ウォッチガード・テクノロジー・ジャパン(ウォッチガード)は9月30日、四半期ごとに発行している「インターネットセキュリティレポート」の最新版(20年第2四半期)を発表した。

 今回の調査結果によると、マルウェアの総検知数が8%減少したにもかかわらず、攻撃の70%をゼロデイマルウェア(アンチウイルスのシグニチャを回避するタイプ)が占めており、前期と比較して12%増加した。

 ウォッチガードのコリー・ナクライナーCTOは、「COVID-19の世界的パンデミックに合わせてオペレーションを順応させたのは企業だけではなく、サイバー犯罪者も同じである。(おそらくリモートワークが増加したため)マルウェアの検知数全体が減ったにもかかわらず、洗練された攻撃が増加したことは、攻撃者が従来のシグニチャベースのアンチマルウェア対策を回避するような戦術に移行していることがうかがえる。すべての組織は振舞いベースの脅威検知、クラウドベースのサンドボックス、そして多層型防御のセキュリティサービスを利用し、コアネットワークとリモートワーク人材を保護するべきだ」と述べている。

 今回、総検知数の3分の2以上がゼロデイマルウェアであり、34%が暗号化されたHTTPS接続経由の攻撃だった。組織で暗号化されたトラフィックを発見できない場合、脅威の3分の2を見過ごす計算となる。暗号化を用いた脅威の割合が第1四半期と比較して64%減少したとはいえ、HTTPSが暗号化されたマルウェアは大幅に増加している。FireboxセキュリティアプライアンスでHTTPSインスペクションを実行しようとしている管理者は増えているようだが、決して十分とはいえない。

 スキャムスクリプトTrojan.Gnaeusが、トップ10マルウェアリストの1位にランクインし、マルウェア5件に対して1件近く占めた。攻撃者はGnaeusマルウェアにより、難読化コードを用いてユーザーのブラウザーを制御し、目的のウェブサイトから強制的に攻撃者が設定したドメインにリダイレクトさせる。また、別のポップアップスタイルのJavaScript攻撃J.S. PopUnderは、今回、最も波及したマルウェアの1つであり、難読化されたスクリプトがユーザーのシステムプロパティをスキャンし、検知対抗戦術としてデバッグの試みをブロックする。組織がこうした脅威に対抗するには、ユーザーが未知のソースからブラウザーの拡張機能をロードするのを防ぎ、最新のパッチを当てることで常にブラウザーを最新の状態に保ち、信頼できるアドブロッカーを使用し、アップデートされたアンチマルウェアエンジンを維持する必要がある。

 XML-Trojan.Abracadabraが、トップ10マルウェア検知リストに新たに登場し、4月に最初に発見されて以来急増している。Abracadabraは、パスワードが「VelvetSweatshop」(Excelドキュメントのデフォルトのパスワード)である暗号化されたExcelファイル形式で配信されるマルウェア。一度開いてしまうと、Excelが自動的にファイルを復号化し、スプレッドシート内のVBAスクリプトが実行ファイルをダウンロードし、起動させる仕組みになっている。デフォルトのパスワードを使用することにより、マルウェアは多くの基本的なアンチウイルスソリューションをバイパスする。なぜならファイルは、最初は暗号化されており、その後でExcelによって復号化されるからだ。組織は、不審なソースからのマクロを決して起動させないよう、クラウドベースのサンドボックスを活用して、感染してしまう前に危険性のあるファイルの真の目的を安全に検証することが必要となる。

 6年前に登場したDoS(サービス拒否)攻撃がWordPressやDrupalに影響を与えており、その数で今回はトップ10ネットワーク攻撃リストに名を連ねた。この攻撃は、パッチが当てられていないすべてのDrupalやWordPressに悪影響をおよぼし、DoS攻撃によってインストールされているハードウェアのCPUやメモリを消耗させる。これらの攻撃数は多かったものの、とくにドイツの数十件のネットワークが集中的に狙われた。DoS攻撃は、ユーザーネットワークへの持続したトラフィックが必要であるため、攻撃者は標的を意図的に選定している可能性が高いことを意味している。

 今期ウォッチガードのトップマルウェアドメインリストに新たに2つのデスティネーションが加わった。最も多かったのは、findresults[.]サイトで、Dadobra trojanにC&Cサーバーを使用し、難読化ファイルと関連するレジストリを作成することで攻撃が開始され、機密データを漏えいさせて、ユーザーがWindowsシステムを起動したときに追加マルウェアがダウンロードされるようにする。また、あるユーザーがウォッチガードチームにCioco-froll[.]comの存在を報告しており、別のC&Cサーバーを用いてAsproxボットネットをサポートし、C&Cビーコンにより攻撃者はパーシスタンスが確立され、ボットネットが利用可能になったことを知ることができる。DNSファイアウォールを活用することにより、組織はこうしたアプリケーションプロトコルとは別の接続経路をもつ脅威を検知し、ブロックすることに役立てることができる。

 ウォッチガードのインターネットセキュリティレポートの調査結果は、脅威ラボの調査活動をサポートするためのデータ共有に賛同している、稼働中のウォッチガーアプライアンスオーナーによる匿名のFireboxデータに基づいている。世界中の約4万2000台以上のウォッチガードアプライアンスがインターネットセキュリティレポートのデータに貢献している。今期これらのアプライアンスは2850万件以上のマルウェア(1デバイス当たり684件)、175万件以上のネットワーク脅威(1デバイス当たり42件)をブロックしている。