2023/10/07 DarkReading — 今日、統合型サイバーセ・キュリティのグローバル・リーダーである WatchGuard Technologies は、同社の Threat Lab が分析した、マルウェアのトップトレンドや、ネットワークとエンドポイントのセキュリティ脅威について詳述する、最新の Internet Security Report を発表した。この調査結果における要点としては、マルウェアの 95% が暗号化された接続を介して到達することについて、また、広範囲に広がるキャンペーンとエンドポイント・マルウェアの減少や、二重の恐喝攻撃の増加とランサムウェア検出数の減少、いまも悪用される古いソフトウェアの脆弱性の存在などが挙げられている。
WatchGuard の Chief Security Officer である Corey Nachreiner は、「この最新レポートのために Threat Lab が分析したデータにより、高度なマルウェア攻撃の発生頻度の変動や、多面的なサイバー脅威の進化の状況などが裏付けられる。脅威の主体が攻撃に用いる戦略は1つではなく、同一の脅威であっても時期ごとにリスク・レベルが異なることもある。したがって、組織は常に警戒を怠らず、これらの脅威を監視し、マネージド・サービス・プロバイダーによる効果的な管理が可能な、統合セキュリティ・アプローチを採用し、最善の防御を行う必要がある。
この、最新 Internet Security Report では、2023年 Q2 のデータを取りあげ、最も注目すべきトレンドを示している:
- マルウェアの 95% は暗号化の背後に隠れている:マルウェアの大半は、セキュアな Web サイトで用いられる、SSL/TLS 暗号化の背後に潜んでいる。したがって、ネットワーク境界で SSL/TLS トラフィックを検査しない組織では、ほとんどのマルウェアが見過ごされる可能性が高い。
なお、ゼロデイ・マルウェアは、検出されたマルウェア全体の 11% に減少し、過去最低を記録した。その一方で、暗号化接続経由のマルウェアを検査した結果としては、回避型マルウェアの検出割合が 66% に増加し、主に暗号化経由で高度なマルウェアが配信され続けている状況が示唆されている。 - エンドポイント・マルウェアの総量は微減だが、広範なマルウェア・キャンペーンは増加:2023年 Q2 のエンドポイント・マルウェアの検出数は、Q1 と比較して 8% 減少した。しかし、 エンドポイント・マルウェアの検出数を見ると、10~50台のシステムでは 22% が、100台以上のシステムでは 21% が増加している。検出台数が増加したことは、2023年 Q1 と Q2 の比較において、マルウェアを蔓延させるキャンペーンが拡大したことを示唆している。
- ランサムウェア・グループによる二重恐喝は Q1/Q2 比較で 72% 増:Q2 のエンドポイントにおけるランサムウェア検出数は、前年比で 21% 減で、前年比で 72% 減だが、二重恐喝攻撃は増加している。
- エンドポイント・マルウェアの Top-10 には 6 種類の新しいマルウェアが含まれる:侵害された 3CX インストーラの検出数が大幅に増加し、Q2 マルウェア Top-10リストの 48% を占めた。世界中で無差別に被害者を狙う Grupteba は、2021年に活動を停止した後に、2023年初頭に復活を遂げている。その機能としては、さらに、多面的なローダー/ボットネット/情報窃取/クリプト・マイナーなどが挙げられる。
- Windows の living off-the-land バイナリによるマルウェア配信の台頭:脅威アクターがエンドポイントでアクセスする方法や攻撃ベクターを分析すると、WMI や PSExec などの Windows OS ツールを悪用する攻撃が 29% 増であり、全体の 17% を占めている。その一方で、PowerShell のようなスクリプトを使用するマルウェアは。41% 減少した。ただし、依然としてスクリプトは、最も一般的なマルウェアの感染経路であり、全体の検出件数の 74% を占めている。ブラウザ・ベースのエクスプロイトは 33% 減であり、全体の 3% を占めるに留まっている。
- 依然として悪用され続ける古いソフトウェアの脆弱性:Threat Lab が発見いたものには、古い脆弱性に基づく Q2 のネットワーク攻撃 Top-10 の中に、3つの新しいシグネチャがある。そのうちの1つは、2018年に廃止されたオープンソースの管理システム学習 (GitHub) に関連する、2016年の脆弱性だった。その他のものとしては、多数の Web サイトで使用されている PHP の整数オーバーフローを捕捉するシグネチャと、2010年の HP の管理アプリケーション (Open View Network Node Manager) のバッファオーバーフローのシグニチャである。
- WordPress ブログとリンク短縮サービスにおける侵害ドメイン:悪意のドメインの調査で発見されたものには、マルウェアおよび C2 フレームワークをホストするために侵害された、自己管理型 Webサイト (WordPress ブログなど) やドメイン短縮サービスながある。さらに、Qakbot のオペレーターは、APAC の教育コンテストに特化した Web ウェブサイトを侵害し、ボットネットの Command and Control (C2) インフラをホストしていた。
この四半期レポー トで分析されている匿名データは、WatchGuard のリサーチ活動を支援するために所有者が共有に同意した、アクティブな WatchGuard ネットワークおよびエンドポイント製品から得られたものだ。
2023年 Q2 レポートでは、これまでの四半期レポートと同様に、Threat Lab チームによる正規化/分析/更新が行われている。ネットワーク・セキュリティの結果は “デバイスごとの” 平均値として提示されているが、その更新手法は、ネットワーク/エンドポイント・マルウェアの調査において、Threat Lab でも使用しているものだ。
さらなる詳細については、WatchGuard の Q2 2023 Internet Security Report を参照してほしい。
この WatchGuard のレポートは、40ページほどのボリュームの、とても充実したものとなっています。たくさんお統計値が入っていますので、サーバー攻撃の実態を知る上でも有用です。よろしければ、カテゴリ Statistics も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.