2023年サイバーセキュリティレポートを公開　新興言語「Go」で実装されたマルウェアや、ペネトレーションテストの事例を解説

2023年サイバーセキュリティレポート

キヤノンMJグループはセキュリティソリューションベンダーとして、サイバーセキュリティに関する研究を担うサイバーセキュリティラボを中核に、最新の脅威や動向の情報収集および分析を行い、セキュリティ対策に必要な情報を定期的に発信しています。

このたび、2023年に発生したサイバー攻撃の事例や、総合セキュリティソフトESETにより日本国内および全世界で検出されたマルウェアなどについて解説した、“2023年サイバーセキュリティレポート（以下本レポート）“を公開しました。
本レポートでは、新興のプログラミング言語「Go」で実装されたマルウェア（以下Goマルウェア）の2023年検出数推移や、サイバー攻撃者から「Go」が注目されている要因を解説します。
またWebアプリケーションのセキュリティ強化の手段として広く採用されているWAF※1の得意とする脅威や、苦手な脅威を補完する一手段であるペネトレーションテスト※2を、キヤノンMJグループの事例を交えて紹介します。
その他本レポートでは、2023年に発生したサイバーセキュリティの主な脅威動向について、サイバーセキュリティラボ独自の視点で分析・考察しており、セキュリティ対策に役立つ情報をまとめています。

＜2023年サイバーセキュリティレポート＞

https://eset-info.canon-its.jp/malware_info/special/detail/240326.html

＜レポートの主な内容＞

■Goマルウェアの2023年動向

「Go」は、2009年にGoogle社によって開発されたオープンソースのプログラミング言語です。近年Goマルウェアはサイバー攻撃者から注目を集めています。2023年は国内において一時的に検出数が急増していることが確認されました。Goマルウェアは比較的新しいマルウェアのため、ESET検出数の観点では、いまだ従来のマルウェアに比べると脅威は大きくありませんが、その存在は無視できない状況で、現時点から動向を注視する必要があります。本レポートでは、Goマルウェアがサイバー攻撃者から関心を寄せられている理由について考察しています。

■Webアプリケーションのセキュリティ対策と課題

Webアプリケーションは、現代の企業活動においてオンライン上のさまざまなシステムの中でも、機密情報や個人情報と密接な関わりがあります。そのWebアプリケーションのセキュリティを強化する手段として、WAFが広く採用されています。WAFは異常なトラフィックや攻撃を検知し、必要に応じて遮断することで組織のWebアプリケーションを保護しますが、WAFによるセキュリティ対策にも限界があり、すべての攻撃に対処することは容易ではありません。WAFの弱点を理解し、それを補完する追加のセキュリティ対策を検討することも必要です。本レポートでは、その一手段としてペネトレーションテストを紹介しています。

＜レポート解説動画＞

本レポートについて、サイバーセキュリティラボのマルウェアアナリストが解説した動画を公開しています。

https://www.youtube.com/watch?v=riUp42Ymcfc

※1 Web Application Firewall：Webアプリケーションへの入力リクエストを検査し、不正なトラフィックや悪意のあるパラメータを特定することでWebサイトを保護する。ECサイトやインターネットバンキングなど、個人情報やクレジットカード情報を入力したり、リクエストに応じて動的にページ生成したりするWebサイトに適したセキュリティ対策。

※2 企業や組織のシステムが攻撃のターゲットとされた場合を想定し、ホワイトハッカーと呼ばれるセキュリティエンジニアが、ネットワークに接続されたシステムへ疑似的な攻撃を試みる調査手法。

• サイバーセキュリティ情報局：https://eset-info.canon-its.jp/malware_info/

＜2023年サイバーセキュリティレポート　章ごとの主な内容＞

• 第1章：2023年マルウェア検出統計

日本国内における2023年下半期の検出数は2023年上半期から引き続き減少し、2020年上半期以降で最も低い値となり2019年下半期と同水準でした。
国内の月ごとの検出数は5月が1月と比較して136%と突出していますが、これはHTML/Phishing.AgentやDOC/Fraudといったフィッシングや詐欺を目的としたマルウェアの検出が増加したためです。
国内の10月の検出数は1月と比較して86%と低い値になった一方で、全世界での10月検出数は前後の月と比べて変化がありませんでした。これには全世界・国内でのJS/Agentの増加幅の違いが影響しています。フランスやイタリア、ポーランドでは10月にJS/Agentの亜種JS/Agent.RAWやJS/Agent.PHCの検出が増加しました。ESET社の脅威レポートではJS/Agent.PHCに「if(ndsw===undefined)」という共通のコードを有する、NDSWマルウェアという俗称のマルウェアが含まれていると報告されており、上記の国を中心にJavaScriptを悪用する攻撃が行われていたことが推測されます。
12月には、1月と比較して日本が72％、全世界が75%と大きく検出数が減少しました。この傾向は2019年、2022年にも見られたもので、検出数の多いマルウェアJS/Adware.Agentの検出数減少が全体にも反映されました。

また、マルウェアMSIL/Spy.AgentTeslaは国内のマルウェア検出数で第18位となりTOP10には入りませんでしたが、特徴的な検出推移を見せました。2023年2月に最も高い検出数を確認した以降は、7月を除き低い検出数の月が続ました。しかし2023年11月に再び高い検出数を記録し、加えて2月と11月とでは各々の月で検出されたMSIL/Spy.AgentTeslaの種類に変化がありました。
2月に検出された亜種は半数以上がMSIL/Spy.AgentTesla.Fですが、12月に検出された亜種は約9割がMSIL/Spy.AgentTesla.Iでした。よりセキュリティソフトに検知されにくい亜種に変化した可能性があります。不審なメールやインターネット上から入手したファイルなど、AgentTeslaの感染源になり得るものを扱う際には細心の注意が必要です。

• 第2章：「Go」で実装されたマルウェアの脅威動向

Goマルウェアは2023年5月3～10日と9月19～20日に検出数が増大しました。国内の検出数増加と同時期における全世界での検出傾向を比較すると、5月中旬と9月下旬に一部地域を除いて増加しました。
一般的にマルウェアは、プログラミング言語「C」や「C++」で開発されることが多い傾向にあります。「C」や「C++」が古くから主要な開発言語として使われてきたことをはじめ、従来からシェア率の高いOSであるMicrosoft Windows向けのプログラムとして開発しやすかったこと、ポインタ演算によるメモリーの利用といった複雑な処理を実装しやすかったことなどが理由として考えられます。
しかし近年はこれらの言語の代替として「Go」、「Rust」、「Nim」、「D」といったプログラミング言語がマルウェア開発のコミュニティで注目され、特に「Go」が多く採用されているとの発表があります。

本章では、「Go」や検出数の推移について解説し、クロスコンパイルの機能、マルウェア解析者の視点、セキュリティ製品による検知の3つの観点から、Goマルウェアがサイバー攻撃者から関心を寄せられている理由について考察します。

• 第3章：Webの脆弱性からビジネスを守る効果的な方法

WAF（Web Application Firewall）はWebアプリケーションへの入力リクエストを検査し、不正なトラフィックや悪意のあるパラメータを特定することが可能なセキュリティ対策です。Webアプリケーションに対する攻撃を設定に従い自動的に24時間体制で防げるメリットがあり、管理者の負荷軽減、攻撃の兆候の見落とし軽減にもつながります。
一方で、WAFは正当なトラフィックを模倣する攻撃や、特定のアプリケーションに合わせてサイバー攻撃者が作成したカスタムエクスプロイト※3など特定の脅威に対しては効果を実感しにくい場合があります。その一例として、リクエストの中に改行コードを挿入することで、WAFによる検査を回避して攻撃コードを実行させる手法が知られています。WAFで防げない攻撃に対しては人の目で脆弱性を確認し対策を講じる必要があり、その方法の一つがペネトレーションテストです。ペネトレーションテストはWAFが検知できない潜在的な脆弱性を発見し、組織のセキュリティを強化できる有力な方法です。

本章では、WAFとWAFの弱みを補完するペネトレーションテストの基本的な概念、強みと弱み、運用上のポイントなどについて、キヤノンMJグループにおける具体的な事例を交えながら解説します。またWAFとペネトレーションテストを組み合わせた脆弱性対策のアプローチについて提言します。

※3 エクスプロイト：OSやソフトウェア、アプリケーションなどの脆弱性を悪用した不正なプログラムやスクリプト、またはそれらを利用した攻撃のこと。

• 第4章：サイバーセキュリティにおける国際連携

サイバー犯罪の国際化は、OSやサーバー・PC・モバイル機器がグローバルでほぼ共通であること、AI技術などの発達により相手国の言語に精通する必要が薄れていること、暗号資産というサイバー犯罪者にとって好都合な送金手段が普及しているといった事情から、より一層深刻化しています。国際的なサイバー犯罪に対応するには、各国政府や司法当局などの国際連携が必要です。

本章では、各国が協力しサイバー犯罪者を検挙した例や、ESET社がサイバー犯罪者の摘発に協力・貢献した国際連携の事例を複数紹介します。また日本国内の各省庁の動向についても説明します。

 * ESETは、ESET, spol. s r.o.の商標です。Microsoft、Windowsは、米国Microsoft Corporationの米国、日本およびその他の国における登録商標または商標です。その他、文中の商品名、会社名、団体名は、各社の商標または登録商標です。