ウォッチガード、マルウェアの3分の2が暗号化されており、HTTPSインスペクションの重要性を強調
2020年第1四半期インターネットセキュリティレポート:暗号化されたマルウェアの危険性、Moneroクリプトマイナー、Flawed-Ammyy、Cryxosマルウェアの急増を報告
2020年7月1日(木)-企業向け統合型セキュリティソリューション(ネットワークセキュリティ/セキュアWi-Fi/多要素認証/エンドポイントプロテクション)のグローバルリーダであるWatchGuard(R)Technologiesの日本法人、ウォッチガード・テクノロジー・ジャパン株式会社(本社:東京都港区、代表執行役員社長 谷口 忠彦、以下ウォッチガード)は、四半期毎に発行している「インターネットセキュリティレポート」の最新版(2020年第1四半期)を発表しました。今回のレポートでは、新たに暗号化されたHTTPS接続経由で配信されたマルウェアの比率に関するデータを報告しています。ウォッチガードの脅威インテリジェンスでは、Q1で検知されたマルウェアの67%がHTTPS経由で配信されたことを示しており、暗号化トラフィックのインスペクションを実施するセキュリティソリューションを持たない組織は、脅威の3分の2を見逃していることになります。また、暗号化されたマルウェアの72%がゼロデイに分類されています。つまり該当するマルウェアに関するアンチウイルスのシグニチャが存在せず、シグニチャベースのプロテクションが回避されていることになります。こうした調査結果は、HTTPSインスペクション、高度な振舞いベースの脅威検知、そしてレスポンスソリューションが組織のセキュリティ対策にとって必須になっていることを示唆しています。レポートには、COVID-19が脅威情勢にもたらすインパクトについて詳述した特別セクションも含まれています。
ウォッチガードのCTO、Corey Nachreiner(コリー・ナクライナー)は以下のように説明しています。「HTTPSインスペクションは余計な作業が発生するため、実施することに消極的な組織がありますが、私たちの脅威データから大半のマルウェアが暗号化された接続を通じて配信されていることは明らかであり、トラフィックのインスペクションは必須事項だと言えます。マルウェアはさらに高度化し、回避行動をとるようになっており、信頼できる防御方法はもはや、高度な脅威検知メソッドやHTTPSインスペクションを含む多層防御型のセキュリティサービスの導入以外には考えられないでしょう。」
ウォッチガードのインターネットセキュリティレポートには、中堅/中小企業、サービスプロバイダ、エンドユーザが今日のセキュリティ脅威から身を守るために役立つデータ、トレンド、調査結果、そしてベストプラクティスが盛り込まれています。以下にQ1の主な調査結果を紹介します:
Moneroクリプトマイナーが急増 – Q1に配信されたマルウェア(ウォッチガードのDNSフィルタリングサービスDNSWatchで検知)のトップ10ドメインのうち5ドメインがホストまたは制御されたMoneroクリプトマイナーでした。今回クリプトマイナーが急激に増加したのは、単にその有用性に起因すると思われます。マルウェアにクリプトマイニングモジュールを追加することで、犯罪者は容易に利益を得ることが可能になります。
Flawed-AmmyyとCryxosマルウェア亜種が上位にランキング – Cryxos trojan(トロイの木馬)は、ウォッチガードの暗号化マルウェアリストトップ5の3位、および最も増加したマルウェアの検知リストトップ5の3位に入り、主に香港が標的にされています。請求書を装ったメール添付ファイルとして配信され、ユーザにメールアドレスとパスワードの入力を求めることで情報が詐取されます。Flawed-Ammyyはサポートスキャムとして、攻撃者がAmmyyアドミンのサポートソフトウェアを使用してユーザのPCにリモートアクセスできるようにするものです。
3年前のAdobeの脆弱性がネットワーク攻撃のトップにランキング – 2017年8月にパッチがあてられたAdobe Acrobat Readerのエクスプロイトが、ウォッチガードのQ1のネットワーク攻撃トップリストに初めて登場しました。この脆弱性は3年前に発見され、解決されてから数年後に再浮上しており、定期的なパッチングとシステムアップデートの重要性を物語っています。
Mapp Engage、AT&T、Bet365がスピアフィッシングキャンペーンの標的に – フィッシングキャンペーンをホストする3つの新しいドメインがウォッチガードのQ1トップ10リストに入りました。デジタルマーケティング/アナリティクス製品のMapp Engage、オンラインベットプラットフォームのBet365(中国語によるキャンペーン)、そしてAT&Tのログインページ(このキャンペーンは本レポートの発行時にはすでに終了)に関してなりすましを図っています。
マルウェアとネットワーク攻撃が減少 – Q1では、データの提供に寄与するFireboxの数が9%増加したにもかかわらず、マルウェアが6.9%、ネットワーク攻撃が11.6%減少しています。これはCOVID-19パンデミックの中で在宅勤務が増えたことにより、従来のネットワーク境界内の標的が減ったことに起因している可能性があります。
特に英国とドイツが広範に波及したマルウェア脅威の標的に –ウォッチガードの最も増加したマルウェアのリストにより、ドイツと英国がQ1で流行したほとんどのマルウェアの標的にされていることが判明しました。
第三者機関によるテストでは、ウォッチガード製品がHTTPSトラフィックのインスペクション時において、一貫して高いスループットを維持しているとの結果が出ました。多くの競合製品は同様の条件でパフォーマンスが大きく低下します。例えば、Miercomにより実施された独自テストでは、Firebox M370の全てのセキュリティサービスを有効にした状態で、HTTPSトラフィックのインスペクションを実施した際に他社製品の性能を大きく上回っています。
ウォッチガードのインターネットセキュリティレポートの調査結果は、脅威ラボの調査活動をサポートするためのデータ共有に賛同いただいている、稼働中のウォッチガーアプライアンスオーナーによる匿名のFireboxデータに基づいています。今日、世界中の約44,000台以上のアプライアンスがインターネットセキュリティレポートのデータに貢献しています。今期これらのアプライアンスは32,148,519件以上のマルウェアを防御し(1デバイス当たり730件)、また1,660,000件以上のネットワーク攻撃を防御しています(1デバイス当たり38件)。
本レポートの全編では、今日の脅威情勢下であらゆる規模の組織の安全を守る上で役立つ防御における主要なベストプラクティス、並びにCOVID-19パンデミックおよびそれによる在宅勤務へのシフトが、サイバーセキュリティ情勢に与えた影響に関する詳細分析が掲載されています。
レポート全文は以下よりダウンロードできます。
www.watchguard.com/wgrd-resource-center/security-report
(英語)*日本語レポートは後日公開予定。
【WatchGuard Technologiesについて】
WatchGuard(R)Technologiesは、ネットワークセキュリティ、セキュアWi-Fi、多要素認証、そしてネットワークインテリジェントを提供するグローバルリーダとして、全世界で約10,000社の販売パートナーとサービスプロバイダより80,000社以上の企業にエンタープライズクラスのセキュリティ製品とサービスを提供しています。ウォッチガードのミッションは、中堅・中小企業や分散型企業を含むすべての企業がエンタープライズレベルのセキュリティをシンプルに利用できるようにすることです。本社を米国ワシントン州シアトルに置き、北米、ヨーロッパ、アジア太平洋地区、中南米に支社を展開しています。日本法人であるウォッチガード・テクノロジー・ジャパン株式会社は、数多くのパートナーを通じて、国内で拡大する多様なセキュリティニーズへのソリューションを提供しています。詳細は www.watchguard.co.jp をご覧下さい。
さらなる詳細情報、プロモーション活動、最新動向はTwitter(@WatchGuardJapan)、Facebook(@WatchGuard.jp)、をフォローして下さい。また、最新の脅威に関するリアルタイム情報やその対策法はSecplicityJPまでアクセスして下さい。
SecplicityJP: www.watchguard.co.jp/security-news
WatchGuardは、WatchGuard Technologies, Inc.の登録商標です。その他の商標は各社に帰属します。