ウォッチガード・テクノロジー・ジャパン(ウォッチガード)は2月9日、四半期ごとに発行している「インターネットセキュリティレポート」の最新版(21年第3四半期)を発表した。今回のレポートでは、ネットワーク境界でのマルウェアの総検知数が前期の過去最高記録と比較して減少したものの、エンドポイントのマルウェア検知数が(21年第4四半期の報告をまたずに)すでに20年の総数を超えたことが判明。さらに、前期同様に暗号化接続でのマルウェアの比率が高い状態が続いているとした。


 第3四半期のゼロデイマルウェアの総数は、3%増の67.2%と小幅な増加にとどまったが、トランスポートレイヤセキュリティ(TLS)経由のマルウェアの割合が31.6%から47%に跳ね上がった。暗号化されたゼロデイが高度なものとみなされる割合は低いものの、多くの組織がこうした接続を復号して解読していないため、ネットワークに侵入するマルウェアの量を十分に把握していないことが懸念される。

 パッチが当てられていない旧来のソフトウェアの脆弱性は、引き続き攻撃者の主要な対象となっているが、広範に使用されているMicrosoft製品の最新版の脆弱性の悪用も模索している。第3四半期では、Microsoft Officeの数式エディタの脆弱性を悪用するCVE-2018-0802が、ウォッチガードのゲートウェイアンチウイルスマルウェア総数のトップ10の6位に割り込んだ。このマルウェアは、前期で最も拡散したマルウェアリストにランクインし、Windowsの二つのコードインジェクタ(Win32/Heim.DとWin32/Heri)が最も検知されたリストのそれぞれ1位と6位に入った。

 ネットワーク攻撃の標的はヨーロッパ(15.5%)、APAC(20%)に対して、圧倒的に南北アメリカ(64.5%)が多くなっている。

 検知数は、第1四半期と第2四半期で連続して20%以上増加を続けてきたが、今期は減少してウォッチガードの不正侵入検知・防御(IPS)機能でおよそ410万件のユニークなネットワーク侵害を検知。第3四半期の総数は21%減少して、第1四半期のレベルに戻ったが、昨年同期比では依然高止まりの状態が続いている。この変化は、必ずしも攻撃者が手を緩めたということではなく、標的を絞った攻撃に重点を移している可能性がある。

 第3四半期にIPSが検出した409万5320件のうち、81%がトップ10のシグネチャに起因するものだった。トップ10に入った新しいシグネチャは、「WEB Remote File Inclusion/etc/passwd」(1054837)の一つだけで、古いながらも広く使われているMicrosoft Internet Information Services(IIS)Webサーバーを標的としている。SQLインジェクションのシグネチャ(1059160)が、19年第2四半期以降、首位の座を維持し続けている。

 第3四半期末の時点で、ウォッチガードのAD360脅威インテリジェンスと、WatchGuard EPDR(エンドポイント保護/検知/レスポンス)では、すでに20年全体(前年比666%増)に比べて10%多い攻撃スクリプトが確認されている。昨今のハイブリッドワークフォース(オフィス勤務と在宅勤務の併用)は例外ではなく、むしろルールになりつつあり、脅威を阻止するためには強力な境界線だけではもはや十分ではないという。サイバー犯罪者がエンドポイントを攻撃する方法は、アプリケーションの悪用からスクリプトベースの自給自足型(living-off-the-land)攻撃までいくつかあるが、限られたスキルしかない攻撃者でも、PowerSploit、PowerWare、Cobalt Strikeなどのスクリプティングツールでマルウェアペイロードを完全に実行し、エンドポイントの基本的な検知を回避できる場合が多くなっている。

 MicrosoftのExchange Server Autodiscoverシステムのプロトコルの欠陥により、ドメインのクレデンシャル(認証情報)が収集され、通常の安全なドメインが攻撃された。第3四半期でWatchGuard Fireboxは560万の不正ドメインを防御したが、その中には、いくつかの新たなマルウェアドメインにより、クリプトマイニング、キーロガー、リモートアクセスのトロイの木馬(RAT:remote access trojans)を目的としたソフトウェアのインストールを試みるケースや、SharePointサイトになりすましたフィッシングドメインにより、Office365のログインクレデンシャルを詐取するものが見受けられた。防御されたドメイン数は前期比で23%減少したが、20年第4四半期(130万件)と比較すると数段高い数値を記録した。

 ランサムウェア攻撃は、9月末に20年で記録した総数の105%に達し、このままいくと21年全体で150%に到達するペースで増加しているという。REvilやGandCrapなど、サービスとしてのランサムウェア(Ransomware-as-a-service)の運用は、コーディングスキルがほとんどない攻撃者、またはまったくない攻撃者の敷居を下げ、身代金の一定割合と引き換えに、世界各地で攻撃を実行するためのインフラとマルウェアのペイロードを提供している。

 米国で7月4日からの長期休暇が始まる直前、数十の組織からエンドポイントに対するランサムウェア攻撃が報告されるようになった。ウォッチガードのインシデント分析では、サービスとしてのランサムウェア(RaaS)であるREvilの運用を活用した攻撃者が、Kaseya VSAリモートモニタリング&マネジメント(RMM)ソフトウェアの三つのゼロデイの脆弱性(CVE-2021-30116とCVE-2021-30118など)を悪用し、約1500の組織と潜在的に数百万のエンドポイントにランサムウェアを配信したことが判明した。