グローバル脅威インテリジェンスレポート

サイバーレジリエンスを高めるための実用的なコンテキストインテリジェンス

 

2024年3月版

報告期間: 2023年9月1日~12月31日

フルレポートをダウンロードする

イントロダクション

2024 年を迎え、四半期ごとの BlackBerry ®グローバル脅威インテリジェンス レポートも 1 暦年を迎えました。今年は本当に素晴らしい 1 年でした。過去 12 か月間、BlackBerry レポートは世界中のサイバーセキュリティ専門家や CISO にとって重要な参照ガイドとなり、業界に影響を与える最新のサイバーセキュリティの脅威、傾向、課題について意思決定者が最新情報を把握できる資料として役立っています。また、BlackBerry は、社内のテレメトリと外部のリソースの両方を活用して、このレポート期間内にグローバルなサイバー脅威の状況の包括的なレビューを提供することを目指しています。

この最新号では、BlackBerry の脅威調査およびインテリジェンス チームがレポートの重要インフラ セクションを改訂し、新しいフォーマットにいたしました。この重要なセクションには、既存の重要インフラ セクターである公共事業および通信に加えて、金融、医療、政府セクターも含まれるようになりました。新しいセクションでは、営利企業が直面する脅威と課題についても説明します。

レポートの締めくくりとして、レポート期間中に主要なすべてのオペレーティング システム (OS) で発生した主なマルウェアの脅威を取り上げ、MITRE D3FEND ™と MITRE ATT&CK ®の両方に関する実用的なデータを含めています。

さらに、プロフェッショナル サービス部門のインシデント対応 (IR) およびフォレンジック チームによる新しいセクションを発表できることを誇りに思います。このセクションでは、顧客との関わりの中で遭遇した脅威について説明しています。

このレポートでは、2023 年 9 月から 12 月にかけて発生した脅威について対象としております。

レポートノハイライト

数字で見る120日

これまでのグローバル脅威インテリジェンス レポートは 3 か月間を対象としていましたが、今回のレポートは 2023 年 9 月 1 日から 12 月 31 日までの 4 か月間を対象としています。このレポート期間中、BlackBerry ®サイバーセキュリティ ソリューションは、BlackBerry ソリューションで保護されている組織を標的とした 520 万件を超えるサイバー攻撃を阻止しました。これは 1 分あたり約 31 件の攻撃に相当し、前回のレポート期間中の 1 分あたり 26 件の攻撃から 19% 増加しています。

この報告期間中、新しいマルウェア ハッシュの 1 分あたりのレートは、前回の報告期間よりも 27% 増加し、BlackBerry の脅威調査およびインテリジェンス チームは、1 分あたり 2.9 個の新しいマルウェア サンプルから 1 分あたり 3.7 個の固有ハッシュを記録しました。

 

重要なインフラと営利企業

この報告期間中、BlackBerry の社内テレメトリでは、業界関連の攻撃全体の 62% 以上が重要なインフラストラクチャを標的としていたことが記録されています。マルウェアやその他のサイバー脅威はインフラストラクチャに深刻な影響を及ぼす可能性があり、感染した組織だけでなく、これらの重要な資産がサポートしている地域や国全体に影響を及ぼす可能性があります。

さらに、私たちは、営利企業というまったく新しい業界セクターについて報告するようになりました。このセクターは、小売、資本財、卸売業、およびその他の関連業界で構成されています。私たちのテレメトリによると、BlackBerry によって保護されている資産を標的とした業界関連の攻撃のほぼ 33% が営利企業セクターで発生しました。また、これらの攻撃の 53% が独自のマルウェアを使用していました。これは、攻撃者が新しいマルウェア ハッシュを作り上げ、ゼロから構築するか、既存のマルウェアを変更して、ターゲットに侵入するチャンスを高めたことを示しています。

斬新なマルウェアは、通常、攻撃者が特定の組織やセクターに強い関心を持っている場合に使用されます。脅威アクターによるユニークなマルウェアの使用 (コモディティや「既成」のマルウェアの使用とは対照的) は通常、意図的であり、静的シグネチャに基づく従来の防御を回避することを目的としています。攻撃者は、同じソース コードを最小限の変更で何度もコンパイルすることで、新しいマルウェア (つまり、ユニークなハッシュ) を作成する単純な自動化スクリプトを利用できます。

 

ランサムウェアとインフォスティーラーの攻撃

前回のレポートで予測したように、このレポート期間を通じて観察された共通の外部傾向は、ランサムウェアが新たな脆弱性を利用し、潜在的に脆弱なターゲットに対して大規模に動員されるというものでした。ほとんどのランサムウェアグループは純粋に利益を上げるために活動しており、成功の可能性を高め、金銭的利益を得るために、新しいゼロデイエクスプロイトを利用することがよくあります。

報告期間を通じて、世界中の重要インフラと営利企業セクターの両方で活動する著名な組織がランサムウェア グループの攻撃を受けました。米国の医療事業からヨーロッパのエネルギー プロバイダーまで、ランサムウェア グループが再び猛威を振るい、公共の安全や人命にまで被害を与えるケースが多く見られました。

明るい話題としては、FBI が最近、今日の脅威状況で最大のランサムウェア グループの 1 つである LockBit との戦いで大きな前進を遂げたことです。「Operation Cronos」と呼ばれる世界規模の作戦では、10 か国の法執行機関が協力してLockBitグループのインフラストラクチャと漏洩サイトの制御権を握り、サーバーから情報を収集し、逮捕し、制裁を課しました。LockBit は 2019 年に出現し、銀行や航空会社を含む幅広い組織を標的にしました。BlackBerry は、LockBit などの脅威グループが罰せられないように、国際法執行機関と協力を続けています。

重要なインフラストラクチャと商業企業セクターでは、 Cylance ® AIを搭載した BlackBerry サイバーセキュリティ ソリューションによって、さまざまな情報窃盗マルウェア (別名「インフォスティーラー」) ファミリーが特定され、ブロックされました。また、市販のマルウェアも、多くのセクターを標的に使用されました。これらの悪意のあるファミリーは、多くの場合、地下フォーラムでマルウェア アズ ア サービス (MaaS) として販売され、数え切れないほどの大規模なサイバー攻撃キャンペーンで使用されています。MaaS は、ソフトウェア アズ ア サービス (SaaS) モデルの望ましくない派生であり、初心者のサイバー犯罪者にとって参入障壁を大幅に下げます。 

 

実用的なインテリジェンス

BlackBerry グローバル脅威インテリジェンス レポートの目標は、洞察力に富んだサイバーセキュリティ データとコンテキスト サイバー脅威インテリジェンス (CTI) を提供することです。実用的なインテリジェンスを提供するという目標をさらに推進するため、一般的な MITRE テクニックと適用された対策に関するセクションを設けました。このセクションでは、このレポート期間中に脅威グループが使用した上位 20 のMITRE ATT&CKテクニックをまとめ、前回のレポート期間と比較します。これらの調査結果は、上位 20 の戦術、テクニック、手順 (TTP) を使用して実用的な脅威モデリング アクティビティを実施することで、パープル チーム演習の実用的なシミュレーションに組み込むことができます。

さらに、BlackBerry の脅威調査およびインテリジェンス チームは、MITRE D3FEND を活用して、2023 年 9 月から 12 月にかけて観察された主な悪意のある手法に対する対策のリストを作成しました。また、 CylanceGUARD ®チームが提供するマネージド検出および対応 (MDR) データに関するセクションも追加しました。

最後に、BlackBerry Threat Research and Intelligence チームの優秀なグローバル研究者グループに感謝したいと思います。彼らは、読者に情報を提供して教育する世界クラスの市場初の研究を継続して提供し、データと Cylance AI 駆動型製品およびサービスを継続的に改善しています。最新版で紹介されている詳細かつ実用的な洞察が、読者にとって価値あるものになることを願っています。

Ismael Valenzuela
、BlackBerry の脅威調査およびインテリジェンス担当副社長
@aboutsecurity

当該期間のサイバー攻撃

2023 年 9 月から 12 月まで、BlackBerry のサイバーセキュリティ ソリューションは 520 万件を超えるサイバー攻撃を阻止しました。このレポート期間は以前のバージョンよりも長くなっていますが、データを 1 日単位で見ると、この期間に阻止されたサイバー攻撃は前回のバージョンと比較して 19% 増加していることがわかります。

さらに、当社の顧客を標的としたマルウェア サンプルが 1 日平均約 5,300 件確認されており、この報告期間中に記録されたサンプルの総数は 630,000 件を超えており、これは前回の報告期間に比べて 27% 増加しています。

Figure 1: Unique malware samples per minute over time.
Figure 1: Unique malware samples per minute over time.

国別の攻撃: 統計データ

ストップされた攻撃

下の図 2 は、BlackBerry のサイバーセキュリティ ソリューションが最も多くのサイバー攻撃を阻止した (つまり、阻止された攻撃の総数) 上位 5 か国を示しています。前回のレポートと同様に、米国が最も多くの攻撃を受けており、このレポート期間中に記録された攻撃の 76% を占めています。アジア太平洋地域では、オーストラリアと日本が高レベルの攻撃に見舞われ、上位 5 か国にランクインしました。オーストラリアは上位 5 か国に新たにランクインして 2 位となり、日本は過去のレポートと同様に 3 位となりました。ラテン アメリカでは、前回のレポートと同様に、ペルーが 4 番目に高いレベルの攻撃に見舞われました。カナダは、このレポート期間中に 5 番目に高いレベルの攻撃に見舞われました。

Figure 2: Total attacks stopped versus. unique malware encountered.
Figure 2: Total attacks stopped versus. unique malware encountered.

ユニークなマルウェア

図 2 には、BlackBerry サイバーセキュリティ ソリューションが記録したユニーク マルウェア ハッシュ数が最も多かった 5 か国も示されています。ユニーク マルウェアの割合が最も高い米国が 1 位です。ユニーク マルウェアの割合が最も高い 2、3、4 か国は、すべてアジア太平洋地域です。2 位は韓国、続いて日本 (3 位)、オーストラリア (4 位) です。カナダは 2 期連続で 5 位でした。

上の図 2 を見ると、国ごとに阻止された攻撃の総数は、記録された一意のハッシュの数と必ずしも相関していないことがわかります。

これらの結果の背後には、攻撃者の動機、攻撃の複雑さ、攻撃の目的など、さまざまな要因があります。攻撃者は、スパム キャンペーンを利用して大衆をターゲットにし、国の一般市民 (または特定の業界) をターゲットにすることを目標としている可能性があります。ハッシュは非常に簡単に再ハッシュ化できます。これにより、ファイルの悪意のあるコードの実行には影響しませんが、ファイルの固有のハッシュ アルゴリズムが変更され、マルウェア対策スキャナーには異なるものに見えるようになります。

攻撃者は、より一般的な、つまり「既製の」マルウェアやツールを利用して、広範囲に被害を与える可能性もあります。しかし、少人数のグループ、業界、または個別の企業に的を絞った攻撃者もいます。標的を絞った攻撃では、脅威アクターは関心のある企業の個々の従業員を標的にすることがあります。こうした悪意のあるアクターは、生成型 AI ソフトウェアを使用してディープフェイクを作成し、非常に具体的で通常は価値の高いターゲットに対して、より独自のツールや戦術を展開する可能性もあります。

Figure 3: Attacks stopped and unique hashes ranked for the top five countries impacted this reporting period, versus previous report.
Figure 3: Attacks stopped and unique hashes ranked for the top five countries impacted this reporting period, versus previous report.

上の図 3 では、前回の報告期間から現在の報告期間まで、阻止された攻撃の総数と見つかった固有のマルウェア ハッシュが国ごとにどのように変化しているかがわかります。

  • 阻止された攻撃の総数では米国、日本、ペルーは変わらず、一方、韓国はマルウェア固有数のランキングで日本を追い抜いて3位から2位に上昇しました。
  • さらに、アジア太平洋地域では、オーストラリアが、この報告期間に阻止された攻撃の最も多い国として新たにランクインし、米国に次いで第 2 位となりました。オーストラリアは、顧客のシステムを標的としたユニーク ハッシュの数で第 4 位にランクされました。      
  • BlackBerry のテレメトリでは、カナダを拠点とする組織がこの期間に攻撃を受ける回数が減少し、2 位から 5 位に下がったことが記録されています。このレポート期間中の当社独自のマルウェア データでは、カナダは 5 位の地位を維持しました。

オーストラリアが最近、最も多くの攻撃を阻止した国のトップ5にランクインしたのは、最近の地政学的出来事が原因かもしれないと思われます。2023年11月、オーストラリア通信信号局(ASD)は2022~2023年の年次サイバー脅威レポートを発表し、オーストラリアの政府、企業、個人が直面するサイバー犯罪の主な傾向を明らかにしました。レポートの中で、ASDは原子力潜水艦やその他の高度な軍事能力に重点を置いているAUKUSパートナーシップを、「自国の軍事プログラムのために知的財産を盗もうとする国家主体の標的になる可能性が高い」と特定しました。ASD局長はさらに、オーストラリアが「より軍事力を高めるにつれて、他の主体が関心を持つ分野という点で明らかに注目を集めるようになる」と述べています。

ASDさらに、2023年にオーストラリア全土の個人や企業から法執行機関に約94,000件のサイバー犯罪行為の報告があり、前年比23%増加し、ランサムウェアだけでも毎年最大30億ドルの損害をオーストラリア経済に与えていると報告しました。サイバー攻撃の標的となったオーストラリアの中小企業の昨年の損失は、1社あたり平均約46,000ドルで、前年度30,000ドルから増加しました。

サイバー活動の急増に対抗するため、ASD は「今すぐ行動し、安全を守ろう」というサイバーセキュリティ意識向上キャンペーンの開始を発表し、個人や中小企業に対する主なサイバー脅威を特定しました。このキャンペーンでは、サイバー脅威に対処するために「今すぐ行動する」必要性を強調し、「オーストラリアの国民と企業は、あまりにも長い間、世界的なサイバー脅威に対して自力で対処しなければならなかった」と述べ、「2030 年までにサイバーセキュリティの世界的リーダーになる」という大胆なビジョンを打ち出しています。

業界別攻撃傾向:統計データ

下の図 4 は、阻止された攻撃と、各業界で BlackBerry が発見した固有のハッシュの両方を示しています。以前のレポートとは異なり、これまで個別に説明されていたいくつかの主要な業界セクターを 1 つのセクションに統合することで、重点を重要インフラに移しました。これは、重要インフラの定義を サイバーセキュリティおよびインフラストラクチャセキュリティ庁 (CISA)の定義と一致させるためです。下のグラフによると、BlackBerry が記録した業界に対する攻撃の 62% 以上が、重要インフラ組織に対するものでした。

また、この期間に阻止された業界に対する攻撃の 33% を占める営利企業も含めるようにテレメトリを改訂しました。ただし、記録された一意のハッシュの 53% は営利企業を狙ったものでした (一意のハッシュがさらに多く見つかったということは、攻撃者が特にこうした種類の組織を侵害することに興味を持っていたことを意味します。これは通常、攻撃が成功すれば利益が大きくなるためです)。

Figure 4: Industry-specific attacks stopped and unique malware hashes, September to December 2023.
Figure 4: Industry-specific attacks stopped and unique malware hashes, September to December 2023.

産業別攻撃

重要なインフラ

重要インフラはあらゆる現代社会のバックボーンであり、その機能のあらゆる側面にとって不可欠です。実際、米国に拠点を置く CISA は、  16 の異なるセクターを 重要インフラの傘下として定義しています。これには、輸送、医療、エネルギー、通信、金融、防衛、産業セクターなどが含まれます。

これらの多くの分野のシステムと資産は相互接続されたデジタル環境で織り合わされているため、さまざまな動機でセキュリティの設定ミスや脆弱性を悪用しようとするサイバー脅威の標的となることが頻繁にあります。

これは、前回の報告期間を通じて明らかであり、  CylanceENDPOINT ™  およびその他の BlackBerry サイバーセキュリティ ソリューションは、重要なインフラストラクチャ内のさまざまなセクターに対する 200 万件を超える攻撃を阻止し、金融セクターだけで 100 万件を超える攻撃を経験しました。

さらに、政府および公共部門の組織は最も多様な攻撃の広がりを経験し、固有ハッシュの 36% 以上がこの部門を標的としていました。

Figure 5: Critical infrastructure statistics for this reporting period.
Figure 5: Critical infrastructure statistics for this reporting period.

重要なインフラに対する主な脅威

こうした多様な分野を標的とするサイバー脅威は、大規模な混乱を引き起こし、それぞれの組織の重要な資産、システム、ネットワークを無力化または侵害する可能性があります。これは、攻撃の規模、国の経済発展、生活水準に関係なく、国の経済安全保障、公衆衛生、社会的安定に深刻な影響を及ぼす可能性があります。

BlackBerry は、この報告期間中に社内テレメトリ内でさまざまなセクターを標的とする複数のマルウェア ファミリを確認しました。

PrivateLoader は、C++ で書かれた悪意のあるダウンローダー ファミリであり、2021 年に初めて発見されて以来継続的に観察されています。このマルウェアは、被害者のデバイスにインフォスティーラーを展開するために使用されることがよくあります。当社のテレメトリによると、このレポート期間中に PrivateLoader が金融サービス食品および農業政府施設に関連するシステムを標的にしようとしていることが観察されました。  

PrivateLoader は、さまざまな複雑さを持つさまざまな悪意のあるペイロードを配布することで知られています。このマルウェアの配布ネットワークは、アンダーグラウンドのペイパーインストール (PPI) サービスを通じて管理されており、このサービスによってマルウェアとそのインフラストラクチャの継続的な使用と開発に資金が提供されています。

RisePro は、2022 年から実際に確認されている商用インフォスティーラーです。PrivateLoader の侵害指標 (IoC) の調査を通じて、RisePro を含む複数のサンプルが、その配布サービスを通じてマルウェアを展開しようとしていることがわかりました。被害者のデバイスに侵入すると、RisePro はコマンド アンド コントロール (C2) との通信を試み、個人情報や機密データを不正に取得してから、攻撃者のサーバーに送信します。この盗まれたデータは、別の悪意のある第三者に販売されるか、影響を受けた被害者を標的とした二次的な活動に使用される可能性があります。

SmokeLoader は、以前のレポート期間に BlackBerry が指摘した多目的マルウェアです。このマルウェアは独立したバックドアとして機能しますが、他のマルウェアの配信メカニズムとして使用されることがよくあります。SmokeLoader は、標的のデバイスに足がかりを得る前に、フィッシング ドキュメントまたはリンクを介して誤ってダウンロードされることがよくあります。このマルウェアは、このレポート期間にエネルギー部門を標的としていることが確認されました。

報告期間中に特に注目すべきは、ウクライナの国家サイバーセキュリティ調整センター (NCSCC) が、政府機関を標的とした SmokeLoader 関連の攻撃の急増を確認したことです。SmokeLoader が非常に強力なのは、被害者のデバイスにさまざまな他のマルウェアを展開する機能があるためです。

SmokeLoader は、過去にAmadeyRedLine 、Vidar などの多数のインフォスティーラーをドロップしたことが知られていますが、さらにランサムウェアの配信メカニズムとしても機能します。8Base ランサムウェアの背後にいる脅威グループは、以前 SmokeLoader を使用してPhobos ランサムウェアの亜種を配布していました。

PikaBot は、2023 年初頭に出現し、年間を通じて顕著な脅威となっているステルス性と回避性を備えたマルウェアです。このモジュール型マルウェアは、QakBot トロイの木馬と多くの類似点があり、C2 からさまざまなコマンドを受信できます。このレポート期間中、PikaBot は政府機関およびエネルギー部門を拠点とする組織で確認されました。

PikaBot は永続的であり、脅威研究者による分析を防ぐための多数の機能 (サンドボックス対策/分析対策チェックなど) を備えています。被害者のデバイスに侵入すると、マルウェアはコマンドを受信して​​実行し、貴重なデバイス情報を収集したり、C2 から受信した命令を実行したりすることができます。

この四半期を通じて、コモディティ インフォスティーラーも中程度に活発に活動しています。多くのインフォスティーラーは MaaS として販売され、大規模なキャンペーンで利用されています。

LummaStealer (LummaC2) は、被害者のデバイスから個人情報や機密データを盗み出すことに重点を置いた C ベースのインフォスティーラーです。LummaStealer は、暗号通貨ウォレット データや 2 要素認証 (2FA) ブラウザー拡張機能データを取得する能力に優れています。レポート期間中、金融機関政府機関を標的とする LummaStealer が BlackBerry によって確認されました。

RecordBreaker ( RaccoonStealer ) は、 2022 年に脅威グループの中心メンバーが逮捕されたため一時的に停止した、広く配布されている別のインフォスティーラーです。しかし、このグループは 2023 年半ばに更新されたバージョンで復活しました。当社のテレメトリでは、今回のレポート期間と前回のレポート期間の両方で、医療機関を標的とした RecordBreaker が記録されています。

RedLineインフォスティーラーは、これまでのレポートで BlackBerry に対する最も多く観察された脅威の 1 つです。.NET でコンパイルされたこのスティーラーは、複数のソフトウェアやデジタル プラットフォームから認証情報をスクレイピングして盗むことに重点を置いており、特にクレジットカード情報や暗号通貨ウォレットに重点が置かれています。 

RedLine は、地下フォーラムを通じて広く入手可能で、サブスクリプションとして、または比較的安価なスタンドアロン製品として販売されています。このマルウェア ファミリは、このレポート期間中に主に通信および政府部門を標的としました。

重要インフラの脅威の拡大

この報告期間を通じて、サイバー脅威の状況も広範に渡って非常に活発で、世界中の重要なインフラ組織に対する注目すべき攻撃が数多く発生しました。

10 月中旬、イリノイ州のモリソン コミュニティ病院は、BlackCat /ALPHV ランサムウェア ギャングによる侵入の被害者とされ、 ダーク Web サイトにその痕跡が残されました。数週間後、同病院は、9 月下旬に「権限のない第三者が当病院のネットワーク環境にアクセスした」事件が発生したと述べるセキュリティ通知を自社の Web サイトに掲載しました。ただし、攻撃者の名前や、ファイルがロックされたり盗まれたりしたかどうかについては触れられていません。 

11月、スロベニアの国営エネルギー企業であるホールディング・スロベニア・エレクトラルネ(HSE)がランサムウェア攻撃の被害に遭いました。国内のエネルギー生産の約60%を供給している同社にとって、侵入とファイルの暗号化によって電力の生産や出力が妨げられなかったのは幸運でした。

この事件の攻撃者の名前は公式には公表されていませんが、Rhysida ランサムウェア グループが犯人だった可能性があります。このグループは数週間後、自社の Web サイトでHSEを攻撃したと主張しました。

11月には、別の国有企業がランサムウェア集団による攻撃と侵害を受けたというニュースも報じられました。今回は主に国有の通信サービス会社で、1か月前にRansomEXX集団による攻撃を受け、最大6GBのデータが盗まれていました。これにはさまざまな形式の個人識別情報(PII)が含まれていました。また、100万人を超える顧客情報を含むCSVデータファイルがダークウェブに漏洩したとの報告もありました。

RansomEXX (別名 Defray および Defray777) は、2018 年に初めて確認されたランサムウェア ファミリです。このマルウェア ファミリには Windows 版と Linux 版の両方があり、政府機関やメーカーに対する注目度の高い攻撃で特に使用されました。RansomEXX は、ランサムウェア アズ ア サービス (RaaS) モデルとして実行され、プログラミング言語 Rust で記述されたRansomEXX2という亜種が 2022 年に登場しました。

米国では、CISA が2023 年 11 月 28 日に警告を発しました。これは、CISA が「Unitronics プログラマブル ロジック コントローラー (PLC) の積極的な悪用」と呼ぶ事態に対応するためのものです。これらは、上下水道施設で使用されるコンピューターです。警告では、これらの種類の施設がサイバー脅威の攻撃者によって積極的に標的にされていることが明記され、他の上下水道施設に対して、推奨されるすべてのガイドラインと予防措置に従うよう勧告されました。

2023年11月版のグローバル脅威インテリジェンスレポートで言及した活動の継続として、 LockBitギャングは、2024年2月にFBIによる取り締まりが試みられたにもかかわらず、重要なインフラストラクチャ組織を標的にし続けました。2023年のクリスマスイブに、LockBitギャングはドイツの病院ネットワークKatholische Hospitalvereinigung Ostwestfalen gGmbH(KHO)への攻撃に関与していたことが示されました。早朝の攻撃により、ファイルデータが侵害され暗号化され、3つの異なるKHO病院のサービスに深刻な混乱が生じました。

LockBit グループは、Citrix Bleed 脆弱性であるCVE-2023-4966を悪用して初期アクセスを獲得し、重要なインフラストラクチャ内の他の組織やセクターを標的にしていたことも確認されています。この結果、米国政府は共同サイバーセキュリティ アドバイザリ (CSA)を発行し、組織にパッチを適用し、推奨されるすべての緩和ガイドラインとベスト プラクティスに従うことを推奨しました。

過去に LockBit の被害に遭った人のために、ファイル回復ツールが利用可能になりました。FBI、ユーロポール、日本の警察、国家犯罪対策庁が協力し、これらのツールを「No More Ransom」ポータルで提供しており、現在 37 の言語で利用可能です。

営利企業

BlackBerry は、世界中の幅広い顧客と業界を保護しています。営利企業部門には、商業および専門サービス、資本財、資材、小売、自動車、製造業などが含まれます。

この報告期間中、営利企業部門を標的とした攻撃は 100 万件を超え、これは BlackBerry のサイバーセキュリティ ソリューションによって阻止されたすべての攻撃の約 33% に相当します。さらに、ユニーク ハッシュの 53% がこの部門を標的としており、その中にはわずか 120 日間で 170,000 件を超える新しいマルウェア ファイルが含まれています。

営利企業にとっての最大の脅威

営利企業業界では大量の EFT 取引と PII データを処理する必要があるため、インフォスティーラーの主なターゲットとなります。この機密性の高いデータは、脅威アクターによって人質として保持されたり、ダーク ウェブ フォーラムを通じて最高額の入札者に売却されたりする可能性があります。

報告期間を通じて、営利企業は、BlackBerry が過去の報告で指摘した RedLine やFormbook/XLaoder などの悪名高い情報窃盗マルウェアによる攻撃を頻繁に受けました。

SmokeLoader、PrivateLoader、Amadey、リモート制御および監視ソフトウェア (別名 Remcos) など、その他の多数のコモディティ ローダーやインフォスティーラーも、人気でこれに続いています。

Formbook は 長年にわたり活動している MaaS インフォスティーラーで、近年では XLoader としてブランド名を変更しています。2016 年から出回っているこのマルウェアは、Web フォームからデータを取得し、ユーザーのキー入力、ブラウザー データ、クリップボード データを記録します。90 を超えるさまざまなアプリケーションからデータを取得および抽出する機能を備えています。macOS ベースのバージョンは 2021 年から利用可能です。 

Remcos は 、コンピュータを遠隔操作できる市販のリモート アクセス ツール (RAT) です。正当な監視ツールとして宣伝されていますが、ハッキング キャンペーンで悪用されることが多く、サイバー犯罪グループに好まれています。Cert  -UA は 、ウクライナとポーランドに対する大規模なサイバー攻撃は Remcos によるものだとしています。

当社のテレメトリには、前述の RisePro Stealer や OriginLogger など、最近のインフォスティーラーもいくつか記録されています。

OriginLogger は、非常に有名なマルウェアである Agent Tesla の進化形です 。 サブスクリプションベースの MaaS として販売されることが多い Agent Tesla ファミリーは、一般的な Web ブラウザーから情報を盗み出したり、キーストロークをキャプチャしたり、被害者のデバイスからスクリーンショットを撮ったりする機能を備えた RAT で構成されています。

より広範な営利企業への脅威の状況

過去4か月間、営利企業、特に製造業と小売業が多数の攻撃の標的となりました。

11月には、イスラエルの小売業者がハクティビスト集団「サイバー・トゥーファン」の攻撃を受けたと報じられており、同集団はイスラエルのホスティング会社「シグネチャーIT」も攻撃しました。2023年11月以降、ガザでイスラエルとハマスが衝突を続ける中、同集団はイスラエルを標的に数百件のサイバー作戦を開始したと報じられている。IKEAなど多くの世界的な小売業者がシグネチャーITの攻撃で大きな被害を受けました。同集団はTelegramチャンネルへの投稿で、150人以上の被害者に侵入したと主張しています。1,000台以上のサーバーと重要なデータベースを消去し、破壊したと報じられています。  

12月は、企業にとって最大の脅威は往々にして企業自身の油断であるということを思い起こさせる出来事となりました。Real Estate Wealth Networkがホストする、保護されていないインターネットアクセス可能なデータベースが悪意ある人物に発見され、略奪されました。データベースには、不動産所有者、売主、投資家の詳細など、1.16テラバイトのデータ(約15億件の記録)が含まれていました。このデータベースは、政府関係者の住所や債務情報までも含む米国の不動産データの一元的な収集物でもあります。

こうした攻撃の被害者は、ランサムウェア犯罪グループの目的によってさまざまです。2023年末には、アパレル、フットウェア、衣料品メーカー最大手のVFコーポレーションが、 ALPHV(BlackCat)ランサムウェアグループの攻撃を受けました。現時点では捜査は未解決ですが、ノースフェイス、ティンバーランド、ヴァンズなどのブランドの顧客3,550万人分のデータが盗まれたことが確認されています。

地政学的分析とコメント

世界経済フォーラムの2024 年世界リスク報告書では、サイバーセキュリティの脅威を「今後 2 年間に予想される最も深刻な世界的リスク」の 1 つとしてランク付けしています。人工知能 (AI) の活用など、ますます高度な技術を駆使したサイバー攻撃は、今後も大きな混乱を引き起こし、ますます重要なインフラを標的にしていくというのが一般的な見解です。 

BlackBerry のテレメトリによると、この報告期間中に重要インフラ組織が多数の攻撃に直面したことが明らかになっています。攻撃はますます巧妙化しており、AI によって生成されたものを含む新しいマルウェア技術が使用され、重要インフラが麻痺するリスクが高まっています。世界各国の政府は、重要インフラのサイバー レジリエンスを高めることを目的とした一連の対策を開始しており、特に AI の悪意ある使用に関連するリスクに対する防御に重点を置いています。

政府は、重要インフラシステムの運用効率の向上など、AI が大きな可能性を秘めていることを認識していますが、重要インフラに AI ベースのシステムを導入して効率を最適化しようとする動きが、セキュリティに深刻なリスクをもたらす可能性があると懸念する人も多くいます。

これを防ぐために、政府は業界に対し、ますます強力になる AI モデルの開発と導入においてセキュリティを優先するよう求めています。

「インターネットの誕生からソフトウェアの大量導入、ソーシャルメディアの台頭まで、過去 40 年間にわたり、企業がセキュリティよりも市場投入までのスピードや機能を優先するあまり、安全性とセキュリティが後回しにされてきたのを私たちは目の当たりにしてきました。AI ソフトウェアの開発と実装では、セキュリティを犠牲にしてスピードを犠牲にする悪循環を断ち切らなければなりません。」

—AIに関するCISAロードマップ

世界中の政府は、強力な AI システムの開発と使用に対する「デフォルトで安全」なアプローチを奨励するガイダンスの開発と発行を急いでいます。英国カナダ EU  G7などの他の国や政治同盟も、高度な AI システムの責任ある開発と使用に関するガイドラインを発行しています。これには、世界中の 20 を超える国家サイバーセキュリティ機関によって承認された共同ガイドラインが含まれており、AI システムの構築者は、システムのライフサイクル全体を通じてセキュリティを優先する方法で、AI システムの設計、開発、展開、運用について十分な情報に基づいた決定を下す必要があることを強調しています。

また、2023年10月、バイデン米大統領は「安全で、セキュリティが高く、信頼できる人工知能」(EO 14110)に関する大統領令を発表し、その中で、CISAに対して、AIの導入により重要インフラシステムが障害、物理的攻撃、サイバー攻撃に対してより脆弱になる可能性を含め、重要インフラ分野でのAIの使用に関連する潜在的なリスクを評価するよう指示しました。  

2023 年 11 月、BlackBerry はマレーシア政府との画期的なサイバーセキュリティ契約を発表しました。これにより、同政府は BlackBerry の信頼性の高いサイバーセキュリティ ソリューションのフルスイートを活用して、マレーシアのセキュリティ体制を強化することができます。この取り組みの一環として、BlackBerry はSANS Institute と提携し、2024 年にマレーシアの首都クアラルンプールに最先端のサイバーセキュリティ センター オブ エクセレンス (CCoE) を開設する予定です。CCoE は、マレーシアのサイバーセキュリティ能力と対応力を向上させるための専門トレーニングを提供します。BlackBerry は、特に AI と機械学習の分野における同国のサイバーセキュリティ学習エコシステムの構築を支援し、マレーシアのサイバーセキュリティ人材の育成とスキル向上を支援するとともに、インド太平洋地域のセキュリティ強化に貢献できることを嬉しく思っています。

カナダのジャスティン・トルドー首相は、「サイバーセキュリティは、同地域の平和、安全、協力を推進することを目的としたカナダのインド太平洋戦略の重要な柱です。サイバーセキュリティは国際協力を必要とする共通の課題であり、カナダにとって重要な二国間パートナーであるマレーシアのブラックベリー サイバーセキュリティ センター オブ エクセレンスを強く支援しているのはそのためです。マレーシアの将来のサイバー防衛者を支援し、カナダと東南アジアの間で専門知識を共有するためのより強力な地域ネットワークを構築することで、両国およびより広範な地域の回復力と能力をさらに強化し、サイバー脅威に対抗、抑止、対応することができます。」と述べました。

報告期間を通じて、政府や企業はネットワークの脆弱性を常に認識させられた。2023年9月、中国のハッカーがマイクロソフトの電子メールプラットフォームに侵入し、米国務省のアカウントから数万件のメールを盗んだことが明らかになりました。これは、商務省を含む他の米国政府を標的とした同様の攻撃の以前の報告に続くものであります。最近では、カナダ外務省に勤務するカナダ当局が「長期にわたるデータセキュリティ侵害」に見舞われたことも明らかになりました。

カナダのサイバーセキュリティセンターが最新の「国家サイバー脅威評価」で強調したように、重要インフラはサイバー脅威活動のリスクにますますさらされています。国家支援を受けた攻撃者はこれらのシステムへの侵入を積極的に模索しており、AIなどの破壊的技術が新たな脅威を生み出す可能性があります。このレポートで指摘されているように、オーストラリアも、オーストラリア第2位の通信会社であるオプタスや最大の民間医療保険会社であるメディバンクなど、重要インフラに対する複数の注目度の高いサイバー攻撃を受けました。

業界もこのような脅威から免れることはできず、この問題に対処し始めるために2023年に新しい規制が登場しました。たとえば、2023年12月には、上場企業に「重大な」サイバーインシデントを4日以内に米国証券取引委員会に開示することを要求する新しい一連の規則が施行されました。ヨーロッパでは、EUが最近サイバーレジリエンス法を可決しました。これは、欧州連合で販売されるデジタル要素を含むハードウェアおよびソフトウェア製品に対する新しいサイバーセキュリティ要件を定めています。これは、重要なインフラストラクチャエンティティに対するサイバーセキュリティの脆弱性に対処するためにEUの更新されたネットワークおよび情報セキュリティ指令で要求されている追加対策に加えて行われます。

最後に、オーストラリアは2023年11月にサイバーセキュリティ戦略を発表し、重要な情報を保護し、脅威インテリジェンスを共有し、安全でセキュリティの高いテクノロジー製品の使用を促進するための「国家全体」のアプローチを求めました。

脅威の状況が絶えず変化する中、BlackBerry は、従来の技術 (VPN など) を、デバイスのセキュリティ態勢を継続的に評価してサイバー攻撃を未然に防ぐ最新のゼロトラスト」ベースのAI駆動型サイバーセキュリティ ソリューションに置き換えることで、セキュリティを近代化する必要があると一貫して訴えてきました。脅威の攻撃者が従来の IT セキュリティをすり抜けるより洗練された方法を開発するにつれて、ゼロトラスト アプローチを採用した予防重視のサイバーセキュリティ技術の重要性はますます高まっていきます。 

今後 1 年間、ますます巧妙化するサイバー攻撃の脅威は拡大する可能性が高い。世界中の民主主義国の当局者の間で特に懸念されているのは、悪意のある行為者がデジタル技術を駆使して民主主義のプロセスを妨害する範囲である。2024 年には 64 か国で世界人口の推定49% が投票所に向かうため、一部の専門家は選挙プロセスとインフラも主要な標的になる可能性があると警鐘を鳴らし始めています。米国政府の CISA ディレクターであるジェン・イースタリーは、「生成 AI はサイバーセキュリティのリスクを増幅させ、偽のコンテンツを国中に氾濫させることをより容易かつ迅速に、そして安価に行うようになる」と警告しました。

彼女はさらに、「この技術は今やかつてないほど入手しやすく強力になっており、その悪意ある使用は、中国、イラン、ロシアなど、アメリカの民主主義を弱体化させようとする悪意ある行為者に戦術を強化する能力を与えることで、アメリカの選挙プロセスの安全性を試すことになるだろう」と指摘しました。

インシデント対応分析とコメント

インシデント対応 (IR) は、サイバー攻撃やサイバーセキュリティ インシデントに対処するためのエンタープライズ レベルのアプローチです。インシデント対応の目標は、侵害による損害を抑制して最小限に抑え、復旧時間とコストを削減することです。BlackBerry ®サイバーセキュリティ サービスは、あらゆるサイバー攻撃の影響を軽減し、デジタル復旧がベスト プラクティスに従うようにするための迅速なインシデント対応計画を提供します。BlackBerry IR チームは、サイバー インシデント対応、データ侵害対応、ビジネス メール侵害対応、ランサムウェア対応、デジタル フォレンジックなど、多面的なアプローチを提供します。

以下は、この報告期間中に BlackBerry の IR チームが対応したサイバー脅威に関する主な観察事項の一部です。

Figure 6: Breakdown of BlackBerry IR investigations in this reporting period.
Figure 6: Breakdown of BlackBerry IR investigations in this reporting period.

BlackBerry サイバーセキュリティ サービスは、Cisco ® Adaptive Security Appliance (ASA)、Citrix ® NetScaler ®、その他の VPN アプライアンスなどの脆弱なインターネット接続システムが最初の感染ベクトルとなったインシデントをいくつか確認しました。

これらのインシデントは、場合によっては、クライアントの環境内でランサムウェアの展開につながりました。インターネットに接続されたシステムを介してランサムウェアを展開するために最もよく使用される MITRE テクニックは、外部リモート サービス - T1133です。これは、企業がインターネットに公開されているすべてのシステムにセキュリティ アップデートをタイムリーに適用する必要があることを示しています。たとえば、VPN、Citrix、その他のアクセス メカニズムなどのリモート サービスを使用すると、ユーザーは外部の場所から内部ネットワーク リソースに接続できます。したがって、脆弱な VPN にパッチを適用することで、脅威アクターが VPN 経由で企業ネットワークに侵入した後にランサムウェアをドロップすることを事前に防ぐことは常識です。

BlackBerry は、最初の感染ベクトルがインターネットに接続された Microsoft® Windows® システムであり、多要素認証 (MFA) を実装せずにリモート アクセスを可能にしているインシデントを確認しました。

これは、MFA を使用しないシステムへのリモート アクセスを企業が制限または拒否する必要があることを示しています。さらに、BlackBerry IR チームは、脅威アクターが最初のアクセスを取得した後、デフォルトのパスワードを使用してクライアントの内部システムにアクセスできるというインシデントを確認しました。これは、企業がインターネットに接続しているシステムと内部システムの両方で強力な認証セキュリティ制御をすべてのシステムに実装し、常にデフォルトのパスワードを変更する必要があることを強調しています。(MITRE テクニック 外部リモート サービス - T1133、有効なアカウント - T1078.001、デフォルトの資格情報 - T0812 )

BlackBerry IR チームは、GootLoaderマルウェア インシデントも確認しました。このインシデントでは、会社の従業員が正規の文書をインターネットで検索した際に、誤って GootLoader に感染した文書をダウンロードし、クライアント ネットワーク内で追加のシステム感染が発生しました。GootLoader に関する以前のレポートでは、「このマルウェアの背後にいる脅威グループは、検索エンジン最適化 (SEO) 技術を使用して、トロイの木馬化されたページをインターネット ブラウザーの検索結果の前面に配置することも知られています」と指摘しました。これは SEO ポイズニング (MITRE サブテクニックT1608.006 ) として知られています。

このことから、企業が社内のインターネット閲覧を戦略的に制限および/または拒否するとともに、安全なインターネット閲覧の実践と習慣に関する社内の従業員トレーニングを提供する必要があることがわかります。

最も興味深いサイバーストーリー

BlackBerry の脅威調査およびインテリジェンス チームは、新たな脅威と持続的な脅威を調査し、防御者とその組織に利益をもたらすインテリジェンス分析を提供します。

このレポート期間中、私たちは新たな脅威アクターによる多数のキャンペーンを発見し、分析しました。以下に、最新のレポートの概要をいくつかご紹介します。

これらすべてのレポートの完全版およびその他の情報は、  BlackBerry ブログでご覧いただけます。

エアロブレード、米国の航空宇宙産業を狙う

2023 年 11 月下旬、BlackBerry は、米国の航空宇宙組織を標的とし、商業的および競争的なサイバースパイ活動を行うことを明らかに目的とした、これまで知られていなかった脅威アクターを発見しました。

BlackBerry の脅威調査およびインテリジェンス チームは、この脅威アクターを AeroBlade として追跡しています。アクターは、配信メカニズムとしてスピアフィッシングを使用しました。武器化されたドキュメント (電子メールの添付ファイルとして送信) には、埋め込まれたリモート テンプレート インジェクション手法と悪意のある VBA マクロ コードが含まれており、これが最終的なペイロード実行の次の段階へと進みます。

証拠によると、攻撃者のネットワーク インフラストラクチャと武器化は 2022 年 9 月頃に運用可能になり、攻撃の攻撃フェーズは 2023 年 7 月に発生したようです。攻撃者はその間にツールセットを改良し、よりステルス性の高いものにしましたが、ネットワーク インフラストラクチャは同じままでした。

最終的なペイロードの機能と攻撃の対象を考慮すると、BlackBerry は、この攻撃の目的は商業的なサイバースパイ活動であったと中程度から高い確信を持って評価しています。その目的は、将来の身代金要求に対する脆弱性を評価するために、標的の内部リソースを把握することであった可能性が最も高いです。

Go to Story

イスラエル・ハマス戦争で使用されたBiBiワイパーがWindowsで動作

2023 年 10 月の最終日、イスラエルを拠点とする IR 企業 Security Joes は、イスラエルとハマスの戦争を背景にハクティビストがイスラエル企業を標的にするために使用するLinux ®システム向けの新しいワイパー マルウェアに関する調査結果を投稿しました。Security Joes は現在、この新しいマルウェアを BiBi-Linux Wiper として追跡しています。24 時間後、BlackBerry の調査およびインテリジェンス チームは、Windows システムを標的とする亜種を発見し、これを BiBi-Windows Wiper と名付けました。

10 月 7 日のハマスによるイスラエルへのテロ攻撃の後、ハマスとイスラエルの戦争は急速にサイバー領域に拡大しました。ハマスと関係があるとみられるハクティビスト集団がイスラエル企業に侵入し、インターネットに接続しているホストを侵害してネットワークにアクセスし、新しい非常に特殊なサイバー兵器を展開して、明らかに企業のインフラに損害を与えようとしました。ハクティビスト集団は、名指しされた脅威集団の大半とは異なり、金銭的利益を動機としているのではなく、進行中の戦争に関連する政治的イデオロギーを支持しています。

この新しいマルウェアは、イスラエル企業に支援を提供していた Security Joes の IR チームによって発見されました。この攻撃には身代金要求メッセージや C2 サーバーがなかったため、対応者は BiBi-Linux マルウェアがデータ破壊を引き起こすことだけを目的として展開されたワイパーであると推測しました。

分析の結果、チームは、イスラエルのベンヤミン・ネタニヤフ首相のニックネーム「ビビ」がマルウェアと破壊されたすべてのファイルの拡張子にハードコードされていることを発見した。Security Joes はレポートの中で、ワイパーは「戦争を背景に混乱を引き起こす目的で、ハマスと提携しているハッカー集団によって作成された可能性がある」と推測しています。

BlackBerry が検出した Windows の亜種は、ワイパーを作成したハクティビストとみられる人物がマルウェアの開発を続けていることを裏付けるものであり、エンド ユーザーのマシンとアプリケーション サーバーを標的とする攻撃の拡大を示しています。攻撃対象システムを多様化することで、悪意のある人物は他の Windows マシンにも被害を与える可能性が非常に高くなります。現在、Windows は世界中のデスクトップ ユーザー全体の 68%を占めており、Linux は 2.9% です。

イスラエルとハマスの戦争が2024年まで続く中、物理的にもデジタル的にも安全な場所はないように思われます。ワイパーは、地政学的出来事によって引き起こされる攻撃でよく利用されています。ワイパーの目的は単純に破壊だからなのです。

紛争が続くにつれ、この種の攻撃がさらに増える可能性があります。

Go to Story

FBIと司法省がマルウェアの「スイスアーミーナイフ」Qakbotを摘発

2023年8月末、米国司法省(DoJ)とFBIは、最も長く活動しているマルウェアファミリーおよびボットネットの1つであるQakbotの共同削除を開始し、世界中の法執行機関とサイバー犯罪コミュニティに波紋を広げました。

コードネーム「ダックハント作戦」と呼ばれるこの国際協調作戦により、当局はQakbotのオンラインインフラを掌握することができました。その後、タスクフォースは、当時世界中で約70万台の感染したデバイス(米国の20万台のコンピューターを含む)からマルウェアをリモートで削除するよう裁判所命令を取得しました。

ボットネットを壊滅させるための多国籍作戦には、米国、フランス、ドイツ、オランダ、英国、ルーマニア、ラトビアでの活動が含まれた。司法省はまた、860万ドルを超える違法な暗号通貨の利益を押収したと発表しました。

「これは、司法省がボットネットに対して実施した、これまでで最も重要な技術的かつ財政的な作戦だ」と、カリフォルニア州南部地区の連邦検事マーティン・エストラーダ氏はロサンゼルスでの記者会見で述べています。

Qakbot は過去 18 か月間に 40 件のランサムウェア攻撃に関与しており、被害者は合計で 5,800 万ドル以上の損害を被っています。BlackBerry の脅威調査およびインテリジェンス チームは、 2022 年第 4 四半期に医療機関に対して最も頻繁に使用されたトロイの木馬の 1 つとして Qakbot を特定しましたが、他のセクターも Qakbot 攻撃の被害を受けました。実際、これまでに経済のほぼすべてのセクターが Qakbot の被害を受けています。

ダックハント作戦は、広範囲に及ぶサイバー脅威を標的とする法執行機関にとって新たな節目となったが、サイバーセキュリティの専門家は、サイバー犯罪者への打撃は一時的なものになる可能性が高いと警告しています。この作戦に伴う逮捕者はおらず、ロシアの関与が疑われているものの、当局はマルウェア運営者の所在地を明かしていません。

調査は現在「継続中」とされています。

Go to Story

レポート詳細については、フルレポートをダウンロードください。

Acknowledgements

謝辞

このレポートは、当社の経験豊富なチームとメンバーの共同作業の成果です。その貢献を高く評価したいと思います。:

Adrian Chambers
Amalkanth Raveendran
David Hegarty
Dean Given
Geoff O’Rourke
Ismael Valenzuela Espejo
Jacob Faires
John de Boer
Kristofer Vandercook
Natalia Capponi
Natasha Rohner
Patryk Matysik
Pedro Drimel
Ronald Welch
Travis Hoxmeier
William Johnson

Legal Disclaimer

The information contained in the BlackBerry Global Threat intelligence Report is intended for informational purposes only. BlackBerry does not guarantee or take responsibility for the accuracy, completeness and reliability of any third-party statements or research referenced herein. The analysis expressed in this report reflects the current understanding of available information by our research analysts and may be subject to change as additional information is made known to us. Readers are responsible for exercising their own due diligence when applying this information to their private and professional lives. BlackBerry does not condone any malicious use or misuse of information presented in this report.