OneDriveやBox、Office文書形式など、攻撃者が利用するサービスについて
米国のセキュリティベンダNetskopeより、攻撃者が利用するサービスについての興味深い記事が公開されました。
内容自体、それほどボリュームのあるものではないのですが、ご紹介です。
目次
攻撃者が好むクラウドサービスとは?
今やマルウェアの配布手段として、全体の50%以上がクラウドサービス経由だとのことです。
以下の図は、COVID-19のパンデミック前後で、悪用されるサービスの傾向がどう変化したかを示しています。
OneDriveの悪用は大幅に減少していること、Boxの悪用が増加していることは特徴的ですね。
一方で、その他の比率が増えて、その手段が多様化していることも想定されます。
その他には、DropBox、Gmail、Yahooメール、Outlookが含まれるとのことです。
後半はオンラインメールサービスですね。
インターネット上に晒されているパブリッククラウド
クラウドサービスという点で少し派生すると、ご存じの通り、近年企業システムがクラウド移行を進めています。
そんな中、セキュリティ上脆弱な状態で、公開されてしまっている、インスタンスも多々存在するようです。
同じくNetskopeの調査によると、SSHでのアクセスが可能になってしまっているインスタンスは、 - AWSで全体の35.9% - GCPで全体の87.5% - Microsoft Azureで52.7%
にまでのぼります。
こうしてみてみると、SSHだけではなくRDPが公開されてしまっているものや、もはやすべてのポートが解放されてしまっているものもあります。
ただし、インスタンスのリモートアクセスについては、ソースIPを絞って許可している場合には、正しい運用だと言えます。
その観点で、まとめたのが、以下の図になります。
これらの図において、赤で示されている部分が、ソースIPを制限していないものになります。
SSHに限って見てみると、AWSにおけるセキュリティグループの設定が適切でないインスタンスが多く存在するように感じますね。
AWSではハンズオン資料として、以下のようなコンテンツも公開されているので、本来であれば、これらを実施した上で利用を始めたほうがいいのかもしれません。
- AWS Hands-on for Beginners - Security #1 アカウント作成後すぐやるセキュリティ対策
マルウェアのファイル形式トレンドは?
攻撃者が好むクラウドサービスの章でCOVID-19のパンデミック前後の変化について述べました。
その観点でさらに特徴的なのは、配布されるファイル形式の変化です。
なんと、Microsoft Office文書ファイルが6倍以上に増加しています。
これに関しては、記事中にもある通り、Emotetの活動再開が大きく関わっていると考えられます。
全体として、実効ファイルやアーカイブ、JARが減っている一方で、Office文書ファイルやPDFが増えています。
これは、一般ユーザにとって、より身近なファイルを利用することで、開封率を向上させる狙いがあるのかもしれません。
まとめ
今回は、netskopeが公開する統計情報を基に、攻撃者が利用するサービスについての近況をまとめてみました。
もちろん、これらがすべてではありません。
ただ、トレンドを抑えることで、セキュリティ対策の優先順位付けや、社内への注意喚起の基準、社内のセキュリティ教育の参考になるかと思います。
そんな想いでまとめてみたので、参考にしていただけると幸いです。