パロアルトネットワークスは、「Unit 42 ネットワーク脅威トレンドレポート 2023」を公開した。
同レポートは、同社のNGFW(Next-Generation Firewall)、Cortex Data Lake、Advanced URL Filtering、Advanced WildFireのテレメトリを分析し、最も重要かつ一般的なマルウェア脅威トレンドを明らかにしたものだとしている。
脆弱性の悪用は依然衰える気配がなく、前回調査で明らかになった2021年の約14万回から2022年は約22万回の55%に増加(2021年:14万7,342回、2022年:22万8,345回)。攻撃者は、リモートコード実行(RCE)、メール、危険なウェブサイト、新規登録ドメイン(NRD)、ChatGPT/AI詐欺攻撃、クリプトマイナー攻撃など、既に公表されている脆弱性と公表されていない脆弱性(ゼロディエクスプロイト)の両方を悪用しているという。
主な調査結果は以下のとおり。
66%のマルウェアはPDFにより拡散
電子メールでのマルウェア拡散には、悪意のあるPDFファイルが最も多く使われており、続いて、.exeファイル、.xlsファイルの配信だという。また、検知を回避するため、元々は正当なセキュリティ目的のために設計されたツールを活用したマルウェア攻撃はますます複雑化しているとした。
OT技術を利用する業界を狙ったマルウェアが増加
製造業、公益事業、エネルギー産業において、1組織当たりが経験したマルウェアの平均攻撃回数は、対2021年比で238%増加しているという。
ChatGPT/AI詐欺攻撃の発生
2022年11月から2023年4月にかけて、ChatGPTを模倣しようとするChatGPTに関連するドメインの月間登録件数が910%増加。また、パロアルトネットワークスのAdvanced URL Filteringシステムでは毎日100件以上、ChatGPT関連の悪意あるURLが検出されているとしている。
新規登録ドメイン
攻撃者は検知を回避するために、新規登録ドメイン(NRD)をフィッシング、ソーシャル・エンジニアリング、マルウェアの拡散に利用。新規登録ドメインを使って、アダルトサイト(20.2%)や金融サービス(13.9%)のウェブサイトを訪れる人々を標的にする傾向が強いと思われるとした。
クラウドワークロードデバイスを狙ったLinuxマルウェアが増加
パブリッククラウドインスタンスの90%はLinuxで稼働。攻撃者は、Unix系OSで動作するクラウドワークロードやIoTデバイスで攻撃の機会を狙っているという。Linuxシステムに対する最も一般的な脅威は、ボットネット(47%)、コインマイナー(21%)およびバックドア(11%)だとしている。
クリプトマイナーのトラフィックが増加傾向に
クリプトマイナー(仮想通貨のマイニングをさせるマルウェア)のトラフィックは2022年に倍増。サンプリングされた組織の45%に、クリプトマイニングのトラフィックを含むシグネチャーのトリガー履歴が検出されたという。
トラフィックに含まれる暗号化されたマルウェアは増加の一途
マルウェアのトラフィックの12.91%は、既にSSL暗号化されているとのこと。攻撃者が合法的な企業を模倣した戦術を採用するにつれ、SSL暗号化トラフィックを使用して無害のネットワークトラフィックに紛れ込むマルウェアファミリーは、今後も増加することが予想されるとしている。
【関連記事】
・パロアルトネットワークス、Unit 42に関するサービス拡大へ
・パロアルトネットワークス、OT向け新ソリューションを発表 追加センサー設置なしで導入可能
・パロアルトネットワークス、8月23日よりAWS向け次世代ファイアウォールを日本で提供開始
