ウォッチガードのセキュリティレポート最新版、ソーシャルエンジニアリングによるフィッシングなどが増加

記事の画像

　ウォッチガード・テクノロジー・ジャパン（ウォッチガード）は7月24日、四半期ごとに発行している「インターネットセキュリティレポート」の最新版（2023年第1四半期）を発表した。それによると、ブラウザーを利用したソーシャルエンジニアリング戦略を活用したフィッシングをはじめ、国家が関与している新たなマルウェア、ゼロデイマルウェアの急増、環境寄生型（LotL：living-off-the-land）攻撃が増加した、としている。　最新版レポートでは、ブラウザーを利用したソーシャルエンジニアリングが新たなトレンドになった。現在のウェブブラウザーは、ポップアップの不正使用を防止する機能を強化しているため、攻撃者はブラウザーの通知機能を利用して同様のタイプのインタラクション（やり取り）を促すことに軸足を移している。また、今四半期の悪質ドメインの上位リストの中で注目すべき点として、SEOポイズニング行為に関与する新たな攻撃先を挙げている。

　トップ10マルウェアリストに登場した新たな脅威の4分の3が中国とロシアの攻撃者だったが、これらの悪意ある攻撃者が実際に国家に支援されているとは限らない。一例として、今期のトップ10マルウェアリストに初めて登場したZusyマルウェアファミリーが挙げられる。脅威ラボが発見したZusyの例では、中国の国民を標的としており、悪質なブラウザーをインストールするアドウェアが使用されており、このブラウザーはシステムのWindows設定を乗っ取り、デフォルトのブラウザーとして使用される。

　Threat Labのアナリストは、今四半期も引き続き、Office製品を狙ったドキュメントベースの脅威が最も広範にマルウェアリストに含まれていることを確認。ネットワーク面では、Microsoftのファイアウォール「Internet Security and Acceleration（ISA）Server」（現在は販売終了）に対する不正行為が比較的増えている、とした。

　環境寄生型攻撃も増加した。今四半期のDNS分析でレビューされたViperSoftXは、オペレーティングシステムに含まれる組み込み型ツールを活用したマルウェアの最新例。徐々にMicrosoft OfficeやPowerShellをベースとしたマルウェアが報告されていることから、PowerShellのような一般的なツールの正当な使用と不正な使用を区別できるエンドポイントプロテクションの重要性が浮き彫りになった。

　今四半期のマルウェア検知数のトップリストに新たに登場したものの一つに、Linuxベースのシステムを標的にするマルウェアが挙げられる。Windowsがエンタープライズ分野でトップシェアを占めているが、組織はLinuxやmacOSにも注意を払うことが必要で、エンドポイント検知／レスポンス（EDR）を展開する際には必ずWindows以外のマシンも含め、システム環境を総合的にカバーすることが大切となるとしている。

　また、暗号化されていないウェブトラフィックを介したゼロデイマルウェアの検知数が70％を占有し、暗号化されたウェブトラフィックを介したゼロデイマルウェアの検知数は93％を占めた。ゼロデイマルウェアは、IoTデバイスや設定ミスのあるサーバー、WatchGuard EPDR（エンドポイント保護／防御／レスポンス）のような強固なホストベースの防御を使用していないデバイスに感染する可能性がある。さらに、恐喝サイトに公開された852人の被害者を集計し、51の新しいランサムウェア亜種を発見した。これらのランサムウェアグループは、驚くほど高い割合で被害者を公表し続けており、なかには著名な組織やFortune 500企業も存在するとした。