デジタルセキュリティおよびプライバシー製品のグローバルリーダーであるアバストは、2022年第2四半期脅威レポートを発表しました。同レポートでは、世界的にランサムウェア攻撃が2022年第1四半期から24%、日本では36%増加したことが明らかになりました。また、Google Chromeを標的とした新たなゼロデイ攻撃も発見されたほか、サイバー犯罪者がマルウェアを仕込む方法として、マクロではない感染経路を探し始めている兆候も確認しています。
世界的にランサムウェア攻撃が大幅に増加
2021年第4四半期と2022年第1四半期は、世界中のランサムウェア攻撃が減少傾向にあったものの、2022年第2四半期には前四半期より24%増加しました。ランサムウェアのリスク比率が前四半期比で最も高かった国は、アルゼンチン(56%増)、イギリス(55%増)、ブラジル(50%増)、フランス(42%増)、インド(37%増)、日本(36%)でした。
日本でのサイバー脅威の傾向
RAT(遠隔操作ウイルス)攻撃は世界的には落ち着いていますが、日本では前四半期と比べて63%増加しています。この背景には、AsyncRATというマルウェアの普及が考えられます。さらに、日本でのテクニカルサポート詐欺も2.35%上昇、2022年第1四半期と比較して若干増加していることが分かりました。一方、モバイルバンキングを狙ったトロイの木馬に対して保護されたユーザーは世界で平均24%減少、日本でも前四半期比12%減少しました。
新たなゼロデイ脆弱性を発見
アバストは、イスラエルのスパイウェア業者Candiruが、レバノンの記者などを標的とし展開した、2つのゼロデイ脆弱性エクスプロイトを発見しました。1つはWebRTCのバグで、Google Chromeユーザーを標的とした水飲み場型攻撃で悪用され、結果的に多くのブラウザにも影響を及ぼしました。また、攻撃者がサンドボックスを回避できるエクスプロイトも確認されています。アバストが発見したこのゼロデイは、Windowsカーネルに侵入するために悪用されていました。
さらに、Microsoft Officeのリモートコード実行バグであるFollinaが、サイバー犯罪者や、ウクライナで活動するロシア関連のAPTグループなど、幅広い攻撃者に悪用されていたことも確認されました。このゼロデイは、中国のAPTグループであるGadolinium(APT40)による、パラオを標的とした攻撃でも悪用されていました。
マクロが自動的にブロックされたことによる感染経路の変化
最近、MicrosoftはMicrosoft Officeアプリケーションにおいて、VBAマクロを自動的にブロックするようになりました。マクロは2022年第2四半期に登場したGoで書かれた、新しいRATであるNerbian RATのようなリモートアクセス型トロイの木馬や、Confucius APTグループが被害者のPCにさらにマルウェアを仕込むために使用されるなど、攻撃者にとって頻繁に使われている感染経路です。
アバストのマルウェア リサーチ ディレクターであるヤクブ・クロウステク(Jakub Kroustek)は次のように述べています。「2021年第4四半期と2022年第1四半期に見られたランサムウェア攻撃の減少は、法執行機関がランサムウェアグループのメンバーを逮捕したことや、ウクライナでの紛争が原因でContiランサムウェアグループ内の意見の相違が生じ、彼らが活動停止したことによるものです。しかし2022年第2四半期、ContiのメンバーがBlack BastaやKarakurtといった新しいランサムウェアグループに枝分かれしたり、Hive、BlackCat、Quantumといった既存のグループに参加したりし、ランサムウェア関連の活動が改めて活発化しています。」
「マクロが自動的にブロックされるようになったことで、攻撃者は別の感染経路を準備し始めています。例えば、IcedIDやEmotetは、LNKファイル、ISOやIMG形式の画像、および Windowsプラットフォームで展開できるその他のトリックを、悪意のあるMicrosoftドキュメントの代わりに展開し始めています。サイバー犯罪者がマルウェアを人々のコンピュータに仕込む方法を探し続けることは間違いありませんが、Microsoftによるこのアップデートが、インターネットをより安全にすることを期待しています。」
より詳細な情報については、レポート(英語)をご覧ください:
https://decoded.avast.io/threatresearch/avast-q2-2022-threat-report/