ウォッチガードが20年Q4のセキュリティレポート、暗号化されたマルウェア検知が前期比41%増加
週刊BCN+ / 2021年5月6日 13時2分
記事の画像
ウォッチガード・テクノロジー・ジャパン(ウォッチガード)は、四半期ごとに発行している「インターネットセキュリティレポート」の最新版(2020年第4四半期)を4月28日に発表した。 今回のレポートには、昨年6月にウォッチガードがPanda Securityを買収したことにともない、エンドポイントの脅威インテリジェンスに基づく新たな知見が盛り込まれている。なかでも、注目すべきは、ファイルレスマルウェアとクリプトマイナー攻撃の割合がそれぞれ約900%と25%増加したのに対して、20年はランサムウェアペイロード(ユニーク数)が19年と比較して48%減少したことを明らかにしている。さらに、ウォッチガード脅威ラボでは、20年Q4では暗号化されたマルウェアの検知が前期比で41%増加し、ネットワーク攻撃が18年以降最も増えたことを突き止めている。
主な調査結果として、20年はファイルレスマルウェアの割合が19年に比べて888%増加した。これらの脅威はとくに危険であり、従来のエンドポイントプロテクションのクライアントによる検知を回避し、ユーザーが不正リンクをクリックする、または知らずに感染したウェブサイトを訪れるだけで被害に遭ってしまう。PowerSploitやCobaltStrikeといったツールキットにより、攻撃者は稼働中の他のプロセスに不正コードを容易に注入することができ、ユーザーのプロテクション機能がオリジナルのスクリプトを特定し、除去しても稼働し続けることができる。エンドポイントの検知/レスポンスソリューションと予防的なアンチマルウェアを両方実装することで、こうした脅威を特定することができる。
18年の初頭に実質的にすべての暗号通貨の価格が暴落してから、クリプトマイナーの感染は大幅に減少し、19年には亜種の検知が633件(ユニーク数)と最低になった。しかし、攻撃者は既存のボットネット感染にクリプトマイナーモジュールを追加し、被害者から不当に収入を得る一方で、ネットワークを他のサイバー犯罪に悪用することを続けていた。結果として、20年Q4に暗号通貨の価格が再び上昇し始めると、クリプトマイナーマルウェアの検知数が19年と比較して25%増加し、昨年は850(ユニーク数)もの亜種が発見された。
20年は2年続けてランサムウェアペイロード(ユニーク数)が減少し、最高を記録した18年の5489件、そして19年の4131件から2152件(ユニーク数)にペイロードが減った。この数字は、ランサムウェアの亜種に世界中の膨大な数のエンドポイントが感染したことを示している。これらの検知は主に、WannaCryと関連する亜種を検知するために17年に導入されたシグニチャにより検知されており、WannaCryが表舞台に登場してから3年以上にわたりランサムウォーム戦術がいまだに生き延びていることを示している。ランサムウェアの数が着実に減少したことは、攻撃者がこれまでの的を絞らない広範囲な攻撃から、医療機関や製造業などダウンタイムが許されない被害者を対象とした高度な標的型攻撃へとシフトし続けていることを示唆している。
4四半期連続でマルウェアの全般的な数が減少しているにもかかわらず、ウォッチガードがQ4にネットワーク境界で検知したすべての攻撃の約半数(47%)が暗号化されていた。さらに、HTTPS接続経由で配信されたマルウェアは41%増加しており、暗号化されたゼロデイマルウェア(アンチウイルスシグニチャを回避する亜種)はQ3と比較して22%増えていた。
Q4では、Linux.Genericウイルス(「The Moon」としても知られる)がウォッチガードのマルウェア検知トップ10リストに新たに登場した。このマルウェアは、サーバーネットワークの一部として、IoTデバイスやルータなどのコンシューマグレードのネットワークデバイスを直接標的とし、あらゆる脆弱性をエクスプロイトする。ウォッチガードの調査により、攻撃者が仕組んだインフラのなかに存在するARMプロセッサー向けに作成されたLinuxに特化したマルウェアと、MIPSプロセッサー向けに作成されたペイロードであることが判明し、IoTデバイスに対する回避型攻撃であることが明白となった。
国が関与したとされる今回のSolarWinds経由の洗練されたサプライチェーン攻撃は、今後数年間にわたってセキュリティ業界全体に大きな影響を与えることになると予測される。影響はSolarWindsだけでなく、著名なFortune 500企業、セキュリティ大手企業、そして米政府をも含む約100社にまで拡大した。ウォッチガードによる詳細なインシデント分析により、現在の相互につながるデジタルエコシステムで、サプライチェーン攻撃に対する防御の重要性が明らかになった。
Trojan.Script.1026663が、ウォッチガードのQ4で最も広く普及したマルウェア検知リストのトップ5に入った。攻撃は、ユーザーに添付の注文リストを確認することを求めるメールから始まる。次に添付ドキュメントが一連のペイロードと不正コードを起動させ、ユーザーのマシンに最終目的とする攻撃Agent Tesla remote access trojan(RAT)とキーロガーをロードさせる。
Q4のネットワーク攻撃の総検知数は5%増加し、記録を更新した。また、ネットワーク攻撃シグニチャのユニーク数が着実に増加し、Q3と比べて4%増となっている。これは、世界でリモートワークが継続されているにもかかわらず、相変わらず企業のネットワーク境界が狙われており、攻撃者が引き続きオンプレミスのアセットを標的にしていることを示している。
今期、ウォッチガードのアプライアンスは2600万件以上のマルウェア(1デバイス当たり456件)、350万件近いネットワーク脅威(1デバイスあたり77件の検知)をブロックした。また、Fireboxで455件(ユニーク数)の攻撃シグネチャをブロックしており、Q3と比較して4%増加している。四半期ごとに発行されるウォッチガードの調査レポートは、脅威ラボの調査活動をサポートするためのデータ共有に賛同している、ウォッチガードアプライアンスオーナーによる匿名のFireboxデータに基づいている。さらに、レポートの新たなエンドポイント脅威インテリジェンスでは、92カ国にわたる170万のエンドポイントから250万件(ユニーク数)のペイロードアラートに基づき、20年の特定のマルウェア攻撃やトレンドに関する深い洞察を提供している。
外部リンク
この記事に関連するニュース
-
Androidマルウェアから情報流出、被害拡大のおそれ
マイナビニュース / 2024年9月18日 8時56分
-
Kaspersky、台頭するランサムウェア「Mallox」を調査:独自運用から「サービスとしてのランサムウェア」へ変化
PR TIMES / 2024年9月11日 15時40分
-
<Kasperskyサイバー脅威レポート: 2024年第2四半期は、脆弱性を持つドライバーを使用しWindowsを狙う攻撃が23%増加したことを確認>
PR TIMES / 2024年8月30日 16時40分
-
バラクーダネットワークスの新たな調査により、防止できたランサムウェア攻撃の44%はラテラルムーブメント中に検知されたことが判明
PR TIMES / 2024年8月29日 14時45分
-
チェック・ポイント・リサーチ、2024年7月に最も活発だったマルウェアを発表 国内ではAndroxgh0st が依然首位、世界的なRemcosとRansomHubの蔓延を確認
PR TIMES / 2024年8月22日 13時45分
ランキング
-
1高齢者のダイエットは危険!実は寿命を削ってしまう可能性もあることが判明
THE GOLD ONLINE(ゴールドオンライン) / 2024年9月19日 11時0分
-
2マイナ保険証では"大損"する人が続出…廃止される健康保険証だけに記載された最重要情報で医療費は雲泥の差
プレジデントオンライン / 2024年9月19日 10時15分
-
3ローソン、107円になる「長すぎるパン」を発売 「大きすぎるパン」も KDDIと共同開発した背景
ITmedia ビジネスオンライン / 2024年9月19日 16時44分
-
4日系企業、社員の一時帰国容認も=邦人に募る不安―中国・男児襲撃事件
時事通信 / 2024年9月19日 21時1分
-
5お金持ち流!100円ショップで買うもの・買わないもの
オールアバウト / 2024年9月18日 21時40分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください