米サイバーセキュリティ・インフラセキュリティ庁(CISA)と、オーストラリアサイバーセキュリティセンター（ACSC）は共同で、昨年検出されたマルウェアの上位リストを公表しました。この勧告では上位のマルウェアのほとんどは、5年以上にわたって使用されており、それぞれのコードベースは複数のバリエーションに進化していると述べています。

■2021年に観測された上位のマルウェア

　2021年、マルウェアの上位系統には、リモートアクセス型トロイの木馬（RAT）、バンキング型トロイの木馬、情報窃取型、ランサムウェアが含まれています。2021年に観測された上位のマルウェアは、以下の通りです。

Agent Tesla、AZORult、Formbook、Ursnif、LokiBot、MOUSEISLAND、NanoCore、Qakbot、Remcos、TrickBotおよびGootLoader。

・悪意のあるサイバー攻撃者は、少なくとも5年前からAgent Tesla、AZORult、Formbook、LokiBot、NanoCore、Remcos、TrickBotを使用しています。

・悪意のあるサイバー攻撃者は、10年以上前からQakbotとUrsnifを使用しています。

　QakbotとTrickBotは、ボットネットを形成するために使用されます。TrickBotマルウェアは、しばしばContiランサムウェアの初期アクセスを可能にし、2021年上半期に約450件のグローバルランサムウェア攻撃で使用されました。Formbook、Agent Tesla、RemcosはCOVID-19のパンデミックを利用し企業や個人から個人データや認証情報を盗み出す大規模なフィッシングキャンペーンで利用されることが観測されました。

■マルウェアの緩和策

　マルウェアに対する緩和策として以下の緩和策が有効であると述べられました。

・ITネットワーク資産のオペレーティング・システム、アプリケーション、ファームウェアなどのソフトウェアを更新する。

　インターネットに接続された機器において、既知の悪用される脆弱性、リモート・コードの実行やサービス拒否を可能にする重要かつ高度な脆弱性に対して優先的にパッチを適用する。

　- パッチ管理の一元化の利用を検討する。

　- 脆弱性スキャンを含むCISAのサイバーハイジーンサービスへの加入を検討し、脅威への露出を減らすのに役立てる。CISAの脆弱性スキャンサービスは、アクセス可能なサービスや脆弱性について、公開されている固定IPアドレスを継続的にスキャンすることで、外部ネットワークの存在を評価します。

・可能な限りMFA を実施する

　サービスアカウントなどパスワードログインが必要なアカウントには強力なパスワードを設定することを義務付ける。

　また、パスワードを複数のアカウントで使用したり、敵対者がアクセスできるシステムに保存したりしないようにする。

・RDPやその他の潜在的にリスクの高いサービスを使用している場合は、それらを安全に保護し、厳密に監視する。

　RDPの悪用は、ランサムウェアの最初の感染経路の上位の1つであり、RDPを含むリスクの高いサービスは、オンパス攻撃者を使用してセッションに不正にアクセスすることを可能にします。

　- 内部ネットワーク経由のリソースへのアクセスを制限する。特に RDP を制限し、仮想デスクトップインフラを使用する。リスクを評価した上で、RDPが業務上必要と判断された場合は、発信元を制限し、クレデンシャルの盗難や再利用を軽減するためにMFAを義務付ける。RDPを外部から利用する必要がある場合は、仮想プライベートネットワーク（VPN）などを利用して認証し、接続を安全にした上で、RDPによる内部デバイスへの接続を許可する。リモートアクセス/RDPのログを監視し、ブルートフォースの試行をブロックするために指定回数の試行後にアカウントのロックアウトを実施し、RDPログイン試行を記録し、未使用のリモートアクセス/RDPポートを無効化する。

　- デバイスが適切に設定され、セキュリティ機能が有効になっていることを確認する。業務上使用していないポートやプロトコルを無効にする（例：RDP Transmission Control Protocol Port 3389）。

・データのオフライン（物理的に切断された状態）バックアップを維持する。

　バックアップの手順は、頻繁に、定期的に（最低でも90日ごとに）実施する必要がある。バックアップ手順を定期的にテストし、バックアップがマルウェアの拡散を可能にするネットワーク接続から分離されていることを確認する。

　-　バックアップキーがオフラインで保管されていることを確認し、ランサムウェアのインシデントで暗号化されないようにする。

　-　すべてのバックアップデータが暗号化され、不変であること（すなわち、変更または削除できないこと）、および主要なデータ資産に特に重点を置いて組織のデータインフラ全体をカバーしていることを確認する。

・ソーシャル・エンジニアリングやスピアフィッシングのキャンペーンを成功させないために、エンドユーザーの意識向上とトレーニングを実施する。

　フィッシングは、ランサムウェアの主要な感染経路の一つです。

　-　従業員に対して、潜在的なサイバー脅威とその伝達方法について周知徹底する。

　-　フィッシングの疑いのある電子メールを受け取ったとき、またはサイバーインシデントが疑われるときに、従業員が何をすべきか、誰に連絡すべきかを認識していることを確認する。

・マイクロセグメンテーション

長期的な取り組みの一環として、役割と機能に基づいてネットワークセグメントを分離するネットワークセグメンテーションを導入します。ネットワーク・セグメンテーションは、さまざまなサブネットワーク間のトラフィックフローやアクセスを制御することで、ランサムウェアの拡散や脅威者の横移動を防止するのに役立ちます。ACSC は、多国籍企業のオーストラリア部門が、自社の管理外のオフショア部門が管理・ホストする資産に影響を及ぼすランサムウェアのインシデントによるデータ盗難事件を確認しています。