個人向けにカスタマイズされた新たな「セクストーション」フィッシングマルウェアの増加も確認
2019年3月26日(火)-企業向け統合型セキュリティプラットフォームのグローバルリーダであるWatchGuard(R)Technologiesの日本法人、ウォッチガード・テクノロジー・ジャパン株式会社(本社:東京都港区、代表執行役員社長 谷口 忠彦、以下ウォッチガード)は、四半期毎に発行している「インターネットセキュリティレポート」の最新版(2018年第4四半期)を発表しました。今期は、Cisco Webex Chromeの拡張機能に潜む脆弱性を突いたネットワーク攻撃が劇的に増加しており、2018年の初期にはほとんど存在していませんでしたが、最も多発したネットワーク攻撃の第2位にまで上昇しています。また、第4四半期にはフィッシングキャンペーンがさらに複雑化し、オンラインのアダルトコンテンツへの訪問履歴を公開するといった恐喝や、特定の個人向けにカスタマイズされたメールから銀行のWebページの偽ログイン画面に誘導するなど、高度な手法を使った新たな攻撃が確認されています。本レポートは、世界中の膨大な数のアクティブなWatchGuard Fireboxアプライアンスから収集されたログデータに基づいて、中堅/中小企業や分散拠点を持つ大企業を標的とした主要なマルウェアやネットワーク攻撃について調査しています。
ウォッチガードのCTOであるCorey Nachreiner(コリー・ナクライナー)は、以下のように説明しています。「今期は付加価値の高い情報を狙った高度なフィッシング攻撃の増加が顕著に見られました。今やこれまで以上に企業はセキュリティの多層防御が必須となっており、危険性の高い接続を検知・防御し、従業員にフィッシングに対する認識と防止対策を自動で支援するウォッチガードのDNSWatchなどのDNSレベルのフィルタリング機能を提供するソリューションを導入する必要があります。フィッシング攻撃から企業を守るには、セキュリティの制御と人的トレーニングの組合せが非常に有効だと言えます。」
ウォッチガードが四半期毎に発表しているインターネットセキュリティレポートには、セキュリティに関する知見、調査、ベストプラクティスが含まれており、あらゆる規模の組織が最新のサイバーセキュリティ動向を理解し、組織、パートナー、そして顧客が進化するセキュリティ脅威から防御する上で役立つ情報が盛り込まれています。以下に2018年第4四半期の主な調査結果を紹介します:
新たなネットワーク攻撃はCisco Webex Chromeの拡張機能を標的に:今期は、Cisco Webex Chromeにおけるリモートコードの拡張機能の脆弱性を突いた新たなネットワーク攻撃が急増しました。この脆弱性は2017年に公表され、パッチが公開されましたが、ウォッチガードでは今期までこのようなネットワーク攻撃をほとんど検知していませんでしたが、第3四半期から第4四半期にかけて検知率が7,016%にまで増加しました。このような急増は、セキュリティパッチが公開されると同時にすぐさま適用することの重要性を物語っています。
新たにカスタマイズされた「セクストーション」フィッシングが増加:新たな「セクストーション」フィッシング攻撃は、ウォッチガードのマルウェアエンジンが2018年第4四半期に検知した攻撃の中でも上位2番目を占めており、主にAPAC地域が標的とされました。第4四半期に検知されたマルウェアのユニークハッシュ数の約半数を占めており、メールのフィッシングメッセージが受信者ごとに異なっていることが要因だと考えられます。メッセージでは、送信者が受信者のPCをトロイの木馬で感染させ、アダルトWebサイトの訪問履歴を記録したことを伝え、身代金を支払わなければ、これらの不適切な画像を拡散させると恐喝します。ウォッチガードでは、第4四半期でこのようなマルウェアを大量に確認しており、全てのユーザはこうした偽メールに警戒すべきであると言えます。
Fireboxの16.5%がCoinHiveクリプト(仮想通貨)マイナーの標的に:第4四半期で最も拡散したマルウェア亜種は著名なCoinHiveクリプトマイナーの1種であり、クリプトマイニングが引き続き猛威を奮っていることを示しています。また、第3四半期に続いて第4四半期で最も検知されたマルウェアトップテンの上位2種にクリプトマイナーがランクインしています。
主要なフィッシング攻撃で銀行の偽ページを活用:第4四半期で最も拡散したマルウェアとして、精巧に作成された偽のWells Fargoのログインページを表示し、メールアドレスやパスワードの詐取を目的としたフィッシングメールが挙げられます。第4四半期において、ウォッチガードでは全般的に銀行口座情報を狙った、洗練されたフィッシング攻撃の増加を確認しました。
1社のISPでのフィルタリングエラーによりロシアと中国を通じてGoogleトラフィックが74分間にわたり拡散:レポートには、2018年11月に発生したボーダーゲートウェイプロトコル(BGP)のハイジャックに関するテクニカル分析を掲載しており、ロシアと中国を通じてGoogleのトラフィックが一時的に不注意に拡散されたことを報告しています。ウォッチガードは、MainOneと呼ばれるナイジェリアのISPがルーティングフィルタの設定を誤った結果、ロシアと中国のISPに波及し、両者のISPを経由して大量のGoogleトラフィックが拡散されたことを確認しています。このような事故によるハイジャックは、インターネットが安全性を欠いた仕組みの上に成り立っていることを示唆し、こうした不具合を突いた洗練された攻撃による悲惨な結果を招く可能性を示しています。
2018年の半ばと比較してネットワーク攻撃数が上昇:ユニークシグニチャに関して、第3四半期と比較して題4四半期のネットワーク攻撃の数量が46%増加しました。この結果は、過去数年間で休暇シーズンに攻撃が増えるといった傾向を踏襲しています。
第4四半期のインターネットセキュリティレポートでは、バンキング型のトロイの木馬Exobotのソースコードに関するきめ細かい分析結果も掲載しています。この高度に洗練されたマルウェアは、Androidデバイスから銀行や金融情報の詐取を試みます。ウォッチガードの脅威ラボ分析では、Exobotの自動標的となり得るAmazon、Facebook Paypal、Western Unionなど150サイト、並びにExobotを用いた攻撃者が感染デバイスにコマンド入力するために利用するUIに関する詳細も対象としています。
調査結果は、昨年と比較して飛躍的に増加した世界中で稼働する42,000台以上に及ぶウォッチガードのUTMアプライアンスの匿名データに基づいており、これらのアプライアンスは2018年第4四半期で、約1,600万件以上のマルウェア亜種を防御し(1デバイス当たり382件)、また約124万4,000件以上のネットワーク攻撃を防御しています(1デバイス当たり29件)。
レポート全文は以下よりダウンロードできます。
www.watchguard.com/wgrd-resource-center/security-report-q4-2018
(英語)*日本語レポートは後日公開予定。
また、攻撃の種類、地域、日時ごとにリアルタイムで脅威の知見を提供するウォッチガードの脅威ランドスケープはこちらよりご覧になれます。(英語)https://www.secplicity.org/threat-landscape/
インターネットセキュリティレポートの担当チームおよびSecplicity.orgによる最新ポッドキャストは「The 443 – Security Simplified」https://www.secplicity.org/category/the-443/(英語)に是非アクセスして下さい。
【WatchGuard Technologiesについて】
WatchGuard(R)Technologiesは、ネットワークセキュリティ、セキュアWi-Fi、多要素認証、そしてネットワークインテリジェントを提供するグローバルリーダとして、全世界で約10,000社の販売パートナーとサービスプロバイダより80,000社以上の企業にエンタープライズクラスのセキュリティ製品とサービスを提供しています。ウォッチガードのミッションは、中堅・中小企業や分散型企業を含むすべての企業がエンタープライズレベルのセキュリティをシンプルに利用できるようにすることです。本社を米国ワシントン州シアトルに置き、北米、ヨーロッパ、アジア太平洋地区、中南米に支社を展開しています。日本法人であるウォッチガード・テクノロジー・ジャパン株式会社は、数多くのパートナーを通じて、国内で拡大する多様なセキュリティニーズへのソリューションを提供しています。詳細は www.watchguard.co.jp をご覧下さい。
さらなる詳細情報、プロモーション活動、最新動向はTwitter(@WatchGuardJapan)、Facebook(@WatchGuard.jp)、をフォローして下さい。また、最新の脅威に関するリアルタイム情報やその対策法はSecplicityJPまでアクセスして下さい。
SecplicityJP: www.watchguard.co.jp/security-news
WatchGuardは、WatchGuard Technologies, Inc.の登録商標です。その他の商標は各社に帰属します。