ウォッチガードの最新レポート、エンドポイントランサムウェアの検知が627％に上昇

記事の画像

　ウォッチガード・テクノロジー・ジャパン（ウォッチガード）は5月26日、四半期ごとに発行している「インターネットセキュリティレポート」の最新版（2022年第4四半期）を発表した。今回のトピックスでは、エンドポイントランサムウェアの検知が627％に上昇したことで、ランサムウェアを未然に防ぐための最新のセキュリティ制御や、優れた災害復旧や事業継続（バックアップ）計画などの必要性が明らかになった。　脅威ラボの調査によると、ほとんどのマルウェアは、セキュリティで保護されたウェブサイトで使用されるSSL/TLS暗号化に隠れていることが引き続き示されている。第4四半期もその傾向は続いており、82％から93％に増加した。また、ネットワーク上のマルウェア検知数は今回、前四半期比で約9.2％減少した。

　ネットワークマルウェアの検知数が減少する一方で、エンドポイントでの検知数は、前四半期比で22％増加した。これは、マルウェアが暗号化されたチャネルにシフトしているという脅威ラボチームの仮説を裏付けるものとなった。エンドポイントでは、脅威ラボのエンドポイントソフトウェアが確認できるようにブラウザーが復号化するため、TLSの暗号化はそれほど重要ではない。主要な攻撃ベクトルのうち、スクリプトに関連するものが最も多く、全検知数の90％を占めている。ブラウザーマルウェアの検知では、攻撃者はInternet Explorerを最も多く標的とし、検知の42％を占有。次いでFirefoxが38％だった。

　非暗号化トラフィックで、ゼロデイまたは回避型マルウェアが43％に減少した。マルウェアの検知数全体に占める割合は依然として大きいものの、脅威ラボチームがここ数年で確認したなかでは最も低い数値となった。

　一方で、フィッシングキャンペーンが増加。レポートのトップ10リストに掲載（一部は一般的なリストにも掲載）されたマルウェアのうち、3種類はさまざまなフィッシングキャンペーンを支援するものだった。最も多く検知されたマルウェアファミリーであるJS.A gent.UNSは、悪意のあるHTMLを含み、著名なウェブサイトを装った正規のドメインへユーザーを誘導する。別の亜種であるAgent.GBPMは、「PDF Salary_Increase」というタイトルのSharePointフィッシングページを作成し、ユーザーのアカウント情報にアクセスしようとする。トップ10の最後の新しい亜種であるHTML.Agent.WRは、フランス語で偽のDHL通知ページを作成し、既知のフィッシングドメインにつながるログインリンクを提供する。フィッシングやビジネスメール詐欺（BEC）は、依然としてトップクラスの攻撃ベクトルの一つであるため、適切な予防防御策とセキュリティアウェアネス（意識）のトレーニングプログラムの両方を用意して、防御に努めるべきとしている。

　プロキシログインの悪用が引き続き増加している。このよく知られている重要なExchangeの問題に対する悪用は、第3四半期の8位から前四半期に4位へと上昇した。また、ネットワーク攻撃量は前四半期比横ばいとなった。厳密には35ヒット増加し、わずか0.0015％の増加だった。

　また、LockBitが依然としてランサムウェアグループとマルウェアの亜種として流行している。LockBitは再び最も多くの公的な恐喝被害者を出し、ウォッチガードの脅威ラボが追跡したのは149人だった（第3四半期は200人）。第4四半期には、脅威ラボチームが新たに31のランサムウェアと恐喝グループを検知した。