サイバーセキュリティ最新動向（2024年12月）新たな攻撃手法と対策の最前線

2024年12月2日～8日のサイバーセキュリティ動向：重要な脅威と対策の詳細レポート — 提供：photoAC「makoto．h様」

サイバーセキュリティの脅威は年々高度化し、より多くの個人や組織がその影響を受けています。2024年12月2日～8日にかけて報じられた最新のサイバー攻撃と防御策をまとめました。

本記事では、ロシア系ハッカーの巧妙な手法から、新たなAndroidマルウェアの台頭、サプライチェーン攻撃の増加、オンライン犯罪マーケットプレイスの摘発まで、重要なトピックをわかりやすく解説します。

これらの情報を基に、日常生活やビジネスにおけるセキュリティ対策を見直してみてください。

ロシア系ハッカー「Turla」の新戦術

ロシアに拠点を持つサイバー攻撃グループ「Turla」が、パキスタンの「Storm-0156」という別のハッカー集団のインフラをハイジャックし、自身の攻撃をカモフラージュしていたことが明らかになりました。ターゲットはアフガニスタンやインドの軍事施設で、攻撃の痕跡がパキスタンの集団に紐付けられるよう細工されていました。

このような手法は「フレームアップ攻撃」と呼ばれ、攻撃者の正体を隠すために他者のインフラや活動を悪用します。結果として、攻撃対象は間違った集団を犯人だと考え、対応が遅れるリスクがあります。軍事や政府機関が標的になっていることから、国家間の緊張がさらに高まる可能性があります。

サプライチェーン攻撃の増加

Pythonの「Ultralytics」ライブラリやnpmの「@solana/web3.js」パッケージに不正なコードが仕込まれ、暗号通貨ウォレットの盗難やマイニングのために悪用されました。オープンソースパッケージの脆弱性を利用した攻撃ですが、更新バージョンはリリース済みです。

サプライチェーン攻撃とは？

サプライチェーン攻撃は、開発者が信頼するソフトウェアやツールチェーンを標的にして悪意のあるコードを挿入する手法です。このような攻撃は、広範囲にわたる被害を引き起こす可能性があり、特にオープンソースプロジェクトでは管理が難しい問題です。

防御策

開発者は、ライブラリや依存関係の更新を適用する際に厳格な検証を行う必要があります。
ユーザーも、不審な動作が見られた場合にすぐ報告する姿勢が求められます。

新たなAndroidマルウェア「DroidBot」

金融機関を標的とする「DroidBot」という新しいAndroid向けマルウェアが確認されました。オーストリア、ベルギー、フランス、イタリア、ポルトガル、スペイン、トルコ、英国のユーザーをターゲットにしています。

このマルウェアは、70以上の金融機関を狙い、感染したデバイスから個人データやアカウント情報を収集します。

マルウェアを提供するビジネスモデル

このマルウェアは「MaaS（マルウェア・アズ・ア・サービス）」として販売されており、攻撃者は月額3000ドルで利用可能です。このモデルは、プログラミングスキルのない犯罪者にもサイバー犯罪の実行を可能にします。

MaaS（「マース」と発音）とはクラウドサービスのようにサイバー犯罪者がマルウェアを提供するビジネスモデルのことです。「フィッシングキット（詐欺メールを簡単に作成・配布できるツール）」や「ボットネットのレンタル（DDoS攻撃用のボットネットをレンタルするサービス）」、「クレデンシャル詐取ツール（ログイン情報やクレジットカードデータを盗むツール）」などが該当します。

このことからも、非技術的な犯罪者にもサイバー攻撃の機会を提供するため、攻撃の商業化・規模拡大に寄与し、現代のサイバーセキュリティの課題をより深刻なものにしているのです。

影響と対策

金融機関を中心とする標的が明確で、個人情報や財産の喪失リスクが高まっています。ユーザーは、不明なアプリのインストールを避け、セキュリティソフトを使用することが推奨されます。

Europolによるオンライン犯罪マーケットプレイスの摘発

Europolは、詐欺行為の温床となっていたマーケットプレイス「Manson Market」を摘発しました。このサイトでは盗まれたクレジットカード情報や偽造身分証明書が売買されていました。また、暗号化通信サービス「MATRIX」も犯罪者に利用されており、これも同時に解体されています。

暗号化通信サービスのリスク

暗号化通信サービスはプライバシー保護に役立ちますが、犯罪者が法執行機関の目を逃れるために利用する場合も多いです。今回の摘発は、プライバシー保護と犯罪抑止のバランスを議論するきっかけとなるでしょう。

民族グループを標的とした攻撃「DarkNimbus」

チベット人やウイグル人が狙われ、WeChatを経由して新しいバックドア「DarkNimbus」が配布されました。通常、これらの攻撃は民族的、政治的少数派が標的になるケースは頻繁に報告されていますが、基本的には国家の利益や抑圧の一環として行われます。話を戻しますが、このバックドアはMOONSHINEエクスプロイトキットを通じて利用されているようです。

エクスプロイトキット（Exploit Kit）は、脆弱性を悪用してマルウェアをターゲットのシステムに感染させるツールのことです。MOONSHINEは、このカテゴリに属する新しいエクスプロイトキットで、次のような特徴があります。

MOONSHINEの特徴について

ウェブサイトを経由した攻撃

攻撃者がハッキングした正規のウェブサイトや、悪意のある広告（マルバタイジング）を利用して被害者を感染させます。被害者が危険なウェブページにアクセスすると、背後で脆弱性を利用する攻撃が実行されます。

複数の脆弱性を利用

主にブラウザやプラグイン（例：Adobe Flash、Java、Internet Explorer）などの脆弱性を狙います。複数の脆弱性を組み合わせて攻撃を成功させる確率を高めています。

マルウェアの自動配布

成功した場合、ランサムウェアやトロイの木馬、情報窃取型マルウェアなどがターゲットのシステムにインストールされます。

難読化とアンチデバッグ機能

攻撃コードが難読化されており、セキュリティ研究者やソフトウェアの解析を妨害する機能を持っています。これにより、検出を逃れやすい設計になっています。

MOONSHINEの危険性

既存の脆弱性だけでなく、まだ修正されていない「ゼロデイ脆弱性」を狙う可能性があります。また一般ユーザーから企業まで、幅広いターゲットが狙われます。特に企業の場合、データ漏洩やランサムウェア攻撃が大きなリスクとなるでしょう。また一般ユーザーにとって、とくに恐ろしいのが、別な操作をしなくても、ウェブサイトにアクセスするだけで感染する「ドライブバイダウンロード攻撃」を主な手法としていることです。

対策方法

ブラウザやOS、プラグイン（Java、Flashなど）を最新の状態に保つことで、既知の脆弱性を塞ぐことが重要です。信頼性の高いアンチウイルスやセキュリティソリューションの導入を検討しましょう。また不審な広告やリンクはクリックしないことです。広告ブロッカーを利用するのも有効です。たとえばウェブフィルタリングツールを使って、悪意のあるウェブサイトへのアクセスを制限するのも1つの方法です。

Bluetooth Low Energy（BLE）の新防御技術「VaktBLE」

Bluetooth Low Energy（BLE）デバイスを守るために新技術「VaktBLE」が開発されました。この技術は、潜在的な攻撃を無害化する「善意の中間者」手法を用いています。IoT（モノのインターネット）デバイスが普及する中で、BLE技術のセキュリティはますます重要になっています。VaktBLEは特に医療機器やスマートホームデバイスにおける安全性向上に寄与すると期待されています。

Bluetooth Low Energy（BLE）について

BLEは低消費電力で短距離通信を実現する無線通信規格で、特にIoTデバイスやウェアラブル機器に広く使用されています。従来のBluetoothと比べて、通信時の電力消費を大幅に抑えることができるため、長時間使用できる小型デバイスに適しています。通信範囲は通常10〜30メートル程度で、シンプルなデータ送受信を行うための低速な通信を提供します。

BLEはフィットネストラッカー、スマートホームデバイス、ビーコン、医療機器、産業用IoTなど、さまざまな分野で利用されており、スマートフォンやタブレットと簡単に接続できるため、ユーザーに便利な体験を提供します。しかし、BLEにはセキュリティ上の懸念もあります。例えば、データが傍受されるリスクや、不正にアクセスされる可能性があるため、通信の暗号化やセキュリティ対策が重要です。