2022/12/21

ウォッチガード2022年第3四半期最新インターネットセキュリティレポート: 暗号化接続による脅威が上昇

2022年12月21日(水)

ウォッチガード2022年第3四半期最新インターネットセキュリティレポート:
暗号化接続による脅威が上昇

中間者攻撃のコモディティ化、エクスプロイトキットにおけるJavaScriptの難読化、
Gothic Pandaと関係のあるマルウェアファミリーなどを分析

2022年12月21日(水)- 企業向け統合型サイバーセキュリティソリューション(ネットワークセキュリティ/セキュアWi-Fi/多要素認証/エンドポイントセキュリティ)のグローバルリーダーであるWatchGuard(R)Technologiesの日本法人、ウォッチガード・テクノロジー・ジャパン株式会社(本社:東京都港区、代表執行役員社長 谷口 忠彦、以下ウォッチガード)は、四半期毎に発行している「インターネットセキュリティレポート」の最新版(2022年第3四半期)を発表しました。本レポートでは、ウォッチガードの脅威ラボの研究者たちによって分析された、マルウェアのトップトレンドやネットワークセキュリティおよびエンドポイントセキュリティの脅威に関する詳細を報告しています。調査データから判明した主な脅威は、暗号化接続によるマルウェアの増大、ICS攻撃の継続、進化するクリプトマイナーLemonDuck、そして不正なペイロードを配信するMinecraftチートエンジンなどが挙げられます。

ウォッチガードのCSO(チーフセキュリティオフィサー)、Corey Nachreiner(コリー・ナクライナー)は次のように述べています。「多少のチューニングや例外処理が必要であるにせよ、HTTPSインスペクションを適切に行うことがいかに重要であるかは、いくら強調してもし過ぎることはありません。マルウェアの大部分は暗号化されたHTTPSを介して配信されており、これを検査しないことは、こうした脅威を見逃すことを意味します。当然のことながら、ExchangeサーバやSCADA管理システムのような攻撃者にとって大きな成果が得られる標的に対しては、今後も特別な注意を払う必要があります。攻撃者は、最新のパッチを適用していない組織から最終的に利益を得ることになるため、パッチが適用可能になり次第、すぐに更新することが重要です。」

以下にウォッチガードのインターネットセキュリティレポート(2022年第3四半期版)における主な調査結果を紹介します。

  1. マルウェアの大部分が暗号化接続経由:Agent.IIQは今期、通常のトップ10マルウェアリストでは3位でしたが、第3四半期の暗号化マルウェアリストでは1位にランクインしています。実際、これら2つのリストの検知内容を見ると、Agent.IIQは全て暗号化された接続によるものだとわかります。第3四半期におけるFireboxによるトラフィックインスペクションでは、検知されたマルウェアの82%は暗号化接続を介しており、暗号化されていない状態で検知されたのはわずか18%にすぎませんでした。Fireboxで暗号化トラフィックを検査していない場合、約18%の比率がそのまま当てはまり、マルウェアの大部分を見逃している可能性が非常に高いと言えます。その他の対策として、エンドポイントプロテクションを導入することにより、サイバーキルチェーンの末端の段階でマルウェアを捕捉することもできます。
  2. ICSとSCADAシステムが引き続き主な攻撃対象に:今期のネットワーク攻撃トップ10に新たにランクインしたのは、複数のベンダーが被害を受けたSQLインジェクション型の攻撃です。そのうちの1社がAdvantechで、同社のWebAccessポータルは、さまざまな重要インフラのSCADAシステムに使用されています。第3四半期に発生したもう1つの深刻な攻撃では、ネットワーク攻撃のボリュームにおけるトップ5にも登場し、Schneider ElectricのU.motion Builderソフトウェアのバージョン1.2.1およびそれ以前が標的にされました。これは、攻撃者が静かに機会を待っているのではなく、むしろ可能な限り積極的にシステムを侵害しようとしていることを明確に示しています。
  3. Exchangeサーバの脆弱性が引き続きリスクに:脅威ラボの今期の新しいシグネチャのうち、最新のCVEであるCVE-2021-26855は、オンプレミスサーバ向けのMicrosoft Exchange Serverのリモートコード実行(RCE)の脆弱性です。このRCEの脆弱性は、CVEスコア9.8が付与されており、悪用されていることが知られています。このCVE-2021-26855の日付と深刻度は、攻撃グループHAFNIUMによって使用されたエクスプロイトの1つであることからも、心当たりがあるはずです。このCVE-2021-26855の影響を受けるほとんどのExchangeサーバは、現在までにパッチが適用されていると思われますが、あくまでも「ほとんど」であり、「全て」というわけではありません。したがって、リスクは依然として残っています。
  4. 無料ソフトを使用するユーザーが標的に:Fugrafaは、不正なコードを注入するマルウェアをダウンロードします。今期、脅威ラボは人気ゲームMinecraftのチートエンジンに含まれていたサンプルを調査しました。主にDiscordで共有されているこのファイルは、MinecraftのチートエンジンVape V4 Betaであると言われていますが、含まれているのはそれだけではありません。Agent.FZUWは、Variant.Fugrafaといくつかの類似点がありますが、チートエンジンを介してインストールされるのではなく、ファイル自体がクラックされたソフトウェアを持っていると見せかけています。脅威ラボは、この特定のサンプルが、暗号通貨の交換サービスからアカウント情報をハイジャックするために使用される、暗号通貨ハッキングキャンペーンRacoon Stealerと関係があることを突き止めました。
  5. 進化するクリプトマイナーLemonDuckマルウェア:2022年第3四半期で防御または追跡されたマルウェアドメインの総数は減少しましたが、無防備なユーザーへの攻撃は依然として高い水準にあることが容易に分かります。マルウェアドメインのトップリストに新たに3つ追加されましたが、そのうちの2つは旧LemonDuckマルウェアドメイン、そしてもう1つはEmotetに分類されるドメインの一部であり、第3四半期は、通常よりも新しいドメインのマルウェアおよびマルウェアが試行されるサイトが多く見受けられました。この傾向は、今後攻撃者がユーザーを騙す他の場を探していくため、混乱する暗号通貨の情勢の中で変化し、修正されていくものと思われます。DNSプロテクションを有効にしておくことは、悪意のないユーザーがマルウェアやその他の深刻な問題を組織に持ち込まないように監視し、防御するための方法です。
  6. エクスプロイトキットによるJavaScriptの難読化:ブラウザに対するJavaScript難読化攻撃を検知する上での一般的な脆弱性であるシグネチャ1132518は、今期最も広まったネットワーク攻撃シグネチャのリストに唯一新たに追加されたものでした。JavaScriptは、ユーザーを攻撃するための一般的なベクトルであり、攻撃者はマルバタイジング、ウォータリングホール、フィッシング攻撃などをはじめ、常時JavaScriptベースのエクスプロイトキットを使用しています。ブラウザの防御力は向上していますが、同時に攻撃者による不正なJavaScriptコードの難読化能力も向上しています。
  7. コモディティ化した中間者攻撃:多要素認証(MFA)は、認証攻撃の大部分から保護するための唯一最善のテクノロジーであることに間違いありませんが、それだけでは全ての攻撃ベクトルに対する特効薬にはなりません。サイバー攻撃者は、中間者(AitM)攻撃の急増とコモディティ化によってこのことを証明しました。第3四半期の最大のセキュリティインシデントであるEvilProxyに関する脅威ラボの詳細調査は、悪意のある攻撃者がより高度なAitMテクノロジーに軸足を移し始めていることを如実に示しています。近年流行したRansomware as a Service(サービスとしてのランサムウェア)のように、2022年9月にリリースされたEvilProxyと呼ばれるAitMツールキットは、これまで高度な攻撃手法であったものの参入障壁を著しく低下させることに成功しています。防御の観点から、このようなAitM攻撃手法にうまく対処するには、技術的なツールとユーザーの意識の両方が必要となります。
  8. Gothic Pandaと関係のあるマルウェアファミリー:脅威ラボの2022年第2四半期レポートでは、中国国家安全保障省とつながりのある国家支援型の攻撃者であるGothic Pandaが、同四半期に検知されたトップマルウェアの1つを使用することが説明されています。興味深いことに、第3四半期の暗号化マルウェアのトップリストには、Taidoorと呼ばれるマルウェアファミリーが含まれており、これはGothic Pandaが作成しただけでなく、中国政府のサイバー攻撃者によってのみ使用されていることが確認されています。このマルウェアは通常、日本や台湾を標的としていますが、今四半期に分析されたGeneric.Taidoorのサンプルは、主にフランスの組織をターゲットとして発見されており、この地域の一部のFireboxが国家主導のサイバー攻撃の一部を検知・防御した可能性を示唆しています。
  9. 新たなランサムウェアと恐喝グループが登場:さらに今期、脅威ラボは、現在のランサムウェア恐喝グループを追跡し、今後のレポートでより多くのランサムウェア関連情報を提供するために、脅威インテリジェンス機能を構築する新しい協調的な取り組みを行うことを発表します。第3四半期では、LockBitがダークウェブページで200件以上の公開恐喝を行い、トップとなりました。これは、ウォッチガードが今四半期2番目に多く観測したランサムウェアグループBastaの4倍近い数になっています。

四半期ごとに発行されるウォッチガードの調査レポートは、脅威ラボの調査活動をサポートするためのデータ共有に賛同いただいている、ウォッチガードアプライアンスオーナーによる匿名のFireboxデータに基づいています。Q3では、ウォッチガードのアプライアンスは1,730万以上のマルウェア(1デバイス当たり211件)、230万超のネットワーク脅威(1デバイス当たり28件)を防御しています。レポートには、2022年Q3で新たに登場したマルウェアおよびネットワークに関するトレンド、そしてあらゆる企業規模、業種に役立つ推奨されるセキュリティ戦略や防御のための重要なヒントなどが盛り込まれています。

レポート全文は以下よりダウンロードできます。
https://www.watchguard.com/wgrd-resource-center/security-report-q3-2022/(英語版)
※日本語版のレポートは後日公開予定。

【WatchGuard Technologiesについて】

WatchGuard(R)Technologiesは、ネットワークセキュリティ、セキュアWi-Fi、多要素認証、そしてネットワークインテリジェントを提供するグローバルリーダとして、全世界で約10,000社の販売パートナーとサービスプロバイダより80,000社以上の企業にエンタープライズクラスのセキュリティ製品とサービスを提供しています。ウォッチガードのミッションは、中堅・中小企業や分散型企業を含むすべての企業がエンタープライズレベルのセキュリティをシンプルに利用できるようにすることです。本社を米国ワシントン州シアトルに置き、北米、ヨーロッパ、アジア太平洋地区、中南米に支社を展開しています。日本法人であるウォッチガード・テクノロジー・ジャパン株式会社は、数多くのパートナーを通じて、国内で拡大する多様なセキュリティニーズへのソリューションを提供しています。詳細は https://www.watchguard.co.jp をご覧下さい。

さらなる詳細情報、プロモーション活動、最新動向はTwitter(@WatchGuardJapan)
Facebook(@WatchGuard.jp)、をフォローして下さい。また、最新の脅威に関するリアルタイム情報やその対策法はSecplicityJPまでアクセスして下さい。

SecplicityJP: https://www.watchguard.co.jp/security-news

※WatchGuardは、WatchGuard Technologies, Inc.の登録商標です。その他の商標は各社に帰属します。

カテゴリー: プレスリリース

お困りのことはございませんか?

製品をみる 製品の購入方法を知りたい 評価機を借りたい カタログのダウンロード WatchGuard製品を初めて使用する 購入後のサポートを知りたい お問い合わせ