2022年2月9日

ウォッチガード2021年第3四半期最新インターネットセキュリティレポート:エンドポイントマルウェアとランサムウェアの総数が2021年の第3四半期終了時点ですでに2020年の総数を凌駕

エンドポイントへのスクリプティング攻撃が記録的なペースで増加、ネットワーク攻撃の大半は南北アメリカを標的としており、ゼロデイマルウェアの主な配信方法は暗号化接続

2022年2月9日(水)- 企業向け統合型セキュリティソリューション(ネットワークセキュリティ/セキュアWi-Fi/多要素認証/エンドポイント保護)のグローバルリーダであるWatchGuard(R)Technologiesの日本法人、ウォッチガード・テクノロジー・ジャパン株式会社(本社:東京都港区、代表執行役員社長 谷口 忠彦、以下ウォッチガード)は、四半期毎に発行している「インターネットセキュリティレポート」の最新版(2021年第3四半期)を発表しました。本レポートでは、ウォッチガードの脅威ラボの研究者によって分析された、マルウェアのトップトレンドやネットワークセキュリティの脅威に関する詳細を報告しています。今回の調査結果では、ネットワーク境界におけるマルウェアの総検知数が前期の過去最高記録と比較して減少したものの、エンドポイントのマルウェア検知数が(2021年の第4四半期の報告をまたずに)すでに2020年の総数を超えたことが判明しました。さらに、前期同様暗号化接続でのマルウェアの比率が高い状態が続いています。

ウォッチガードのCSO(チーフセキュリティオフィサー)、Corey Nachreiner(コリー・ナクライナー)は次のように述べています。「Q3ではネットワーク攻撃の総数がわずかに減少しましたが、パンデミックが始まって以来、デバイス単位のマルウェア数が初めて増加しました。ここまでの1年間の傾向として、引き続きセキュリティ環境は厳しい状況にあります。組織は、特定の指標の短期的な上下動や季節性を超えて、セキュリティ対策の要となる永続的かつ懸念される傾向に注目することが重要です。例えば重要なトレンドとして、ゼロデイ攻撃に暗号化接続を利用するケースが加速しています。私たちは、ウォッチガードの統合型セキュリティプラットフォームが、今日組織が直面する多様な脅威への対抗策として、最善の包括的な保護機能を提供できるものと確信しています。」

以下にウォッチガードのインターネットセキュリティレポート(2021年第3四半期版)における主な調査結果を紹介します:

  • ゼロデイマルウェアの半数近くが暗号化接続経由で配信:Q3のゼロデイマルウェアの総数は、3%増の67.2%と小幅な増加にとどまりましたが、トランスポートレイヤセキュリティ(TLS)経由のマルウェアの割合が31.6%から47%に跳ね上がりました。暗号化されたゼロデイが高度なものとみなされる割合は低いものの、ウォッチガードのデータによると、多くの組織がこうした接続を復号して解読していないため、ネットワークに侵入するマルウェアの量を十分に把握していないことが懸念されます。
  • ユーザがMicrosoftのWindowsやOfficeの最新バージョンにアップグレードするにつれて、攻撃者が新たな脆弱性にフォーカス:パッチが当てられていない旧来のソフトウェアの脆弱性は、引き続き攻撃者の主要な対象となっていますが、広範に使用されているMicrosoft製品の最新版の脆弱性の悪用も模索しています。Q3では、Microsoft Officeの数式エディターの脆弱性を悪用するCVE-2018-0802が、ウォッチガードのゲートウェイアンチウイルスマルウェアの総数におけるトップ10の6位に割り込みました。このマルウェアは前期で最も拡散したマルウェアリストにランクインしています。さらに、Windowsの2つのコードインジェクタ(Win32/Heim.DとWin32/Heri)が最も検知されたリストのそれぞれ1位と6位に入りました。
  • 攻撃対象が南北アメリカに集中:Q3のネットワーク攻撃の標的は、ヨーロッパ(15.5%)、APAC(20%)に対して、圧倒的に南北アメリカ(64.5%)が多くなっています。
  • ネットワーク攻撃全体の検知数は落ち着きを取り戻すも、依然として大きなリスク:検知数はQ1とQ2で連続して20%以上増加を続けてきましたが、今期は減少してウォッチガードの不正侵入検知・防御(IPS)機能でおよそ410万件のユニークなネットワーク侵害を検知しました。Q3の総数は21%減少してQ1レベルに戻りましたが、昨年同期比では依然高止まりの状態が続いています。この変化は、必ずしも攻撃者が手を緩めたということではなく、より標的を絞った攻撃に重点を移している可能性があります。
  • 攻撃の大部分がトップ10のネットワーク攻撃シグネチャ:Q3にIPSが検出した4,095,320件のうち、81%がトップ10のシグネチャに起因するものでした。実際、Q3にトップ10に入った新しいシグネチャは、「WEB Remote File Inclusion /etc/passwd」(1054837)の1つだけで、これは古いながらも広く使われているMicrosoft Internet Information Services(IIS)Webサーバを標的としています。SQLインジェクションのシグネチャ(1059160)が、2019年Q2以降、首位の座を維持し続けています。
  • エンドポイントに対するスクリプティング攻撃が引き続き記録的ペースで増加:Q3末の時点で、ウォッチガードのAD360脅威インテリジェンス、およびWatchGuard EPDR(エンドポイント保護/検知/レスポンス)では、すでに2020年全体(前年比666%増)に比べて10%多い攻撃スクリプトが確認されています。昨今のハイブリッドワークフォース(オフィス勤務と在宅勤務の併用)は例外ではなく、むしろルールになりつつあり、脅威を阻止するためには強力な境界線だけではもはや十分ではありません。サイバー犯罪者がエンドポイントを攻撃する方法は、アプリケーションの悪用からスクリプトベースの自給自足型(living-off-the-land)攻撃までいくつかありますが、限られたスキルしかない攻撃者でも、PowerSploit、PowerWare、Cobalt Strikeなどのスクリプティングツールでマルウェアペイロードを完全に実行し、エンドポイントの基本的な検知を回避できる場合が多くなっています。
  • 通常の安全なドメインも攻撃:MicrosoftのExchange Server Autodiscoverシステムのプロトコルの欠陥により、ドメインのクレデンシャル(認証情報)が収集され、通常の安全なドメインが攻撃されました。Q3全体でWatchGuard Fireboxは560万の不正ドメインを防御しましたが、その中には、いくつかの新たなマルウェアドメインにより、クリプトマイニング、キーロガー、リモートアクセスのトロイの木馬(RAT: remote access trojans)を目的としたソフトウェアのインストールを試みるケースや、SharePointサイトになりすましたフィッシングドメインにより、Office365のログインクレデンシャルを詐取するものが見受けられました。防御されたドメイン数は前期比で23%減少しましたが、2020年のQ4(130万件)と比較すると数段高い数値を記録しました。このことは、組織がサーバ、データベース、Webサイト、システムを最新のパッチにより常にアップデートすることで、攻撃者が悪用できる脆弱性を少しでも減らす必要性があることを物語っています。
  • 勢いが止まらないランサムウェア攻撃:ランサムウェア攻撃は2020年に一度急減した後(ウォッチガードが前期末に予測)、9月末には2020年で記録した総数の105%に達し、このままいくと2021年全体では150%に到達するペースで増加しています。REvilやGandCrapなど、サービスとしてのランサムウェア(Ransomware-as-a-service)の運用は、コーディングスキルがほとんどない攻撃者、あるいは全くない攻撃者の敷居を下げ、身代金の一定割合と引き換えに、世界各地で攻撃を実行するためのインフラとマルウェアのペイロードを提供しています。
  • 今期のセキュリティインシデントのトップはKaseyaで、デジタルサプライチェーン攻撃の脅威が続いていることを改めて示唆:米国で7月4日からの長期休暇が始まる直前、数十の組織からエンドポイントに対するランサムウェア攻撃が報告されるようになりました。ウォッチガードのインシデント分析では、サービスとしてのランサムウェア(RaaS)であるREvilの運用を活用した攻撃者が、Kaseya VSAリモートモニタリング&マネジメント(RMM)ソフトウェアの3つのゼロデイの脆弱性(CVE-2021-30116とCVE-2021-30118など)を悪用し、約1,500の組織と潜在的に数百万のエンドポイントにランサムウェアを配信したことが判明しました。数ヵ月後、FBIはREvilのサーバに侵入し、復号キーを入手しましたが、この攻撃は、組織がサプライチェーン攻撃の影響を最小限に抑えるために、ゼロトラストの採用、ベンダーアクセスに対する最小権限の原則の採用、システムのパッチ適用による最新状態の維持などの措置を積極的に取る必要性を改めて強く認識させるものです。

四半期ごとに発行されるウォッチガードの調査レポートは、脅威ラボの調査活動をサポートするためのデータ共有に賛同いただいている、ウォッチガーアプライアンスオーナーによる匿名のFireboxデータに基づいています。Q3では、ウォッチガードのアプライアンスは1,660万件以上のマルウェア(1デバイス当たり454件)、400万超のネットワーク脅威を防御ブロックしています。レポートには、2021年Q3で新たに登場したマルウェアおよびネットワークに関する詳細トレンド、そして2021年前半におけるエンドポイントで検知された脅威の深掘り情報、さらに、あらゆる企業規模、業種に役立つ推奨されるセキュリティ戦略や防御のための重要なヒントなどが盛り込まれています。

レポート全文は以下よりダウンロードできます。
www.watchguard.com/wgrd-resource-center/security-report-q3-2021 (英語)
*日本語レポートは後日公開予定。

【WatchGuard Technologiesについて】
WatchGuard(R)Technologiesは、ネットワークセキュリティ、エンドポイントセキュリティ、セキュアWi-Fi、多要素認証、ネットワークインテリジェンスを提供するグローバルリーダとして、全世界で約18,000社の販売パートナーおよびサービスプロバイダを通じて、250,000社以上の企業に信頼性の高いセキュリティ製品/サービスを提供しています。ウォッチガードのミッションは、中堅・中小企業や分散拠点を持つ大企業がエンタープライズレベルのセキュリティをシンプルに利用できるようにすることです。本社を米国ワシントン州シアトルに置き、北米、ヨーロッパ、アジア太平洋地区、中南米に支社を展開しています。日本法人であるウォッチガード・テクノロジー・ジャパン株式会社は、多彩なパートナーを通じて、国内で拡大する多様なセキュリティニーズに応えるソリューションを提供しています。詳細は www.watchguard.co.jp をご覧下さい。

さらなる詳細情報、プロモーション活動、最新動向はTwitter(@WatchGuardJapan)、Facebook(@WatchGuard.jp)、をフォローして下さい。また、最新の脅威に関するリアルタイム情報やその対策法はSecplicityJPまでアクセスして下さい。
SecplicityJP: www.watchguard.co.jp/security-news

WatchGuardは、WatchGuard Technologies, Inc.の登録商標です。その他の商標は各社に帰属します。

Tags: