ーランサムウェア新戦略
メール経由からネットワーク経由に。
1.侵入
2.内部活動(AD侵害、セキュリティ対策の無効化など)
3.ランサム感染
→データの削除のみならず、暴露の被害も考慮必要がある
◆ENEAK
露出したRDPやVPNの脆弱性よりネットワークへ侵入
◆ColdLock→(ファイルレス版)Netwalker
ADサーバ侵害(2020年台湾)
反射型DLLインジェクション
ーオークションで売られる情報。脅すことでさらに金銭要求。
◆Nefilim
◆MAZE
◆Sodinokibi /Evil
ーemotet
◆メール経由
手法:返信型メール、不正マクロ
被害:データ削除、情報窃取→横展開
◆Access as a service(AaaS)
侵入口権利の売買←摂取された情報
ー対策ポイント
1.宛名
アドレス帳の情報を利用するので、宛名等の記載に不審な点がある場合あり
2.添付マクロ
マクロを有効化する前に、送信者に確認する。
有効化することにより発動するしかけ
3.内部の対策
サーバアップデート
4.外部への対策
侵入・ログ監視、内部ネットワーク監視
アクセス制限(IP..)、認証強化
パッチ適用までの間の対策について検討...
5.手口を知る
メール対策
Web対策(カテゴリ、ホワイト)
6.バックアップを取っておく
ーフィッシング詐欺
誘導されてしまう数がコロナ後増加
データの窃取(認証情報、個人情報、クラウドサービスやソフトの認証情報を狙うものが増えてる)
コロナに便乗した内容の不正サイト、法人メール
ーテレワークの弱点
1.クライアント端末の脆弱性を狙う攻撃
新規のサービスをDLすることが多いため、不正ソフトに気がつかない
2.サービス認証情報を狙う攻撃
認証情報を狙うフィッシングサイト
3.経路を狙い侵入する攻撃
VPN,VDI,RDP経由での感染