ウォッチガードの最新セキュリティレポート、「Lumma Stealer」など新たな脅威を追加
ウォッチガード・テクノロジー・ジャパン(ウォッチガード)は11月1日、四半期ごとに発行している「インターネットセキュリティレポート」の最新版(2024年第2四半期)を発表した。今回は、第2四半期にウォッチガードの脅威ラボの研究者たちによって観測されたマルウェア、ネットワークセキュリティー、エンドポイントセキュリティーの脅威に関する主だった傾向の詳細を報告している。 それによると、マルウェア脅威が確認された数量を元にランク付けした上位10件のうち7件が今四半期に新たに追加されたもので、攻撃者がこれらの手法に軸足を移していることを示している。新たに上位にランクインした脅威には、侵害されたシステムから機密データを盗むことを目的とした高度なマルウェア「Lumma Stealer」、そしてスマートデバイスを感染させ、攻撃者が遠隔操作できるボットに変身させる「Mirai Botnet」の亜種、WindowsとAndroidデバイスを標的とし、認証情報の窃取を目的としたマルウェア「LokiBot」などが含まれる。 脅威ラボはまた、Binance Smart Contractsのようなブロックチェーンに悪意のあるPowerShellスクリプトを埋め込む手法「EtherHiding」を採用した攻撃者の新たな事例を観測した。このようなケースでは、悪意のあるスクリプトにリンクする偽のエラーメッセージが侵害されたウェブサイトに表示され、ユーザーに「ブラウザーを更新する」よう促す。ブロックチェーンは変更されることを意図しておらず、理論的にはブロックチェーンが悪意のあるコンテンツを不変的にホストする可能性があるため、ブロックチェーン内の悪意のあるコードは長期的な脅威となる。 最新レポートでは、マルウェアの検知数が全体で24%減少したと報告。この減少は、シグネチャベースの検知数が35%減少したことに起因しており、攻撃者はより回避的なマルウェアに焦点を移しつつある。第2四半期では、ランサムウェア、ゼロデイ脅威、進化するマルウェア脅威を特定する脅威ラボの高度な行動分析エンジンで、回避型マルウェアの検知数が前四半期比で168%増加していることが判明した。 ネットワーク攻撃が24年第1四半期から33%増加。地域別では、アジア太平洋地域が全ネットワーク攻撃検知数の56%を占め、前四半期から2倍以上に増加した。 19年に初めて検知されたNGINXの脆弱性は、前回の四半期では脅威ラボのネットワーク攻撃トップ50に登場しなかったものの、第2四半期では検知数でネットワーク攻撃のトップになった。この脆弱性は、米国、EMEA、APAC全体でネットワーク攻撃の総検知数の29%を占め、約72万4000件の検知数を記録した。 ブラウザーを標的としたエンドポイントマルウェア攻撃の74%は、Google Chrome、Microsoft Edge、Braveを含むChromiumベースのブラウザーを標的としている。 悪意のあるウェブコンテンツを検知するシグネチャ「trojan.html.hidden.1.gen」は、最も広まったマルウェアの亜種として第4位にランクインした。このシグネチャが検知した最も一般的な脅威カテゴリーは、ユーザーのブラウザーから認証情報を収集し、その情報を攻撃者が管理するサーバーに配信するフィッシングキャンペーンだった。興味深いことに、脅威ラボは、ジョージア州のバルドスタ州立大学の学生と教職員を標的としたシグネチャのサンプルを観測した。