HP 最新のセキュリティレポートを発表 マルウェアの配信形式でアーカイブファイルが増加
日本HPは、最新のグローバル調査「HP Wolf Security:脅威インサイトレポート(2022年第3四半期)」の日本語版を公開したと、12月20日に発表した。今回の調査では、マルウェアを配信するファイル形式としてZIPファイルやRARファイルなどのアーカイブファイル形式が3年ぶりにOfficeファイルを抜いて最も多いことが明らかになった。本レポートは、実際のサイバー攻撃を分析したもので、急速に変化するサイバー犯罪の世界で、犯罪者が検知を逃れてユーザーに侵入するために使用する最新の手法を提示することで組織が後れを取らないように支援する。
HP Wolf Securityを実行している数百万のエンドポイントデバイスのデータを基にした本調査では、マルウェアの44%がアーカイブファイルで配信され、2022年第2四半期と比較して11%増加していたことが明らかになった。Microsoft Word、Excel、PowerPointなどのOfficeファイルを介して配信されたものは32%だった。
レポートでは、アーカイブファイルと新しいHTMLスマグリング(サイバー犯罪者が悪意のあるアーカイブファイルをHTMLファイルに埋め込み、電子メールゲートウェイをバイパスする手法)を組み合わせて攻撃を仕掛けているいくつかのキャンペーンが特定された。
例えば、最近のQakBotやIceIDキャンペーンでは、HTMLファイルを使用して、Adobeになりすました偽のオンラインドキュメントビューアにユーザーを誘導していた。その後、ユーザーはZIPファイルを開いてパスワードを入力してファイルを解凍するよう指示され、その後PCにマルウェアが展開された。
オリジナルのHTMLファイル内のマルウェアはエンコードおよび暗号化されているため、電子メールのゲートウェイやその他のセキュリティツールによる検知は非常に困難である。さらに、攻撃者はソーシャルエンジニアリングの活用も進めており、説得力のある適切に設計されたウェブページを作成して、悪意のあるZIPファイルを開かせて攻撃を開始しようとしている。10月には、同じ攻撃者が偽のGoogleドライブのページを使い、ユーザーをだまして悪意のあるZIPファイルを開かせようとしていたことも明らかになった。
HPはまた、モジュール型の感染チェーンを使用した複雑なキャンペーンを特定した。これにより、攻撃者はキャンペーンの途中でスパイウェア、ランサムウェア、キーロガーなどのペイロードを変更したり、ジオフェンシングなどの新機能を導入できる可能性がある。また、攻撃者は侵入したターゲットに応じて戦術を変更できる可能性がある。ターゲットに送信される添付ファイルにマルウェアを直接含めないことで、電子メールのゲートウェイがこの種の攻撃を検知することも困難になる。
HPのパーソナルシステムズ事業セキュリティ部門グローバル責任者であるDr.イアン・プラット(Ian Pratt)は、「攻撃者は常に技術を切り替えているため、検知ツールによる特定は非常に困難です。きめ細かな隔離というゼロトラストの原則に従うことで、組織はマイクロ仮想化を使用して、リンクのクリックや悪意のある添付ファイルのオープンなどの潜在的にリスクのあるタスクを、基盤となるシステムから隔離された仮想マシンで実行されるようにすることができます。このプロセスはユーザーには見えず、内部に隠されたマルウェアを封じ込めて、攻撃者が機密データにアクセスできないようにし、アクセスを取得してラテラルムーブ(横展開)することを防止します」と述べている。
HP Wolf Securityは、電子メールの添付ファイルを開く、ファイルをダウンロードする、リンクをクリックするといったリスクの高いタスクを、隔離されたマイクロ仮想マシン(Micro-VM)で実行することでユーザーを保護し感染の試みの詳細な痕跡を記録する。HPのアプリケーション隔離技術は、他のセキュリティツールをすり抜ける可能性のある脅威を軽減し、新しい侵入手法と脅威アクターの動きに関する独自の洞察を提供する。HP Wolf Securityは、検知ツールを回避したPC上の脅威を隔離することで、サイバー犯罪者が使用している最新の手法について具体的な洞察を得ている。