SANS Instituteは5月20日(米国時間)、「Adapting to Advanced Malware: Insights from the 2024 Cybersecurity Frontlines」において、2024年のマルウェアの傾向について分析結果を伝えた。その概要は次のとおり。
○Pythonの悪用
Windowsは多くのスクリプトの活動を追跡する「Antimalware Scan Interface (AMSI) - Win32 apps | Microsoft Learn」と呼ばれるツールを提供している。このツールはJavaScript、VBS、PowerShellなどのスクリプトのログ記録には役立つが、Pythonをサポートしていない。最近のWindowsを標的とする攻撃では毎日のようにPythonスクリプトを目にする。
○サプライチェーン攻撃
近年はサプライチェーン攻撃の話題をよく耳にする。サプライチェーン攻撃はセキュリティが堅牢な企業を侵害するために、脆弱な関連組織や依存関係にあるソフトウェアを侵害し、間接的に本命を攻撃する手法。過去に発生した「SolarWinds」の事案では、SaaS(Software-as-a-Service)の管理ソフトウェア「Orion」に埋め込まれていた悪意のあるコードがアップデートを通じて起動され、世界中の企業に被害が発生している。
○ランサムウェア
ランサムウェアはもはや古典的なマルウェアだが、依然として脅威は衰えない。ただし、被害者が身代金の支払いを拒否する傾向にあるため、犯罪収益は悪化している。システム管理者にはランサムウェアに対抗するため、適時イミュータブルバックアップを作成することが望まれている。
○情報窃取マルウェア
情報窃取マルウェアの目的は単純で、侵害したシステムの機密情報を収集して攻撃者に送信する。近年の情報窃取マルウェアが窃取する情報は主に次の5つ。
システム情報およびネットワーク情報
資格情報
ブラウザのCookie
Wi-Fi認証情報
暗号資産ウォレット
この攻撃の影響を軽減するために、ブラウザに搭載されたパスワードマネージャーの使用は避け、代わりに安全なパスワードマネージャーの使用が推奨される。
○ターゲットの拡大
近年はWindowsに加え、macOSも標的となっている。Appleデバイスの安全神話はすでに崩壊しており、macOSを標的とするマルウェアが確認されている。
○分析の妨害
近年のマルウェアの分析妨害技術は向上している。プロセスホローイングもその一つで、新しい停止中のプロセスを起動し悪意のあるコードに差し替えることで、正常に見える悪意のある処理を実行する。他にもサンドボックスの検出、アンチデバッグ技術、難読化、暗号化、ジャンクコードの埋め込みなどが行われている。
○まとめ
マルウェアの開発者は今後も奇抜な発想で多くのユーザーに被害をもたらすと予想されている。SANS Instituteはその新しい標的として、自動車の制御システムを挙げている。近年は自動車もOTA(Over The Air)が当たり前となりつつある。
自動車の制御ソフトウェアがリモートからランサムウェアなどに侵害された場合、データの修復だけではなく、搭乗者の生命に対する身代金請求が危惧される。自動車業界やセキュリティ企業にはこのような攻撃を防止するために、適切なシステム設計と防衛策の構築が望まれている。
(後藤大地)