ネットスコープ、小売業界を標的とするIoTボットネットとインフォスティーラーに関する新たな調査結果を発表

セキュアアクセスサービスエッジ（SASE）のリーディングカンパニーであるNetskope（以下、ネットスコープ）の調査研究部門であるNetskope Threat Labsは、小売業におけるクラウドの脅威に焦点を当てた、最新の調査レポートを発表しました。本レポートでは、過去1年間に小売業を標的とする攻撃者によって展開された主要なマルウェアファミリーは、IoTボットネット、リモートアクセスツールおよびインフォスティーラー（情報窃取型マルウェア）であることが明らかになりました。また、小売業で主流のアプリケーションが、この1年でGoogle CloudベースのアプリケーションからOutlookなどのMicrosoftアプリへと移行したことも明らかになっています。

主要な調査結果は以下の通りです。

• 小売業を狙う攻撃にインフォスティーラーを使用：攻撃者が組織や顧客から支払い情報などの重要なデータの窃取を試みることから、インフォスティーラーは小売業界に対する攻撃において主要なマルウェアファミリーとなっています。

  • また、攻撃者が収集した認証情報や個人の財務情報を販売していることにより、インフォスティーラーはより広範なサイバー犯罪のエコシステムの供給源となっています。

• ボットネットとトロイの木馬がネットワークデバイスを標的に：Miraiボットネットファミリーは、ルーター、カメラ、小売業の環境におけるその他のIoTデバイスなど、Linuxを実行する脆弱なネットワークデバイスを標的にする攻撃でより多く確認されています。

  • IoTデバイスはセキュリティリスクとして見過ごされがちであるものの、サイバー犯罪の補助となる視覚情報やセンサー情報を得るために有効であり、さらに他のターゲットに対するDDoS攻撃に悪用されることもあります。

  • 同様に、ブラウザやリモートカメラにアクセスし、攻撃者への情報送信やコマンド受信を可能にするリモートアクセス型トロイの木馬（RAT）も多く用いられました。

  • Miraiマルウェアのソースコード流出以来、その亜種は大幅に増加しており、複数の脆弱なエンドポイントを持つセクターである小売業界にとってリスクとなっています。

• Microsoftアプリを介した攻撃の増加： 昨年のレポートではGoogleアプリケーションは他の業界に比べ小売業界においてはるかに高い人気を示していましたが、この1年で見られたのはMicrosoftの人気の復活でした。この傾向は特にストレージサービスについて顕著で、OneDriveとGoogleドライブの差はこの1年で広がっています。ユーザー比率の平均はOneDriveが43%から51%に増加した一方で、Googleドライブが34%から23%に減少しています。同様の傾向はメールアプリでも見られ、Outlook（21%）がGmail（13%）に代わり最も人気のあるメールアプリとなっています。

  • Microsoft OneDriveは、小売業を含むあらゆるセクターにおいて、マルウェア配信に最も多く用いられるクラウドアプリケーションとなっています。攻撃者はOneDriveに対するユーザーの信頼と親しみを利用する手法に傾倒しており、それによってユーザーがリンクをクリックしマルウェアをダウンロードする可能性を高めています。

  • 小売業では、Outlookによる攻撃が他のセクターより成功しており、小売業界におけるOutlookを介したマルウェアダウンロード件数（10%）は、他業界における平均（5%）の2倍となっています。

• 小売業におけるWhatsApp人気：WhatsAppの利用率およびダウンロード率の平均を見てみると、小売業（14%）では他業界（5.8%）と比べて約3倍近い人気となっています。しかし、現在WhatsAppは、マルウェアのダウンロードに使われるアプリの上位リストには挙がっていません。この状況は、脅威アクターがWhatsAppの人気について、WhatsApp経由でより多くの攻撃を仕掛ける経済的根拠が認められると見なし始めていることから、変化する可能性があります。

  • X（12%）、Facebook（10%）、Instagram（アップロード数の1.5%）などのソーシャルメディアアプリケーションは、いずれも小売業において他の業界での平均よりも人気があります。 

この調査結果について、ネットスコープのサイバーインテリジェンスプリンシパルであるパオロ・パッセリ（Paoro Passeri）は次のように述べています。

「小売業界がいまだMiraiのようなボットネットのターゲットとなっていることは、驚くべきことです。これは、攻撃者が小売店舗全体に配備された脆弱性や設定ミスのあるIoTデバイスを侵害し、それを悪用して分散型サービス拒否（DDoS）攻撃の効果を劇的に増加させようとしていることによります。Miraiは特に新しい脅威ではなく、2016年の発見以来、現在では複数の亜種が使用されています。攻撃者がIoTデバイスをターゲットにするためにこのボットネットを使い続けているという事実は、あまりにも多くの組織が、インターネットに接続されたデバイスのセキュリティ態勢を危険なことに見過ごし続けているということを示しています。これは、IoTボットネットから発信される攻撃のターゲットだけでなく、IoTデバイスをボットネットの配下として利用されている組織にとってもまた、重大なリスクとなっています。なぜならIoTデバイスの悪用は、ビジネス機能に影響を与えかねない業務の停止を容易に招くためです」

「この脆弱性は、認証情報や顧客の財務データを抜き取るインフォスティーラー、そしてリモートアクセスマルウェアの使用と相まって、小売業を攻撃者にとって大きな利益をもたらし得る潜在的ターゲットにしています」

「特に興味を引かれたのは、2023年8月末にFBIによって制圧されたにもかかわらず、Qakbotが小売業界における脅威の上位となっていることです。Qakbotのインフラは、追加のマルウェアペイロードを配布するために攻撃者によってすぐに再装備され、さらなる可能性を攻撃者に提供しています。さらにQakbotの活動が中断された後も、独立したQakbotキャンペーンが複数検出されています」

「小売企業をターゲットにした攻撃者の手法の中で、MiraiのようなボットネットやQakbotのようなインフォスティーラーが上位を占め続けているという事実は、組織のインフラとエンドポイント強化のためセキュリティリーダーがするべきことが数多く残されていることを示しています。幸いにも、ウェブやクラウドのトラフィックを検査し、悪意あるトラフィックを確実にブロックして、侵害されたエンドポイントやドメインを隔離する、といった基本的なサイバーハイジーン（衛生管理）のベストプラクティスに従うことで、こうした攻撃者の餌食となるリスクを減らすことができます」

Netskope Threat Labsは、小売業セクターの企業の皆様に対し、これらの脅威に対抗するために、自社のセキュリティ態勢の見直しと以下のベストプラクティスを推奨しています。

• あらゆるウェブトラフィックおよびクラウドトラフィックを含む、すべてのHTTPおよびHTTPSダウンロードを検査し、マルウェアがネットワークに侵入するのを防ぎましょう。

• 実行可能ファイルやアーカイブのようなリスクの高いファイルタイプは、ダウンロード前に静的解析と動的解析を組み合わせた徹底的な検査を行いましょう。

• 組織内で使用されていないアプリやインスタンスからのダウンロードとアップロードをブロックするようポリシーを設定することで、リスク領域を業務に必要なアプリやインスタンスのみに絞り込み、内部の関係者による偶発的または意図的なデータ流失や、攻撃者による悪用のリスクを最小限に抑えましょう。

• 一般的なマルウェアに関連するコマンドアンドコントロールトラフィックなど、悪意あるトラフィックパターンを識別しブロックできる侵入防御システム（IPS）を使用しましょう。この種の通信をブロックすることで、攻撃者のさらなる行動を制限し、被害の拡大を防げます。

•  リモートブラウザ分離（RBI）技術を使用し、新たに観測されたドメインや新しく登録されたドメインなどより高リスクな可能性があると分類されたウェブサイトを訪れる必要がある場合に向け、さらなる保護を提供しましょう。 

本レポートは、ネットスコープの2,500以上のお客様における小売業界のサブセットについて収集された匿名の使用データに基づいており、本調査の趣旨に沿ったデータの分析については、すべてのお客様から事前の承認をいただいています。本レポート内の統計は、2023年3月1日から2024年2月29日までの期間に基づいています。 

本レポートの完全版はこちらからご覧ください。

Netskope Threat Labsについて
業界屈指のクラウド脅威およびマルウェア研究者が在籍するNetskope Threat Labsは、企業に悪影響を及ぼす最新のクラウド脅威に対する発見、分析および防御策の設計を行なっています。クラウドフィッシング、詐欺、マルウェア配信、コマンド＆コントロール、データの抜き出しやデータの暴露など、クラウド関連の脅威に関する独自のリサーチと詳細な分析を用いることで、同ラボは、ネットスコープのお客様を悪意ある脅威アクターから守り、研究、助言、ベストプラクティスを通じてセキュリティの世界的コミュニティに貢献しています。同ラボはシリコンバレーを始めとする世界各地で企業の設立・経営に携わった経験を持つセキュリティ研究者やエンジニアによって率いられており、本社を拠点に世界中に展開しています。同ラボの研究者は、DefCon、BlackHat、RSAなどを含む最も権威あるセキュリティ会議に定期的に参加し、登壇者およびボランティアとして尽力しています。

ネットスコープについて
グローバルなSASEのリーダー企業であるネットスコープは、クラウド、データ、ネットワークセキュリティを再定義することによって、ゼロトラストの原則を適用してデータを保護できるように企業を支援しています。Netskopeプラットフォームは、場所に関わらず、人、デバイス、データに最適なアクセスとリアルタイムのセキュリティを提供します。ネットスコープは、お客様がリスクを軽減し、パフォーマンスを加速させ、あらゆるクラウド、Web、プライベートアプリケーションのアクティビティを比類のない方法で可視化させることをサポートします。フォーチュン100社のうちの25社以上を含む数千社のお客様がネットスコープやその強力なNewEdgeネットワークを利用し、進化しつつある脅威、新しいリスク、テクノロジーの移り変わり、組織やネットワークの変化、新しい規制要件への対処に取り組んでいます。ネットスコープによるお客様のSASE導入サポートについては、netskope.com/jpをご覧ください。

本件に関する報道関係者からのお問い合わせ先
Netskope 広報事務局 （合同会社NEXT PR内）
TEL: 03-4405-9537 FAX: 03-6739-3934
E-mail: netskopePR@next-pr.co.jp