ウォッチガード・テクノロジー・ジャパンはこのほど、中堅中小企業(SMB)や分散拠点を持つ大企業を標的とした最新のネットワークセキュリティに関する脅威レポートを発表した。同レポートでは、2016年第4四半期(10月~12月)のネットワークやマルウェアに関する主な動向、サイバーセキュリティの主要なトピックス、WatchGuard Threat Lab(ウォッチガード脅威ラボ)による最新調査の結果などを紹介している。
レポートの調査結果は、ウォッチガードの統合セキュリティアプライアンス「Firebox」からの匿名フィードデータ(Firebox Feed)から収集したデータをまとめたもの。
2016年は、マルウェア「Mirai」によるといったサイバー攻撃、SWIFTの銀行業務への攻撃、米国の大統領選挙に対するロシアの妨害疑惑など、大規模なサイバー犯罪が話題となり、第4四半期も例外ではないとしている。フィッシングメールや悪意のあるWebサイトを踏み台としたランサムウェアなどにより銀行・ヘルスケアの組織が攻撃にさらされ、国家間では高度なサイバー攻撃合戦が繰り広げられているとしいう。
レポートで取り上げられている調査結果のトップ5は「マルウェアの約30%が新種またはゼロデイ攻撃として分類」「再度進化を見せる旧来の脅威」「マルウェアの難読化と配信にJavaScriptを多用」「ほとんどのネットワーク攻撃はWebサービスとブラウザが対象」「最も多いネットワーク攻撃であるWscript.shell Remote Code Executionがドイツのみで発生」となる。
「マルウェアの約30%が新種またはゼロデイ攻撃として分類」については、従来のウイルス対策(AV)ソリューションでマルウェアを検知できなかった結果であり、これはサイバー犯罪におけるマルウェアの再パッケージあるいは変異種の作成(モーフィング)を自動的に行う能力が、AVソリューションの新たなシグニチャに対する対処能力を凌駕していることを意味しているという。最新の検知技術を用いて、プロアクティブにマルウェアを特定できる脅威対策ソリューションがないと、3分の1のマルウェアが見過ごされることになるとしている。
「再度進化を見せる旧来の脅威」に関しては、マクロベースのマルウェアがいまだに流行しており、スピアフィッシングは使い古された攻撃手法だが、悪意のあるマクロが仕込まれている文書が現状でも利用されており、攻撃者はマイクロソフトの新しい文書形式にも対応する傾向にあるという。また、Webサーバを乗っ取るためにPHPシェルなど悪意のあるWebシェルが使用されており、国家規模の攻撃では旧来の攻撃技術に新しい難読化手法が取り入れられている。
「マルウェアの難読化と配信にJavaScriptを多用」に関しては、Fireboxフィードの分析の結果、メールとWebの両方において悪意のあるJavaScriptの利用が増加傾向にあることが判明したという。
「ほとんどのネットワーク攻撃はWebサービスとブラウザが対象」については、攻撃の73%がドライブバイダウンロード攻撃を用いてWebブラウザを標的にしているとしている。
「最も多いネットワーク攻撃であるWscript.shell Remote Code Executionがドイツのみで発生」については、国別で見ると99%の攻撃がドイツを標的にしているという。
そのほか、レポートでは、四半期の主なマルウェアおよび攻撃の傾向、主なセキュリティインシデント、そしてWebやメール攻撃の傾向が記載している。また、WatchGuard Threat Labは「Mirai」によるボットネットの急増に対処するため、IoTデバイスの脆弱性を分析するための調査プロジェクトを立ち上げており、レポートでは無線LANカメラ、フィットネスアクセサリ、およびネット接続が可能なデバイスに関する調査結果も報告されている。