ソニックウォール・ジャパンは8月19日、米SonicWall Capture Labsの脅威調査チームが発表した「2020年上半期 SonicWallサイバー脅威レポート」を公開した。このレポートでは、ランサムウェアの増加、新型コロナウイルス(COVID-19)パンデミックの日和見的利用、システムの弱点、サイバー犯罪者によるMicrosoft Officeファイル利用の高まりが指摘されている。

 20年の上半期、世界のマルウェア攻撃は、19年の上半期合計である48億件から32億件(24%減)に減少した。今回の下落は、昨年11月に始まった下落傾向の継続となる。マルウェアの量と割合の変化には地域差があり、サイバー犯罪者の注目度の変化が浮き彫りになっている。例えば、米国(24%減)、英国(27%減)、ドイツ(60%減)、インド(64%減)では、いずれもマルウェアの量が減少した。しかし、マルウェアの減少は必ずしも安全性の増加を指すわけではない。それを示すように、ランサムウェアによる攻撃は同じ期間に急増している。

 世界的にマルウェアの量が減少しているにもかかわらず、ランサムウェアは企業にとって最も懸念される脅威であるとともに、サイバー犯罪者に好まれるツールであり続けており、20年上半期には世界全体で20%(1億2140万件)の増加となった。

 また、米国と英国では対照的な結果が見られる。SonicWall Capture Labsの脅威研究者は、米国で7990万件のランサムウェア攻撃(109%増)を記録したのに対し、英国では590万件のランサムウェア攻撃(6%減)を記録し、俊敏なサイバー犯罪者ネットワークの行動をもとにした風変りな傾向を認めた。

 世界的なパンデミックと社会工学的なサイバー攻撃の組み合わせは、フィッシングやその他の電子メール詐欺を利用するサイバー犯罪者にとって効果的な組み合わせであることが証明された。2月4日までさかのぼり、SonicWallの研究者は新型コロナウイルスに特化した攻撃、詐欺、エクスプロイトの増加を検知し、第1-第2四半期の間に新型コロナウイルス関連のフィッシングが7%増加したことを報告している。

 予想されたように、新型コロナウイルス関連のフィッシングは3月に増加し始め、3月24日、4月3日、6月19日に最も大きなピークを迎えた。これは、フィッシング全体とは対照的で、全体では1月に堅調な増加を見せるが、新型コロナウイルス関連のフィッシングが流行し始めた頃には、世界的にフィッシングはわずかに減少傾向にあった(15%減)。

 現在、何百万人もの作業者がリモートで作業を行う必要性に迫られていることから、人々はビジネス生産性のアプリケーション群に依存しており、Microsoft Officeは必須のものになっている。サイバー犯罪者はこうした環境の変化にいち早く対応し、SonicWallの脅威研究者は、信頼できるMicrosoft Officeのファイルタイプを装った新しいマルウェア攻撃が176%増となったことを観測した。

 SonicWall Capture Advanced Threat Protection(ATP)とReal-Time Deep Memory Inspection(RTDMI)テクノロジーを活用することで、SonicWallは20年に、Microsoft Officeファイルの22%とPDFファイルの11%で新たに確認されたマルウェアの33%を占めていることを発見した。また、RTDMIテクノロジーは、この間に記録的な12万910個の「いまだかつて見られなかった」マルウェアの亜種を識別した。これは、19年の上半期と比較して63%の増加となっている。

 世界中に散らばる110万個以上のセンサーが24時間体制で脅威の情報を収集しているSonicWallの新しい「マルウェア拡散」データは、マルウェア攻撃のリスクが最も高い米国の州を示している。

 米国では、シリコンバレーのあるカリフォルニア州が20年のマルウェア総量で1位となっている。しかし、カリフォルニア州はリスクの高い州の上位半数に含まれておらず、最もリスクの高い州ではなかった。マルウェアの拡散状況に基づいた上位5位までの最もリスクの高い州は、バージニア州(26.6%)、フロリダ州(26.6%)、ミシガン州(26.3%)、ニュージャージー州(26.3%)、オハイオ州(25.3%)だった。

 興味深いことに、カンザス州の企業はマルウェアに遭遇する可能性が高く、同州のセンサーのほぼ3分の1(31.3%)がマルウェアを検知している。対照的に、ノースダコタ州のセンサーの5分の1強(21.9%)がマルウェア攻撃を記録していた。

 全体では、20年のこれまでのところ、平均23%の攻撃が非標準ポートを経由して行われており、SonicWallが18年に攻撃元区分の追跡を開始して以来、最高となった。マルウェアを非標準のポートに送信することで、攻撃者は従来のファイアウォール技術を迂回することができ、ペイロードの成功率を高めることができる。「非標準」ポートはデフォルトの割り当て以外のポートで実行されているサービスで利用されている。

 20年の第1四半期から第2四半期までの間に、2件の月次記録を更新した。2月の非標準ポート攻撃が26%に達した後、5月には前例のない30%に増加した。その月の間に、VBA Trojan Downloaderなど、特定の攻撃が急増しており、それが検知率の増加の一因となっている可能性がある。

 リモートワークに従事する従業員やリモートワークフォースにより、冷蔵庫、ベビーモニター、ドアベル、ゲーム機などの IoTデバイスなどが、多くの新たなリスクの引き金になる可能性がある。IT部門は、企業の領域が従来の境界線を超えて拡大しているため、ネットワークやエンドポイントに群がる無数のデバイスに取り囲まれている。

 SonicWallの研究者は、IoTマルウェア攻撃が50%増加していることを観測した。これは、個人や企業が自宅で作業を導入するようになるにつれ、オンラインに接続されているデバイスの数が増えていることを反映している。未確認のIoTデバイスは、通常は安全性の高い組織へのサイバー犯罪者にとっての入り口を提供することになるリスクがあるとしている。