The hidden picture of malware attack trends
2023/04/06 HelpNetSecurity — WatchGuard によると、ネットワークで検出されたマルウェアが、2022年 Q4 に減少した。しかし、エンドポイントのランサムウェアは 627% も急増し、フィッシング・キャンペーンに関連するマルウェアは脅威として存続している。WatchGuard Threat Lab の研究者たちが、HTTPS (TLS/SSL) トラフィックを復号化する Firebox を調べ、さらに分析したところ、マルウェアの発生率が高いことが判明した。つまり、マルウェアの活動が、暗号化されたトラフィックに移行したことを示している。
検出されないマルウェア
このレポートにデータを提供した Firebox のうち、復号化を有効にしているのは僅か 20% であることから、マルウェアの大部分が検出されない状況にあると判断できる。
WatchGuard の CSO である Corey Nachreiner は、「我々のデータを調査/分析したところ、継続して懸念される傾向として、暗号化というよりは、正確にはネットワーク境界での復号化の欠如というべきものが、マルウェアによる攻撃の傾向の全貌を隠していることが判明した。セキュリティ専門家が、HTTPS 検査を有効にすることで、被害を受ける前に脅威を特定し、対処できるようにすることが重要だ」と述べている。
エンドポイント・ランサムウェア検出数の 627% の増加
この値の急増が浮き彫りにするのは、予防原則に則った予防のための最新のセキュリティ・コントロールや、優れた災害復旧とバックアップの計画といった、ランサムウェアに対する防御の必要性である。
マルウェアの 93% は暗号化の影に隠れている
この数値が示すのは、セキュリティ保護のために Web サイトで使用されている SSL/TLS 暗号の裏側に、ほとんどのマルウェアが隠れ潜んでいるという状況である。2022年 Q4 も、その傾向が続いており、82% から 93% に上昇している。このトラフィックを検査しないセキュリティ専門家は、ほとんどのマルウェアを見逃している可能性が高く、エンドポイント・セキュリティによるマルウェア検出の負荷を増大させている。
2022年 Q4 でのネットワークベース・マルウェア検出数が 9.2%減少
2022年 Q2/Q3 から継続して、マルウェアの検出数の減少が続いている。しかし、前述のように、暗号化された Web トラフィックを考慮すると、マルウェアは増加している。この減少傾向は全体像を示していなと、セキュリティ・チームは考えるべきであり、この主張を確認するためにも、HTTPS 検査を活用した多くのデータが必要である。
エンドポイント・マルウェアの検出数は 22% 増加
ネットワーク・マルウェアの検出数が減少した一方で、エンドポイントでの検出数は 2022年 Q4 に増加している。これは、暗号化されたチャネルへと、マルウェアがシフトしているという仮説を裏付けるものだ。ブラウザが TLS を解読して、WatchGuard Threat Lab のエンドポイント・ソフトウェアに認識させるための、このような結果となる。
主要な攻撃ベクターのうち、スクリプトに関連するものが最も多く、全検出数の 90% を占めている。ブラウザにおけるマルウェアの検出で判明したものとして、脅威アクターが最も狙われたのは Internet Explorer の 42% であり、それに続くのが Firefox の 38% である。
暗号化されていないトラフィックにおける、ゼロデイ攻撃および検出回避型マルウェアによる攻撃は、43% に減少している。マルウェアの検出数全体に占める割合は、依然として大きいが、ここ数年では最も低い数値となっている。とはいえ、TLS 接続に注目すると、話はまったく変わってくる。暗号化された接続を利用するマルウェアの 70% が、シグネチャ解析を回避している。
フィッシング・キャンペーンが増加
このレポートの Top-10 リストに掲載されたマルウェアのうち、3つのマルウェアが、さまざまなフィッシング・キャンペーンを支援していた。最も多く検出されたマルウェア・ファミリーの JS.Agent.UNS は、悪意の HTML を隠し持つことで、有名な Web サイトの正規ドメインを装う場所へと、ユーザーを誘導する。
別の亜種である Agent.GBPM は、”PDF Salary Increase” というタイトルの SharePointフィッシング・ページを作成し、ユーザーのアカウント情報にアクセスしようとする。Top-10 の最新の亜種である HTML.Agent.WR は、フランス語で記載される偽の DHL 通知ページを開き、既知のフィッシング・ドメインにつながるログイン・リンクを表示する。
フィッシングと BEC (Business Email Compromise) は、依然としてトップクラスの攻撃ベクターであるため、適切な予防策とセキュリティ意識向上のトレーニング・プログラムを用意し、防御に努めるようにしてほしい。
ProxyLogin を悪用した攻撃は増え続けている
この有名かつ深刻な Exchange の問題に対するエクスプロイトは、2022年 Q3 の8位から、2022年 Q4 の4位へと上昇した。この脆弱性に対しては、とっくにパッチが適用されているはずだが、未パッチのシステムを攻撃者が狙っていると認識する必要がある。古い脆弱性であっても、侵害を実現できるのであれば、攻撃者にとって有用なものになり得る。
数多くの攻撃者たちが、Microsoft Exchange サーバや管理システムをターゲットにし続けている。これらの領域での防御に、どのような力を注ぐべきかを認識する必要がある。
ネットワーク攻撃件数は 2022年 Q3/Q4 比較で横ばい
厳密には、増加したのは 35件のみであり、わずか 0.0015% の増加に過ぎない。このような小さな変化は、2020年 Q1/Q2 比較での 91,885件だけであり、注目に値するデータとなった。
LockBit は依然として流行しているランサムウェア・グループとマルウェアの亜種である
このグループは、ランサムウェアで企業(の関連会社)を侵害することに最も成功しているように見えるため、チームは引き続きLockBitの亜種を頻繁に目にすることになる。
私たちのチームは、LockBit の亜種を頻繁に発見し続けてきた。このランサムウェア・グループはアフィリエイトを介した攻撃で、企業を侵害することに最も成功してきたように見える。
2022年 Q3/Q4 比較では減少しているが、LockBit は最多の恐喝被害者を出しており、WatchGuard Threat Lab で追跡したものでも 149件となる (2022年 Q3 は 200件) 。また、2022年 Q4 には、31種類のランサムウェア恐喝グループが、新たに検出された。
マルウェアに関する、さまざまなデータが並んでいるの、現状を容易に把握できます。この WatchGuard のレポート “Internet Security Report – Quarter 4, 2022” は、50ページもある長編ですが、さまざまなデータがグラフにより視覚化されているので、それらを眺めるだけでも価値があると思います。最近の統計ベースの記事としては、以下のものがあります。
2023/03/27:Dark Web:脅威アクターを理解するには?
2023/03/21:ゼロデイ脆弱性: 2022年の統計結果
2023/03/17:2023 インサイダー脅威 Top-5
2023/03/15:DNS を悪用するマルウェアたち
2023/03/08:2022年のマルウェア検出数は 1460 億件
IoT OT Security News 
You must be logged in to post a comment.