ChromeやOfficeに対する脅威が増加 8割のマルウェアの「共通点」とは

ウォッチガードは「インターネットセキュリティレポート」の2022年第2四半期版を発表した。ウォッチガードによると、前四半期に比べてマルウェア攻撃は減少しているものの、ChromeやOfficeに対する脅威が増加している。また、懸念すべき「戦術の変更点」がみられるという。

[山口哲弘，ITmedia]

　ウォッチガード・テクノロジー・ジャパン（以下、ウォッチガード）は2022年10月7日、「インターネットセキュリティレポート」の2022年第2四半期版を発表した。

　同レポートは同社が四半期ごとに発行しているもので、マルウェアのトップトレンドやネットワークセキュリティの脅威について同社の脅威ラボが分析している。2022年第2四半期版は、マルウェアの検知数が2021年上半期をピークに減少に転じていることや、「Google Chrome」や「Microsoft Office」に対する脅威が増加していることなどが報告されている。

マルウェアの8割にみられる「共通点」

　インターネットセキュリティレポート2022年第2四半期版の主な内容は次の4点だ。

Officeエクスプロイトが最も拡散されているマルウェアカテゴリー

　2022年第2四半期のトップインシデントは、「Follina Officeエクスプロイト」（CVE-2022-30190）だった。「Follina Officeエクスプロイト」は2022年4月に初めて報告されたマルウェアで、同年5月下旬までパッチが適用されなかった。同マルウェアは不正なドキュメントを介して配信され、「Windows Protected View」と「Windows Defender」を回避する。

　ウォッチガードによると、国家を含む攻撃者が同マルウェアを積極的に悪用している。他にも3つのOfficeエクスプロイト（CVE-2018-0802、RTF-ObfsObjDat.Gen、CVE-2017-11882）がドイツとギリシャで広く検知された。

エンドポイントで検知されるマルウェア総数は減少しているが、一部は増加している

　エンドポイントで検知したマルウェア総数は20％減少したのに対し、Webブラウザを悪用するマルウェアは全体で23％増加した。特にChromeを悪用するマルウェアは50％増えた。

　ウォッチガードは、Chromeにおけるマルウェアの検知数が増加した理由として、「ゼロデイエクスプロイトが根強く残っていること」を挙げる。エンドポイントで検知されたうち、スクリプトが87％を占めた。

トップ10のシグネチャがネットワーク攻撃検知数の75％以上を占めている

　2022年第2四半期は、「WEB Directory Traversal-7」や「WEB Directory Traversal-8」といった新しいシグネチャを含め、産業機器やプロセスを制御するICS（Industrial Control System）やSCADA（Supervisory Control And Data Acquisition）のシステムを標的にする攻撃が増加した。ウォッチガードによると、これら2つのシグネチャは非常によく似ているという。前者は2012年に特定のSCADAインタフェースソフトウェアで初めて発見された脆弱（ぜいじゃく）性を悪用している。

「Emotet」が大きくクローズアップされた

　Emotetの感染数は前四半期から減少しているが、依然としてネットワークセキュリティ最大の脅威だ。「XLM.Trojan.abracadabra」（Emotet　botネットを拡散するWin Codeインジェクタ）は、2022年第2四半期に検知されたマルウェアのトップ10と、暗号化されたマルウェアのトップ5に入っている。日本国内でも広く確認された。

　ウォッチガードのCSO（Chief Security Officer）を務めるコリー・ナクレイネー（Corey Nachreiner）氏は「2022年第2四半期のマルウェア攻撃は、過去最高を記録した同年第1四半期から減少したが、検知したマルウェアの81％以上がTLS（Transport Layer Security）暗号化接続を介しており、引き続き懸念すべき増加傾向を示している。これは、攻撃者がより捕捉しにくいマルウェアに依存するように戦術を変化させていることを反映している可能性がある」と述べる。