73284844936
プレス リリース

アバスト、2022年第1四半期脅威レポートを発表:ウクライナとロシアにおけるサイバー戦争が脅威の大半を占める

世界では前四半期と比べてランサムウェアが減少した一方、日本では37%増加したことが明らかに

世界では前四半期と比べてランサムウェアが減少した一方、日本では37%増加したことが明らかに


デジタルセキュリティおよびプライバシー製品のグローバルリーダーであるアバストは本日、2022年第1四半期の脅威レポートを発表しました。同レポートによると、ウクライナのインターネットユーザーを標的とした、ロシアに帰属するAPT(Advanced Persistent Threat=持続的標的型攻撃)グループや、ロシアのウェブサイトを狙ったDDoS攻撃ツール、ウクライナ企業を標的としたランサムウェア攻撃など、ロシアとウクライナの紛争をめぐるサイバー脅威が多く確認されています。また、戦争の影響を受け、世界的なランサムウェア件数がやや減少している一方、日本ではインターネットユーザーがランサムウェアに遭遇する確率が、全四半期と比べて37%増加していることがわかりました。

ウクライナとロシアのサイバー戦争

アバストのマルウェア リサーチ ディレクターであるヤクブ・クロウステク(Jakub Kroustek)は次のように述べています。「2022年第1四半期、現実世界で起きていることと、サイバー脅威の広がり方やその標的には類似点が見られました。2021年第4四半期と比較して、ウクライナ、ロシア、ベラルーシでアバストが阻止した遠隔操作ウイルス(RAT)攻撃は50%以上、情報窃取マルウェア攻撃は20%以上増加し、これらは情報収集やスパイ活動に利用される可能性があります。また、デバイスを感染させてボットネットに追加させる試みを、ロシアでは30%、ウクライナでは15%多く阻止しました。これらの攻撃は、メディアやその他の重要なウェブサイトおよびインフラに対してDDoS攻撃を実行できるデバイス群を構築することを目的としています。一方、ロシアとウクライナで阻止したアドウェア攻撃は50%減少しました。これは、特にウクライナでインターネットユーザーが減ったことが背景に考えられます。」

アバスト脅威研究所はウクライナで戦争が始まる直前に、ロシアのAPTグループが実行したと思われる複数のサイバー攻撃を確認しました。APTグループのGamaredonは2月末に活動を急速に拡大し、一般インターネットユーザーを含む幅広い標的に、スパイ活動を目的としたマルウェアを拡散していたことがわかっています。HermeticRansomとして知られるランサムウェアも、APTグループによって拡散されていると考えられます。

アバストでは、ロシアのウェブサイトにDDoS攻撃を仕掛けるためにハクティビストコミュニティで利用されているツールも追跡しています。例えば、天気予報サイトなどのウェブページにて、アクセスしたユーザーの同意なく、訪問者のブラウザを介して攻撃を実行するコードが組み込まれていることを発見しましたが、こうした攻撃は当四半期末にかけて減少しています。3月には、ランサムウェアグループのSodinokibi (REvil)と関連付けられたbotnet-as-a-serviceがDDoSキャンペーンに使用されていました。さらに、戦争に関する重要な情報が含まれていると主張する添付ファイル付きメールを拡散し、RATのようなマルウェアを広める攻撃も確認されています。

ウクライナ情勢がもたらすサイバー犯罪への影響

Raccoon Stealerの開発者の1人の死亡が報告された後、マルウェア活動が一時中止されるなど、戦争の影響を直接的に受けているマルウェアの作成者や運用者もいます。

アバスト脅威研究所では2022年第1四半期、2021年第4四半期と比較して、世界的にランサムウェア攻撃が7%ほど減少したことを観測しており、これは、多くのランサムウェア運用者などが活動しているウクライナでの戦争が原因だと考えられます。ランサムウェア攻撃は2四半期連続で減少傾向にありますが、2021年第4四半期は、国や政府機関、セキュリティベンダーが協力し、ランサムウェアの作成者や運用者に対する取り締まりを強化していたことが背景にあると考えられます。さらに、最も活発で最強とされているランサムウェア集団の1つであるMazeが2月に活動を停止したことや、ランサムウェア集団が一般ユーザーではなく、大規模なターゲットへの標的型攻撃(ビッグゲームハンティング)に注力する傾向が続いていることも減少の背景にあると考えられます。

さらに、ロシアへの忠誠を宣言し、同国へのサイバー攻撃に対する報復を約束したランサムウェア集団のContiでは、集団内で亀裂が生じ、ウクライナの研究者がContiの事業内容やソースコードなどの内部ファイルを流出させるという事態が発生しました。この流出により、Contiのランサムウェアは一時的に減少しました。

しかし、日本はこの傾向の例外で、2022年第1四半期にユーザーがランサムウェアに遭遇するリスクは、2021年第4四半期に比べて37%増加しました。この増加傾向は、メキシコ(120%)とインド(34%)でも見られました。日本では特に、2月と3月にアドウェアの割合が大幅に増加したほか、日本企業を標的としたEmotetマルウェアも大幅に増加しました。

Emotetの市場占有率が倍増し、TDSが悪質なキャンペーンを拡散

2022年第1四半期、前四半期からEmotetの市場シェアが倍増したことが明らかになりました。特に、アバストでは3月にEmotetボットネットの感染試行回数が大幅に増加したことを観測しています。また、トラフィックダイレクションシステム(TDS)の「Parrot」が、16,500以上のウェブサイトを感染させ、悪意のあるキャンペーンを広めていることが判明しています。レポートではさらに、主に23万台以上の脆弱なMikroTikデバイスで構成される最大級のbotnet-as-a-serviceであるMerisが過去数年間に実行した複数の大規模な攻撃について、調査結果を公開しています。

モバイルの面では、サイバー犯罪者は、引き続き流行しているアドウェアやプレミアムSMS詐欺を広めるため、手口を進化させていっています。以前はGoogle Playストアでこれらの脅威を配信していたところ、現在はブラウザのポップアップウィンドウや通知を通して、悪質なアプリをインターネットユーザー間に広めています。

脅威レポートの全文は以下のブログ(英語)でご覧いただけます:https://decoded.avast.io/threatresearch/avast-q1-2022-threat-report/