ウォッチガード・テクノロジー・ジャパン(ウォッチガード)は、四半期ごとに発行している「インターネットセキュリティレポート」の最新版(2020年第4四半期)を4月28日に発表した。

 今回のレポートには、昨年6月にウォッチガードがPanda Securityを買収したことにともない、エンドポイントの脅威インテリジェンスに基づく新たな知見が盛り込まれている。なかでも、注目すべきは、ファイルレスマルウェアとクリプトマイナー攻撃の割合がそれぞれ約900%と25%増加したのに対して、20年はランサムウェアペイロード(ユニーク数)が19年と比較して48%減少したことを明らかにしている。さらに、ウォッチガード脅威ラボでは、20年Q4では暗号化されたマルウェアの検知が前期比で41%増加し、ネットワーク攻撃が18年以降最も増えたことを突き止めている。

 主な調査結果として、20年はファイルレスマルウェアの割合が19年に比べて888%増加した。これらの脅威はとくに危険であり、従来のエンドポイントプロテクションのクライアントによる検知を回避し、ユーザーが不正リンクをクリックする、または知らずに感染したウェブサイトを訪れるだけで被害に遭ってしまう。PowerSploitやCobaltStrikeといったツールキットにより、攻撃者は稼働中の他のプロセスに不正コードを容易に注入することができ、ユーザーのプロテクション機能がオリジナルのスクリプトを特定し、除去しても稼働し続けることができる。エンドポイントの検知/レスポンスソリューションと予防的なアンチマルウェアを両方実装することで、こうした脅威を特定することができる。

 18年の初頭に実質的にすべての暗号通貨の価格が暴落してから、クリプトマイナーの感染は大幅に減少し、19年には亜種の検知が633件(ユニーク数)と最低になった。しかし、攻撃者は既存のボットネット感染にクリプトマイナーモジュールを追加し、被害者から不当に収入を得る一方で、ネットワークを他のサイバー犯罪に悪用することを続けていた。結果として、20年Q4に暗号通貨の価格が再び上昇し始めると、クリプトマイナーマルウェアの検知数が19年と比較して25%増加し、昨年は850(ユニーク数)もの亜種が発見された。

 20年は2年続けてランサムウェアペイロード(ユニーク数)が減少し、最高を記録した18年の5489件、そして19年の4131件から2152件(ユニーク数)にペイロードが減った。この数字は、ランサムウェアの亜種に世界中の膨大な数のエンドポイントが感染したことを示している。これらの検知は主に、WannaCryと関連する亜種を検知するために17年に導入されたシグニチャにより検知されており、WannaCryが表舞台に登場してから3年以上にわたりランサムウォーム戦術がいまだに生き延びていることを示している。ランサムウェアの数が着実に減少したことは、攻撃者がこれまでの的を絞らない広範囲な攻撃から、医療機関や製造業などダウンタイムが許されない被害者を対象とした高度な標的型攻撃へとシフトし続けていることを示唆している。

 4四半期連続でマルウェアの全般的な数が減少しているにもかかわらず、ウォッチガードがQ4にネットワーク境界で検知したすべての攻撃の約半数(47%)が暗号化されていた。さらに、HTTPS接続経由で配信されたマルウェアは41%増加しており、暗号化されたゼロデイマルウェア(アンチウイルスシグニチャを回避する亜種)はQ3と比較して22%増えていた。

 Q4では、Linux.Genericウイルス(「The Moon」としても知られる)がウォッチガードのマルウェア検知トップ10リストに新たに登場した。このマルウェアは、サーバーネットワークの一部として、IoTデバイスやルータなどのコンシューマグレードのネットワークデバイスを直接標的とし、あらゆる脆弱性をエクスプロイトする。ウォッチガードの調査により、攻撃者が仕組んだインフラのなかに存在するARMプロセッサー向けに作成されたLinuxに特化したマルウェアと、MIPSプロセッサー向けに作成されたペイロードであることが判明し、IoTデバイスに対する回避型攻撃であることが明白となった。

 国が関与したとされる今回のSolarWinds経由の洗練されたサプライチェーン攻撃は、今後数年間にわたってセキュリティ業界全体に大きな影響を与えることになると予測される。影響はSolarWindsだけでなく、著名なFortune 500企業、セキュリティ大手企業、そして米政府をも含む約100社にまで拡大した。ウォッチガードによる詳細なインシデント分析により、現在の相互につながるデジタルエコシステムで、サプライチェーン攻撃に対する防御の重要性が明らかになった。

 Trojan.Script.1026663が、ウォッチガードのQ4で最も広く普及したマルウェア検知リストのトップ5に入った。攻撃は、ユーザーに添付の注文リストを確認することを求めるメールから始まる。次に添付ドキュメントが一連のペイロードと不正コードを起動させ、ユーザーのマシンに最終目的とする攻撃Agent Tesla remote access trojan(RAT)とキーロガーをロードさせる。

 Q4のネットワーク攻撃の総検知数は5%増加し、記録を更新した。また、ネットワーク攻撃シグニチャのユニーク数が着実に増加し、Q3と比べて4%増となっている。これは、世界でリモートワークが継続されているにもかかわらず、相変わらず企業のネットワーク境界が狙われており、攻撃者が引き続きオンプレミスのアセットを標的にしていることを示している。

 今期、ウォッチガードのアプライアンスは2600万件以上のマルウェア(1デバイス当たり456件)、350万件近いネットワーク脅威(1デバイスあたり77件の検知)をブロックした。また、Fireboxで455件(ユニーク数)の攻撃シグネチャをブロックしており、Q3と比較して4%増加している。四半期ごとに発行されるウォッチガードの調査レポートは、脅威ラボの調査活動をサポートするためのデータ共有に賛同している、ウォッチガードアプライアンスオーナーによる匿名のFireboxデータに基づいている。さらに、レポートの新たなエンドポイント脅威インテリジェンスでは、92カ国にわたる170万のエンドポイントから250万件(ユニーク数)のペイロードアラートに基づき、20年の特定のマルウェア攻撃やトレンドに関する深い洞察を提供している。