2023/07/24 10:01
情報・通信
新たにトップ10入りしたマルウェアの4分の3が中国とロシア発、環境寄生型攻撃も増加
2023年7月24日(月) - 企業向け統合型サイバーセキュリティソリューション(ネットワークセキュリティ/セキュアWi-Fi/多要素認証/エンドポイントセキュリティ)のグローバルリーダーであるWatchGuard(R)Technologiesの日本法人、ウォッチガード・テクノロジー・ジャパン株式会社(本社:東京都港区、代表執行役員社長 谷口 忠彦、以下ウォッチガード)は、四半期毎に発行している「インターネットセキュリティレポート」の最新版(2023年第1四半期)を発表しました。本レポートでは、ウォッチガードの脅威ラボの研究者たちによって分析された、マルウェアのトップトレンドやネットワークセキュリティおよびエンドポイントセキュリティの脅威に関する詳細を報告しています。主な調査結果として、ブラウザを利用したソーシャルエンジニアリング戦略を活用したフィッシング、国家が関与している新たなマルウェア、ゼロデイマルウェアの急増、環境寄生型(LotL:living-off-the-land)攻撃の増加といった点が挙げられます。また、本レポートでは脅威ラボチームによる四半期単位でのランサムウェアの追跡・分析に特化したセクションも設けられています。
ウォッチガードのCSO(チーフセキュリティオフィサー)、Corey Nachreiner(コリー・ナクライナー)は次のように述べています。「組織は増え続ける複合型脅威から身を守るために、既存のセキュリティソリューションや戦略にもっと積極的に注意を払うべきです。今回のレポートで脅威ラボがまとめた重大テーマとそれに対応するベストプラクティスでは、環境寄生型攻撃に対してマルウェアへの多層型防御を強く強調しており、専門のマネージドサービスプロバイダーが運用する統合型セキュリティプラットフォームを活用すれば、シンプルかつ効果的に対応できると説明しています。」
以下にウォッチガードのインターネットセキュリティレポート(2023年第1四半期版)における主な調査結果を紹介します:
ブラウザを利用したソーシャルエンジニアリングが新たなトレンドに:現在のWebブラウザは、ポップアップの不正使用を防止する機能を強化しているため、攻撃者はブラウザの通知機能を利用して同様のタイプのインタラクション(やり取り)を促すことに軸足を移しています。また、今四半期の悪質ドメインの上位リストで注目すべきは、SEOポイズニング行為に関与する新たな攻撃先です。
Q1のトップ10リストにおける新たな脅威の75%が中国とロシアの攻撃者:ウォッチガードのトップ10マルウェアリストに登場した新たな脅威の4分の3が国家と強い結び付きがありますが、これらの悪意ある攻撃者が実際に国家に支援されているとは限りません。一例として今期のトップ10マルウェアリストに初めて登場したZusyマルウェアファミリーが挙げられます。脅威ラボが発見したZusyの例では、中国の国民を標的としており、悪質なブラウザをインストールするアドウェアが使用されており、このブラウザはシステムのWindows設定を乗っ取り、デフォルトのブラウザとして使用されます。
Office製品を狙った攻撃の継続、およびサポートが終了したMicrosoft ISAファイアウォールを標的とした攻撃が増加:Threat Labのアナリストは、今四半期も引き続き、Office製品を狙ったドキュメントベースの脅威が最も広範にマルウェアリストに含まれていることを確認しています。また、ネットワーク面では、Microsoftのファイアウォール「Internet Security and Acceleration(ISA)Server」(現在は販売終了)に対する不正行為が比較的増えています。この製品の販売が終了してから長い期間が経過しており、アップデートも行われていないことを考えると、攻撃者がこの製品を標的としていることは驚くべきことです。
環境寄生型(LotL:living-off-the-land)攻撃が増加:Q1のDNS分析でレビューされたViperSoftXは、オペレーティングシステムに含まれる組み込み型ツールを活用したマルウェアの最新例です。四半期を追うごとに、Microsoft OfficeやPowerShellをベースとしたマルウェアが報告されていることから、PowerShellのような一般的なツールの正当な使用と不正な使用を区別できるエンドポイントプロテクションの重要性が浮き彫りになっています。
Linuxベースのシステムがマルウェアの標的に:Q1におけるマルウェア検知数のトップリストに新たに登場したものの1つに、Linuxベースのシステムを標的にするマルウェアが挙げられます。Windowsがエンタープライズ分野でトップシェアを占めていますが、組織はLinuxやmacOSにも注意を払う必要があることを痛感させられます。エンドポイント検知/レスポンス(EDR)を展開する際には、必ずWindows以外のマシンも含め、システム環境を総合的にカバーすることが大切です。
検知数の大半を占めるゼロデイマルウェア:今四半期は、暗号化されていないWebトラフィックを介したゼロデイマルウェアの検知数が70%を占め、暗号化されたWebトラフィックを介したゼロデイマルウェアの検知数はなんと93%を占めています。ゼロデイマルウェアは、IoTデバイスや設定ミスのあるサーバ、およびWatchGuard EPDR(エンドポイント保護/防御/レスポンス)のような強固なホストベースの防御を使用していないデバイスに感染する可能性があります。
ランサムウェア追跡データに基づく新たな知見:今期、脅威ラボでは恐喝サイトに公開された852人の被害者を集計し、51の新しいランサムウェア亜種を発見しました。これらのランサムウェアグループは、驚くほど高い割合で被害者を公表し続けており、中には著名な組織やFortune 500企業も存在します。(ウォッチガードの四半期ごとの脅威ラボリサーチの一環として、今後もランサムウェアの追跡トレンドや分析結果を報告する予定です。)
ウォッチガードのUnified Security Platform(R)(統合型セキュリティプラットフォーム)アプローチやウォッチガードの脅威ラボのこれまでの四半期ごとのリサーチアップデートと同様、この四半期レポートで分析されているデータは、ウォッチガードのリサーチ活動に賛同するウォッチガードのネットワークおよびエンドポイント製品を利用するお客様から、匿名により収集した脅威インテリジェンスに基づいています。
四半期ごとに発行されるウォッチガードの調査レポートは、脅威ラボの調査活動をサポートするためのデータ共有に賛同いただいている、ウォッチガードアプライアンスオーナーによる匿名のFireboxデータに基づいています。Q4では、ウォッチガードのアプライアンスは1,570万以上のマルウェア(1デバイス当たり194件)、230万超のネットワーク脅威(1デバイス当たり28件)を防御しています。レポートには、2022年Q4で新たに登場したマルウェアおよびネットワークに関するトレンド、そしてあらゆる企業規模、業種に役立つ推奨されるセキュリティ戦略や防御のための重要なヒントなどが盛り込まれています。
今回の 2023 年第1四半期の分析では、脅威ラボチームはレポート結果の正規化、分析、および提示に用いる方法を変えました。これまでの四半期ごとの調査結果は、主に(世界の総合計数として)集計し、発表されていましたが、今四半期以降のネットワークセキュリティの調査結果は、報告された全てのネットワークアプライアンスにおける「デバイスごとの」平均値として発表しています。本レポートの全文には、今回の変更に関する詳細や、新たに採用された手法の背景にある理論的根拠に加え、2023年第1四半期における新たなマルウェア、ネットワーク、ランサムウェアの動向、推奨されるセキュリティ戦略、そしてあらゆる規模や業種の企業にとって重要な防御のヒントなどの詳細が記載されています。
レポート全文は以下よりダウンロードできます。
https://www.watchguard.com/wgrd-resource-center/security-report-q1-2023(英語版)
*日本語版は追って掲載する予定です。
【WatchGuard Technologiesについて】
WatchGuard(R)Technologies, Inc.は、統合型サイバーセキュリティにおけるグローバルリーダーです。ウォッチガードのUnified Security Platform(TM)(統合型セキュリティプラットフォーム)は、マネージドサービスプロバイダー向けに独自に設計されており、世界トップクラスのセキュリティを提供することで、ビジネスのスケールとスピード、および運用効率の向上に貢献しています。17,000社を超えるセキュリティのリセラーやサービスプロバイダと提携しており、25万社以上の顧客を保護しています。ウォッチガードの実績豊富な製品とサービスは、ネットワークセキュリティとインテリジェンス、高度なエンドポイント保護、多要素認証、セキュアWi-Fiで構成されています。これらの製品では、包括的なセキュリティ、ナレッジの共有、明快さと制御、運用の整合性、自動化という、セキュリティプラットフォームに不可欠な5つの要素を提供しています。同社はワシントン州シアトルに本社を置き、北米、欧州、アジア太平洋地域、ラテンアメリカにオフィスを構えています。日本法人であるウォッチガード・テクノロジー・ジャパン株式会社は、多彩なパートナーを通じて、国内で拡大する多様なセキュリティニーズに応えるソリューションを提供しています。詳細はhttps://www.watchguard.co.jpをご覧下さい。
さらなる詳細情報、プロモーション活動、最新動向はTwitter(@WatchGuardJapan)、Facebook(@WatchGuard.jp)、をフォローして下さい。また、最新の脅威に関するリアルタイム情報やその対策法はSecplicityJPまでアクセスして下さい。
SecplicityJP: https://www.watchguard.co.jp/security-news
WatchGuardは、WatchGuard Technologies, Inc.の登録商標です。その他の商標は各社に帰属します。
【本プレスリリースに関するお問合せ】
ウォッチガード・テクノロジー・ジャパン株式会社
〒106-0041
東京都港区麻布台1-11-9 BPRプレイス神谷町5階
マーケティング担当
Tel: Fax:
Email:
URL: https://www.watchguard.co.jp
2023年7月24日(月) - 企業向け統合型サイバーセキュリティソリューション(ネットワークセキュリティ/セキュアWi-Fi/多要素認証/エンドポイントセキュリティ)のグローバルリーダーであるWatchGuard(R)Technologiesの日本法人、ウォッチガード・テクノロジー・ジャパン株式会社(本社:東京都港区、代表執行役員社長 谷口 忠彦、以下ウォッチガード)は、四半期毎に発行している「インターネットセキュリティレポート」の最新版(2023年第1四半期)を発表しました。本レポートでは、ウォッチガードの脅威ラボの研究者たちによって分析された、マルウェアのトップトレンドやネットワークセキュリティおよびエンドポイントセキュリティの脅威に関する詳細を報告しています。主な調査結果として、ブラウザを利用したソーシャルエンジニアリング戦略を活用したフィッシング、国家が関与している新たなマルウェア、ゼロデイマルウェアの急増、環境寄生型(LotL:living-off-the-land)攻撃の増加といった点が挙げられます。また、本レポートでは脅威ラボチームによる四半期単位でのランサムウェアの追跡・分析に特化したセクションも設けられています。
ウォッチガードのCSO(チーフセキュリティオフィサー)、Corey Nachreiner(コリー・ナクライナー)は次のように述べています。「組織は増え続ける複合型脅威から身を守るために、既存のセキュリティソリューションや戦略にもっと積極的に注意を払うべきです。今回のレポートで脅威ラボがまとめた重大テーマとそれに対応するベストプラクティスでは、環境寄生型攻撃に対してマルウェアへの多層型防御を強く強調しており、専門のマネージドサービスプロバイダーが運用する統合型セキュリティプラットフォームを活用すれば、シンプルかつ効果的に対応できると説明しています。」
以下にウォッチガードのインターネットセキュリティレポート(2023年第1四半期版)における主な調査結果を紹介します:
ブラウザを利用したソーシャルエンジニアリングが新たなトレンドに:現在のWebブラウザは、ポップアップの不正使用を防止する機能を強化しているため、攻撃者はブラウザの通知機能を利用して同様のタイプのインタラクション(やり取り)を促すことに軸足を移しています。また、今四半期の悪質ドメインの上位リストで注目すべきは、SEOポイズニング行為に関与する新たな攻撃先です。
Q1のトップ10リストにおける新たな脅威の75%が中国とロシアの攻撃者:ウォッチガードのトップ10マルウェアリストに登場した新たな脅威の4分の3が国家と強い結び付きがありますが、これらの悪意ある攻撃者が実際に国家に支援されているとは限りません。一例として今期のトップ10マルウェアリストに初めて登場したZusyマルウェアファミリーが挙げられます。脅威ラボが発見したZusyの例では、中国の国民を標的としており、悪質なブラウザをインストールするアドウェアが使用されており、このブラウザはシステムのWindows設定を乗っ取り、デフォルトのブラウザとして使用されます。
Office製品を狙った攻撃の継続、およびサポートが終了したMicrosoft ISAファイアウォールを標的とした攻撃が増加:Threat Labのアナリストは、今四半期も引き続き、Office製品を狙ったドキュメントベースの脅威が最も広範にマルウェアリストに含まれていることを確認しています。また、ネットワーク面では、Microsoftのファイアウォール「Internet Security and Acceleration(ISA)Server」(現在は販売終了)に対する不正行為が比較的増えています。この製品の販売が終了してから長い期間が経過しており、アップデートも行われていないことを考えると、攻撃者がこの製品を標的としていることは驚くべきことです。
環境寄生型(LotL:living-off-the-land)攻撃が増加:Q1のDNS分析でレビューされたViperSoftXは、オペレーティングシステムに含まれる組み込み型ツールを活用したマルウェアの最新例です。四半期を追うごとに、Microsoft OfficeやPowerShellをベースとしたマルウェアが報告されていることから、PowerShellのような一般的なツールの正当な使用と不正な使用を区別できるエンドポイントプロテクションの重要性が浮き彫りになっています。
Linuxベースのシステムがマルウェアの標的に:Q1におけるマルウェア検知数のトップリストに新たに登場したものの1つに、Linuxベースのシステムを標的にするマルウェアが挙げられます。Windowsがエンタープライズ分野でトップシェアを占めていますが、組織はLinuxやmacOSにも注意を払う必要があることを痛感させられます。エンドポイント検知/レスポンス(EDR)を展開する際には、必ずWindows以外のマシンも含め、システム環境を総合的にカバーすることが大切です。
検知数の大半を占めるゼロデイマルウェア:今四半期は、暗号化されていないWebトラフィックを介したゼロデイマルウェアの検知数が70%を占め、暗号化されたWebトラフィックを介したゼロデイマルウェアの検知数はなんと93%を占めています。ゼロデイマルウェアは、IoTデバイスや設定ミスのあるサーバ、およびWatchGuard EPDR(エンドポイント保護/防御/レスポンス)のような強固なホストベースの防御を使用していないデバイスに感染する可能性があります。
ランサムウェア追跡データに基づく新たな知見:今期、脅威ラボでは恐喝サイトに公開された852人の被害者を集計し、51の新しいランサムウェア亜種を発見しました。これらのランサムウェアグループは、驚くほど高い割合で被害者を公表し続けており、中には著名な組織やFortune 500企業も存在します。(ウォッチガードの四半期ごとの脅威ラボリサーチの一環として、今後もランサムウェアの追跡トレンドや分析結果を報告する予定です。)
ウォッチガードのUnified Security Platform(R)(統合型セキュリティプラットフォーム)アプローチやウォッチガードの脅威ラボのこれまでの四半期ごとのリサーチアップデートと同様、この四半期レポートで分析されているデータは、ウォッチガードのリサーチ活動に賛同するウォッチガードのネットワークおよびエンドポイント製品を利用するお客様から、匿名により収集した脅威インテリジェンスに基づいています。
四半期ごとに発行されるウォッチガードの調査レポートは、脅威ラボの調査活動をサポートするためのデータ共有に賛同いただいている、ウォッチガードアプライアンスオーナーによる匿名のFireboxデータに基づいています。Q4では、ウォッチガードのアプライアンスは1,570万以上のマルウェア(1デバイス当たり194件)、230万超のネットワーク脅威(1デバイス当たり28件)を防御しています。レポートには、2022年Q4で新たに登場したマルウェアおよびネットワークに関するトレンド、そしてあらゆる企業規模、業種に役立つ推奨されるセキュリティ戦略や防御のための重要なヒントなどが盛り込まれています。
今回の 2023 年第1四半期の分析では、脅威ラボチームはレポート結果の正規化、分析、および提示に用いる方法を変えました。これまでの四半期ごとの調査結果は、主に(世界の総合計数として)集計し、発表されていましたが、今四半期以降のネットワークセキュリティの調査結果は、報告された全てのネットワークアプライアンスにおける「デバイスごとの」平均値として発表しています。本レポートの全文には、今回の変更に関する詳細や、新たに採用された手法の背景にある理論的根拠に加え、2023年第1四半期における新たなマルウェア、ネットワーク、ランサムウェアの動向、推奨されるセキュリティ戦略、そしてあらゆる規模や業種の企業にとって重要な防御のヒントなどの詳細が記載されています。
レポート全文は以下よりダウンロードできます。
https://www.watchguard.com/wgrd-resource-center/security-report-q1-2023(英語版)
*日本語版は追って掲載する予定です。
【WatchGuard Technologiesについて】
WatchGuard(R)Technologies, Inc.は、統合型サイバーセキュリティにおけるグローバルリーダーです。ウォッチガードのUnified Security Platform(TM)(統合型セキュリティプラットフォーム)は、マネージドサービスプロバイダー向けに独自に設計されており、世界トップクラスのセキュリティを提供することで、ビジネスのスケールとスピード、および運用効率の向上に貢献しています。17,000社を超えるセキュリティのリセラーやサービスプロバイダと提携しており、25万社以上の顧客を保護しています。ウォッチガードの実績豊富な製品とサービスは、ネットワークセキュリティとインテリジェンス、高度なエンドポイント保護、多要素認証、セキュアWi-Fiで構成されています。これらの製品では、包括的なセキュリティ、ナレッジの共有、明快さと制御、運用の整合性、自動化という、セキュリティプラットフォームに不可欠な5つの要素を提供しています。同社はワシントン州シアトルに本社を置き、北米、欧州、アジア太平洋地域、ラテンアメリカにオフィスを構えています。日本法人であるウォッチガード・テクノロジー・ジャパン株式会社は、多彩なパートナーを通じて、国内で拡大する多様なセキュリティニーズに応えるソリューションを提供しています。詳細はhttps://www.watchguard.co.jpをご覧下さい。
さらなる詳細情報、プロモーション活動、最新動向はTwitter(@WatchGuardJapan)、Facebook(@WatchGuard.jp)、をフォローして下さい。また、最新の脅威に関するリアルタイム情報やその対策法はSecplicityJPまでアクセスして下さい。
SecplicityJP: https://www.watchguard.co.jp/security-news
WatchGuardは、WatchGuard Technologies, Inc.の登録商標です。その他の商標は各社に帰属します。
【本プレスリリースに関するお問合せ】
ウォッチガード・テクノロジー・ジャパン株式会社
〒106-0041
東京都港区麻布台1-11-9 BPRプレイス神谷町5階
マーケティング担当
Tel: Fax:
Email:
URL: https://www.watchguard.co.jp