「マルウェア駆動型スキャン攻撃」が増加傾向 どのような攻撃手法なのか？：セキュリティニュースアラート

パロアルトネットワークスは「マルウェア駆動型スキャン攻撃」が増加していると伝えた。サイバー攻撃者は感染ホストを使用して従来のスキャン方法を発展させた複雑な攻撃を実行している。

[後藤大地，有限会社オングス]

　パロアルトネットワークスは2024年4月9日、脅威インテリジェンスチーム「Unit 42」が2023年に検出したテレメトリーデータに基づき、「マルウェア駆動型スキャン攻撃」が増加していると発表した。これは従来のマルウェア攻撃と何が異なるのか。

マルウェア駆動型スキャン攻撃は従来の攻撃と何が異なるのか？

　従来のサイバー攻撃は、攻撃者が標的となるホストに対して直接、ポートスキャンや脆弱（ぜいじゃく）性スキャン、OSフィンガープリンティングを実行していた。一方でマルウェア駆動型スキャン攻撃は、サイバー攻撃者に代わって感染したホストからスキャンやエクスプロイトが実行されるという。

　マルウェア駆動型スキャン攻撃において、マルウェアは対象ホストに感染するとC2ドメインにビーコンを送信して指示を求めるようになる。サイバー攻撃者はこの段階でマルウェアに対してスキャンの実行を指示する。指示を受けたマルウェアが他のターゲットに対してスキャンやエクスプロイトを実行するという手順を踏んでいる。

　Unit 42は、2023年にはマルウェア駆動型スキャン攻撃が増加したとして、ZyXEL製モデムのリモートコード実行の脆弱（ぜいじゃく）性を悪用するマルウェア「Mirai」botネットの亜種がこの手法を使って拡散していると指摘した。さらに、脆弱性を修正し、検出システムを更新して新しいMiraiの亜種を識別およびブロックできるようにすることが重要だとしている。

　この他、Unit 42は、テレメトリーに基づいてサイバー攻撃者に最も狙われやすい技術スタックを示した。最も多かったのはルーターで35.2％、これにコラボレーションツールが32.1％、Web開発フレームワークが31.6％と続いた。同チームは「特定のブランドのルーターに限らず全てが攻撃対象になっているとして注意を呼びかけている。