ニュース

「日本へのサイバー攻撃の検出数が3年連続で世界1位」、ESETが2023年上半期の脅威レポート公開

ESET Security Awareness Specialistのオンドレイ・クボヴィッチ(Ondrej Kubovi)氏

 イーセットジャパンは、「ESET脅威レポート 2023年上半期版(2022年12月~2023年5月)」を公開し、これをもとに脅威動向について説明するとともに、2023年6月~8月の最新の脅威状況を説明した。同レポートは、ESETのグローバルテレメトリ(監視チーム)のデータに基づいてまとめられている。

 ESETのオンドレイ・クボヴィッチ氏(Security Awareness Specialist)は、「日本へのサイバー攻撃の検出数が、3年連続で世界1位になっている」とした。同氏の分析によると、ESETの顧客ベースが日本で多く、日本から多くのデータを収集している点に加えて、Emotetを悪用し、日本を標的に攻撃するグループが存在していることが、その理由だという。

 全世界におけるサイバー攻撃は減少傾向にあり、ウクライナ侵攻にあわせて急増した攻撃数は、それ以前の状況にまで戻りつつあるという。日本でも、検出数は2%減とわずかに減少しているとした。

国内検出数上位を占める「HTML/Phishing.Agent」「DOC/Fraud」とは

 今回のレポートをもとに、日本においては「HTML/Phishing.Agent」と「DOC/Fraud」による攻撃が増加していることを、クボヴィッチ氏は指摘した。

日本におけるマルウェア検出トップ10

 「HTML/Phishing.Agent」は、添付ファイルやリンクを開くと、「24時間以内にパスワードを解除した後、引き続きパスワードを使用するか、新しいパスワードを設定してください」などの文言で、認証情報を入力するように指示し、パスワードなどを盗む仕組みだ。

 日本での検出数は、前期に比べて27%増になっているという。「日本市場に特化したものとしては、ビジネスWebメールであるActive! mailを使用し、フェイクサイトに誘導して、ログイン情報を窃取する例が見られた」と、クボヴィッチ氏は説明した。

HTML/Phishing.Agentのイメージ

 「DOC/Fraud」は、性的恐喝による攻撃であり、日本での検出数全体の28.6%を占めて2位。前期比233%増と、この半年間で急増しているという。

 利用者のPCがマルウェアに感染し、それにより、アダルトコンテンツを視聴している様子を録画していると通達。身代金を支払わないと録画したものをインターネット上に掲示したり、友人や家族に送信したりすると恐喝する内容になっている。

 同様に詐欺を行うものとして「HTML/Fraud」があり、日本では、2023年7月24日に、突出した検出数になっていることが分かった。

 英国の老婆の遺産を日本の慈善団体に寄付したい、といった内容のメールが届き、返信のやりとりをすることで、個人情報が漏えいしてしまうというものだ。「英文で書かれているが、単語に間違いがなく、分かりやすい文法で書かれている。AIで生成したテキストを利用しているのではないかと推測される」と、クボヴィッチ氏は特徴を説明した。

DOC/Fraudのイメージ
HTML/Fraudのイメージ

情報摂取型マルウェアも日本で増加中

 また、情報窃取型の「MSIL/TrojanDownloader.Agent」や、MaaS(Malware as a Service)と言われる「MSIL/Spy.AgentTesla」が、日本市場において増加していることも指摘した。

日本における情報摂取型マルウェアの検出数トップ10

 2022年下期に初めて検出された情報窃取型マルウェアである「RedLine Stealer」は、Windows 11へのアップデートのメッセージを装ったり、正規のゲームアプリやモバイルアプリに見えるかたちで配布されたり、Google Adsの広告として送られたりすることがある。これらの手段によって、個人情報などを窃取する。

RedLineはさまざまな手段を通じた配布が確認されている

 RadLineによる攻撃について、クボヴィッチ氏は「攻撃者は、月150~200ドルを支払うとRedLineを使用するためのコントロールパネルを利用でき、スキルがなくても攻撃管理をしたり、キャンペーンを展開したりといったことができるようになる」と説明した。

 ESETでは、コントロールパネルとバックエンドシステムを結ぶリンクを発見し、これを妨害した。ロシアとドイツ、オランダで、全体の20%を占めるRedLineのコントロールパネルがホスティングされており、これらをテイクダウンすることができた。

 しかし、同氏は「妨害して以降、検出数は減少しているものの、RedLineが終焉したとはいえない」とする。また、情報窃取型マルウェアは、クリスマスなどに活発化する可能性がある。「情報窃取型マルウェアの上期の検出数は、日本では17%減、グローバルでは11%減だが、年末に向けて活発化することが予想される」とも指摘した。なお、日本ではRedLineの検出数は比較的少ないという。

ReaLineの動作の概要、攻撃者や被害者の関係性

日本でのランサムウェア検出数、上期に32%増加

 「Emotet」については、Officeアプリケーションのマクロを利用する代わりに、Microsoft OneNoteのスクリプトやファイルを直接埋め込む機能を利用するケースが増加した。しかし、マイクロソフトがデフォルト設定を変更したことから、被害は広がらなかったという。

 「Emotetは、つい最近まで、世界で最も悪質なツールとされてきたが、その影響は着実に小さくなってきている。背景には、Emotetの攻撃基盤のテイクダウンが増加しているため、攻撃がしにくくなったことが挙げられる。VBAマクロの無効化や、パスワード付きZIPファイルの廃止が増加していることも影響している。3月にキャンペーンが見られたが、小規模なものに留まっている。全世界で見ても、Emotetの検出数は、半年で95%も減少している」と、クボヴィッチ氏は語った。

Emotetの検出数の増減

 ランサムウェアに関しては、2023年2月に検出が増加しているが、これは米国大手企業への攻撃が発生したことが要因であり、全体的には増えているわけではないとした。

 だが、日本においては、上期に32%も増加しているという。2022年12月に、大企業を狙った「BlackMatter」と呼ばれる亜種による攻撃が発生したこと、2023年2月にも古いランサムウェアの亜種による攻撃があったことが背景にあるという。また、日本では、「CryptoWall」や「Locky」「GandCrab」といったランサムウェアの比率が高い。

 クボヴィッチ氏は、「これらの古いランサムウェアの亜種が検出されているということは、システムがクリーンになっていなかったり、パッチが当てられていないことの証明である」と、警鐘を鳴らした。

 また、「WannaCry」については、「ランサムウェアの検出数ではずっと1位だったが、日本ではトップ10のなかにも入っていない。日本は、WannaCryの攻撃対象となるようなレガシーシステムから移行が完了していたり、適切なパッチを適用していることが要因だといえる」と語った。

グローバルと日本におけるランサムウェア検出数の増減の比較

Microsoft SQLのパスワード推測攻撃が急増、Log4Shellの攻撃は継続

 Microsoft SQLのパスワード推測攻撃が、上期には85%増と急増しているとの言及もあった。

 「SQL Serverには、さまざまな情報が格納されており、そこを狙う攻撃が増加している。だが、リモートワークの広がりとともに、増加したRDP(Remote Desktop Protocol)への攻撃は、上期には12%減となっている」と、クボヴィッチ氏は状況を説明した。

 また、日本では反対の傾向が見られている点も指摘した。「日本では、SQL Serverへの攻撃は11%減であるのに対して、RDPへの攻撃は2%増と逆の動きが見られている。日本では、SQL Serverの利用が少ないこと、日本におけるRDPへの攻撃の成功率が高いことが背景にある」と分析している。

 このほか、Apache Log4jの脆弱性であるLog4Shellを悪用した攻撃が継続しており、「2021年12月にパッチがリリースされたが、いまだに脆弱性を悪用する攻撃が増加しており、全世界では15%増となっている」と指摘。「北朝鮮のグループが、韓国や米国の医療システムに対して、Log4Shellを突いた攻撃を仕掛ける可能性があるとの警告が出ている。日本においてもLog4Shellの脆弱性を悪用した攻撃はしばらく続くだろう」と警告した。

Log4Shellを悪用した攻撃が増加

 ESETは、1987年に創業したセキュリティベンダーで、スロバキアに本社を置く。世界23カ国に拠点を置き、世界200カ国で、個人向けおよび法人向けセキュリティ製品を販売。研究開発センターを世界13拠点に設置し、研究開発投資額は2016年に比べて2倍になっている。Google Playストアを保護するためのGoogle App Defense Allianceの創設メンバーの1社となっている。

 日本では、2003年からキヤノンITソリューションズが取り扱いを開始し、2018年にイーセットジャパンを設立。キヤノンマーケティングジャパンが国内総販売代理店として展開している。