サイバー攻撃レポート

攻撃者のあの手この手、リアルな攻撃＆リアルな現状を知る専門家が警鐘を鳴らす

 ～ JPAAWG 6th General Meeting レポート 

　　　　　　　　　　　　　　　2024年5月20日　　　　ScanNetSecurity

 

　サイバー攻撃の最初の一歩、いわゆる「アタックサーフェス」として 最も広く用いられているのが

電子メールや SMS のメッセージだ。 あの手この手で人を騙し、本文中の URL をクリックさせたり、

添付ファイルを開かせたりして 悪意あるソフトウェアをインストールさせ、システム内へ さらに

侵害を図っていく。

   JPAAWG 6th General Meeting の「 アタックサーフェスのその先にあるもの ～ リアルな攻撃、

リアルな現状 」では、最前線で セキュリティ対策に取り組む 3 人の専門家が、それぞれの視点から、

アタックサーフェスを越えて入ってきた攻撃が どのようなテクニックを用いてくるのか、最新の動向

を解説した。

 

 ●QRコードでの攻撃など、あの手この手で狙われるプロダクティビティスイート 

 　フランスに本拠を置き、ＡＩ を用いた予測型のメールフィルタを提供するVade（ヴェイド）社の

日本法人である Vade Japan の関根 章弘 氏は、昨今のフィッシングメールの傾向を紹介した。 

　関根氏は「 サイバー犯罪の多くは  eメールから始まっています 」と述べた上で、同社が 定期的に

まとめているフィッシング統計レポートのポイントを紹介した。 

　まず、フィッシング攻撃メールの中でも「ビジネスメール詐欺」（BEC）が、通数こそ少ないが

被害金額は非常に大きく、2022 年だけで 約 27 億ドルの被害が発生している。

またフィッシングメールの流量も 大幅に増加しており、特に 2023 第 3 四半期には、前の四半期

に比べ 173 ％も増加した。これに伴って マルウェアも 110 ％増加している。 

 

　注目したいのが、フィッシングメールの「ターゲット」だ。

「Microsoft や Google のプロダクティビティソフトウェアスイートを狙った攻撃が 非常に目立って

います」（関根氏）。いわゆる Microsoft 365 や Google Workspace といった業務に活用される

サービスが騙られ、アカウント窃取のターゲットになっていることが、2022 年に狙われたブランド別

の統計からも明らかとなった。

 　理由はシンプルだ。「 こうしたサービスのアカウントを 1 つ乗っ取れば、その先で 無限に色々な

手が使えるため、攻撃者にとって 非常に効率のいいターゲットとなっています。情報を盗む 様々な

ツールがあるというだけでなく、乗っ取られたアカウントの信頼性を悪用して 次のターゲットを狙う

サプライチェーン攻撃に活用できることから、非常によく狙われています 」（関根氏） 

 

 　関根氏自身も、Microsoft 365 のアカウントを詐取しようとするフィッシングメールを 複数

受け取り、検証している。全く ランダムなドメイン名を用いた稚拙なものもあれば、「office36o」

（最後は「オー」の小文字）といった紛らわしい ドメインを用いて、パッと見たときに それらしく

見せかけるものなど さまざまなフィッシングメールが飛び交っている。

 

 　特に 2023 年夏頃から目立つのが、QRコードを用いた攻撃（QRishing）だ。

「 多要素認証（MFA）を再有効化してください 」とユーザーに警告して 偽サイトに誘導するもの

だが、その手段として メール本文に QRコードを貼り付け、それを読み取ってアクセスするよう

求めてくる。 

　しかも、「 このメールは 本文も含めて全て 1 枚の画像で構成されています。URL のチェックを

回避するだけでなく、画像のほんの一部、1 ピクセルでも変えれば ハッシュ値が変化することから、

無限に近い膨大なパターンを生成して フィルタのフィンガープリントに引っかからないようにする、

典型的な手口が用いられています 」（関根氏）

 　なお、関根氏が検証のために この QRコードが示す URL にアクセスしてみたところ、Vade社の

統計情報には 2022 年に利用された痕跡が残っている「 プロの攻撃者が使っている感じのドメイン 」

だったという。 

 

　QRコードの他にも、BASE64エンコードされた文字列を そのまま貼り付けたり、Unicode で

四角囲みの文字を用いたりと、フィルタをすり抜けるために さまざまなテクニックが次々生み出され

ている状況であり、攻撃者は 今後も考案し続けるだろうと 関根氏は予測した。

 

 ●EPP や EDR もかいくぐり システム内で侵害を広げるテクニック

 　フィッシングメールや標的型攻撃メールを開いた後、端末でどんなことが起きるのか…。

NTT西日本グループで サイバーセキュリティ事業を担当する NTTフィールドテクノの四方直樹 氏が

レッドチーム担当者の視点から解説した。

　「MITER ATT＆CK（マイターアタック）」は サイバー攻撃による一連の侵害の流れと手法が

体系化された フレームワークであり、今回は 1 つの観点として、メールを開封し、添付ファイルなど

をクリックする「イニシャルアクセス」を トリガーにして、その後の悪意あるソフトウェアの実行や

永続化、権限昇格といった さまざまな攻撃ステップが進んでいく流れが簡単に紹介された。

  「 皆さんも ご存知の通り、ExploitDB や Git などでは、脆弱性の悪用コードやハッキングツールが

たくさん公開されていますが、EPP や EDR といったセキュリティの仕組みで検知されるのではないか

と思うのではないでしょうか。既知のもの や 広く知れ渡っている手法であれば 基本的には検知できる

のですが、OS の正規の仕組みを使ったり等 の攻撃は成功するケースもあります 」（四方氏）

 

 　そのために攻撃者が用いる手法がいくつかある。

　一つ目は、「DLLサイドローディング」（DLLサーチオーダー）という手法を悪用した C2サーバ

との通信確立だ。メッセージに含まれたファイルを実行する際、既知の悪性プログラムであれば

通常は EPP が検知し、ブロックする。 そこで 攻撃者は、正規のベンダー等による署名付きの

バイナリファイルを利用し、攻撃者が準備した悪性DLL を安全なファイルよりも先に読み込ませ、

実行させることで検知をすり抜けようと試みることがある。

 

   このような仕組みを用いて、攻撃者の C2サーバと通信を確立し、その結果 遠隔操作が可能になる。

攻撃者の C2サーバとの通信についても、検知をすり抜ける「工夫」がされている。

　例えば、外部の C2サーバとの通信間隔に揺らぎを設けるのだ。「 最初は 12 秒、次は 18 秒、

25 秒といった具合に ポーリングの間隔がバラバラな上に、通信自体も暗号化されていると、経路の

途中で検知しようがありません。一回通信が確立されてしまうと、C2通信を検知するのは難しく

なります 」（四方氏）

 

 　こうして中に入り込み、外部からの操作を受け付ける状態を確保した次に 攻撃者が試みるのが、

権限昇格と検知回避だ。より多くのアカウントを乗っ取る「水平方向」と、奪取したアカウントの

権限を より高いものにしていく「垂直方向」の両方で、機密情報・顧客情報など、より多くの情報に

アクセス可能な権限を手にいれようとする。 

　垂直方向の権限昇格を防ぐため、Windows OS には User Account Control（UAC）という仕組み

が備わっているが、攻撃者は「UACバイパス」により、管理者権限を手に入れようとする。 　

四方氏が 注意を呼びかけたのは、内製アプリケーションの存在だ。「 灯台下暗しではないですが、

各企業で 業務を円滑に行おうと作成している内製アプリケーションは 利便性を重視しているため

セキュリティ設定が甘く、権限設定の不備によってシステム権限が取れてしまう場合があります 」

                                                                                                        （四方氏） 

　攻撃者は こうした動きに加え、関根氏が紹介したような難読化のほか、アラート回避により、

防御側に気付かれないようにしながら 内部での活動を展開していく。 

　四方氏は「 レッドチームとして検証し、最新の手法を研究したり、色々なツールを試している立場

としては、セキュリティ対策に 100 点はなく、常に侵入される前提で自社環境を捉え、恒常的に対策

を強化していくことが大切 」と提言した。 

 ●管理者も知らぬうちに使っていたソフトウェアが狙われる、サプライチェーンのリスク

 　セキュリティソリューションの販売と、24 時間 365 日体制のマネージド型SOCサービスを提供

している パロンゴの近藤学氏は、同社が 実際に観測したリアルな攻撃の一つとして、キーバリュー型

のインメモリデータベース「Redis」が狙われた例を紹介した。

   「 これは 海外ではなく 日本のお客様でリアルに起きた事例です。決して 対岸の火事では

    ありません」（近藤氏） 

　パロンゴが この攻撃を観測したのは 最近だが、手法自体は 新しいものではない。2018年の時点

でロシアのセキュリティ研究者が発表していた方法で、Redis の設定不備を突いて リモートから

コマンドを実行し、バックドアを設置してしまう、というものだ。 　攻撃者は まず、ポートが

オープンになっており、かつ 認証もかけられておらず 外部からアクセス可能な Redisが存在しないか

をグローバルにスキャンし、検索する。

  そうした Redis が見つかると、攻撃者は自分の手元に構築した Redis を「マスター」、攻撃対象を

「スレーブ」とするコマンドを送り込み、親子関係を構築した上で 同期を実行してしまう。

このデータ同期によって、悪意あるシェアードオブジェクトが 攻撃対象の Redis のメモリ空間に

送り込まれてしまう、という流れだ。

 

 　近藤氏らが 攻撃に気づいたきっかけは、東欧のある国の IPアドレスから日本の顧客に対し、

不審な通信が発生していたことだった。パケットキャプチャをして再構成してみると、Redis の

プロトコルが動いていることが判明し、ここまでの解析を行ったという。

 　送り込まれてきたシェアードオブジェクトファイルを再構築し、VirusTotal で確認したところ、

ほとんど全てのスキャンエンジンで検知できず、名前も聞いたことのないベンダー 1 社でだけ検知

できた。おそらく Linux をターゲットにしたバックドアと推測されるが、「 普通の EDR製品では

全然検知できないものでした 」（近藤氏） 

　幸い、顧客側で動作していたのは Linux ではなく Mac のマシンだったため実害はなかったが、

問題は、通報しても、担当者から「 いや、このマシンに Redis なんて入っていませんよ 」と

返されたことだった。 攻撃を受けたマシンは、顧客のセキュリティチームのメンバー、つまり IT や

セキュリティに無知なわけではなく、かなり詳しい人物が使っていたものだった。

   にもかかわらず、なぜ こうした状況になったのだろうか。近藤氏は「 Redis はオープンソース

ソフトウェアなので、何かしらのソフトウェアが  Redis を内包して作られていたのではないで

しょうか。しかし 作り方がまずく、認証もなければポートもフルオープンで作られており、それが

攻撃者のグローバルスキャンに拾われたのではないでしょうか 」と述べ、ｿﾌﾄｳｪｱｻﾌﾟﾗｲﾁｪｰﾝ 的な問題

をはらんでいると指摘した。

 

 　このケースで難しいのは、利用者側は Redis が動いていることも知らなければ、ログも出力されず、

何が起きているか 全く把握できない状態になっていることだ。

近藤氏は「 もし 皆さんの組織で こうした攻撃がどうなるかをぜひイメージしてください。検知は

かなり困難だと思います 」と警鐘を鳴らした。

 　この例が示す通り、サイバー攻撃では 常に攻撃側にアドバンテージがある。たとえ EDR をはじめ

とするセキュリティ製品を導入しても、完璧な対応というものはありえない。「 見つけるのが

非常に困難な攻撃はあり得る前提で、いろんな情報を得ながら運用し続け、対応し続ける覚悟が

非常に重要なのではないか と思います 」（近藤氏）

 

 ●「自分は大丈夫」が 仇になる？

　ＩＴ屋 と セキュリティ屋のギャップとは 最後に、3 氏が それぞれ最近の「気になる事象」

「リアルな現状」について ディスカッションを行った。

 近藤氏が気になるのは、「ＩＴ屋」と「セキュリティ屋」のギャップだそうだ。ＩＴ担当者や開発者

は それぞれの領域には 詳しくても、ネットワークや DNS、セキュリティまでに詳しいとは限らない。

この結果、SPFレコードの設定に「~」ではなく「～」（全角）という文字列が使われ、ｾｷｭﾘﾃｨ 上

意味のない設定のまま運用されていたり、会社の統廃合に伴って「 今まで使っていたドメインが

不要になるので捨てたいんですが、なぜ ダメなんですか？ 」と聞かれたりすることもあるという。

 

     設定に関しては チェッカーが存在するにもかかわらず、活用されていないケースも多いようだ。 

関根氏もこのギャップを感じているそうだ。特に ドメイン名については、「 せっかく企業ブランドを

高めるために 自社ドメインに投資をしているのだから、そちらを生かし、イベントやキャンペーンの

ためだけに ドメインを取るのはやめましょう 」と 常々呼びかけているが、まだまだ使用済みドメイン

流用のリスクは浸透していない。

    近藤氏も、ある組織の担当者から「 go.jp はカッコ悪い、やっぱり .com ですよね 」と言われた

ことがあるという逸話を紹介し、「 ドメインは人類には早すぎたのでは 」という見方もあるとした。

 

 　また、レッドチームとして ＩＴ部門に「敵対」する立場から診断やアドバイスを行うこともある

四方氏は、「 現場の ＩＴ部門やシステム構築に携わっている人たちは、まずシステムを動かして、

その後セキュリティを考えるという状況になっていることも多々あると思う 」と、セキュリティが

後回しにされる現状もあるとコメントした。

 　これを受けて近藤氏は、「 エンジニアとしては 楽をして、効率的に作業をしたいという思いが

あります。また、技術のことがわかっているだけに、『自分は大丈夫』というマインドセットが

根強く、その隙をつかれることがあるかもしれません 」と、過去の自分の振る舞いも振り返りつつ、

「 仇になるのは 一般の方よりも、エンジニアチームかもしれません 」と述べた。

 

 　四方氏によると、レッドチーム演習を実施する際には、経営層にだけは事前に通告するものの、

インシデント対応にあたる現場には知らせず テストを行う。このため、大ごとになる直前で現場の

関係者にネタ明かしを行うと、相当微妙な空気になることもあるそうだ。

 　ただ、セキュリティ機器が適切に動作し、セキュリティチームがきちんと対応できるかを

チェックする必要があるのも事実。そこを理解して 定期的にテストを実施する企業と、「 SPF が

間違っていても 別に構わないでしょう 」という意識のままの企業との間で、一種の格差が広がりつつ

あるのがリアルな現状だとした。 

　そして その現状を踏まえた上で、「 底を広げて上げていくことが大事になりますので、ぜひ皆さん、

底上げに向けて活動していきましょう 」と呼びかけ、セッションを終えた。