ウォッチガード、22年第1四半期のインターネットセキュリティレポートを発表

記事の画像

　ウォッチガード・テクノロジー・ジャパンは7月5日、四半期ごとに発行している「インターネットセキュリティレポート」の最新版（2022年第1四半期）を発表した。　今回のレポートでは、ウォッチガードの脅威ラボの研究者によって分析された、マルウェアのトップトレンドやネットワークセキュリティの脅威に関する詳細を報告している。注目すべき点として、今年第1四半期のランサムウェアの検知数が21年の報告総数の2倍になったこと、Emotetボットネットの復活、悪名高いLog4Shell脆弱性の攻撃力が3倍に増加、そして悪質なクリプト（暗号資産）マイニング活動などを中心に報告されている。

　インターネットセキュリティレポート（22年第1四半期）の主な調査結果として、21年第4四半期の調査ではランサムウェア攻撃は前年比で減少傾向にあったが、今年第1四半期では状況が一変し、ランサムウェアの検知数が大幅に増加した。今年第1四半期に検知されたランサムウェア攻撃数は、すでに21年全体の検知数の2倍に達している。

　21年第4四半期では、悪名高いサイバー犯罪集団「REvil」が失脚したが、代わりに、別のグループ「LAPSUS$」の出現の扉を開いてしまった。ウォッチガードの第1四半期の分析によると、恐喝グループLAPSUS$は、プログラミング言語Rustで書かれた最初の既知のランサムウェアであるBlackCatなどの多くの新しいランサムウェアの亜種とともに、増え続けるランサムウェアとサイバーエクストーション（恐喝）の脅威情勢の要因になり得ることが示唆されている。

　21年12月初旬に公開されたApache Log4j2脆弱性（Log4Shellとしても知られる）は、今四半期、遅ればせながらネットワーク攻撃トップ10リストにデビューした。21年第4四半期のIPS検知数と比較すると、Log4Shellのシグネチャは今年第1四半期に約3倍に増加している。ウォッチガードの前回のインターネットセキュリティレポートで、トップセキュリティインシデントとして注目したLog4Shellは、脆弱性の重大度を評価するCVSSで10.0の満点を獲得した。Log4j2は Javaプログラムで広く使用されており、任意のコード実行が容易なレベルであることからこの脆弱性が注目を浴びた。

　21年初頭の法執行機関による対抗策にもかかわらず、21年第4四半期に復活したEmotetは、今期、検知数トップ10のうち三つがランクインしており、最も拡散されたマルウェアとして報告されている。暗号化マルウェアのトップ5にも登場したTrojan.Vitaは、主に日本を標的とし、Trojan.Valyriaとともに、いずれもMicrosoft Officeのエクスプロイトを利用してEmotetのボットネットをダウンロードするもの。Emotetに関連する三つめのマルウェアMSIL.Mensa.4は、接続されたストレージデバイスを介して拡散し、主に米国内のネットワークを標的としている。脅威ラボのデータによると、Emotetはドロッパーとして機能し、マルウェア配信サーバーからファイルをダウンロードし、インストールする。

　今年第1四半期のエンドポイント検知数全体は、前四半期から約38％増加した。スクリプト、特にPowerShellスクリプトは、攻撃ベクトルとして猛威を振るった。全検知数の88％を占めたスクリプトは、エンドポイント全体の検知数を単独で押し上げ、前四半期に報告された数字を大幅に上回った。PowerShellスクリプトは、第1四半期のスクリプト検知数の99.6％を占めており、攻撃者がいかに正規のツールを使用したファイルレス攻撃やリビングオフザランド（環境寄生）攻撃に移行しているかを示している。これらのスクリプトは攻撃者にとって格好の選択肢となっているが、ウォッチガードのデータは、他のマルウェアの発生源も見過ごしてはならないことを示している。

　今年第1四半期に新たにマルウェアのトップドメインに追加された三つは、全てNanopoolに関連するものだった。この著名なプラットフォームは、暗号通貨のマイニング活動を集約し、安定したリターンを可能にしている。これらのドメインは、技術的には合法的な組織に関連する合法的なドメイン。しかし、こうしたマイニングプールへの接続は、ほとんどの場合、マルウェア感染から企業や教育機関のネットワークで発生し、正当なマイニング作業とはいえない。

　IPSシグネチャのトップ10が全ネットワーク攻撃の87％を占める中、ユニーク検知数が19年第1四半期以来最高の数字を記録した。この増加は、自動化された攻撃が見境なく試されているのではなく、潜在的なエクスプロイトのより小さなサブセットに焦点を当てていることを示している。それでも企業は依然として広範な攻撃を受けている。

　基本型と回避型マルウェアの地域別検知率では、ヨーロッパ、中東／アフリカ（EMEA）のFireboxが北中南米（AMER）のFireboxよりも検知率が高く、それぞれ57％、22％、続いてアジア太平洋地区（APAC）が21％となっている。

　四半期ごとに発行されるウォッチガードの調査レポートは、脅威ラボの調査活動をサポートするためのデータ共有に賛同しているウォッチガードアプライアンスオーナーによる匿名のFireboxデータに基づいている。今年第1四半期では、ウォッチガードのアプライアンスは2150万以上のマルウェア（1デバイス当たり274件）、470万近いネットワーク脅威（1デバイス当たり60件）を防御している。