ウォッチガード、最新のセキュリティレポートで 著名なコンテンツデリバリネットワークを活用したマルウェアを報告
2019年9月27日(金)
ウォッチガード・テクノロジー・ジャパン株式会社
ウォッチガード、最新のセキュリティレポートで著名なコンテンツデリバリネットワークを活用したマルウェアを報告
Kali Linuxモジュールがマルウェアトップ10リストに入り、対前年比でマルウェアの総数が大幅に増加
2019年9月27日(金)-企業向け統合型セキュリティプラットフォームのグローバルリーダであるWatchGuard(R)Technologiesの日本法人、ウォッチガード・テクノロジー・ジャパン株式会社(本社:東京都港区、代表執行役員社長 谷口 忠彦、以下ウォッチガード)は、四半期毎に発行している「インターネットセキュリティレポート」の最新版(2019年第2四半期)を発表しました。今回のレポートでは、攻撃者がマルウェアのホスティングとフィッシング攻撃に利用する最も一般的なドメインを初めて公開し、ランク付けしています。また、よく利用される正規サイトのサブドメインやCloudFlare.net、SharePoint、Amazonaws.comなどのコンテンツデリバリネットワーク(CDN)も紹介しています。その他レポートでは著名なKali Linuxのペネトレーションテストツールのモジュールがマルウェアリストのトップ10に初めてランクインし、マルウェアの総数が対前年比で64%増加したことが挙げられています。
ウォッチガードのCTO、Corey Nachreiner(コリー・ナクライナー)は以下のように説明しています。「今回のインターネットセキュリティレポートでは、マルウェアまたはフィッシングメールを正規のコンテンツホストドメインに隠し、ネットワークに忍び込ませるためにハッカーが使う手法に関する重要な詳細が報告されています。幸いにもこうした攻撃を防御するための方法がいくつかあります。例えば、DNSレベルのフィルタリングにより既知の不正なWebサイトへの接続を防御する方法、高度なアンチマルウェアサービス、詐取されたID情報を活用した攻撃を防止する多要素認証、またはフィッシングメール対策のための従業員のトレーニングなどがあります。1つの方法で全ての攻撃を防ぐことは不可能であり、組織が身を守る最善の方法は多層防御のセキュリティサービスを提供する統合型セキュリティプラットフォームを導入することです。」
ウォッチガードのインターネットセキュリティレポートには、著名なセキュリティ脅威に関する実データ、主要なセキュリティインシデントの詳細分析、そしてあらゆる規模の組織のビジネスおよび顧客データを保護する上で役立つベストプラクティスが盛り込まれています。以下に2019年第2四半期の主な調査結果を紹介します:
- ホストコンテインメント(封じ込め)とレスポンスの自動化:ThreatSyncでは感染したホストマシンを迅速に封じ込め、他のビジネスネットワークから遮断します。脅威が特定されると、ホストコンテインメントは感染が拡散する前に自動的に制御します。封じ込めがなされるとThreatSyncは自動的にプロセスを遮断し、不正ファイルを隔離し、関連するレジストリキーを削除することにより、マルウェアを排除します。
- マルウェアやフィッシング攻撃に正規ドメインを悪用:ウォッチガードのDNSWatchサービスは、既知の不正ドメインへの接続をDNSレベルで封じ、リダイレクトします。DNSWatchによって防御された著名な不正ドメインを追跡することにより、ウォッチガードではマルウェアやフィッシングメールをホスティングする主なドメインを特定することができます。注目すべきはこれらのドメインには、CloudFront.net(Amazon)などの正規のCDNのサブドメインやmy[.]mixtape[.]moe.といった正規のファイル共有Webサイトが含まれていることです。こうした攻撃手法は目新しいものではありませんが、ウォッチガードの調査ではこれらの攻撃に利用されている特定のドメインを明らかにしています。
- マルウェアの総数が対前年比で増加:世界各地のウォッチガードのFireboxが検知したマルウェアの総数が昨年と比較して大幅に増加しました。2019年第2四半期では、ウォッチガードの3つのマルウェア検知サービスのうち2つが2018年第2四半期と比較して増加が見られました。対前年比ではマルウェアが64%増加しており、サービスの1つが58%以上、もう1つが68%以上の攻撃を防御しました。
- フィッシングが拡散し、Officeエクスプロイトマルウェアが増加:2018年第4四半期と2019年第1四半期に最も拡散したマルウェアリストに登場した2種類のマルウェア(偽の感染情報により被害者を恐喝するフィッシング攻撃とMicrosoft Officeエクスプロイト)がその量においてトップテンリストにランクインしました。このことは、こうしたキャンペーンが増加しており、広範なターゲットに対して大量の攻撃を仕掛けていることを示唆しています。ユーザは定期的にOfficeをアップデートし、アンチフィッシングやDNSフィルタリングのセキュリティソリューションを導入するべきです。
- ネットワーク攻撃にSQLインジェクションが多発:SQLインジェクションが2019年第二四半期で検知された全てのネットワーク攻撃の34%を占め、対前年比で大幅に増加しました(1つの特定の攻撃が2018年第2四半期と2019年第2四半期を比較して29,000%増加)。SQLデータベースあるいはWebサーバを保守している場合、定期的にシステムにパッチを当て、Webアプリケーションファイアウォールを導入するべきです。
- ヨーロッパとAPACでマルウェアが増加:2019年第2四半期では、マルウェアの約37%がEMEA地域を標的にしており、英国、イタリア、ドイツ、モーリシャスへの攻撃が集中しました。次にAPACが全マルウェア攻撃の36%を占めました。APAC地域では特にRazyおよびTrojan.Phishing.MHマルウェアの亜種が多く、Trojan.Phishing.MHの11%が日本で検知されました。
ウォッチガードのインターネットセキュリティレポートの調査結果は、脅威ラボの調査活動をサポートするためのデータ共有に賛同いただいている、稼働中のウォッチガードUTMアプライアンスオーナーによる匿名のFireboxデータに基づいています。今日、世界中の41,229台のアプライアンスがインターネットセキュリティレポートのデータに貢献しています。今期これらのアプライアンスは22,619,836件のマルウェア亜種を防御し(1デバイス当たり549件)、また2,265,425件のネットワーク攻撃を防御しており(1デバイス当たり60件)、ネットワーク攻撃の総量は過去の傾向とは反対に2019年第1四半期と比較して大幅に増加しています。
本レポートの全編では、2019年第2四半期で最も影響のあったマルウェアやネットワーク攻撃の傾向に関する詳細な統計データ、および2019年5月にボルチモアの都市を麻痺状態に追い込んだRobbinHoodランサムウェア攻撃(被害総額約1,700万ドル)の分析、並びに読者や組織の安全を守る上で役立つベストプラクティスが掲載されています。
MSP Sodinokibiランサムウェア攻撃に関する分析
またレポートでは、Sodinokibi MSPランサムウェア攻撃で使用された実際のマルウェアに関する詳細分析も掲載しています。ウォッチガードの脅威ラボの調査では、攻撃者が盗難あるいは漏えいさせた脆弱なID情報を活用して管理者権限を取得し、MSPがクライアントのネットワークの監視と管理に利用する正規の管理ツールに不正にアクセスし、セキュリティコントロールを無効にしたところで、PowerShell経由でSodinokibiランサムウェア攻撃を仕掛けたことを突き止めています。
レポート全文は以下よりダウンロードできます。
https://www.watchguard.com/wgrd-resource-center/security-report-q2-2019
(英語)*日本語レポートは後日公開予定。
【WatchGuard Technologiesについて】
WatchGuard(R)Technologiesは、ネットワークセキュリティ、セキュアWi-Fi、多要素認証、そしてネットワークインテリジェントを提供するグローバルリーダとして、全世界で約10,000社の販売パートナーとサービスプロバイダより80,000社以上の企業にエンタープライズクラスのセキュリティ製品とサービスを提供しています。ウォッチガードのミッションは、中堅・中小企業や分散型企業を含むすべての企業がエンタープライズレベルのセキュリティをシンプルに利用できるようにすることです。本社を米国ワシントン州シアトルに置き、北米、ヨーロッパ、アジア太平洋地区、中南米に支社を展開しています。日本法人であるウォッチガード・テクノロジー・ジャパン株式会社は、数多くのパートナーを通じて、国内で拡大する多様なセキュリティニーズへのソリューションを提供しています。詳細はhttps://www.watchguard.co.jpをご覧下さい。
さらなる詳細情報、プロモーション活動、最新動向はTwitter(@WatchGuardJapan)、
Facebook(@WatchGuard.jp)、をフォローして下さい。また、最新の脅威に関するリアルタイム情報やその対策法はSecplicityJPまでアクセスして下さい。
SecplicityJP: https://www.watchguard.co.jp/security-news
※WatchGuardは、WatchGuard Technologies, Inc.の登録商標です。その他の商標は各社に帰属します。