2023年12月18日（月）－ 企業向け統合型サイバーセキュリティソリューション（ネットワークセキュリティ／セキュアWi-Fi／多要素認証／エンドポイントセキュリティ）のグローバルリーダーであるWatchGuard（R）Technologiesの日本法人、ウォッチガード・テクノロジー・ジャパン株式会社（本社：東京都港区、代表執行役員社長 谷口 忠彦、以下ウォッチガード）は、四半期毎に発行している「インターネットセキュリティレポート」の最新版（2023年第3四半期）を発表しました。本レポートでは、ウォッチガードの脅威ラボの研究者たちによって分析された、マルウェアのトップトレンドやネットワークセキュリティおよびエンドポイントセキュリティの脅威に関する詳細を報告しています。データから得られる主な調査結果としては、リモートアクセスソフトウェアの悪用事例の増加、貴重な認証情報を窃取するためにパスワードスティーラーやインフォスティーラーを使用するサイバー攻撃者の増加、およびエンドポイント攻撃を開始するために、スクリプティングの利用から他の環境寄生型（LOTL）テクニックの採用へと移行する攻撃者が出現していることなどが挙げられます。

ウォッチガードのCSO（チーフセキュリティオフィサー）、Corey Nachreiner（コリー・ナクライナー）は次のように述べています。「攻撃者は、攻撃キャンペーンにおいてさまざまなツールや手法を使い続けているため、企業は最新の手口を常に把握し、セキュリティ戦略を強化することが重要です。ファイアウォールやエンドポイント保護ソフトウェアを含む最新のセキュリティプラットフォームは、ネットワークやデバイスを保護する高機能を提供しています。しかし、ソーシャルエンジニアリングの手口を用いた攻撃に関しては、悪意のある攻撃者が組織に侵入する上でエンドユーザーが最後の防衛線になります。組織としては、ソーシャルエンジニアリングに関する教育を行うとともに、マネージドサービスプロバイダーが効果的に管理できる多層防御を提供する統合型のセキュリティアプローチを採用することが肝要です。」

以下にウォッチガードのインターネットセキュリティレポート（2023年第3四半期版）における主な調査結果を紹介します。

• マルウェア対策の検知を回避するために、リモート専用管理ツールおよびソフトウェアを使用する攻撃者が増加：このことはFBIとCISAの両者も認知しており、例えば、脅威ラボがフィッシング詐欺のトップドメインを調査する中で、ユーザーが設定済みのTeamViewerの未承認バージョンをダウンロードし、攻撃者がそのコンピュータにフルリモートアクセスできるようにする技術サポート詐欺を発見しています。
• Medusaランサムウェアの亜種が第3四半期に急増し、エンドポイントランサムウェア攻撃が89%増加：表面的には、エンドポイントランサムウェアの検知数は第3四半期に減少したかのように見えます。しかし、マルウェア脅威のトップ10に初めてランクインしたMedusaランサムウェアの亜種が、脅威ラボの自動シグネチャエンジンの汎用シグネチャで検知されました。Medusaの検知数を考慮すると、ランサムウェア攻撃は前四半期比で89%増加しています。
• 攻撃者がスクリプトベースの攻撃から軸足を移し、他の環境寄生型（LOTL）テクニックの採用が増加：悪意のあるスクリプトは、第 2 四半期に 41% 減少した後、第 3 四半期には 11% 減少しました。それでも、スクリプトベースの攻撃は依然として最大の攻撃ベクトルであり、攻撃全体の56%を占めており、PowerShellのようなスクリプト言語は、環境寄生型（LOTL）攻撃でよく使用されています。また、Windows の 環境寄生型（LOTL）バイナリは32%増加しています。脅威ラボの研究者によるこれらの調査結果は、攻撃者が複数の環境寄生型（LOTL）のテクニックを利用し続けていることを示しており、おそらくPowerShellやその他のスクリプティングに対する保護が強化されたことに対応していると考えられます。このように環境寄生型（LOTL）攻撃は、エンドポイント攻撃の中で最も多くを占めています。
• 暗号化接続を介して侵入するマルウェアが48%に減少つまり、検知されたマルウェアの半数弱が暗号化されたトラフィックを介して侵入したことになります。この数値は、前四半期から大幅に減少しているため、注目に値します。ただし、全体で検知されたマルウェアの総数は14%増加しました。
• 第3四半期に検知された暗号化マルウェアのトップ5のうち4つが、悪意のあるペイロードを配信するメールベースのドロッパーファミリー：上位5件のうち1件を除くすべての亜種には、Stackedという名前のドロッパーファミリーが含まれており、メールによるスピアフィッシングの添付ファイルとして送信されています。攻撃者は、知人の送信者から送信されたように見せかけ、請求書やレビュー用の重要なドキュメントと偽り、悪意のあるファイルを添付したメールを送信し、エンドユーザーを騙してマルウェアをダウンロードさせようとします。Stackedの亜種であるStacked.1.12とStacked.1.7の2つは、マルウェア検知数トップ10にもランクインしています。
• コモディティ化したマルウェアが出現：マルウェア脅威のトップ10に、新たなマルウェアファミリーであるLazy.360502がランクインしました。Lazy.360502は、アドウェアの亜種である2345explorerやVidarパスワードスティーラーを配信します。このマルウェア脅威は、認証情報窃取ツールを提供する中国のWebサイトに接続し、窃取した認証情報に対して攻撃者が代金を支払うことができる「サービスとしてのパスワードスティーラーツール」のように動作しているように見え、コモディティ化したマルウェアがどのように使用されているかを示しています。
• 第3四半期でネットワーク攻撃が16％増加：ネットワーク攻撃で標的とされた脆弱性の第1位はProxyLogonで、検知されたネットワーク攻撃全体の10％を占めました。
• ネットワーク攻撃のトップ50に、新たに3つのシグネチャが登場：これらには、バッファオーバーフローを引き起こす2012年のPHP Common Gateway Interface Apacheの脆弱性が含まれます。もう1つは、サービス拒否攻撃を引き起こす可能性のある2016年のMicrosoft .NET Framework 2.0の脆弱性が悪用されています。また、2014年のオープンソースCMSであるDrupalにSQLインジェクションの脆弱性が確認され、この脆弱性により、攻撃者は認証を必要とせずにリモートからDrupalを悪用することができます。

ウォッチガードのUnified Security Platform（R）（統合型セキュリティプラットフォーム）アプローチやウォッチガードの脅威ラボのこれまでの四半期ごとのリサーチアップデートと同様、この四半期レポートで分析されているデータは、ウォッチガードのリサーチ活動に賛同するウォッチガードのネットワークおよびエンドポイント製品を利用するお客様から、匿名により収集した脅威インテリジェンスに基づいています。

レポート全文は以下よりダウンロードできます。
https://www.watchguard.com/wgrd-resource-center/security-report-q3-2023（英語版）

*日本語版は追って掲載する予定です。