2018/11/26

2019 年セキュリティ予測 – 自己増殖型ファイルレス「vaporworms」攻撃

2018 年 11 月 26 日 編集部記事

2019年には、脆弱なシステムを介して自己増殖するワームのような性質を持つ新種のファイルレスマルウェア「vaporworms」が台頭することになるでしょう。

何十万台もの脆弱なMicrosoft IIS Webサーバから拡散した、15年以上も前の初期のファイルレスワームの1つであるCode Redコンピュータワームの登場以来、ワームとファイルレスマルウェアはどちらも世界中の多くのネットワークに大きな影響を与えてきましたが、この両方が1つの攻撃で同時に使われた例はほとんどありません。

感染システムにファイルを残すことなく、メモリ内でのみ動作するファイルレスマルウェアが増加し、主流になりつつあります。高度な攻撃者がこの方法を好むのは、スキャンの対象になる不正ファイルが存在しないことから、従来型のエンドポイントアンチウイルスによる制御でのファイルレスの脅威の検知とブロックが困難であるためです。その結果、感染の確率は高くなります。このような状況に、パッチが適用されずに動作するシステムと脆弱なソフトウェアの存在が加われば、ワームを拡散させる絶好の機会を攻撃者に与えることになります。

昨年は、Shadow Brokersと呼ばれるハッカー集団によるMicrosoft Windowsの複数のゼロデイ脆弱性の公開が発端となり、大きな被害へと発展することになりました。攻撃者はわずか1ヶ月でこれらの脆弱性をランサムウェアに追加し、過去最大の被害をもたらしたサイバー攻撃の2つである、WannaCryとNotPetyaを完成させました。Windowsの新しいゼロデイ脆弱性がワームの増殖に悪用された例はこれが初めてではなく、もちろん、これで終わりでもないでしょう。2019年には、脆弱性を悪用して自己増殖するファイルレスマルウェア「vaporworms」が登場することになるでしょう。

しかしながら、ウォッチガードの IPS(不正侵入防止ソリューション)などの UTM サービスであれば、脆弱性のエクスプロイトの試行を検知してブロックし、感染が拡大するのを防ぐことができます。また、ゼロデイや検知されないエクスプロイトが発生した場合は、ウォッチガードの TDR(Threat Detection and Response)サービスを利用することで、このような不審な行動を検知し、実行を停止するようにできます。

2019 年に新たに登場するこれ以外の脅威やセキュリティ動向を今すぐ知りたい方は、ウォッチガードの 2019 年セキュリティ予測の特設ページをご覧ください。