More Than 90% of Q2 Malware Was Hidden in Encrypted Traffic
2021/10/01 DarkReading — 暗号化されたネットワーク・トラフィックに隠された、マルウェアを検出するための制御を実装していない組織は、悪意のツールの大部分が配布されるという現実があり、エンドポイント・デバイスへのアクセスを許すというリスクを持つことになる。
WatchGuard Technologies の脅威活動の調査は、顧客のネットワークから収集した匿名データを用いて実施したものであり、2021 年Q2 に検出されたマルウェアの 91.5% は、HTTPS で暗号化された接続を介して届いたマルウェアであった。現時点において、HTTPS トラフィックを復号化して、マルウェアをスキャンする仕組みを持っている組織は僅か 20%であり、マルウェアを見逃す組織は 80% に達する。また、後者の組織には、ネットワークに侵入してくるマルウェアの、約 90% を見逃す危険性があると、WatchGuard は述べている。
WatchGuard の Chief Security Officer である Corey Nachreiner は、より多くの組織において、ネットワーク・ベースの HTTPS 復号化制御が有効にされない理由の 1 つとして、この設定が複雑であると認識されているだけでなく、実際にも複雑であるからだと述べている。
彼は、「トラフィックを保護する HTTPS 証明書の神聖さを損なうことなく、中間者による復号を機能させるためには、 公式な証明書検証プロセスの一部である中間 CA 証明書または、ルート CA 証明書を設定しなければならない」 と言う。これには複数の方法があり、厄介なものもあれば、それほど複雑ではないものもある。
さらに Nachreiner は、「要するに、この復号制御を行うには、最初に多少の手間がかかり、上手く機能し始めるようにするためには、例外を作る必要がある。だからこそ、その努力をしない人も存在する。しかし、私たちは、その努力には価値があると確信している。なぜなら、そうしなければ、ネットワーク・セキュリティは多くのことを見逃してしまうからだ」と述べている。
暗号化されたマルウェアに関するデータは、今週に WatchGuard が発表したレポートの中の1つであり、マルウェアと対峙する組織における、厄介なトレンドを明らかにしている。WatchGuard の分析によると、たとえば、今年の前半の 6ヶ月間だけで、スクリプト・ベース (ファイルレス) の攻撃の数は、2020年全体の 80% に達している。また、2021年 Q2 のデータから示される、2021年のファイルレス型マルウェアは、2020年と比較して2倍になるというトレンドである。
暗号化されたマルウェアと同様に、JavaScript/PowerShell/Visual Basic などを用いたファイルレス攻撃も、一部のアンチウイルス・ツールでは容易に検知できない脅威となる。Nachreiner は、「すべてとは言い切れないが、これらのスクリプトの多くは、エンドポイントに悪意のファイルを一切置かない、living-off-the-land 攻撃を行うように設計されている。つまり、エンドポイントに悪意のファイルはドロップされない。むしろ、スクリプトと特権的なアクセス (被害者の認証情報など) を利用して、悪意のある活動を行い続ける。そのため、ファイルに特化したマルウェア検知ツールでは、見逃してしまう可能性がある」と述べている。
ゼロデイ・マルウェアとその他の傾向
ゼロデイ・マルウェアの検出数を、2021年 Q1 と Q2 で比較すると 9% 減少しているが、Q2 のマルウェア・サンプル全体の 64% を占めていることが分かった。この数字は、シグネチャ・ベースのアンチウイルス・ツールだけでは不十分であることの、もう1つの理由である。
Nachreiner は、「攻撃者たちは、マルウェアのリパックを自動化している。つまり、同じマルウェアであっても、その外観的な装いは、被害者ごとに異なるものにできる」と言う。つまり、ユーザー企業は、アンチウイルス・ベンダーがシグネチャを公開するのを待つのではなく、機械学習モデルや行動分析などを用いて、外観を新装したマルウェアをプロアクティブに検出するテクノロジーを必要としている。
2021年の Q1 と Q2 をマクロレベルで比較すると、Q2 のネットワーク攻撃件数が急増し、3年ぶりの高水準となったにもかかわらず、組織のネットワークに境界におけるマルウェアの検出件数は 4% 近く減少している。しかし、ネットワーク攻撃の総数は 520万件であり、Q1 と Q2 を比べると 22.3% ほど増加している。つまり、この数字は、他のベンダーも指摘しているように、COVID-19 パンデミックにより攻撃者の焦点が変化し、より分散した職場環境へと移行していることを示している。
Nachreiner は、「パンデミックの影響がシンプルに現れ、ナレッジ・ワーカーの多くが、自宅で仕事をするようになったからだと考えられる。電子メールを受信し、Web を閲覧するユーザーを、マルウェアは狙う傾向にあるため、攻撃者はリモートの従業員に焦点を合わせている。いま、彼らは自宅で仕事をしている。つまり、物理的に組織の外側にいるため、ネットワーク境界で検出されるマルウェアは減少している」と述べている。
しかし、このトレンドが必ずしも、マルウェアの全体量の減少を意味するものではない、と彼は注意を促している。つまり、マルウェアが検出されるポイントが、ネットワーク境界制御から、エンドポイント・セキュリティへと、移行していることを示しているに過ぎないと、Nachreiner は指摘している。
その一方で、ネットワーク攻撃者たちは、オフィスやクラウドにあるサーバーやサービスを攻撃し続けている。複数のセキュリティ研究者たちは、情報セキュリティ・スタッフを含む多くの従業員が自宅で仕事をしているため、これらのサーバーやサービスの多くが、以前よりも保護されていない状況にあると指摘している。
タイトルは、原題どおり「暗号トラフック」にしましたが、ほぼ HTTPS のことだと理解してよいのでしょう。いまでは欠かすことのできない HTTPS ですが、企業のネットワーク境界を超えるときにも、暗号化された状態で良いのか悪いのか、という話ですね。なかなか、難しいところがあるだけに、この調査の結果は意味があると思います。先日に「Google Chrome 90 はディフォルト・プロトコルとして HTTPS を選ぶ」をポストしましたが、この記事で指摘されている懸念が、顕在化していくのだろうと予測できます。
IoT OT Security News 