このブログでは、何度も脆弱性情報について記事を書いてきた。

例えば、先月はWifiのWPA2ハンドシェイクに関する脆弱性をエクスプロイトするKRACKSに関して記事にまとめた。

過去は、たった1つの脆弱性をエクスプロイトする様なサイバー攻撃が発生していたのだが、最近はそのように”たった1つ”の脆弱性をエクスプロイトするような攻撃は減っている。

その理由は、主に以下の2つが考えられる。

• あるシステムにおけるゼロデイ脆弱性が明るみに出たとしても、ベンダのパッチ当てが迅速に行われている。
• CVE等で脆弱性の情報共有が国境をまたいで盛んに行われるようになった。

以上の状況から、”スクリプトキディ”と呼ばれるアマチュア・ハッカーが攻撃を仕掛けて成功する事例は見なくなったと言えるだろう。

その流れとともに、昨今のサイバー攻撃は、ある国の政府がバックについたサイバー攻撃グループにより、サイバー攻撃の手法が「複雑化」してきている。

そこで、この記事では、先月発生したBadRabbitというランサムウェアが拡散されたランサムウェア・キャンペーンの例を使って、サイバー攻撃が複雑化している事を示していく。

BadRabbitに関してのおさらい

当ブログでも取り上げたが、BadRabbitは、ロシアとウクライナに拠点を置く、およそ200の企業や団体のネットワークにある端末を暗号化する被害を及ぼした。

BadRabbitは、サイバー攻撃集団”ShadowBrokers”がNSAから流出させたマルウェアのコードを使用していており、CVE-2017-0145でCVE登録されているWindowsサーバーに関する脆弱性をエクスプロイトした攻撃だった。

ちなみに、CVE-2017-0145をエクスプロイトすると、攻撃者は感染したWindowsPC間でデータの転送をすることが出来るようになり、遠隔から細工されたコードを実行することが出来る。

BadRabbitによる攻撃が最初に確認された時、BadRabbitによる感染経路はに関しては、主にロシア系マスメディアのウェブサイトだったとされていた。

被害に遭ったウェブサイトから訪問者の端末に、攻撃者が細工した偽のAdobeFlashPlayerがダウンロードされていたのだ。（→ドライブバイダウンロード）

BadRabbitの本当の目的は”標的型メール攻撃”

実は、最近の調査では、先月発生したBadRabbitの本当の目的は、標的型メールだった事が報告されている。

ウクライナ政府直轄のサイバー犯罪を取り締まる法執行機関のマネージャーであるSerhiy Demedyuk氏によれば、BadRabbitの感染が拡大していたのと同時期に、ウクライナ国内で標的型メール攻撃の被害に発生していたというのだ。

Demedyuk氏は、ロイター通信のインタビューで以下のように答えている。

（BadRabbitによる攻撃の最中）私たちは非常に強力な標的型メール攻撃が、金融機関やその他個人情報を取り扱う企業に対して発生しているのを確認した。

Demedyuk氏は、BadRabbitは、ランサムウェアと標的型メール攻撃の”ハイブリッドな”サイバー攻撃だったと結論している。

戦国時代の映画を見ていると煙幕を使用して相手の目をくらませるシーンがあるが、BadRabbitにおいては、ランサムウェア感染拡大が煙幕として機能した。

先月ウクライナで発生したサイバー攻撃は、多くの人の注意をランサムウェアに向けさせて、標的型メール攻撃が本来の目的だったのだ。

サイバー攻撃を重ねて”複雑化” BadRabbitの例をから学べる通り、最近のサイバー攻撃は単体で行われず、複数の攻撃を同時に行って成功確率を高めていると言えるだろう。 セキュリティ企業・ObsidianSecurityのCTOであるBen Johnson氏はこう語っている。

攻撃者の技術がどんどん巧妙になっているのに伴い、サイバー攻撃が発生した時は表層だけを見るのではなく、裏で何が起こっているのか・本当の目的は何かも考えるべきである。