中間者攻撃のコモディティ化、エクスプロイトキットにおける JavaScript の難読化、 Gothic Panda と関係のあるマルウェアファミリーなどを分析

2022 年 12 月 21日(水)- 企業向け統合型サイバーセキュリティソリューション(ネットワークセキュリティ/セキュア Wi-Fi /多要素認証/エンドポイントセキュリティ)のグローバルリーダーである WatchGuard(R)Technologies の日本法人、 ウォッチガード・テクノロジー・ジャパン株式会社(本社:東京都港区、代表執行役員社長 谷口 忠彦、以下ウォッチガード)は、 四半期毎に発行している「インターネットセキュリティレポート」の最新版(2022 年第 3 四半期)を発表しました。本レポート では、ウォッチガードの脅威ラボの研究者たちによって分析された、マルウェアのトップトレンドやネットワークセキュリティおよびエンドポ イントセキュリティの脅威に関する詳細を報告しています。調査データから判明した主な脅威は、暗号化接続によるマルウェアの増 大、ICS 攻撃の継続、進化するクリプトマイナーLemonDuck、そして不正なペイロードを配信する Minecraft チートエンジンな どが挙げられます。

ウォッチガードの CSO(チーフセキュリティオフィサー)、Corey Nachreiner(コリー・ナクライナー)は次のように述べています。 「多少のチューニングや例外処理が必要であるにせよ、HTTPS インスペクションを適切に行うことがいかに重要であるかは、いくら 強調してもし過ぎることはありません。マルウェアの大部分は暗号化された HTTPS を介して配信されており、これを検査しないこと は、こうした脅威を見逃すことを意味します。当然のことながら、Exchange サーバや SCADA 管理システムのような攻撃者にとっ て大きな成果が得られる標的に対しては、今後も特別な注意を払う必要があります。攻撃者は、最新のパッチを適用していない 組織から最終的に利益を得ることになるため、パッチが適用可能になり次第、すぐに更新することが重要です。」

以下にウォッチガードのインターネットセキュリティレポート(2022 年第 3 四半期版)における主な調査結果を紹介します:

1. マルウェアの大部分が暗号化接続経由:Agent.IIQ は今期、通常のトップ 10 マルウェアリストでは 3 位でしたが、 第 3 四半期の暗号化マルウェアリストでは 1 位にランクインしています。実際、これら 2 つのリストの検知内容を見ると、 Agent.IIQ は全て暗号化された接続によるものだとわかります。第 3 四半期における Firebox によるトラフィックインス ペクションでは、検知されたマルウェアの 82%は暗号化接続を介しており、暗号化されていない状態で検知されたのは わずか 18%にすぎませんでした。Firebox で暗号化トラフィックを検査していない場合、約 18%の比率がそのまま当 てはまり、マルウェアの大部分を見逃している可能性が非常に高いと言えます。その他の対策として、エンドポイントプロテ クションを導入することにより、サイバーキルチェーンの末端の段階でマルウェアを捕捉することもできます。
2. ICS と SCADA システムが引き続き主な攻撃対象に:今期のネットワーク攻撃トップ 10 に新たにランクインしたのは、 複数のベンダーが被害を受けた SQL インジェクション型の攻撃です。そのうちの 1 社が Advantech で、同社の WebAccess ポータルは、さまざまな重要インフラの SCADA システムに使用されています。第 3 四半期に発生したも う 1 つの深刻な攻撃では、ネットワーク攻撃のボリュームにおけるトップ 5 にも登場し、Schneider Electric の
   2022 年 12 月 21 日(水) ウォッチガード・テクノロジー・ジャパン株式会社
   U.motion Builder ソフトウェアのバージョン 1.2.1 およびそれ以前が標的にされました。これは、攻撃者が静かに機
   会を待っているのではなく、むしろ可能な限り積極的にシステムを侵害しようとしていることを明確に示しています。
3. Exchange サーバの脆弱性が引き続きリスクに:脅威ラボの今期の新しいシグネチャのうち、最新の CVE である CVE-2021-26855 は、オンプレミスサーバ向けの Microsoft Exchange Server のリモートコード実行(RCE) の脆弱性です。この RCE の脆弱性は、CVE スコア 9.8 が付与されており、悪用されていることが知られています。この CVE-2021-26855 の日付と深刻度は、攻撃グループ HAFNIUM によって使用されたエクスプロイトの 1 つであるこ とからも、心当たりがあるはずです。この CVE-2021-26855 の影響を受けるほとんどの Exchange サーバは、現在ま でにパッチが適用されていると思われますが、あくまでも「ほとんど」であり、「全て」というわけではありません。したがって、リ
   スクは依然として残っています。
4. 無料ソフトを使用するユーザーが標的に:Fugrafa は、不正なコードを注入するマルウェアをダウンロードします。今期、
   脅威ラボは人気ゲーム Minecraft のチートエンジンに含まれていたサンプルを調査しました。主に Discord で共有され ているこのファイルは、Minecraft のチートエンジン Vape V4 Beta であると言われていますが、含まれているのはそれ だけではありません。Agent.FZUW は、Variant.Fugrafa といくつかの類似点がありますが、チートエンジンを介してイ ンストールされるのではなく、ファイル自体がクラックされたソフトウェアを持っていると見せかけています。脅威ラボは、この 特定のサンプルが、暗号通貨の交換サービスからアカウント情報をハイジャックするために使用される、暗号通貨ハッキン グキャンペーン Racoon Stealer と関係があることを突き止めました。
5. 進化するクリプトマイナーLemonDuck マルウェア:2022 年第 3 四半期で防御または追跡されたマルウェアドメイ ンの総数は減少しましたが、無防備なユーザーへの攻撃は依然として高い水準にあることが容易に分かります。マルウェ アドメインのトップリストに新たに 3 つ追加されましたが、そのうちの 2 つは旧 LemonDuck マルウェアドメイン、そしてもう 1 つは Emotet に分類されるドメインの一部であり、第 3 四半期は、通常よりも新しいドメインのマルウェアおよびマル ウェアが試行されるサイトが多く見受けられました。この傾向は、今後攻撃者がユーザーを騙す他の場を探していくため、 混乱する暗号通貨の情勢の中で変化し、修正されていくものと思われます。DNS プロテクションを有効にしておくことは、 悪意のないユーザーがマルウェアやその他の深刻な問題を組織に持ち込まないように監視し、防御するための方法です。
6. エクスプロイトキットによる JavaScript の難読化:ブラウザに対する JavaScript 難読化攻撃を検知する上での 一般的な脆弱性であるシグネチャ 1132518 は、今期最も広まったネットワーク攻撃シグネチャのリストに唯一新たに 追加されたものでした。JavaScript は、ユーザーを攻撃するための一般的なベクトルであり、攻撃者はマルバタイジング、 ウォータリングホール、フィッシング攻撃などをはじめ、常時 JavaScript ベースのエクスプロイトキットを使用しています。ブ ラウザの防御力は向上していますが、同時に攻撃者による不正な JavaScript コードの難読化能力も向上しています。
7. コモディティ化した中間者攻撃:多要素認証(MFA)は、認証攻撃の大部分から保護するための唯一最善のテク ノロジーであることに間違いありませんが、それだけでは全ての攻撃ベクトルに対する特効薬にはなりません。サイバー攻 撃者は、中間者(AitM)攻撃の急増とコモディティ化によってこのことを証明しました。第 3 四半期の最大のセキュリ ティインシデントである EvilProxy に関する脅威ラボの詳細調査は、悪意のある攻撃者がより高度な AitM テクノロ ジーに軸足を移し始めていることを如実に示しています。近年流行した Ransomware as a Service(サービスとし てのランサムウェア)のように、2022 年 9 月にリリースされた EvilProxy と呼ばれる AitM ツールキットは、これまで高 度な攻撃手法であったものの参入障壁を著しく低下させることに成功しています。防御の観点から、このような AitM 攻 撃手法にうまく対処するには、技術的なツールとユーザーの意識の両方が必要となります。
8. Gothic Panda と関係のあるマルウェアファミリー:脅威ラボの 2022 年第 2 四半期レポートでは、中国国家安 全保障省とつながりのある国家支援型の攻撃者である Gothic Panda が、同四半期に検知されたトップマルウェアの 1 つを使用することが説明されています。興味深いことに、第 3 四半期の暗号化マルウェアのトップリストには、Taidoor と呼ばれるマルウェアファミリーが含まれており、これは Gothic Panda が作成しただけでなく、中国政府のサイバー攻撃 者によってのみ使用されていることが確認されています。このマルウェアは通常、日本や台湾を標的としていますが、今四半期に分析された Generic.Taidoor のサンプルは、主にフランスの組織をターゲットとして発見されており、この地域の
   一部の Firebox が国家主導のサイバー攻撃の一部を検知・防御した可能性を示唆しています。
9. 新たなランサムウェアと恐喝グループが登場:さらに今期、脅威ラボは、現在のランサムウェア恐喝グループを追跡し、今後のレポートでより多くのランサムウェア関連情報を提供するために、脅威インテリジェンス機能を構築する新しい協調 的な取り組みを行うことを発表します。第 3 四半期では、LockBit がダークウェブページで 200 件以上の公開恐喝を 行い、トップとなりました。これは、ウォッチガードが今四半期 2 番目に多く観測したランサムウェアグループBastaの4倍近い数になっています。

四半期ごとに発行されるウォッチガードの調査レポートは、脅威ラボの調査活動をサポートするためのデータ共有に賛同いただいて いる、ウォッチガードアプライアンスオーナーによる匿名の Firebox データに基づいています。Q3 では、ウォッチガードのアプライアンス は 1,730 万以上のマルウェア(1 デバイス当たり 211 件)、230 万超のネットワーク脅威(1 デバイス当たり 28 件)を防御 しています。レポートには、2022 年 Q3 で新たに登場したマルウェアおよびネットワークに関するトレンド、そしてあらゆる企業規模、 業種に役立つ推奨されるセキュリティ戦略や防御のための重要なヒントなどが盛り込まれています。
レポート全文は以下よりダウンロードできます。
www.watchguard.com/wgrd-resource-center/security-report-q3-2022 (英語版) *日本語版のレポートは後日公開予定。

【WatchGuard Technologies について】
WatchGuard(R)Technologies, Inc.は、統合型サイバーセキュリティにおけるグローバルリーダーです。ウォッチガードの Unified Security Platform (TM)(統合型セキュリティプラットフォーム)は、マネージドサービスプロバイダー向けに独自に設計されており、世界トップクラスのセキュリティを提供することで、 ビジネスのスケールとスピード、および運用効率の向上に貢献しています。17,000 社を超えるセキュリティのリセラーやサービスプロバイダと提携しており、25 万社 以上の顧客を保護しています。ウォッチガードの実績豊富な製品とサービスは、ネットワークセキュリティとインテリジェンス、高度なエンドポイント保護、多要素認証、 セキュア Wi-Fi で構成されています。これらの製品では、包括的なセキュリティ、ナレッジの共有、明快さと制御、運用の整合性、自動化という、セキュリティプラット フォームに不可欠な 5 つの要素を提供しています。同社はワシントン州シアトルに本社を置き、北米、欧州、アジア太平洋地域、ラテンアメリカにオフィスを構えて います。日本法人であるウォッチガード・テクノロジー・ジャパン株式会社は、多彩なパートナーを通じて、国内で拡大する多様なセキュリティニーズに応えるソリュー ションを提供しています。詳細は www.watchguard.co.jp をご覧下さい。
さらなる詳細情報、プロモーション活動、最新動向は Twitter(@WatchGuardJapan)、Facebook(@WatchGuard.jp)、をフォローして下さい。また、 最新の脅威に関するリアルタイム情報やその対策法は SecplicityJP までアクセスして下さい。
SecplicityJP: www.watchguard.co.jp/security-news
WatchGuard は、WatchGuard Technologies, Inc.の登録商標です。その他の商標は各社に帰属します。