ウォッチガード、2023年第3四半期最新インターネットセキュリティレポートを発表: リモートアクセスソフトウェアの悪用が増加
2023年12月18日(月)
ウォッチガード、2023年第3四半期最新インターネットセキュリティレポートを発表:
リモートアクセスソフトウェアの悪用が増加
エンドポイントへのランサムウェア攻撃が89%増加し、暗号化された接続を介したマルウェアが減少
2023年12月18日(月)- 企業向け統合型サイバーセキュリティソリューション(ネットワークセキュリティ/セキュアWi-Fi/多要素認証/エンドポイントセキュリティ)のグローバルリーダーであるWatchGuard(R)Technologiesの日本法人、ウォッチガード・テクノロジー・ジャパン株式会社(本社:東京都港区、代表執行役員社長 谷口 忠彦、以下ウォッチガード)は、四半期毎に発行している「インターネットセキュリティレポート」の最新版(2023年第3四半期)を発表しました。本レポートでは、ウォッチガードの脅威ラボの研究者たちによって分析された、マルウェアのトップトレンドやネットワークセキュリティおよびエンドポイントセキュリティの脅威に関する詳細を報告しています。データから得られる主な調査結果としては、リモートアクセスソフトウェアの悪用事例の増加、貴重な認証情報を窃取するためにパスワードスティーラーやインフォスティーラーを使用するサイバー攻撃者の増加、およびエンドポイント攻撃を開始するために、スクリプティングの利用から他の環境寄生型(LOTL)テクニックの採用へと移行する攻撃者が出現していることなどが挙げられます。
ウォッチガードのCSO(チーフセキュリティオフィサー)、Corey Nachreiner(コリー・ナクライナー)は次のように述べています。「攻撃者は、攻撃キャンペーンにおいてさまざまなツールや手法を使い続けているため、企業は最新の手口を常に把握し、セキュリティ戦略を強化することが重要です。ファイアウォールやエンドポイント保護ソフトウェアを含む最新のセキュリティプラットフォームは、ネットワークやデバイスを保護する高機能を提供しています。しかし、ソーシャルエンジニアリングの手口を用いた攻撃に関しては、悪意のある攻撃者が組織に侵入する上でエンドユーザーが最後の防衛線になります。組織としては、ソーシャルエンジニアリングに関する教育を行うとともに、マネージドサービスプロバイダーが効果的に管理できる多層防御を提供する統合型のセキュリティアプローチを採用することが肝要です。」
以下にウォッチガードのインターネットセキュリティレポート(2023年第3四半期版)における主な調査結果を紹介します。
- マルウェア対策の検知を回避するために、リモート専用管理ツールおよびソフトウェアを使用する攻撃者が増加:このことはFBIとCISAの両者も認知しており、例えば、脅威ラボがフィッシング詐欺のトップドメインを調査する中で、ユーザーが設定済みのTeamViewerの未承認バージョンをダウンロードし、攻撃者がそのコンピュータにフルリモートアクセスできるようにする技術サポート詐欺を発見しています。
- Medusaランサムウェアの亜種が第3四半期に急増し、エンドポイントランサムウェア攻撃が89%増加:表面的には、エンドポイントランサムウェアの検知数は第3四半期に減少したかのように見えます。しかし、マルウェア脅威のトップ10に初めてランクインしたMedusaランサムウェアの亜種が、脅威ラボの自動シグネチャエンジンの汎用シグネチャで検知されました。Medusaの検知数を考慮すると、ランサムウェア攻撃は前四半期比で89%増加しています。
- 攻撃者がスクリプトベースの攻撃から軸足を移し、他の環境寄生型(LOTL)テクニックの採用が増加:悪意のあるスクリプトは、第 2 四半期に 41% 減少した後、第 3 四半期には 11% 減少しました。それでも、スクリプトベースの攻撃は依然として最大の攻撃ベクトルであり、攻撃全体の56%を占めており、PowerShellのようなスクリプト言語は、環境寄生型(LOTL)攻撃でよく使用されています。また、Windows の 環境寄生型(LOTL)バイナリは32%増加しています。脅威ラボの研究者によるこれらの調査結果は、攻撃者が複数の環境寄生型(LOTL)のテクニックを利用し続けていることを示しており、おそらくPowerShellやその他のスクリプティングに対する保護が強化されたことに対応していると考えられます。このように環境寄生型(LOTL)攻撃は、エンドポイント攻撃の中で最も多くを占めています。
- 暗号化接続を介して侵入するマルウェアが48%に減少つまり、検知されたマルウェアの半数弱が暗号化されたトラフィックを介して侵入したことになります。この数値は、前四半期から大幅に減少しているため、注目に値します。ただし、全体で検知されたマルウェアの総数は14%増加しました。
- 第3四半期に検知された暗号化マルウェアのトップ5のうち4つが、悪意のあるペイロードを配信するメールベースのドロッパーファミリー:上位5件のうち1件を除くすべての亜種には、Stackedという名前のドロッパーファミリーが含まれており、メールによるスピアフィッシングの添付ファイルとして送信されています。攻撃者は、知人の送信者から送信されたように見せかけ、請求書やレビュー用の重要なドキュメントと偽り、悪意のあるファイルを添付したメールを送信し、エンドユーザーを騙してマルウェアをダウンロードさせようとします。Stackedの亜種であるStacked.1.12とStacked.1.7の2つは、マルウェア検知数トップ10にもランクインしています。
- コモディティ化したマルウェアが出現:マルウェア脅威のトップ10に、新たなマルウェアファミリーであるLazy.360502がランクインしました。Lazy.360502は、アドウェアの亜種である2345explorerやVidarパスワードスティーラーを配信します。このマルウェア脅威は、認証情報窃取ツールを提供する中国のWebサイトに接続し、窃取した認証情報に対して攻撃者が代金を支払うことができる「サービスとしてのパスワードスティーラーツール」のように動作しているように見え、コモディティ化したマルウェアがどのように使用されているかを示しています。
- 第3四半期でネットワーク攻撃が16%増加:ネットワーク攻撃で標的とされた脆弱性の第1位はProxyLogonで、検知されたネットワーク攻撃全体の10%を占めました。
- ネットワーク攻撃のトップ50に、新たに3つのシグネチャが登場:これらには、バッファオーバーフローを引き起こす2012年のPHP Common Gateway Interface Apacheの脆弱性が含まれます。もう1つは、サービス拒否攻撃を引き起こす可能性のある2016年のMicrosoft .NET Framework 2.0の脆弱性が悪用されています。また、2014年のオープンソースCMSであるDrupalにSQLインジェクションの脆弱性が確認され、この脆弱性により、攻撃者は認証を必要とせずにリモートからDrupalを悪用することができます。
ウォッチガードのUnified Security Platform(R)(統合型セキュリティプラットフォーム)アプローチやウォッチガードの脅威ラボのこれまでの四半期ごとのリサーチアップデートと同様、この四半期レポートで分析されているデータは、ウォッチガードのリサーチ活動に賛同するウォッチガードのネットワークおよびエンドポイント製品を利用するお客様から、匿名により収集した脅威インテリジェンスに基づいています。
レポート全文は以下よりダウンロードできます。
https://www.watchguard.com/wgrd-resource-center/security-report-q3-2023(英語版)
*日本語版は追って掲載する予定です。
【WatchGuard Technologiesについて】
WatchGuard(R)Technologies, Inc.は、統合型サイバーセキュリティにおけるグローバルリーダーです。ウォッチガードのUnified Security Platform(TM)(統合型セキュリティプラットフォーム)は、マネージドサービスプロバイダー向けに独自に設計されており、世界トップクラスのセキュリティを提供することで、ビジネスのスケールとスピード、および運用効率の向上に貢献しています。17,000社を超えるセキュリティのリセラーやサービスプロバイダと提携しており、25万社以上の顧客を保護しています。ウォッチガードの実績豊富な製品とサービスは、ネットワークセキュリティとインテリジェンス、高度なエンドポイント保護、多要素認証、セキュアWi-Fiで構成されています。これらの製品では、包括的なセキュリティ、ナレッジの共有、明快さと制御、運用の整合性、自動化という、セキュリティプラットフォームに不可欠な5つの要素を提供しています。同社はワシントン州シアトルに本社を置き、北米、欧州、アジア太平洋地域、ラテンアメリカにオフィスを構えています。日本法人であるウォッチガード・テクノロジー・ジャパン株式会社は、多彩なパートナーを通じて、国内で拡大する多様なセキュリティニーズに応えるソリューションを提供しています。詳細は https://www.watchguard.co.jp をご覧下さい。
さらなる詳細情報、プロモーション活動、最新動向はTwitter(@WatchGuardJapan)、
Facebook(@WatchGuard.jp)、をフォローして下さい。また、最新の脅威に関するリアルタイム情報やその対策法はSecplicityJPまでアクセスして下さい。
SecplicityJP: https://www.watchguard.co.jp/security-news
※WatchGuardは、WatchGuard Technologies, Inc.の登録商標です。その他の商標は各社に帰属します。