると、VPNで会社につなげたくても、回線や機器の負荷が高すぎてつながらない」「重たくて仕事にならない」といった声があがっています。従来のアーキテクチャでは、従業員からの通信はVPNを利用していったん内部に集約されます。クラウドサービスの利用も、いったん企業のVPNゲートウェイを経由して行われます。ダイレクトにクラウドサービスを利用する場合に比べ、データセンターへの行ったり来たりが増えて帯域もセッション数も消費し、ボトルネックとなっています。

標的型攻撃や最近のランサムウェアといったサイバー攻撃の高度化も深刻な懸念材料になっています。RDP(Remote Desktop Protocol)やVPNといったリモートアクセス環境で弱いパスワードが設定されているアカウントを乗っ取ったり、脆弱性を悪用したりと、さまざまな手段で攻撃を仕掛けてきます。一旦内部に侵入されてしまえば、共有ファイルサーバやディレクトリサーバへのアクセスも可能になり、社内セキュリティは無防備にさらされます。ユーザがインターネットを利用している間に、ウイルス感染したサイトに誘導することもできるため、VPNの使用は慎重に行わなければなりません。

 

ゼロトラスト・セキュリティ

VPN接続の場合、ファイアウオールなどによるネットワークの「境界防御」が破られ、「安全な」ネットワークの内側に侵入されると、侵入者によって社内アプリケーションへ好き勝手にアクセスされてしまう問題があります。これまでのセキュリティ対策は、ITの世界を、信頼できる「内部」と、脅威が蔓延する危険な「外部」とに分け、外側から侵入を試みる不正アクセスやマルウェア、悪意あるメールなどを、境界で検知してブロックするという境界防御の考え方が主流でした。しかしIT環境の変化とサイバー攻撃の高度化により、もはやこの境界防御では防ぎきれない現実があります。また社内に置かれていたサーバがIaaSやSaaSといったクラウド環境にどんどん移行し、これまでは通信先も通信元も社内にあったのが、今はいずれも内部にあるとは限らず、内と外を分ける境界自体があやふやになっています。そのため、境界防御の考え方に代わって注目され始めたのが「ゼロトラスト・セキュリティ」です。場所にとらわれることなく常に認証やセキュリティ状態のチェックを行い、その結果に基づいて適切なリソースへのアクセスのみを許可していくというセキュリティの概念です。

実際米グーグルは従業員が在宅勤務をする際、VPNを一切使っていません。グーグルがVPNを使わなくなった背景には、いわゆる「ゼロトラスト・ネットワーク」の考え方があります。ゼロトラスト・ネットワークの考え方においては、どのような種類のネットワークであっても信頼しません。社内アプリケーションへのアクセスは、社内ネットワークからであっても社外からであっても必ず「アクセスプロキシー(認証サーバ)」を経由させ、社内アプリケーションの利用の可否を細かく制御しています。

 

Cloudbric Remote Access Solutionによる安全で簡単なテレワークセキュリティの実現

Cloudbric Remote Access Solution(クラウドブリック・リモートアクセス・ソリューション)は、境界防御にとらわれない企業専用ソリューションです。クラウド基盤で提供されるため、専用線やVPNを構築せず安全なリモートアクセス環境を提供します。VPNは一般のインターネット回線を使用してユーザとサーバを接続するため、安全性が低い場合もあります。例えば、ハッカーがネットワークに侵入した場合、これを防ぐ手立てがありません。 Cloudbricが提供するRemote Access Solutionは、権限のないユーザのアクセスを遮断し、プライベートネットワークに向かうすべてのトラフィックをリアルタイムでモニタリングするセキュリティ機能を提供します。

インストールや複雑な設置が不要

既存のVPNソリューションとは異なり、複雑なインストールが不要でWebブラウザ環境からログインするだけで、社内ネットワークにアクセスできます。テレワーク体制が必要な企業だけでなく、様々なオンラインサービスなどを行わなければならない教育機関や公共機関でも簡単に導入することができます。またユーザにプライベートネットワーク(Private Network)にあるWebサーバ、サーバ内のデータ、あるいはアプリケーションにリモートアクセスできるクラウドベースのセキュリティのみならず、ハッキングやの侵入、DDoS攻撃まですべて防御できるセキュリティ機能も提供します。

特徴

  • 拠点間ゲートウェイの設置不要
  • 追加ソフトウェアのインストール不要
  • DNS情報の変更だけですぐに利用可能
  • Webブラウザからログインするだけで遠隔地からも業務を進められる
  • モバイル、タブレットなど様々な端末から社内環境へアクセス可能

リモートアクセス環境を安全に保護

3つのセキュリティ対策を通じて、あらゆる方向からのサイバー攻撃を事前に防御します。様々なWeb脅威を防御し、送受信されるすべてのトラフィックへの安全性を確保しつつ、いつ、どこでも社内ネットワークに安全にアクセスすることができます。すべてのセキュリティ機能には、別途インストールが必要なく、ユーザとサーバ間のトラフィックが基本的に暗号化されて転送されます。

3-Layer Security

  • Traffic Monitoring(トラフィックのモニタリング)
  • User Authentication(ユーザ認証)
  • Hack Prevention(ハッキング対策)

新型コロナウイルス感染症はいまだ終息が見えません。セキュリティ面から導入を取りやめる企業もでているテレワークは、経営課題である人手不足への有効な対応策にもなり得るメリットもあり、今後積極的に活用できるかどうかで企業の人事戦略に大きく影響がでてくることも予想されます。セキュリティの構築が面倒、VPNでは防御しきれないとあきらめる前に、導入も簡単で、高精度なセキュリティを実現するRemote Access Solutionをご検討ください。

Cloudbric RAS

DDoS対策

さらに巧妙化し進化を遂げるDDoS攻撃に対する有効な防御手段について徹底解説

by ブログ

DDoS(Distributed Denial of Service)攻撃は、件数の増加とともに規模が拡大する傾向にあります。IPAが公表する『情報セキュリティ10大脅威 2020』にもランクインしている「サービス妨害攻撃によるサービスの停止」も、DDoS攻撃によりサーバに大量の処理要求を送信し高負荷状態にする手口として紹介されています。インターネット上の公開サーバに複数のコンピューターから一斉に大量のデータを送り付け、ネットワークやシステムを飽和させて利用できないようにするDDoS攻撃の脅威がここ数年、急激に高まっています。昔からある攻撃ですが、近年はさらに巧妙化し防御が難しくなっているとも言われています。そこで今回はDDsoS攻撃について詳しくまとめ、進化する攻撃に対する有効な防御手段『Advanced DDoS Protection』についても紹介していきたいと思います。

 

DDos攻撃とは

ネットワークを介してインターネット上で多くのサービスが提供されています。攻撃者はそういったウェブサイトや組織で利用しているサーバに対して大量の処理要求を送ります。処理が追い付かなくなるほどの処理要求を受けたウェブサイトやサーバは、閲覧ができなくなったり、処理が遅くなったりするなど、サービスの提供が正常に行えなくなります。こうした攻撃は、DoS攻撃(Denial of Service attack)やDDoS攻撃(Distributed Denial of Service attack)と呼ばれる攻撃によって引き起こされます。Dos攻撃は単一のコンピューターからの攻撃ですが、DDos攻撃は複数のコンピューターからの攻撃です。Dos攻撃もDDos攻撃も最終的な目的は同じですが、ターゲットにされたサーバの処理が停止し、次のような『サービス妨害攻撃によるサービスの停止』に陥ります。

  • 企業のホームページが閲覧できなくなる
  • ECサイト、イベントチケットの販売等、ネット販売サービスの提供ができなくなる
  • 動画配信サイトのサービスが停止する

こうしてDDoS攻撃の標的になってしまうと、企業は正常なサービスの提供ができなくなり、企業としての信頼性を損ねたり、営業機会の損失により莫大な金銭的被害を被ったりします。

Security Magazineのレポートによると、2020年第1四半期の DDoS 攻撃は、2019年第1四半期と比較して278% 増加し、2019年第4四半期と比較すると524%の増加になったとも報告されています。

 

DDos攻撃の対策

DoS攻撃は、標的となるWebサーバにリクエストを送りつける攻撃と、Webサーバの脆弱性を悪用する攻撃の2種類に分けることができます。前者には、大量のリクエストを送りつける「フラッド(洪水)攻撃」や、ホームページがデータのやりとりをする仕組みを悪用する「スロー攻撃」などがあり、DDoS攻撃はこの2種類の発展型といえます。サイバー犯罪者は、パソコンをボットウイルスに感染させ、遠隔操作を可能にすることで、数千台、数万台のパソコンからDoS攻撃を行えるようにしました。ボットウイルスに感染したパソコンから、発信元を攻撃先のWebサイトに偽装したリクエストを送りつけ効率よく攻撃します。一般的な対策として、IPS・IDS、WAF製品による防御がとられています。

IPS(Intrusion Prevention System)

IPSは不正侵入防御システムと呼ばれ、すべてのトラフィックを監視し、洗浄することで正常な通信のみをサーバに送るという役割を果たしています。そのため、DDoS攻撃もIPSによって検知され、洗浄されます。大規模なDDoS攻撃は、IDS(不正侵入検知システム)などで検知することができますが、小規模なDDoS攻撃は、企業が一般的に検知できるレベルを下回るため、攻撃を受けていることに気づきにくいデメリットがあります。しかも、最近は小規模かつ隠密性が高いDDoS攻撃が増えているとも報告されていてやっかいです。最近の小規模DDoS攻撃では、サーバを停止させずに、サーバのパフォーマンスを長期間にわたって下げることを目的にしています。こうした攻撃が長期にわたって行われることで、知らず知らずのうちに大きな被害を受けることにつながる危惧があります。

WAF(Web Application Firewall)

Webサーバの脆弱性を悪用しようとするDoS攻撃には、WAF(Web Application Firewall)も効果的な対策となります。WAFは、アプリケーションレイヤーで不正な通信を遮断し、脆弱性を悪用しようとする攻撃を検知してブロックするため、たとえ脆弱性が存在したままでもDoS攻撃を防ぐことができます。WAFではIPS・IDSが対処できないWebアプリケーションへの攻撃、SQLインジェクション、クロスサイトスクリプティングといった攻撃にも対応することが可能です。

DDos攻撃の対策にはどちらの対策のほうがより効果があるということではなく、それぞれ防御するレイヤーが異なるので組み合わせていくことがより効果的な防御につながります。さらには、近年の巧妙化するDDoS攻撃には、こうした一般的なIPS・IDS、WAF製品だけでは物足りない状況も発生しています。攻撃側の進化に伴い、防御にはより高速でリアルタイムに処理できる技術が今求められているからです。そのひとつのソリューションとして、エッジコンピューティングを活用したクラウドブリック(Cloudbric)の『Advanced DDoS Protection』をご紹介します。

 

『Advanced DDoS Protection』のアドバンテージ

エッジコンピューティングを活用した高速処理

クラウドブリック(Cloudbric)の『Advanced DDoS Protection』はエッジコンピューティング技術を活用し、より確実に防御を実現しています。

エッジコンピューティングとは

エッジとは、モバイル機器などのデバイスや、無線基地局、局舎などネットワークのユーザ側終端ことを指します。こうしたエッジ上の機器でデータ処理を行うことを「エッジコンピューティング」と呼ばれています。エッジコンピューティングでは、大量のデータ処理を、多数のエッジ、クラウドにまたがって実行します。エッジコンピューティングでは、ユーザ側機器で発生する膨大なデータをクラウドですべて処理するのではなく、生成元であるエッジ上で処理することで、処理を分散するアーキテクチャに変化してきています。エッジ側でデータ処理を行うことでリアルタイム性の確保、セキュリティリスクの低減、通信量の削減を実現できるテクノロジーです。あらゆるモノがネットワークに繋がるIoT時代で特に求められている技術で、クラウドとエッジで適切な機能配置を行うアーキテクチャが今後主流になるといわれています。

Advanced DDoS Protectionはこのエッジコンピューティングを活用し、保護対象と物理的に近い場所にあるエッジロケーションを通じてワークロードを分散させ、安定的なリクエスト送信を行います。それによって、DDoS攻撃が発生した際に効率的な作業及び即時対応が可能になります。待ち時間が60%短縮されたエッジコンピューティングと、エッジロケーション間の専用ネットワーク構築により、DDoS攻撃に対し従来に比べ10倍以上の速さで快速に対応できます。

この高速処理により、1秒当たり最大65テラバイト(Tbps)規模の攻撃まで防御可能です。大量のトラフィックによる大規模で高度なDDoS攻撃に対する緩和機能を提供できるので、最大規模の攻撃にしっかり対応できます。

 

Advanced DDoS Protectionの機能

リアルタイムネットワーク保護

インフラへの攻撃に対しリアルタイム検知・分析及び遮断を行います。また、インラインで遮断されたトラフィックはグロバール・ファイバーバックボーンを通じて分散されます。

様々な種類の攻撃にしっかり対応

UDP、SYN、HTTP Floodなど、ネットワーク層(L3,4)からアプリケーション層(L7) まで、様々なDDoS攻撃に対し、最善のセキュリティ対策を提供します。

脅威を自動検知するインテリジェント機能搭載

悪性のDDoSトラフィックをインテリジェントにルーティングするために開発された「フィルタリング・アルゴリズム」により、許可、遮断に関するルールが自動的に作成されるため、どんな攻撃にも迅速に対処できます。

DDoS攻撃は年々巧妙化・複雑化し、進化を続けています。従来のセキュリティ対策では防ぎきれないため、新たな脅威に対する備えが必要です。頻繁に行われる従来型DDoS攻撃から、マルチベクトル型攻撃やアプリケーション攻撃などまで、全範囲におけるDDoS対策サービスを提供するのが、Cloudbric ADDoSです。

Cloudbric ADDoSの詳細はこちら

Cloudbric ADDoS