Rapid7では、現在、緊急対応チームが、今までになく長時間の残業をしています。新たな脅威や脆弱性の評価、コンテンツの作成、お客様やコミュニティへの通知の配信を行うのが緊急対応チームの役目です。この第一四半期では、毎週のように企業に深刻な脆弱性が問題となる日々が続きました。この四半期レポートでは、最も影響力のあるものにのみに絞り込んで説明します。

攻撃対象となったリモートアクセス

Rapid7では、1月にCitrix NetScalerのリモートコード実行の弱点に対してガイダンスを提供しました。それ以降、毎月、3月までインターネット上でこの脆弱性に対するスキャンを継続してきました。主に脆弱性の標的が隔離されたなどの理由があって、4月には脆弱性スキャンがありませんでしたが、最も重要なのは、現在、かなりの数の脆弱性の標的が存在していることです。

脆弱性が攻撃者にとってどの程度、標的として魅力的なのか情報を共有できるAttackerKB.comのコミュニティは非常に有用な情報源です。このコミュニティにおいて、この脆弱性は、攻撃者にとってどの程度価値があり、どの程度悪用の可能性があるかという両面において、最高評価となる「5」が付けられています。

リモートアクセスについては、他にも Pulse Secure、Fortinet、Cisco、Pao Altoが標的となっています。

Pulse Secure

• AttackerKB.comで、任意のファイル読み取りの脆弱性の評価が２件挙げられています。攻撃者にとっての価値と悪用の可能性の両面で「非常に高い」という評価が付けられています。
• AttackerKB.comで、任意のコマンド実行の脆弱性の評価が１件挙げられています。攻撃者にとっての価値に関しては「低い」、一方で、悪用の可能性に関して「非常に高い」という評価が付けられています。

Fortinet

• AttackerKB.comで、任意のファイル読み取りの脆弱性が１件挙げられています。攻撃者にとっての価値と悪用の可能性の両面で「非常に高い」という評価が付けられています。
• AttackerKB.comで、認証されていないユーザーパスワードの変更の脆弱性１件挙げられています。攻撃者にとっての価値と悪用の可能性の両面において「中程度」という評価が付けられています。
• AttackerKB.comで、認証されていないWebサービスDoSの脆弱性が１件挙げられています。攻撃者にとっての価値と悪用の可能性の両面で「低い」という評価が付けられています。

Cisco

• AttackerKB.comで、任意のファイルの読み取りと削除の脆弱性が１件挙げられています。攻撃者にとっての価値に関して「中程度」、一方で悪用の可能性に関しては「非常に高い」という評価が付けられています。
• AttackerKB.comで、メモリコンテンツの漏洩の脆弱性が１件挙げられています。攻撃者にとっての価値に関して「非常に高い」と、悪用の可能性に関して「高い」の評価が付けられています。

Palo Alto には、認証されていないリモートコード実行の脆弱性があります。（AttackerKB.com!で是非、最初の評価者になってはいかがでしょう）

本レポートの「検知テレメトリ」のセクションで詳しく説明しますが、MDRサービスのインシデント対応チームが、NetScalerの問題の悪用による9つのセキュリティ侵害について調査を実施しました。攻撃者はこれらの脆弱性を積極的に悪用しています。

Microsoft Exchange Outlook Web Application (OWA)

Microsoftは、2月11日にMicrosoft Exchange（CVE-2020-0688）のセキィリティ更新をリリースしました。これは、窃取されたExchange Serverのユーザーアカウントでシステムを完全に侵害できるものです。本レポートの「検知テレメトリ」のセクションで認証情報の悪用について説明している内容も加味すると、この脆弱性に対して、迅速にパッチを当てる必要があることが理解できます。幾つかのパッチを当てたサーバーを確認しましたが、実際のところデータでは更に複数脆弱なサーバーが存在することが分かりました。

調査結果の要約は以下の通りです。

• インターネット上で35万台以上の脆弱性のあるMicrosoft Exchangeが見つかっています
• これは調査対象の約46万2千台の約82％に相当します
• 既に侵害を裏付けるログアーティファクトを入手しています
• 本レポートの作成途上の3月から4月末にかけて7千台にパッチが当てられました

Rapid7のl findings, ブログ（英語）に調査結果の全貌を掲載しています。

まるで本レポートの執筆者の一人が作ったハロウィーンの衣装のよう見るからにとても恐ろしい脆弱性です。電子メールでやり取りされる機密データ、ソーシャルエンジニアリングで攻撃者が容易に取得する有効な認証情報、エグゼクティブのメールボックスへのアクセス権限で生じる多大な影響を考え合わせると、これは全てに優先して今すぐパッチを当てるべき危険なものです。

さらに、この脆弱性に関してAttackerKB.comのコミュニティには、攻撃者にとっての価値に関して「高い」と「非常に高い」の間、悪用の可能性に関して「高い」という評価が付けられた 9つもの評価結果 が掲載されています。

VMWare vCenter

通常、脅威レポートでは、余程重大な脅威がない限り脆弱性について説明することはありません。しかし、次の脆弱性は例外的に、攻撃面というものは、外部から攻撃者に対してどう見えるかだけではなく、内部の悪意のある者からどう見るか、でもあることを改めて認識させられる内容です。VMWareは、2020年4月９日に、顧客に対して「vmdir」ディレクトリサービスの脆弱性情報を通知しました。4月に技術的な開示がされた内容ですが、Rapid7 Labsのチームは、第一四半期にこの問題を概要に追記していました。これは問題が単なる情報開示レベルではなく、インターネットにおける「vmdir」の存在が非常に深刻であるように見受けられたからです。

vCenterユーザーにとって残念なことに、この脆弱性により、認証されていないネットワークアクセスを持つユーザーが、vCenterで任意のユーザーを作成できるようになり、vCenter環境と内の仮想マシンへの完全な不正アクセスが可能になります。これは、フラットアクセスまたはオープンアクセスの内部ネットワークの配下にあるvCenterのすべてのインスタンスも、フィッシング攻撃の成功から初期アクセスを取得した攻撃者、もしくは不正を働こうとする可能性のある内部の信頼されたユーザーのリスクに晒されていることを意味します。

結果として、AttackerKB.comのコミュニティでは、この脆弱性について、攻撃者にとっての価値と悪用の可能性の両面で非常に高い「5」の評価が付けられています。

テレメトリデータにはインターネットに公開された約1,700のインスタンスしか表示されていません。しかし、この脆弱性は、vCenter内のデータまたはコンピューターリソースにアクセスしたい攻撃者や不正ユーザーにとって最適です。

インターネットに公開している900台のvCenterの内の１台をもし保有しているのであれば、是非修正してください。vCenterを使用している他のすべてのユーザーは、パッチの適用に加えて、承認されたアドレスまたはネットワークからのみvCenterへのアクセスを許可するようにネットワークベースの制御を検討してください。

重要なポイント

昨今の非常に困難な状況下で、リモートアクセス、電子メール、仮想化はすべて、もはや対象外として扱うべきではない重要なサービスです。Rapid7 Labのチームでは、あらゆる業態と規模の組織と定期的に連絡を取り合っています。その中で、一部の組織で「効率的な運用」が行われていることに気付かされました。つまり、問題が発生した場合に、人が歩いて行って大きな赤いon/offボタン（緊急停止ボタン）を押せば良いというものではないので、これは、システムに対して余裕ある管理と変更に対する制限を行っているということをうまく言い表した表現です。重大な脆弱性は、十分な配慮をもって扱う必要があります。

• インターネットに接続されたアプリケーションとそのコンポーネントについて、すべてのベンダーのセキュリティ通知を有効にしましょう。
• 対策としてリモートアクセスとコラボレーションサービスにパッチを当てましょう。
• CISA（米国🇺🇸）、NCSC（ドイツ🇬🇧）、CCS（カナダ🇨🇦）、ACSC (オーストラリア🇦🇺)、NCSC（ニュージーランド🇳🇿）、その他の国単位のサイバーセキュリティの当局の警告を常にモニタリングしましょう。
• インターネットに接続されたすべてのシステムに対する監視を強化しましょう。とりわけリモートアクセスソリューションです。そして、早急に既知の弱点に対して軽減策をとりましょう。
• 多くの組織が平常時でさえタイムリーなパッチの適用に対して課題を抱えています。しかし、攻撃者は、インターネットに接続されたシステムにパッチが当てられていないことを知っています。他のIT運用業務を後回しにしてでも、攻撃対象になる可能性が高く重要なコンポーネントは、必ず安全な設定に保っておくようにしましょう。

• この四半期では、「ユーザーへの脅威」、「認証情報への影響」、「エンドポイントへの影響」の３つの視点で調査しました。前回の脅威レポートから今回のレポートまでの間で、データ収集の方法とテクノロジーを改良することで、脅威と影響をよりよく理解するのに役立つ新しいコンテキストソースを活用することができるようになりました。

データについて、まず非常に広範囲な分析から開始して、金融業（Financial）、サービス業（Professional）、製造業（Manufacturing）が上位の標的であることが判明しました。攻撃者にとって、エンドユーザーが一番の標的となっており、Rapid7 MDRサービスのレポートでは、96％がエンドユーザーの悪用であり、そのうち74％が認証情報の悪用であることが特定されています。51%が認証情報に関連しないマルウェアによる悪用であると特定されています。マルウェアの上位に挙がっているのは、ursnif、 Emotet,、Cryxos,、Trickbot、Rontobroです。以下のパーセンテージは、マルウェアに関連するインシデントの割合です。

通常、四半期ごとの脅威レポートではデータ侵害の開示に関連するアラートを除外していますが、ほとんどの組織でリモート作業への急速な移行の結果として、ユーザーアカウントのターゲティングが増加していることがわかりました。

攻撃者にとっての魅力度とデータへのアクセス性が原因で、金融業サービス業、製造業、小売業が継続して上位の攻撃者の標的となっていることが判明しています。第一四半期では、残念ながら、医療業界が明確な標的として増加しました。

MDRサービスのお客様においては、以下の17のセキュリティ侵害が発生しました。

• 3件が重度の深刻度と影響度に分類されました
• ７件が中度の深刻度と影響度に分類されました
• 6件が低度の深刻度と影響度に分類されました
• 1件がペンテスターによるものでした
• 9件が外部公開されている脆弱性に起因していました
• 2件がクラウド型のビジネス用の電子メールの侵害であり情報漏洩を誘発しました
• 2件がドメインコントローラーの悪用を誘発しました
• 1件がランサムウェアを誘発.しました
• 4件が感染対象外の影響のなかったマルウェアでした
• 2件以外第一四半期の全ての調査結果が、無人化や自動化された攻撃ではなく、キーボード入力による攻撃でした

これは異常な状況です。これだけ多くのインシデントが外部公開された脆弱性によって引き起こされているのは比較的稀なことです。Rapid7としては、第1四半期のいくつかの脆弱性の重大性と影響力が原因となっているものと考えています。いずれにせよ、とりわけ基幹系システムやインフラについて、重要なパッチは必ず評価を行い、迅速にパッチを当てておくようにしておくことの重要性を浮き彫りにしています。

ユーザーへの脅威と認証情報への影響

MDRサービスのお客様のインシデントの96％が認証情報の摂取に関連しています。認証情報の摂取により影響を受けている上位の業界は、金融業（Finance）が19％、サービス業（Professional）が17%、医療業界（Healthcare）が9％です。攻撃面の管理で忘れられがちなのが、攻撃の兆候を知るために、組織が所有するか、もしくは組織を記述しているデータについて、犯罪者のためのデジタル市場を監視することです。Rapid7のMDRサービスなら、窃取されたユーザー認証情報を監視することができます。第一四半期では、MyHeritage.com（MyHeritage は家系図作成・検索サイト。2018年6月に9200万件のアカウント情報の漏洩を公表）の危殆化に関連するアカウント（合計286アカウント）が、80組織に通知されるケースがありました。

現在では、ビジネスに関連しないセキュリティ侵害によるデータ漏洩におけるビジネス用の認証情報の漏洩は、多要素認証（MFA）により軽減が可能です。しかしながら、参加する機会があった多くのセキュリティトレーニングが、ビジネス用途の認証情報の適切な使用方法を対象としており、パスワードの再利用を禁止しています。しかし、かなりの割合のビジネスユーザーが実際には再利用不可のルールに違反している事例があることを知っています。このデータは、これらの逸話を証明しています。Rapid7では、攻撃者にとって（アクセスできる）データの価値がどの程度なのかユーザーが理解できるよう支援すべきとだと提唱して来ました。ユーザー教育が必要です。次の図は、53％のケースで、Rapid7のMDRチームが多くの脅威に対する効果的な防止策としてユーザー教育を推奨していることを示しています。

スピアフィッシングに注意を払い、セキュリティ侵害によるデータ漏洩のデータを除外したところ、フィッシング攻撃が49件成功していることが明らかになりました。そのうち41％には、有効な認証情報の窃取を目的として、クラウドと企業の認証ページになりすましのリンクがありました。攻撃対象となる業界の上位は、金融業（Finance）が22％、小売業（Retail）が14％、製造業が10％です。影響度については、53％が認証情報の侵害、30％がマルウェア、16％がシステムレベルの侵害で、その内2件はエクスプロイトキットに関連しています。

従来のビジネスアプリケーションからSaaS活用へ移行が起きている中で、スピアフィッシングの動機も変化して来ています。また、Rapid7は、Cyber Threat Allianceにおけるパートナーと共に、COVID-19に対する恐怖の悪用と社会とビジネスがどのように反応したかについて、両者を加味したデータセットでいくつかの攻撃キャンペーンを追跡しました。2月には、COVID-19の治療方法や、世界保健機関からの公式通知のなりすまし、政府からの経済救済と景気刺激策の通知のなりすまし、職場調査や事業継続性の通知のなりすましなど、いくつかの詐欺手法を使用したHEUR.ADVMLC.Cマルウェア拡散のキャンペーンがありました。3月には、イタリアとイタリア政府の対応を標的としたCOVID-19を題材に使ったTrickbotマルウェアキャンペーンが明らかになりました。

過去の重要なイベントでも観察されたように、攻撃者は、ユーザーを誘惑してフィッシング攻撃の犠牲者にするべく姿勢を低くして節操なく忍び寄ります。さらに、単純におとりを表示させたり消したりすることができるので、積極的に防御することは不可能です。スピアフィッシングに対抗するための技術的な手段を諦めるべきではありませんが、ビジネスコミュニケーションに関するユーザー教育と期待値の設定こそが最も効果的なツールです

攻撃者がCOVID-19関連のフィッシング攻撃をいかに迅速かつ猛烈に活用しようとしたか、さらに詳しく説明するために、次のグラフでは、2020年の最初の4か月間のCOVID-19をテーマにしたドメイン登録数を示しています。これは、世界的なパンデミックが欧州にまず広がり次に米国に広がった後にグローバルに波及したのと時期が重なっています。

戦術面では、脅威インテリジェンスアライアンスが、COVID-19関連の脅威に対して脅威インジケーターフィードを無料で提供しているので、すべての組織が脅威検知テクノロジーを実装しておくことお勧めします。

エンドポイントに対する脅威

エンドポイントに関しては、MDRサービスの98件の脅威調査レポートでマルウェアの存在が特定されました。その45%が、既知のセキュリティ侵害インジケーター（IoCs）によるものでした。14%が初回アクセスのフィッシングで、13％が複数のマルウェアファミリーをロード可能なマルチステージドロッパーでした。そして、2件はエクスプロイトキットでした。

この意味をきちんと理解するために、MDR SOCでは、通常、ネットワークとエンドポイントの脅威防止テクノロジーが見逃した（または脅威防止テクノロジーが可視性を持っていなかった）脅威を検知しています。防御層があったとしても、既知の脅威の45％が通過しています。さらに悪いことに、55％ものマルウェア脅威が、セキュリティ侵害インジケーターでは検知できませんでした。この未知の脅威メトリックスの存在は、脅威を検知するためには、複数の方法論が必要だということを如実に物語っています。

未知のマルウェアデータセットの中で、上位3つのMITER ATT＆CK™テクニックが、Masquerading（24%）PowerShell/Scripting （22%)、User Execution （14%）であることが判明しました。このデータを調査するために、脅威の特定に効果がある検知において以下の3つの主要なカテゴリーが存在することが明らかになりました。

• PowerShell：exeコマンドラインオプションを、隠しウィンドウ実行、文字列の連結、文字の難読化などの既知の攻撃者の手法と照合します。
• Scripting （PowerShell以外l)：既知のスクリプトインタープリターの子プロセス、アーカイブ内からファイルを実行するスクリプトインタープリター、HKCUレジストリキーから読み取るスクリプトインタープリターを評価します。
• Attacker commands：コマンドラインを介したIPアドレス、コマンドラインを介したRegSvr32の使用、コマンドラインを介したexeの使用、コマンドラインを介したファイルへのDNS / IP構成ルックアップ出力、コマンドラインを介したスケジュールタスク、コマンドラインを介したcmstp.exeがあるかどうか調査します。

一歩下がって、MITRE ATT＆CKの分類に焦点を当てると、「初期アクセス」と「実行」で検知がわずかにシフトレフトしていることがわかります。金融業、サービス業、不動産業では、攻撃ライフサイクルの最初の2つのフェーズで、侵害の90％以上が検知されています。

最後に、COVID-19関連のフィッシング攻撃を日和見的に使用する攻撃者以外は脅威の状況に大きな変化はありませんでした。Google AppsやMicrosoft 365などの主要なメールハンドラーが非常に優れたものになっているため、これらは徐々に減少し始めています。正当なCOVID-19の通知とスパムまたは悪意のあるメッセージを見分ける方法を周知徹底すべきでしょう。

重要なポイント

1. ユーザーアカウントを標的とした攻撃が増加し、結果として第三者からの通知に起因したビジネス用の認証情報の漏洩が確認されています。これに対して、組織は、内部ネットワーク、クラウドベースのサービス、機密性の高いビジネスアプリケーション、機密性の高いデータストアへのアクセスのために、多要素認証への投資を優先することをお勧めします。さらに、エンドユーザーの教育も変える必要があると考えています。年次のコンプライアンストレーニングは、この目的を達成していません。積極的に実施したスピアフィッシングテストは、うまく機能していません。恐ろしく巧妙に捏造されたズーム爆弾のフィッシング対策のために、強烈なメッセージを送っているにかかわらず効果が発揮できていません。組織のコアバリュー、組織の理念、モットー、信条に加えて、組織の文化として、自組織や、顧客、パートナーによるデータ漏洩によるダメージからの保護をもっと徹底するべきです。ビジネスとビジネスに関係のないハードウェア、資格情報、データを別々の目的で保持することも保護の一環です。
2. Rapid7のMDRチームとIRチームは、重要なアセットの外部公開されている脆弱性が原因で発生した9つのセキュリティ侵害について調査しました。これは、以前の四半期よりもはるかに増加しています。これは主に2020年の第一四半期の脆弱性の深刻度と影響度に起因しています。これは、つまり変更管理の例外処理と、一般向けの重大な脆弱性へのパッチを適用に関する厳密なSLAの定義が、脆弱性管理プログラムにとって重要であることを示しています。
3. Rapid7とCyber Threat Allianceのパートナーでは、COVID-19に対する恐怖を悪用し、政府や企業のさまざまな通知になりすますことを目的とした多数のスピアフィッシングキャンペーンを見てきました。 COVID-19や現在の状況の特有なものである訳ではありませんが、攻撃者はしばしば重要なイベントを狙ってフィッシング攻撃の題材を設定して来ます。これは、セキュリティチームが脅威の状況を予防的に監視し、攻撃者がどのようにして被害者を狙っているかを組織に定期的に通知する必要性を浮き彫りにしています。さらに、組織は、重要な事業継続性と企業全体のコミュニケーションを成立させるために、いくつかの定義されたプロセスと手段を確立させることで、社員が即座に、洗練されたフィルターを回避する不審メールと正当なビジネスコミュニケーションとの区別をできるようにする必要があります。
4. 従来のウイルス対策ソフトウェアは、Rapid7MDRサービスによって報告されたマルウェアの脅威のわずか45％のみを検知することが可能でした。エンドポイントに対する幅広い脅威を検知するには、次世代AV（アンチウィルス）、ユーザー行動分析（UBA）、攻撃者行動分析（ABA）、プロセス行動分析など、いくつかの追加レイヤーが必要となります。

Rapid7は、Rapid7 Insight Cloudによって、Visibility - 可視化、Analytics - 分析、Automation - 自動化をもたらし、企業のサイバーセキュリティのさらなる向上を実現します。ラピッドセブンのソリューションなら、複雑なタスクがシンプルになり、セキュリティ部門がより効率的にIT部門や開発部門と共に、脆弱性を減らし、悪意ある行動を監視し、攻撃を調査し遮断し、ルーチン業務を自動化することが可能になります。全世界で、7,900社のお客様がラピッドセブンのテクノロジー、サービス、リサーチを活用することで、セキュリティを向上させています。詳しい情報は、ホームページをご覧ください。