ウォッチガードが20年Q4のセキュリティレポート、暗号化されたマルウェア検知が前期比41%増加
週刊BCN+ / 2021年5月6日 13時2分
記事の画像
ウォッチガード・テクノロジー・ジャパン(ウォッチガード)は、四半期ごとに発行している「インターネットセキュリティレポート」の最新版(2020年第4四半期)を4月28日に発表した。 今回のレポートには、昨年6月にウォッチガードがPanda Securityを買収したことにともない、エンドポイントの脅威インテリジェンスに基づく新たな知見が盛り込まれている。なかでも、注目すべきは、ファイルレスマルウェアとクリプトマイナー攻撃の割合がそれぞれ約900%と25%増加したのに対して、20年はランサムウェアペイロード(ユニーク数)が19年と比較して48%減少したことを明らかにしている。さらに、ウォッチガード脅威ラボでは、20年Q4では暗号化されたマルウェアの検知が前期比で41%増加し、ネットワーク攻撃が18年以降最も増えたことを突き止めている。
主な調査結果として、20年はファイルレスマルウェアの割合が19年に比べて888%増加した。これらの脅威はとくに危険であり、従来のエンドポイントプロテクションのクライアントによる検知を回避し、ユーザーが不正リンクをクリックする、または知らずに感染したウェブサイトを訪れるだけで被害に遭ってしまう。PowerSploitやCobaltStrikeといったツールキットにより、攻撃者は稼働中の他のプロセスに不正コードを容易に注入することができ、ユーザーのプロテクション機能がオリジナルのスクリプトを特定し、除去しても稼働し続けることができる。エンドポイントの検知/レスポンスソリューションと予防的なアンチマルウェアを両方実装することで、こうした脅威を特定することができる。
18年の初頭に実質的にすべての暗号通貨の価格が暴落してから、クリプトマイナーの感染は大幅に減少し、19年には亜種の検知が633件(ユニーク数)と最低になった。しかし、攻撃者は既存のボットネット感染にクリプトマイナーモジュールを追加し、被害者から不当に収入を得る一方で、ネットワークを他のサイバー犯罪に悪用することを続けていた。結果として、20年Q4に暗号通貨の価格が再び上昇し始めると、クリプトマイナーマルウェアの検知数が19年と比較して25%増加し、昨年は850(ユニーク数)もの亜種が発見された。
20年は2年続けてランサムウェアペイロード(ユニーク数)が減少し、最高を記録した18年の5489件、そして19年の4131件から2152件(ユニーク数)にペイロードが減った。この数字は、ランサムウェアの亜種に世界中の膨大な数のエンドポイントが感染したことを示している。これらの検知は主に、WannaCryと関連する亜種を検知するために17年に導入されたシグニチャにより検知されており、WannaCryが表舞台に登場してから3年以上にわたりランサムウォーム戦術がいまだに生き延びていることを示している。ランサムウェアの数が着実に減少したことは、攻撃者がこれまでの的を絞らない広範囲な攻撃から、医療機関や製造業などダウンタイムが許されない被害者を対象とした高度な標的型攻撃へとシフトし続けていることを示唆している。
4四半期連続でマルウェアの全般的な数が減少しているにもかかわらず、ウォッチガードがQ4にネットワーク境界で検知したすべての攻撃の約半数(47%)が暗号化されていた。さらに、HTTPS接続経由で配信されたマルウェアは41%増加しており、暗号化されたゼロデイマルウェア(アンチウイルスシグニチャを回避する亜種)はQ3と比較して22%増えていた。
Q4では、Linux.Genericウイルス(「The Moon」としても知られる)がウォッチガードのマルウェア検知トップ10リストに新たに登場した。このマルウェアは、サーバーネットワークの一部として、IoTデバイスやルータなどのコンシューマグレードのネットワークデバイスを直接標的とし、あらゆる脆弱性をエクスプロイトする。ウォッチガードの調査により、攻撃者が仕組んだインフラのなかに存在するARMプロセッサー向けに作成されたLinuxに特化したマルウェアと、MIPSプロセッサー向けに作成されたペイロードであることが判明し、IoTデバイスに対する回避型攻撃であることが明白となった。
国が関与したとされる今回のSolarWinds経由の洗練されたサプライチェーン攻撃は、今後数年間にわたってセキュリティ業界全体に大きな影響を与えることになると予測される。影響はSolarWindsだけでなく、著名なFortune 500企業、セキュリティ大手企業、そして米政府をも含む約100社にまで拡大した。ウォッチガードによる詳細なインシデント分析により、現在の相互につながるデジタルエコシステムで、サプライチェーン攻撃に対する防御の重要性が明らかになった。
Trojan.Script.1026663が、ウォッチガードのQ4で最も広く普及したマルウェア検知リストのトップ5に入った。攻撃は、ユーザーに添付の注文リストを確認することを求めるメールから始まる。次に添付ドキュメントが一連のペイロードと不正コードを起動させ、ユーザーのマシンに最終目的とする攻撃Agent Tesla remote access trojan(RAT)とキーロガーをロードさせる。
Q4のネットワーク攻撃の総検知数は5%増加し、記録を更新した。また、ネットワーク攻撃シグニチャのユニーク数が着実に増加し、Q3と比べて4%増となっている。これは、世界でリモートワークが継続されているにもかかわらず、相変わらず企業のネットワーク境界が狙われており、攻撃者が引き続きオンプレミスのアセットを標的にしていることを示している。
今期、ウォッチガードのアプライアンスは2600万件以上のマルウェア(1デバイス当たり456件)、350万件近いネットワーク脅威(1デバイスあたり77件の検知)をブロックした。また、Fireboxで455件(ユニーク数)の攻撃シグネチャをブロックしており、Q3と比較して4%増加している。四半期ごとに発行されるウォッチガードの調査レポートは、脅威ラボの調査活動をサポートするためのデータ共有に賛同している、ウォッチガードアプライアンスオーナーによる匿名のFireboxデータに基づいている。さらに、レポートの新たなエンドポイント脅威インテリジェンスでは、92カ国にわたる170万のエンドポイントから250万件(ユニーク数)のペイロードアラートに基づき、20年の特定のマルウェア攻撃やトレンドに関する深い洞察を提供している。
外部リンク
この記事に関連するニュース
-
チェック・ポイント・リサーチ、より高度化したマルウェア「ElizaRAT」を使用したサイバー攻撃を確認
PR TIMES / 2024年11月22日 17時40分
-
自律型AIエンドポイントセキュリティ製品の技術支援サービス「マネージドセキュリティサービスプロバイダー」を販売開始
PR TIMES / 2024年11月13日 13時15分
-
Kaspersky、Telegramを使用しフィンテック関連チャンネルの参加者を標的とする世界規模の攻撃活動を発見
PR TIMES / 2024年11月10日 23時40分
-
チェック・ポイント、2025年のサイバーセキュリティ予測を発表 AIと量子技術の台頭による新たなサイバー脅威に加えて、ソーシャルメディアを悪用した攻撃が激化
PR TIMES / 2024年11月5日 16時45分
-
ウォッチガードの最新セキュリティレポート、「Lumma Stealer」など新たな脅威を追加
週刊BCN+ / 2024年11月5日 16時28分
ランキング
-
1スシロー「パペットスンスン」コラボに言及「追加販売を検討」 発売当日に一部完売したグッズも
ORICON NEWS / 2024年11月22日 17時45分
-
2【独自】船井電機前社長『不正を働いたことはない』 “破産の申し立て”は報道で知る「本当に驚いた。なんでこんなことに…」
MBSニュース / 2024年11月22日 18時20分
-
3物価高に対応、能登復興支援=39兆円規模、「103万円」見直しも―石破首相「高付加価値を創出」・経済対策決定
時事通信 / 2024年11月22日 19時47分
-
4NY株3日続伸、最高値更新 426ドル高、次期米政権期待で
共同通信 / 2024年11月23日 8時1分
-
5ファミマ、プラ製スプーン「有料化」の実験結果を発表 大手コンビニで初、どうなった?
ITmedia ビジネスオンライン / 2024年11月21日 12時20分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください