ネットスコープ、2024年1月のサイバー脅威に関する統計を発表同月にダウンロードされたマルウェアの49%がクラウドアプリを配信源

セキュアアクセスサービスエッジ（SASE）のリーディングカンパニーであるNetskope（以下、ネットスコープ）の調査研究部門でありクラウド関連の脅威を中心に独自のリサーチを行うNetskope Threat Labsは、Netskopeプラットフォームで追跡している重大なサイバー脅威について、2024年1月の統計を発表しました。この統計は、世界中の企業ユーザーが直面するアクティブな脅威について、戦略的で実行可能なインテリジェンスを提供することを目的としています。

概要

• OneDriveとSharePointがマルウェアのダウンロードに使用されたクラウドアプリのリストで再び上位にランクインし、これらのアプリをサイバー攻撃者が非常に好んでいることが明らかになりました。

• 攻撃者は、クラウドアプリをマルウェア配信に利用することによる検知回避の試みを続けており、1月にダウンロードされたマルウェア全体のうち49%がクラウドアプリを配信源としていたことがわかりました。178種類のクラウドアプリが対象になっていたことを確認しています。

• 1月、多種多様なマルウェアファミリーが出回りました。情報窃取マルウェア（インフォスティーラー）のAgentTesla、RATのAdWind、先日国際的な法執行機関によるサーバーの閉鎖と関係者の摘発が報じられたランサムウェアグループLockBit（ロックビット）やTrigonaなどのマルウェアファミリーがリスト上位を占めています。

クラウドによるマルウェア配信
攻撃者は、一般的なクラウドアプリを介して悪意あるコンテンツを配信することで、検知を回避しようとします。攻撃者はマルウェアの配信にクラウドアプリを悪用することにより、主にドメインやURLのブロックリストに依存していたり、クラウドトラフィックを検査しないといったセキュリティ制御の回避が可能になります。2024年1月、すべてのHTTP/HTTPSマルウェアのダウンロードのうち49%は、一般的なクラウドアプリから配信されました。過去6カ月にわたり、一般的なクラウドアプリからのマルウェアダウンロードの割合は50%前後で推移しています。

（図1）マルウェアの配信源 – クラウドとウェブ経由のうち、クラウドを経由した割合

1月は数多くのクラウドアプリがマルウェアのダウンロード源となり、その数は178に上りました。

（図2）マルウェアのダウンロード源 – アプリ経由のマルウェアダウンロード数

すでに多くの企業に普及しているクラウドアプリを悪用すれば、攻撃者は企業ユーザーへ攻撃することで非常に大きな利益を得ます。最も知名度の高い企業向けクラウドアプリであるMicrosoft OneDriveは、クラウドからのマルウェアダウンロード数においてまたしてもトップに立ち、6カ月以上にわたり首位となりました。

上位10種のアプリは、2023年後半の6カ月間にわたりランキングに大きな変化はありません。1月に上位にランクインしたアプリには、SharePointのようなホスティングアプリ、Microsoft Live Outlookのようなメールサービス、無料のソフトウェアホスティングサイト（GitHub）などが含まれています。トップ10のリストは、攻撃者の手口、ユーザーの行動、組織のポリシーなどを反映するものとなっています。

上位のマルウェアファミリー – 1月に検出されたうち半分以上は新たな亜種
攻撃者たちは、セキュリティソリューションの回避を目的とし、あるいはマルウェアの性能強化のために、継続的に新しいマルウェアファミリーや既存のマルウェアの亜種を作り出しています。2024年1月、ネットスコープによって検出された全マルウェアダウンロードのうち57%は、新しいマルウェアファミリー、または過去6カ月間で確認されたことのない新たな亜種でした。残りの43%は過去6カ月に観察されたサンプルと同種で、現在も活動しているものです。

以下は、2024年1月にネットスコープがブロックしたマルウェアおよびランサムウェアファミリーの上位リストです。

• バックドア型マルウェア「Zusy」（別名TinyBanker）は、Zeusのソースコードをベースとしたバンキング型トロイの木馬で、ウェブサイトへのコードインジェクションによる個人情報の窃取を目的としています。 詳細 < https://malpedia.caad.fkie.fraunhofer.de/details/win.tinba > 

• ダウンローダー「BanLoad」はJavaベースのダウンローダーで、様々なマルウェア、特にバンキング型トロイの木馬などのペイロードを配信するために広く使用されています。詳細 < https://netskope.atlassian.net/wiki/spaces/RES/pages/3904602811/Malware+Descriptions > 

• インフォスティーラー「AgentTesla」は.NETベースのリモートアクセス型トロイの木馬（RAT）で、ブラウザのパスワード窃取や、キーストロークやクリップボードのキャプチャーなど、多くの機能を備えています。詳細 < https://malpedia.caad.fkie.fraunhofer.de/details/win.agent_tesla > 

• フィッシング「PhishingX」はフィッシングキャンペーンの一部として被害者をフィッシングページに誘導するために利用される悪意あるPDFファイルです。

• ランサムウェア「LockBit 3.0」（別名Black）は、2019年9月に出現し、世界で最も多くの攻撃に関連するRaaSグループのひとつとなっているランサムウェアLockBitの最新バージョンです。詳細 < https://malpedia.caad.fkie.fraunhofer.de/details/win.lockbit > 

• ランサムウェア「Trigona」は2022年頃から活動を開始したランサムウェアで、ブルートフォース（総当たり）攻撃によってMSSQLサーバーを攻撃することで知られています。このマルウェアにはWindows版とLinux版の両方があります。詳細 < https://malpedia.caad.fkie.fraunhofer.de/details/win.trigona > 

• RAT「AdWind」はキー入力のログ、機密情報の収集、他のペイロードのダウンロードや実行など、様々なアクションを実行できるRATです。詳細 < https://malpedia.caad.fkie.fraunhofer.de/details/jar.adwind > 

• トロイの木馬型マルウェア「FormBook」（別名XLoader）は、感染したマシンを完全に制御可能にするマルウェアで、パスワードの窃取や、さらに別種のマルウェアの実行など、多くの機能を提供 < https://www.netskope.com/pt/blog/new-formbook-campaign-delivered-through-phishing-emails > します。詳細 < https://malpedia.caad.fkie.fraunhofer.de/details/win.formbook > 

• トロイの木馬型マルウェア「Razy」は、一般的に正規のソフトウェアを装う悪質な広告を介して配信されるトロイの木馬型マルウェアで、多くの場合、暗号通貨のデータを盗むために使用されます。詳細 < https://malpedia.caad.fkie.fraunhofer.de/details/win.razy > 

• トロイの木馬型マルウェア「Valyria」（別名POWERSTATS）は、悪意あるVBScriptが埋め込まれた悪質なMicrosoft Officeドキュメントのファミリーで、通常は別の悪意あるペイロードの配信に使用されます。詳細 < https://malpedia.caad.fkie.fraunhofer.de/details/ps1.powerstats > 

進化するマルウェアに対抗するために
マルウェアを配信する際、攻撃者は常に、検知を回避し疑いを逃れようと試みてきました。この6カ月間で攻撃者がより多く用いるようになった2つの戦略は、クラウドアプリを悪用してマルウェアを配信する手口、そしてマルウェアをPDFファイルにパッケージ化する手口です。Netskope Threat Labsは、セキュリティ態勢の見直しを通じ、これら2つの手口傾向に対してユーザが適切に保護されていることを確実にすることをお勧めします。

• あらゆるウェブトラフィックとクラウドトラフィックを含むすべてのHTTPおよびHTTPSダウンロードを検査し、マルウェアがネットワークに侵入するのを防ぎましょう。ネットスコープのお客様は、次世代セキュアウェブゲートウェイ（SWG）ですべてのカテゴリーからのダウンロードおよびすべてのファイルタイプに対して適用される脅威対策ポリシーを設定できます。

• ZIPファイルなどの一般的なアーカイブファイルに悪意あるコンテンツが含まれていないかどうか、セキュリティ制御が再帰的にファイルを検査していることを確認しましょう。 ネットスコープの高度な脅威対策は、ISO、TAR、RAR、7Z、そしてZIPを含むアーカイブファイルのコンテンツを再帰的に検査します。

• 実行ファイルやアーカイブのようなリスクの高いファイルタイプは、ダウンロード前に静的解析と動的解析の両方を用いて検査されていることを確認しましょう。ネットスコープの高度な脅威対策をご利用のお客様はペイシェントゼロ・プロテクション・ポリシーを使用して、検査がすべて完了するまでダウンロードを保留できます。

• 業務に必要なアプリとインスタンスのみにリスク領域を絞り込むために、組織で使用されていないアプリからのダウンロードをブロックするポリシーを設定しましょう。

• 新しく登録されたドメインや新しく観測されたドメインからの、すべての危険なファイルタイプのダウンロードをブロックしましょう。

上記の推奨事項に加えて、Remote Browser Isolation（RBI） < https://www.netskope.com/jp/products/remote-browser-isolation > テクノロジーは、「新たに観測されたドメイン（Newly Observed）」や「新たに登録されたドメイン（Newly Registered Domains）」など、よりリスクの高いカテゴリーに分類されるウェブサイトを訪問する必要がある場合に、追加の保護を提供できます。

本レポートについて
ネットスコープは、世界中の何百万ものユーザーに脅威対策とデータ保護を提供しています。本レポートに記載されている情報は、事前に承認をいただいたネットスコープのお客様の一部に関連してNetskope Security Cloudプラットフォームが収集した、匿名化された利用データに基づくものです。本レポートはネットスコープの次世代セキュアウェブゲートウェイ（SWG）によって検出された情報が含まれており、各脅威による影響の重要度は考慮されていません。本レポート内の統計は、2023年6月1日から2024年1月31日までの期間を対象としています。統計は、攻撃者の戦術、ユーザーの行動、組織のポリシーを反映しています。

Netskope Threat Labsについて
業界屈指のクラウド脅威およびマルウェア研究者が在籍するNetskope Threat Labsは、企業に悪影響を及ぼす最新のクラウド脅威に対する発見、分析および防御策の設計を行なっています。クラウドフィッシング、詐欺、マルウェア配信、コマンド＆コントロール、データの抜き出しやデータの暴露など、クラウド関連の脅威に関する独自のリサーチと詳細な分析を用いることで、同ラボは、ネットスコープのお客様を悪意ある脅威アクターから守り、研究、助言、ベストプラクティスを通じてセキュリティの世界的コミュニティに貢献しています。同ラボはシリコンバレーを始めとする世界各地で企業の設立・経営に携わった経験を持つセキュリティ研究者やエンジニアによって率いられており、本社を拠点に世界中に展開しています。同ラボの研究者は、DefCon、BlackHat、RSAなどを含む最も権威あるセキュリティ会議に定期的に参加し、登壇者およびボランティアとして尽力しています。

ネットスコープについて
グローバルなSASEのリーダー企業であるネットスコープは、クラウド、データ、ネットワークセキュリティを再定義することによって、ゼロトラストの原則を適用してデータを保護できるように企業を支援しています。Netskopeプラットフォームは、場所に関わらず、人、デバイス、データに最適なアクセスとリアルタイムのセキュリティを提供します。ネットスコープは、お客様がリスクを軽減し、パフォーマンスを加速させ、あらゆるクラウド、Web、プライベートアプリケーションのアクティビティを比類のない方法で可視化させることをサポートします。フォーチュン100社のうちの25社以上を含む数千社のお客様がネットスコープやその強力なNewEdgeネットワークを利用し、進化しつつある脅威、新しいリスク、テクノロジーの移り変わり、組織やネットワークの変化、新しい規制要件への対処に取り組んでいます。ネットスコープによるお客様のSASE導入サポートについては、netskope.com/jpをご覧ください。

本件に関する報道関係者からのお問い合わせ先
Netskope 広報事務局 （合同会社NEXT PR内）
TEL: 03-4405-9537 FAX: 03-6739-3934
E-mail: netskopePR@next-pr.co.jp