ロシアから見たサイバーセキュリティ

ロシアから見たサイバーセキュリティ 2022/2/4 Max Maruyama

はじめに ・本日掲載しているデータですが全てオープン情報（＝Webサイトに掲載 されている情報）を用いています ・今後も継続してサイバーセキュリティに関する勉強会を開催していきたい と考えています。「こんな話しも聞いてみたい（例：ホワイトハッカーに なるためにはどんな知識が必要なの？）」 というご要望があれば是非お知 らせ下さい。 ※私の知人（国内外）の力も借りて実現させたいと考えています。 ・本日アンケート及びご要望は次の「Google フォーム（※１）」を用いて 投稿して頂けると嬉しいです。 （※１）https://forms.gle/B9FBV8opFqGJPAGZ8

• https://forms.gle/B9FBV8opFqGJPAGZ8

本日お伝えしたい事 ロシアだといって特別な事は無い （理由）：インターネットというボーダレスな環境で世界は繋がっているから ロシアの実情を知る/ロシアからの視点を知る事は、サイバーセキュリティに 関連する情報を分析する（仮説を立てる）上で有益だと考えます では、さっそく見ていきましょう

はじめに

ロシア（モスクワ）について  11のタイムゾーン（UTC+2～UTC+12）が存在する  世界最大の国土（日本の約45倍）を持つ  人口は約1憶4556万人（内、首都モスクワは約1263万人）*1 （参考）：日本の人口約１億2477万人（東京は約1400万人）*2  「不正アクセス（ハッカー）集団の温床？」 (*1)：https://www.jetro.go.jp/world/russia_cis/ru/basic_01.html (*2): https://www.stat.go.jp/data/jinsui/new.html https://www.metro.tokyo.lg.jp/tosei/hodohappyo/press/2022/12/26/10.html

• https://www.jetro.go.jp/world/russia_cis/ru/basic_01.html
• https://www.stat.go.jp/data/jinsui/new.html
• https://www.metro.tokyo.lg.jp/tosei/hodohappyo/press/2022/12/26/10.html

ロシア政府もテロリストから自国を守ろうとしている ターゲット 踏み台サーバ ISP （海外、ロシア以外） ゲートウェイ ISP （ロシア国内） フィルタリング例 LINE Telegram など ＜参考＞もし私が攻撃者だったら（個人的意見） ・ターゲットに対して攻撃をするのであれば、ロシア政府による通信制限 リスクを回避するため、ロシア国内からでは無く、海外サーバ（踏み台 サーバ）経由で活動をした方が良い攻撃が行えると想定される

・2018年4月ロシア政府は、Telegram アプリを介してテロ活動が行われている と判断し、約1600万のIPアドレス帯を まとめてBlock。 ・その結果、IP-Sec等を利用する企業は 国外で利用しているAWS、GCP上での サーバと通信が行えない事象が発生 ・混乱が収まるまで数カ月を要した

連邦通信・情報技術・マスコミ分野監督庁「Roskomnadzor」による通信遮断 対象IP/URL確認方法（1/2） https://blocklist.rkn.gov.ru/

• https://blocklist.rkn.gov.ru/

連邦通信・情報技術・マスコミ分野監督庁「Roskomnadzor」による通信遮断 対象IP/URL確認方法（2/2）

ロシアの現状

ロシアの現状 ※ウクライナへの侵攻(2/24）以降（ITの視点からの変化） 私及び知人がロシアで実際に経験した事 • Microsoftはロシア国へのサービスを停止  Microsoftの最新セキュリティ更新プログラム（Windows Defender用更新Signature） が受け取れない  隣国からダウンロード、それをロシア国内に移動させマニュアルアップデート • Apple製品の新規販売も停止  ロシア国内では中古製品の価格が高騰 • その他、インフラを支えている製品群（例：HP/Dell/Cisco、Vmware）も米国本社からの 指示によりロシアへのオペレーションを停止 現地セキュリティ企業からのヒアリング情報 ・ロシア企業ではLinuxベースOSを利用する企業が増加  AntiVirus for Linux の売り上げが大きく増加 ・ウクライナからのサイバー攻撃（DDoS含む）が増加  フィッシングメールを用いたAPT攻撃が主流

本日のテーマ、ロシアから見るとは・・・・ データソース ・ロシアをルーツとする企業が発行している情報 ・公開Webサイト データソース ・NISC ・JPCERT ・IPA 等 データソース ・NIST ・Mitre (CVE運営) ・Cisco TALOS ・CrowdStrike 等

ロシア視点で昨今の２大脅威を見ていきます

情報セキュリティ10大脅威 2022 ２大脅威 ・ランサムウェア ・情報の詐取/窃取（個人・組織） ランサムウェアによる被害 標的型攻撃による 機密性情報の窃取 フィッシングによる 個人情報の詐取 https://www.ipa.go.jp/security/announce/20191202.html#L6

• https://www.ipa.go.jp/security/announce/20191202.html#L6

2022年に発表されたJPCertからの注意喚起（合計52件） 脆弱性に関する注意喚起 CVE-XXX-YYY （22件） 更新ソフトウェアに関する アップデート （Microsoft、ベンダパッチ等） （17件） Emotet注意喚起 （13件） https://www.jpcert.or.jp/at/2022.html

• https://www.jpcert.or.jp/at/2022.html

ロシアのセキュリティ企業は２大脅威をどのように 見ているのか・・ １）ランサムウェア ２）EMOTET（機密情報の窃取）

ロシアから誕生したセキュリティ企業とは 市場への浸透度 個人・企業向け製品・サービス提供 Kaspersky ・クライアント/サーバ向けAV ・Threat Intelligence (企業向け脅威情報） 企業向け製品・サービス提供 GROUP-IB ・Threat Intelligence 等 Rostelecom ・DLP製品 Dr.WEB ・クライアント/サーバ向けAV ・Threat Intelligence (企業向け脅威情報） 日本での認知度

Kaspersky ・日本で圧倒的知名度を誇るセキュリティ会社 ・全世界で４億人以上がKaspersky社のソフトウェアを利用しているため、豊富な収集データに基づく 分析及び様々な視点から情報をレポートとして提供している Kasperskyのセキュリティリサーチチームが、2022年に カスペルスキー製品が検知した主要なサイバー脅威の数字 について纏めたレポート https://securelist.com/ksb-2022-statistics/108129/ https://www.kaspersky.co.jp/about

• https://securelist.com/ksb-2022-statistics/108129/
• https://www.kaspersky.co.jp/about

2022年8月に多くの亜種を観測

しかし、ランサムウェア被害のユーザ数に大きな変化無し

Emotet関連のマルウェア「Trickster/Trickbot」観測は全体の約4% https://www.kaspersky.co.jp/resource-center/threats/emotet

• https://www.kaspersky.co.jp/resource-center/threats/emotet

Dr.WEB ・無償レポート提供は行っていないが情報収集能力は非常に高い ・セキュリティエンジニアの質は非常に高い https://news.drweb.co.jp/list/?c=10

• https://news.drweb.co.jp/list/?c=10

ちなみに、Virus Total でもDr.Web社のAVエンジンは利用されています

GROUP-IB ・インシデントレスポンス等を通して収集した情報を積極的に公開している。 ・2019年にRussiaからSingaporeへ本社機能を移設 ・リサーチセンタを、Russia、Singapore、UAE、Netherlandに設置 ・グローバルパートナーシップにも力を入れている https://www.group-ib.com/resources/research-hub/

• https://www.group-ib.com/resources/research-hub/

Emotetを解体（一時的）に追い込んだEuropolとも連携（2015年）

Emotet 本社の写真（2021年摘発時） Group-IB 「Ransomware Uncovered Report 2022-ENG.pdf」 より抜粋

インターポールとも連携（2017年）

2021年9月、Group-IB CEOのIlyaは国家反逆罪で逮捕される 刑が執行された場合、最大20年の刑務所に収監されることとなる

Rostelecom ・国際通信会社Rostelecomのセキュリティ部門 ・彼らのレポートはロシア語で提供されている。 Current Trends in information leaks in the financial sector in 2022 紹介動画あり：https://rt-solar.ru/about_company/ https://rt-solar.ru/analytics/reports/

• https://rt-solar.ru/about_company/
• https://rt-solar.ru/analytics/reports/

Rostelecom社 の2022レポート中身（サマリ） Intentional leaks as a proportion of total leaks 2021 vs 2022 ・2022年は、情報漏洩の約70%は人により意図的 に持ち出されている ※残り30%は不注意等の理由によるものでありDLP が大きく貢献している Types of leaked information 30%（青） : Commercial Secret 30%（橙）：Personal data of clients and employees 30%（灰）：Financial Transaction Data 10%（黄）：Other

１）ランサムウェア

ランサムウェア攻撃による被害国（Group-IBレポート） Group-IB 「Ransomware Uncovered Report 2022-ENG.pdf」 より抜粋 No1は North America 日本

ランサムウェア攻撃による被害国（Kasperskyレポート） Kaspersky 「Statistics 2022」 より抜粋 No1はバングラディッシュ

2021年に観測されたTOP3 ランサムウェアファミリー（グループ） Group-IB 「Ransomware Uncovered Report 2022-ENG.pdf」 より抜粋 • • 攻撃マニュアルも準備しサービス化 ： RaaS (Ransomware as a Service) 侵入方法：External remote services (例：CVE- xxx-xxx 脆弱性, ブルートフォース）

ランサムウェア攻撃における攻撃者の行動パターン Group-IB 「Ransomware Uncovered Report 2022-ENG.pdf」 より抜粋 侵入 重要資産の探索 データ窃取 横展開（ネットワーク内の他端末） 暗号化 脅迫

２）Emotet（機密情報の窃取）

Emotet を初期感染させるための手法（１/２） Group-IB 「Ransomware Uncovered Report 2022-ENG.pdf」 より抜粋 Email経由（添付ファイルWord/Excel doc ) ↓ Officeマクロファイルを経由した感染 Email経由（フィッシング URL） ↓ Windows APP Installer を経由した感染

Emotet を初期感染させるための手法（２/２） Group-IB 「Ransomware Uncovered Report 2022-ENG.pdf」 より抜粋 【縦軸】：戦術（フェーズ） 【横軸】：技術・手法

MITRE ATT&CK https://attack.mitre.org/software/S0367/

• https://attack.mitre.org/software/S0367/

ここ

MITRE ATT&CK Navigator :攻撃テクニックを可視化するツール

まとめ 今回はロシアという視点でサイバーセキュリティの世界を見てみましたが、 ボーダレスなインターネット環境下においては日本以外の視点からも情報収集 を行い、リスク低減を行う準備が非常に重要であると考えています。 具体的には、  最新の攻撃手法に関する情報収集（例：特徴、感染手法）  マルウェア感染（最悪事態）を想定した対応方針の整備