コラム第７７７号：「最近のランサムウェア攻撃やサイバースパイに見られるOPSEC（運用上のセキュリティ）の進展」

第７７７号コラム：名和　利男　理事（株式会社サイバーディフェンス研究所専務理事／上級分析官）
題：「最近のランサムウェア攻撃やサイバースパイに見られるOPSEC（運用上のセキュリティ）の進展」

近年、デジタル世界は急速に進化し、その一方で、ランサムウェア攻撃やサイバースパイ活動といった新たな脅威が増加しています。これらの攻撃は、個人、企業、さらには国家レベルでのセキュリティを脅かしています。しかし、これらの攻撃の背後にあるのは、単なる技術的な進歩だけではありません。それらは、攻撃者が自身の活動を隠蔽し、追跡を避けるための戦術、技術、手法の進化、すなわちOPSEC（Operational Security）の進化の産物でもあります。

OPSECは、敵に対する情報の漏洩を防ぐためのプロセスであり、その目的は、敵が自身の意図や活動を推測するのを防ぐことです。ランサムウェア攻撃やサイバースパイは、自身のアイデンティティを隠し、活動を追跡されるのを防ぐために、OPSECを駆使しています。

これに関連して、私の活動領域において、次のような状況を確認しています。

（ランサムウェア攻撃活動）
2022年末くらいから、ゼロデイ脆弱性を積極的に悪用したランサムウェアが相次いで報告されています。例えば、英語情報だけでも、次のようなものが発生しています。

Playランサムウェアによる Microsoft Exchange Serverのゼロデイ攻撃
ContiランサムウェアによるFortinet FortiOSのゼロデイ攻撃
Cl0pランサムウェアによるFortra GoAnywhere Managed File Transferのゼロデイ攻撃
Cl0pランサムウェアによるMOVEit Transferのゼロデイ攻撃

このようなランサムウェアを利用した攻撃グループは、これまで多額の身代金などを数多く得ていることが観測されており、彼らは（信頼の輪を基盤とする一部の）ダークウェブ等で流通している「非常に高額なゼロデイ脆弱性」を購入している様子が見られています。これに対して、企業等がバグマウンテン（脆弱性報奨金制度）の金額を高めるなどの努力をしていますが、最近、一部の企業において、報告された脆弱性に対する報奨金の支払いを拒否する姿勢が見られているため、ダークウェブに販売するメリットが相対的に高まっているとする主張が専門家コミュニティなどで相次いでいます。

また、EDR等の先進的なセキュリティ検知機能を回避または停止させるランサムウェア攻撃者が増加しています。特に、BYOVD（Bring Your Own Vulnerable Driver）と言われる、攻撃者が脆弱なドライバーをシステムにインストールして悪用する攻撃手法を駆使して、EDRを完全停止させる手法が目立っています。

最近では、Go言語で開発されたランサムウェアが散見されるようになってきています。Go言語で開発されたマルウェアの解析技術やデジタル・フォレンジック技術は未成熟であるため、検知や分析することが困難な状況になることがしばしばです。

このような攻撃技術の指向する方向は、OPSECであると言え、次のような特徴が見られます。

複雑化した通信 ・・・攻撃者は、自身の通信を隠蔽するために、暗号化、トンネリング、ステガノグラフィー（画像や音声データに情報を隠す技術）などの手法を用いています。これにより、攻撃者の通信を検出し、解析するのが困難になっています。
分散型インフラ ・・・攻撃者は、自身のインフラを分散させ、複数の国や地域に跨がるようにしています。これにより、一部のインフラが摘発されても、他の部分が機能し続けることが可能になります
ソーシャルエンジニアリングの進化 ・・・攻撃者は、人間の弱点を突くソーシャルエンジニアリングの技術を駆使しています。フィッシング攻撃やスピアフィッシング攻撃は、ますます巧妙化しており、ターゲットがそれを見抜くのは難しくなっています。

（サイバースパイ活動）
2020年10月1日に米国領グアムに海兵隊基地「キャンプ・ブラズ」が設置され、2024年12月までに5,000人体制体制になることが決定されました。これを受けて、来年（2024年）より、沖縄から約4,000人が移動する予定となっています。

2023年5月上旬、米国は中国や北朝鮮からのミサイルへの防衛力を高めようと、2024年までに移動可能な新型レーダー「AN/TPY-6」と新型迎撃ミサイルシステム「イージス・アショア」の配備プロセスを開始しました。

このようなグアムにおける軍事力増強の流れに反応するかのように、2021年頃から中国の国家アクターVolt Typhoon によるサイバースパイ活動が確認され、2023年5月中旬あたりから、OPSECを飛躍的に高めた攻撃活動が一気に活性化しました。これを受けて、2023年5月24日に、米国およびその同盟国の国家機関とマイクロソフト社が、中国を名指しする形でサイバーセキュリティ勧告を出しました。その勧告のタイトルに「Living Off the Land」が含まれています。これは、サイバー攻撃の手法の一つで、攻撃者が既存の、正常に動作するシステムツールやソフトウェアを利用して攻撃を行うことです。正当なツールを使用しているため、侵入検知システムやアンチウイルスソフトウェアなどのセキュリティ対策で検出しにくくなります。

その他のサイバースパイ活動にもOPSECの進化が見られており、次のような特徴が見られます。

高度なマルウェア ・・・サイバースパイは、高度なマルウェアを使用して、自身の活動を隠蔽し、検出を避けています。これらのマルウェアは、ルートキットやステルス機能を備えており、一度感染すると、それを検出し、除去するのは非常に困難です。
ゼロデイ攻撃 ・・・サイバースパイは、未知の脆弱性を利用するゼロデイ攻撃を行うことで、セキュリティ対策を回避しています。これらの攻撃は、防御側が対策を講じる前に攻撃が行われるため、非常に効果的です。
AIと機械学習の活用 ・・・サイバースパイは、AIと機械学習を活用していると見られており、自身の活動を自動化し、効率化しています。これにより、大量のデータを迅速に分析し、有用な情報を抽出することが可能になっています。

これらの進化は、ランサムウェア攻撃とサイバースパイが、ますます巧妙で効果的な攻撃を行うことを可能にしています。しかし、それは同時に、防御側がこれらの脅威に対抗するための新たな戦略と手法を開発する必要性をもたらしています。

このような脅威の高まりに対して、防御側が取るべき対策としては、次のようなものが考えられます。