暗号化接続でマルウェア比率が高い状態、ウォッチガードの21年第3四半期セキュリティレポート
週刊BCN+ / 2022年2月10日 13時30分
記事の画像
ウォッチガード・テクノロジー・ジャパン(ウォッチガード)は2月9日、四半期ごとに発行している「インターネットセキュリティレポート」の最新版(21年第3四半期)を発表した。今回のレポートでは、ネットワーク境界でのマルウェアの総検知数が前期の過去最高記録と比較して減少したものの、エンドポイントのマルウェア検知数が(21年第4四半期の報告をまたずに)すでに20年の総数を超えたことが判明。さらに、前期同様に暗号化接続でのマルウェアの比率が高い状態が続いているとした。
第3四半期のゼロデイマルウェアの総数は、3%増の67.2%と小幅な増加にとどまったが、トランスポートレイヤセキュリティ(TLS)経由のマルウェアの割合が31.6%から47%に跳ね上がった。暗号化されたゼロデイが高度なものとみなされる割合は低いものの、多くの組織がこうした接続を復号して解読していないため、ネットワークに侵入するマルウェアの量を十分に把握していないことが懸念される。
パッチが当てられていない旧来のソフトウェアの脆弱性は、引き続き攻撃者の主要な対象となっているが、広範に使用されているMicrosoft製品の最新版の脆弱性の悪用も模索している。第3四半期では、Microsoft Officeの数式エディタの脆弱性を悪用するCVE-2018-0802が、ウォッチガードのゲートウェイアンチウイルスマルウェア総数のトップ10の6位に割り込んだ。このマルウェアは、前期で最も拡散したマルウェアリストにランクインし、Windowsの二つのコードインジェクタ(Win32/Heim.DとWin32/Heri)が最も検知されたリストのそれぞれ1位と6位に入った。
ネットワーク攻撃の標的はヨーロッパ(15.5%)、APAC(20%)に対して、圧倒的に南北アメリカ(64.5%)が多くなっている。
検知数は、第1四半期と第2四半期で連続して20%以上増加を続けてきたが、今期は減少してウォッチガードの不正侵入検知・防御(IPS)機能でおよそ410万件のユニークなネットワーク侵害を検知。第3四半期の総数は21%減少して、第1四半期のレベルに戻ったが、昨年同期比では依然高止まりの状態が続いている。この変化は、必ずしも攻撃者が手を緩めたということではなく、標的を絞った攻撃に重点を移している可能性がある。
第3四半期にIPSが検出した409万5320件のうち、81%がトップ10のシグネチャに起因するものだった。トップ10に入った新しいシグネチャは、「WEB Remote File Inclusion/etc/passwd」(1054837)の一つだけで、古いながらも広く使われているMicrosoft Internet Information Services(IIS)Webサーバーを標的としている。SQLインジェクションのシグネチャ(1059160)が、19年第2四半期以降、首位の座を維持し続けている。
第3四半期末の時点で、ウォッチガードのAD360脅威インテリジェンスと、WatchGuard EPDR(エンドポイント保護/検知/レスポンス)では、すでに20年全体(前年比666%増)に比べて10%多い攻撃スクリプトが確認されている。昨今のハイブリッドワークフォース(オフィス勤務と在宅勤務の併用)は例外ではなく、むしろルールになりつつあり、脅威を阻止するためには強力な境界線だけではもはや十分ではないという。サイバー犯罪者がエンドポイントを攻撃する方法は、アプリケーションの悪用からスクリプトベースの自給自足型(living-off-the-land)攻撃までいくつかあるが、限られたスキルしかない攻撃者でも、PowerSploit、PowerWare、Cobalt Strikeなどのスクリプティングツールでマルウェアペイロードを完全に実行し、エンドポイントの基本的な検知を回避できる場合が多くなっている。
MicrosoftのExchange Server Autodiscoverシステムのプロトコルの欠陥により、ドメインのクレデンシャル(認証情報)が収集され、通常の安全なドメインが攻撃された。第3四半期でWatchGuard Fireboxは560万の不正ドメインを防御したが、その中には、いくつかの新たなマルウェアドメインにより、クリプトマイニング、キーロガー、リモートアクセスのトロイの木馬(RAT:remote access trojans)を目的としたソフトウェアのインストールを試みるケースや、SharePointサイトになりすましたフィッシングドメインにより、Office365のログインクレデンシャルを詐取するものが見受けられた。防御されたドメイン数は前期比で23%減少したが、20年第4四半期(130万件)と比較すると数段高い数値を記録した。
ランサムウェア攻撃は、9月末に20年で記録した総数の105%に達し、このままいくと21年全体で150%に到達するペースで増加しているという。REvilやGandCrapなど、サービスとしてのランサムウェア(Ransomware-as-a-service)の運用は、コーディングスキルがほとんどない攻撃者、またはまったくない攻撃者の敷居を下げ、身代金の一定割合と引き換えに、世界各地で攻撃を実行するためのインフラとマルウェアのペイロードを提供している。
米国で7月4日からの長期休暇が始まる直前、数十の組織からエンドポイントに対するランサムウェア攻撃が報告されるようになった。ウォッチガードのインシデント分析では、サービスとしてのランサムウェア(RaaS)であるREvilの運用を活用した攻撃者が、Kaseya VSAリモートモニタリング&マネジメント(RMM)ソフトウェアの三つのゼロデイの脆弱性(CVE-2021-30116とCVE-2021-30118など)を悪用し、約1500の組織と潜在的に数百万のエンドポイントにランサムウェアを配信したことが判明した。
外部リンク
この記事に関連するニュース
-
チェック・ポイント、2025年のサイバーセキュリティ予測を発表 AIと量子技術の台頭による新たなサイバー脅威に加えて、ソーシャルメディアを悪用した攻撃が激化
PR TIMES / 2024年11月5日 16時45分
-
ウォッチガードの最新セキュリティレポート、「Lumma Stealer」など新たな脅威を追加
週刊BCN+ / 2024年11月5日 16時28分
-
『AIで高度化するランサムウェア攻撃、従来対策の弱点を補う最適な防御策とは?』というテーマのウェビナーを開催
PR TIMES / 2024年10月31日 13時40分
-
ビジネスパーソンが押さえておくべきランサムウェア最新動向 第16回 ロシアのサイバー攻撃グループが操るUndergroundランサムウェアに注意
マイナビニュース / 2024年10月28日 9時29分
-
APT攻撃グループ「Lazarus」が、Google Chromeのゼロデイ脆弱性を悪用し暗号資産を窃取していたことを発見
PR TIMES / 2024年10月27日 22時40分
ランキング
-
1なぜ「モータースポーツ新会社」設立? GRとは違う「TGR-D」誕生!? トヨタ会長が語る会社分割の狙いとは
くるまのニュース / 2024年11月25日 23時10分
-
2「トイレ流せない…」水道代にも値上げの波 千葉で水道代を2割“値上げ”方針 住民からは悲鳴も【Nスタ解説】
TBS NEWS DIG Powered by JNN / 2024年11月25日 21時9分
-
3「オレンジの吉野家」より「黒い吉野家」のほうが従業員の歩数が30%少ない…儲かる店舗の意外な秘密
プレジデントオンライン / 2024年11月26日 7時15分
-
4薄力粉値上げ=パスタ製品は値下げ―日清製粉ウェルナ
時事通信 / 2024年11月25日 17時23分
-
5「ソニーKADOKAWA連合」、アニメ業界に走る激震 「ソニーにやられた」、買収すれば勢力図は一変か
東洋経済オンライン / 2024年11月26日 7時40分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください