Jamf ブログ

2021 年の情報セキュリティ 10 大脅威か らの教訓

2021年に企業が直面した重大な脅威について振り返ってみましょう。直近のmacOSとモバイルのエンドポイントセキュリティにおける脅威とその影響についてまとめました。また、未来に目を向けて、RaaS(Ransomware as a Service、サービスとしてのランサムウェア)のような企業が今後直面するであろう脅威と、Jamfがそれらのセキュリティ脅威をいかにして防ぐことができるのかについて解説します。

2021年に私たちの誰もが直面した困難をよそに、macOSベース、iOSベースのデバイスを標的とした悪意ある攻撃者の手が緩むことはありませんでした。むしろ、Appleのエコシステムを標的としたセキュリティ脅威は増加しているだけではなく、巧妙化しています。彼らは既存の攻撃手法を再利用して新たな脅威を開発し、複数の脅威を組み合わせることで多面的な攻撃能力を形成しています。これらの活動は、デバイスを感染させ、不正利用するためのさまざまな方法を悪意のある者に提供すると同時に、まだ開発されていない未知の攻撃形態が今後も生まれ続けることを意味しています。

このブログでは、2021年にmacOSとiOSのエンドポイントセキュリティに影響を与えた10のセキュリティ脅威と脆弱性、それらの威力、そしてなぜそれらが壊滅的な被害をもたらしたのかについて説明します。

進化を続けるMacと追随してくるセキュリティ脅威

個人、法人を問わず、macOSの人気は衰えることを知りません。理由は明白です。この数年で、MacBook Proのラインナップではより薄く、より軽く、よりパワフルなラップトップが、また、さらに発展した、より高い性能と効率を生み出すM1シリコン搭載チップ(SoC)のアーキテクチャによる素晴らしいコンピュータが発表されてきました。Appleのセキュリティ研究者であるPatrick Wardleによれば、2021年にはなんと8種のmacOSマルウェアファミリーが新たに出現したそうですが、これらを踏まえるとさして驚くことではありません。

1.XLoader:当初はWindowsの実行ファイルとして発見されましたが、xLoaderの開発者によってMach-Oバイナリが作成され、RaaSのホスティング環境で脅威アクター(攻撃者)に提供されていることを確認しています。これにより、誰でも認証情報の窃取やキーストロークの記録を目的に、XLoaderベースのマルウェアをmacOSバイナリまたは.jarファイルとして作成できるようになります。

2.XCSSETJamf Threat Labsによって発見されました。XCSSETマルウェアは、Xcodeのワークフローに感染することでプライバシーを保護するAppleのTCCによる保護をバイパスします。このゼロデイ攻撃は、既存のアプリの権限を秘密裏に取得し、ドナーアプリの事前承認された権限セットを使用して独自のアプリを作成することで機能します。これにより、ユーザからの承認は一切不要で、プライバシーを侵害する権限で悪意のあるアプリを実行できるようになります。

3.Log4j:macOS固有の脅威ではありませんが、世界中のコンピュータシステムを襲ったこのJavaベースのエクスプロイト(脆弱性をついた攻撃)は、多数のアプリやサービスがJavaライブラリに依存しているシステムによって実行されていることを考えると、十分に深刻なものでした。そして更に、年末の休暇中に発覚したことが事態を悪化させ、多くの企業では、問題解決のためのパッチが提供されるまで影響を抑えるため、IT部門が奔走する羽目になりました。

4.Shlayer:Jamf Threat Labsが発見したもうひとつのマルウェア脅威は、Gatekeeperによる保護をバイパスするものでした。Shlayerの変種では、悪意のあるスクリプトを使用してアプリケーションバンドルに細工することで動作し、インターネットからダウンロードしたアプリケーションバンドルを実行し、ファイル検疫、ゲートキーパー、公証をスキップできます。

5.Silver Sparrow:このフレームワークには、Macのマルウェアとしてこれまでにない特徴がいくつかあります。感染と持続状態を作成者に報告し、将来の攻撃のためにC2機能をインストールおよび設定するJavaベースのペイロードが存在し、AppleのM1アーキテクチャ上でネイティブに動作するものとしては最初に確認されたMacのマルウェアです。

6.Sudoエスカレーション:「rootの奪取」は多くの攻撃者にとって戦略のひとつであることは確かですが、CVE-2021-3156で確認されたUnixベースのシステムに影響を与える脆弱性は、macOSにも影響を及ぼしました。つまり、IT管理者なら誰もが言うように、悪意のあるユーザが自らにsudoレベルの権限を与えることができてしまうと、そこから惨事が始まります。

働き方改革に伴うモバイルエンドポイントセキュリティのリスク

リモートワークやハイブリッドワーク環境を採用する企業が増えていますが、これらの強力なモバイルテクノロジーを活用することは、ユーザがいつでもどこでも仕事ができる柔軟性を求める企業にとって当然のことと言えます。その一方でスパイウェア、脆弱性、持続的なマルウェアによる、モバイルエンドポイントのセキュリティに対するリスクは増加の一途を辿っています。

7.Persistence PoC:iOS上のマルウェアの多くはメモリ空間で動作するため、デバイスが再起動される度に、実行中のプロセスからマルウェアが消去され、再実行が必要になります。「 macOSではこのPersistance PoC がマルウェアを実行させ続けることを可能にしてきましたが、iOSでは直ちに電源を再投入したとしてもこれまでは不可能です。」 というのは、あるセキュリティ調査チームがiOSのフィードバック入力を処理する方法に脆弱性を発見するまでの話です。この脆弱性が悪用されると、ゼロデイ攻撃を利用せずともマルウェアをメモリ内で実行し続けることができるようになり、ユーザに検出されることもほぼありません。

8.CVE-2021-30883:定期的なパッチ管理プロセスの重要性を再認識させたこの脆弱性は、アプリケーションからカーネル権限で任意のコードの実行を可能にしてしまいます。つまり、これにより脅威アクターは、ローカルで権限を昇格させ、アプリをサンドボックスから脱出させ、より強力な攻撃チェーンの一部になることが可能になります。

9.Pegasus:当初は容疑者からのデータ収集を目的とした法執行機関向けの標的型スパイウェアのひとつとして開発されたものですが、このスパイウェアがジャーナリスト、活動家、反体制派に対して使用されていることがアムネスティ・インターナショナルによって発見され、大きな脚光を浴びました。後にPegasusはiMessageやWhatsAppのゼロデイ脆弱性と併用され、ユーザがテキストメッセージや電話に応答しなくとも自動的にスパイウェアをインストールする「ゼロクリック攻撃」キャンペーンの一種になりました。

10.XcodeSpy:このマルウェアは、Appleの開発者が新しいアプリケーションを設計するために正規に使用するXcodeプロジェクトに感染することを狙ったサプライチェーン型の攻撃と考えられています。これにより、脅威アクターは開発プロセスを妨害できるだけでなく、感染したソフトウェアをiOSベースのデバイスにインストールした人々からさまざまなターゲットに広くアクセスできるようになります。

バック・トゥ・ザ・フューチャー

バック・トゥ・ザ・フューチャーは、80年代のヒット映画で、主人公は過去に行った後、現在に戻り、変わらなかったものと未来に影響を与えた出来事があることを知ります。この点でMacのサイバーセキュリティにはバック・トゥ・ザ・フューチャーと少し共通する部分があります。例えば冒頭で紹介したマルウェアは、現在も悪用されているだけでなく、悪意のある開発者にとって、マルウェアの配布、デバイスへの侵入、データの窃取を目的とした、より巧妙な新しい手法を開発するためのたたき台のような役割も果たしています。

ランサムウェア

ランサムウェアは「厄介者は必ず戻ってくる(A bad penny always comes back)」ということわざがあるように決して滅びることなく、それどころかますます精巧さを増し、マルウェアの世界における優位性をいっそう確かなものとしています。一獲千金を狙う悪意のある者からしてみればランサムウェアほど魅力的なものはありません。

ブルームバーグの記事によると「2021年前半の6ヶ月間で5億9,000万ドルのランサムウェアに関連する不審な活動があった」そうです。2020年の被害額は、通年で4億1,600万ドルでした。

ランサムウェア関連の問題があまり深刻ではなかったとしても、RaaS(Ransomware as a Service、サービスとしてのランサムウェア)が懸念されつつあります。お察しの通り、ランサムウェアの開発者は、ランサムウェアベースの攻撃をしたくても自力でキャンペーン(攻撃活動)を展開するには、技術力やツールが不足している悪意のある者向けにランサムウェアの開発者は、クラウドを利用したインフラへのアクセスを販売またはレンタルしているのです。

「RaaSキット」のモデルには、月ごとのサブスクリプション、運営側が盗めた額の一定割合を得るアフィリエイトプログラム、純粋な利益分配、1回買い切りのライセンス料など、いくつかのモデルが存在します。キャンペーンの成功1回につき平均1,000万ドル奪うことのできるインフラストラクチャを維持する業務を一括で請け負うインセンティブがあるのは間違いありません。研究者たちは、RaaSが過去1年ですでにランサムウェアキャンペーンの約3分の2を占めていると警告しています。

とはいえ悲観するだけではいけません。希望の兆しもあります。私たちを過去に送り届けてくれるタイムマシン「デロリアン」はありませんが、FBIがランサムウェアの脅威のリスクから組織をより適切に保護する方法についての有益な推奨事項を公開しています。

まだ、お客様のモバイルエンドポイントが保護されていなくても、

心配無用です。今すぐJamfにご連絡ください。お客様のニーズとコンプライアンス要件に合ったオプションについてご相談させていただきます。

当社がお客様の情報をどのように収集、利用、移転、および保存するかに関しては、プライバシーポリシーをご参照ください。