macOSコンピュータがWindowsコンピュータよりも安全であることは事実かもしれませんが、その優位性は皆さんが思っているほどではありません。Appleは、既知の攻撃を阻止するためにmacOSにセキュリティを組み込むことに成功していますが、真の課題は、ランサムウェアやゼロデイ攻撃につながる、見たこともない新しいマルウェア(未知のもの)を阻止することです。この問題を真剣に受け止めるために、Ponemon社の「Third Annual Study of Endpoint Risk」では、侵害の80%が、認識されないままシステムに侵入され、また公表されていない脆弱性を突いたり、進化したマルウェアの亜種が関わっていると報告しています。
macOSへのランサムウェア攻撃の増加
2019年、脅威者はmacOSにも手を出しはじめ、その脅威は60%も跳ね上がりました。それ以降、macOSを狙ったランサムウェア攻撃が繰り返され、攻撃が数件発生していますが、幸いなことに、大規模な侵害はまだ発生していません。2020年、Forbesは、MacのマルウェアがWindowsを2対1で上回ったと報告しました。2021年には、ElectroRAT、Silver Sparrow、XLoaderなど、macOSを攻撃するために開発されたマルウェアが全体的に増加しました。これらの新種マルウェアは、macOSを狙った高度で収益性の高い攻撃、すなわちランサムウェア増加への道を開いています。
「MacはWindowsよりも本質的に安全であるという誤解がまだ残っています。このような考え方は、Windowsが依然として優勢である現在の市場シェアを反映したものであると言えます。「Macにセキュリティ上の利点はありますが、マルウェアがOSではなくブラウザプラグインをターゲットにする傾向が強まっているため、その重要性は薄れつつあります。さらに、マルウェアの開発者は、OSに依存しないクロスプラットフォームのアプリケーションを作成することが多くなっていると言います。
-2022年1月 Dark Readingより
DattoのState of the Channel:ランサムウェア レポートによると、MSPはmacOSとiOSデバイスの両方でランサムウェアが増加しており、前年比500%増に相当するとのことです。この問題は、2022年のMandiant M-Trendsレポートでも強調されており、ランサムウェア関連の侵入の滞留時間の中央値が5日であるのに対し、非ランサムウェアの侵入は36日であると報告されました。
これは、守る側にとってどのような意味を持つのでしょうか。
ネットワークを迅速に侵害し、データを流出させることを目的としたランサムウェアが高速化する中、macOSを無視することはできなくなりました。そして、macOSに特化したマルウェアが増加していることから、近い将来、ランサムウェアの攻撃が大成功することが予測されます。
以下では、macOSへの攻撃が増加する将来に向けて、どのように計画を立てる必要があるのかを紹介します。
企業におけるmacOS利用の増加
macOS に対する攻撃が増加することを懸念する最大の理由は、企業における macOS 利用数が増加したことに関係します。パンデミックとリモートワークへの移行に刺激され、Appleはこの1年でエンタープライズ技術におけるビッグプレーヤーとなり、その足跡の大きさは攻撃対象領域の大きさに等しいと言えます。
モバイルデバイス管理ベンダーのKandjiが2021年に行った調査では、アップル デバイスの使用率が過去2年間で76%増加したことが示されています。ガートナーは、2022年第1四半期にコンピュータの出荷台数全体が減少したのに対し、Macの出荷台数はわずかに増加したと報告しています。そして、2021年のIDCの数字では、企業での利用数も伸びています。
IDCのエンタープライズモビリティとクライアントエンドポイント管理のプログラムバイスプレジデントであるPhil Hochmuth氏は、「ビジネスユーザーの間でMacの利用が増加しており、特にリモートで働く従業員がコンピュータ デバイスを選択できるようになっているため、iOS/iPadOSやtvOSとともにmacOSに関する管理ツールや戦略を正式に導入する企業が増えています」と述べています。-IDC MarketScape:2021年アップル デバイス向け世界統一エンドポイント管理ソフトウェア ベンダーアセスメントより
macOSとランサムウェア:それは未知の脅威について
既知の攻撃については、MacOSゲートキーパーは、すでに世間に露出している脅威を阻止するのに十分な働きをしてくれます。しかし、どのプラットフォームやOSでも問題となるのは、これまで目にしたことのない未知の攻撃です。攻撃者は、macOSを含む既存の制御を回避・迂回するために技術を進化させ、成功しているのです。
2016年のKeRanger、2017年のPatcherに始まり、macOSでのランサムウェアの試みはいくつか注目されています。そして2020年、EvilQuestと名付けられた海賊版ソフトウェアで配布されるランサムウェアが、macOSシステムを積極的にターゲットにするようになりました。EvilQuestは被害者のファイルを暗号化しますが、これは単なる煙幕であるという見方もあり、キーロガーとコマンド&コントロール(C2)サーバーへのリバースシェルをインストールし、暗号通貨ウォレットに関連するファイルを見つけるとそれを盗むことができます。
ランサムウェアは、依然として大きな懸念材料となっている:
- ランサムウェアの加害者は、マルウェアのペイロードや関連する恐喝行為を徐々に洗練させていくため、2031年までにランサムウェアの被害者は年間約2650億ドル(米ドル)を負担することになると予想されている
- ランサムウェアの平均要求額は144%増加し、平均支払額は78%増加している
- 2022年1月から3月にかけて、LockBit 2.0とContiが全インシデントの58%を占め、今年これまでで最も活発なランサムウェアのギャングとなった
- ランサムウェアの中で最も高速なのはLockBitで、10万ファイルの暗号化にかかる時間の中央値はわずか5分50秒、あるテストではわずか4分9秒
- 2022年のMandiant M-Trendsレポートでは、ランサムウェア関連の侵入の滞留時間の中央値が5日であるのに対し、非ランサムウェアの侵入では36日であると述べている
パッチが適用されていない脆弱性は、依然としてネットワークに侵入するための最も重要な侵入口の1つです。攻撃が高度化し、頻度が増加し続ける中(2秒に1回は新たな攻撃が発生している)、Appleも無縁ではいられません。2022年3月、AppleはmacOS Montereyの2つの「積極的に悪用される」(つまり、野放し状態のゼロデイ)セキュリティ脆弱性にパッチを適用しましたが、同社は以前のバージョンに対するセキュリティアップデートをリリースしていませんでした。これにより、「CVE-2022-22674がmacOS Big SurとmacOS Catalinaの両方に影響する可能性が高い」「Intel Graphics Driverのほぼすべての脆弱性が、macOSのすべてのバージョンに影響を及ぼしている」ことが判明しました。
ランサムウェアやその他のマルウェアに関して、「被害が出る前に止めろ」という言葉がよく使われます。この考え方の問題点は、マルウェアがすでにお客様の環境内で活動していることです。ランサムウェアの実行者は、攻撃の最終段階まで待つことで検知を回避するため、データの流出やシステムの暗号化のタイミングをより賢く判断するようになってきています。単純なバックドアやパスワード窃盗などのマルウェアが実行されると、脅威者は、感染したホストが組織のネットワークの一部であることを特定します。その後、脅威者はネットワーク上を横方向に移動し、最初の攻撃よりも強力な二次攻撃としてランサムウェアを展開します。
Macのランサムウェア対策:Deep InstinctのmacOS向けランサムウェアの高度な保護機能
ランサムウェアとゼロデイ脅威に対するDeep Instinctの予防ファーストのアプローチは、エンドポイントで実行される前に攻撃を阻止します。つまり、攻撃者が成果物を落としたりデータを流出させたりする機会を決して与えないということです。Deep Instinct Prevention Platformは、多層防御により、エンドポイントだけでなく、カスタムアプリケーションも悪意のあるファイルアップロードから保護します。
Deep Instinct Prevention Platformは、以下を提供します:
- ランサムウェアの暗号化速度よりも速い、20ミリ未満で攻撃防御を実現
- 誤検知率0.1%未満で、忠実度の高いアラートのみに対応
- 99%以上の精度で新しく未知の攻撃や亜種からシステムを保護
Deep Instinctのユニークなディープラーニングフレームワークが、どのように未知の攻撃やランサムウェア攻撃に対する比類のない防御を提供するかについて、このビデオ(英語)をご覧いただくか、デモをリクエストしてください。https://www.deepinstinct.com/ja/request-a-demo.
ビデオ(英語)https://www.deepinstinct.com/videos?wchannelid=ysjgh8jbc8&wmediaid=vtilpp0rly
その他の記事
- https://www.deepinstinct.com/blog/3-reasons-ransomware-rollback-is-not-an-effective-strategy
- https://www.deepinstinct.com/blog/ransomware-unpatched-vulnerabilities
- https://www.deepinstinct.com/blog/healthcare-vs-hive-ransomware-how-to-protect-yourself
- https://www.deepinstinct.com/blog/deconstructing-the-revil-ransomware-attack-on-kaseya-vsa
- https://info.deepinstinct.com/tof/ransomware-prevention?_ga=2.105606282.808318644.1651786112-1559688305.1620183151