2020年上半期は「新型コロナウイルスの影響が色濃い半期」に
寺下氏は、2020年上半期は新型コロナウイルス感染症の影響がサイバー攻撃にも大きく現れたとした。レポートでも大きく取り上げており、たとえば3月から新型コロナウイルス関連のGoogle検索が急増したが、それを追うように新型コロナウイルスをテーマにした悪意のあるURL数も増加しており、サイバー犯罪者が流行に対して敏感に反応していることがわかる。
新型コロナウイルスをテーマとした悪意あるURL数
[クリックすると拡大]
フォーティネットのブログをみても、3月18日には受信者の地域で新型コロナウイルス感染者を伝える偽の通知メールを確認しており、4月13日には新型コロナウイルスに便乗した標的型攻撃で情報を窃取するマルウェアを確認。
8月21日には偽の政府の景気刺激策や支払い遅延通知をメール送信するケースを確認している。新型コロナウイルス関連のサイバー攻撃には、まだまだ注意が必要であるとした。
マルウェアはテレワークでのブラウザ利用を標的に
マルウェア検知のトレンドについては、同期間で検知数の多かったマルウェアのカテゴリーでは、1月、2月はHTML経由でフィッシングを行う「HTML/Phishing」が上位であったが、3月以降は脆弱性を悪用するものやインジェクタ、JavaScriptなどが上位となっている。いずれもウェブベースのマルウェアであることが特徴だ。
[クリックすると拡大]
ウェブベースのマルウェアは、感染のためのファイル実行の敷居が低く、難読化が容易でウイルス対策ソフトの検知を回避できる可能性が高いことなどが、好んで使用される一因であると寺下氏。また同氏は、テレワークでオフィス外からのアクセス、つまり企業のセキュリティを経由しないウェブアクセスが狙われていると指摘した。
4月以降で検知数のトップとなった「CVE-2017-11882」は、Microsoft Officeの脆弱性を狙うマルウェアである。感染するとバックドアを仕込まれたり、任意のコードを実行したりすることが可能になるため、米国保健福祉省から新型コロナウイルスへの警告を騙ったマルウェアメールで使われるなど、犯罪者グループも好んで使っているという。2017年に公表されており、修正パッチも提供されている。寺下氏はこれに限らず、脆弱性は可能な限り早期のパッチ適用が非常に重要であるとした。
マルウェア検知のトレンドを業界別にみると、検知されるマルウェアが業界ごとに異なる傾向があると寺下氏は指摘する。たとえば、航空・防衛では情報を盗み出すバックドア「W32/DarkMoon」が多く検知されており、教育機関では不正な広告を表示し他のマルウェアをダウンロードすることもあるアドウェア「Adware/Bundlore」が多く検知されているといった具合だ。
[クリックすると拡大]
