ウォッチガード・テクノロジー・ジャパン(ウォッチガード)は、四半期ごとに発行している「インターネットセキュリティレポート」の最新版(21年第2四半期)を発表した。

 今回の主な調査結果として、マルウェアの91.5%が暗号化接続経由のものであり、前期比で大幅な増加傾向が見られたという。言い換えると、ゲートウェイで暗号化HTTPSトラフィックを調査していない組織は、全マルウェアの90%を見逃しているということになる。

 昨年、スクリプトによる攻撃数全体が前年度比で大幅に増加したが、21年ではわずか半年で、PowerShellなどのスクリプトエンジン由来のマルウェアの検知数が昨年の80%に到達しているとのことだ。現時点で、21年に検知されたファイルレスマルウェアは昨年比で倍増しているという。

 ウォッチガードのアプライアンスがネットワーク攻撃の大幅増を検知し、前期比で22%増え、18年以来最大数を記録し、第1四半期では410万件近いネットワーク攻撃が観測されたとのこと。今期はさらに100万件増え、ゲートウェイセキュリティの維持と、ユーザーにフォーカスした保護を両立させることの重要性が高まっているという。

 エンドポイントでのランサムウェアの総検知数は、18年から20年にかけて減少傾向にあったが、21年前半にその傾向が崩れ、半年間の総検知数は20年の通年の検知数にわずかにおよばない結果。21年の残りの期間、1日のランサムウェア検知数が横ばいであれば、今年のボリュームは20年と比較して150%以上の増加に達することになる。

 これまでの四半期報告では通常、一つか二つの新しいシグネチャが報告されていたが、第2四半期のウォッチガードのトップ10ネットワーク攻撃には四つの新しいシグネチャが含まれていたという。注目すべきは、最も新しいものは著名なウェブスクリプト言語でのPHPの20年の脆弱性だったが、他の三つは全く新しいものではなかったという。その中には、20ll Oracle GlassFish Serverの脆弱性、13年に発生した医療記録アプリケーションOpenEMRのSQLインジェクション攻撃、そして17年に発生したMicrosoft Edgeのリモートコード実行(RCE)の脆弱性などが含まれているとのことだ。いずれも古いものではあるが、パッチを適用せずに放置しておくとリスクがあるという。

 第2四半期では、最も広範に発生したネットワーク攻撃トップ10リストで、新たに一つ最上位に登場した。シグネチャ1133630は、前述の17年のRCEの脆弱性で、Microsoftのブラウザーに影響を与えるもの。これは古い脆弱性であり、ほとんどのシステムでパッチが適用されているが、まだパッチを適用していないシステムは、攻撃者に先を越されてしまうと大変なことになるという。

 実際に、CVE-2021-40444として追跡されている非常に類似した重要性の高いRCEのセキュリティ上の欠陥が今月初め、Windows 10のコンピューター上のMicrosoft OfficeとOffice 365に対する標的型攻撃で積極的に悪用されて話題になった。Office関連の脅威はマルウェアの中でも特に多く、試行錯誤された攻撃がいまだに目撃されているが、幸いなことに、これらは従来のIPS防御でも検知されているという。

 ウォッチガードでは、最近Microsoft Exchangeサーバーを標的にしたマルウェアの使用が増加していることを確認。一般的なメールユーザーが、機密性の高い場所でリモートアクセスのトロイの木馬(RAT)をダウンロードするようになっている。これは、第2四半期が、2四半期連続でリモートワーカーや生徒がハイブリッドオフィスや学校など、以前のようにオンサイトに戻ったりしたことによるものと思われる。

 レポートでは、どのような状況、あるいは場所であっても、強いセキュリティ意識をもち、必ずしもネットワークセキュリティに接続されていないデバイスから送信される通信を監視することを推奨している。