ネットスコープ、2023年6月の脅威動向を公開。クラウドを介したマルウェア配信が定着。
米国セキュリティ系スタートアップ、ネットスコープ社の脅威研究所は2023年の6月の脅威動向レポートを公開しました。同社の脅威レポートは主に企業のクラウドサービス利用における脅威に注力しています。
このデータは事前に許可を取得した、ネットスコープ利用企業の匿名化された実際の使用状況に基づいています。
■クラウドを介したマルウェアの配信状況
企業におけるクラウド利用が進む中でクラウドはマルウェアの配信経路の一つとして、その地位を確立しています。
サイバー攻撃者がクラウドをマルウェアの配信経路に利用する理由として同レポートでは、ドメインブロックリストやURL フィルタリングに依存するセキュリティ制御を迂回可能であること、一方でクラウドトラフィックの検査まで実施している企業は少なく、サイバー攻撃を仕掛けやすい点を挙げています。
クラウドとWebサイト経由のどちら経由でのマルウェア配信が多いか?を比較した結果では、マルウェアが約6割を占めており、クラウドサービスがマルウェア配信の主要なチャネルとしての地位を確立していることが読み取れます。
■OneDriveが最も悪用されている
マルウェアの配信経路としてサイバー攻撃者から最も人気があるのは、マイクロソフト社のOneDriveです。
クラウドサービス単独での調査では、OneDriveは六ヶ月以上に渡ってトップの座を維持しています。
次に注目に値する動向として、無料で利用可能なクラウドサービスが悪用される傾向にある点です。無料の Web ホスティング サービスである、SquarespaceやWeebly、無料のソフトウェア ホスティング サイトGitHubが上位にランクインしています。
これらの無料で利用可能なクラウドサービスはサイバー攻撃者にとって、正規のサービスであるためドメインブロックリストやURL フィルタリングのサービスを回避可能である利点があると考えられます。
■マルウェアの配信に悪用されるファイル種別
次にマルウェアの配信に悪用されているファイル種別を見てみましょう。最も悪用された傾向にあるのはWindowsの実行可能ファイルであるEXE/DLLがトップとなりました。
次にPDF ファイル、三位がZIPファイルといった順となっています。
■検出された上位のマルウェアファミリ
最後に検出されたマルウェアファミリについて見てみましょう。同レポートによれば、2023年6月にネットスコープによって検出されたマルウェアの55%は、過去 6か月間観察されていなかった新しいマルウェアファミリーまたは新しい亜種だったとのことです。
サイバー攻撃者はセキュリティソリューションをバイパスするため、またはマルウェアの機能を更新するために、絶え間なく新種や亜種を開発し続けているようだと同レポートでは述べています。
2023年6月にネットスコープによってブロックされた上位のマルウェアおよびランサムウェアファミリの一部を以下に示します。
・Adware.Bundlore (別名 SurfBuyer) は、Flash プレーヤー インストーラー、隠しスクリプト、ブラウザ プラグインなど、さまざまな形で流通している OSX アドウェア インストーラーです。
・Adware.Pirrit は、2016 年から存在し、現在も流通し続けている OSX 用のアドウェア インストーラーです。
・Backdoor.Zusy (別名 TinyBanker) は、Zeus のソース コードをベースにしたバンキング型トロイの木馬で、Web サイトへのコード インジェクションを通じて個人情報を盗むことを目的としています。
・Infostealer.AgentTesla は、ブラウザのパスワードの盗用、キーストローク、クリップボードのキャプチャなど、多くの機能を備えた .NET ベースのリモート アクセス トロイの木馬です。
・Infostealer.Lazagne は、感染したデバイスからパスワードを盗むためのハッキング ツールとして使用できるパスワード回復ツールです。
・Phishing.PhishingX は、被害者をフィッシング ページにリダイレクトするフィッシング キャンペーンの一環として使用される悪意のある PDF ファイルです。
・Ransomware.Akira は2023 年 3 月に初めて出現し、2023 年 6 月にアバストによってリリースされたユニバーサル復号ツールを備えています。
・Trojan.AmsiBypass は、Windows マルウェア対策スキャン インターフェイス (AMSI) をバイパスしようとする悪意のある PowerShell スクリプトです。
・Trojan.Valyria (別名 POWERSTATS) は、悪意のある Microsoft Office ドキュメントのファミリーであり、通常は他の悪意のあるペイロードを配信するための悪意のある VBScript が組み込まれています。
・Trojan.Razyは、通常、正規のソフトウェアを装った悪意のある広告を介して配布されるトロイの木馬で、暗号通貨データを盗むためによく使用されます。
■推奨事項
過去6か月間の傾向から、サイバー攻撃者が使用している2つの戦略は、クラウドアプリを悪用したマルウェアの配布と、マルウェアをアーカイブファイルにパッケージ化することです。
これらの傾向から読み取れる防御手段として同レポートでは以下の防御施策を推奨しています。
・非公認アプリのダウンロードをブロック
組織内で使用されていないアプリからのダウンロードをブロックするポリシーを構成して、ビジネスに必要なアプリとインスタンスのみに利用を限定することでリスクを軽減します。
・未分類サイトからの保護
新しく登録されたドメインおよび新しく監視されたドメインからのすべての危険なファイルタイプのダウンロードをブロックします。
※リモートブラウザ分離 (RBI)を利用すると、新しく観察されたドメインや新しく登録されたドメインなど、リスクが高いカテゴリに分類されるWebサイトにアクセスする必要がある場合に保護を提供可能です。
・HTTP/HTTPSの検査
全てのWebトラフィックとクラウドトラフィックを含む、全てのHTTPおよびHTTPSによるダウンロードを検査し、マルウェアがネットワークに侵入するのを防ぎます。
※ネットスコープのNG-SWG利用ユーザである場合には、全カテゴリからのダウンロードと全ファイルタイプに脅威保護ポリシーを適用することで保護可能です。
・圧縮ファイルの検査
ZIPファイルなどのアーカイブファイルの内容を再帰的に検査して、悪意のあるコンテンツが含まれていないか検査します。
※ネットスコープ Advanced Threat Protection を利用すると、 ISO、TAR、RAR、7Z、ZIP などのアーカイブのコンテンツを再帰的に検査可能です。
・実行可能ファイルの検査
実行可能ファイルやアーカイブなどのハイリスクのファイルタイプは、ダウンロード前に静的分析と動的分析を組み合わせて検査します。
※ネットスコープ Advanced Threat Protectionの顧客は、Patient Zero Prevention ポリシーを使用して、完全な検査が完了するまでダウンロードを保留することが可能です。