攻撃者がこぞって実施する「セキュリティの回避法」判明 Fortinetが分析：ランサムウェア亜種は半年で倍増

フォーティネットジャパンは、2022年上半期版グローバル脅威レポートを発表した。RaaSによって新たなランサムウェア亜種が次々と作成されており、その数は半年間でほぼ倍増したという。

[＠IT]

　フォーティネットジャパンは2022年9月20日、2022年上半期版グローバル脅威レポートを発表した。このレポートは、Fortinetのリサーチ部門であるFortiGuard Labsが2022年上半期に観測した数十億件の脅威を分析して得たインテリジェンスをまとめたもの。

攻撃対象は「エンドポイント」と「OT」

　レポートによると、「RaaS」（Ransomware as a Service）の登場によって新たなランサムウェア亜種が次々と作成されており、FortiGuard Labsは2022年上半期中に1万666件のランサムウェア亜種を確認しているという。その数は2021年下半期に比べてほぼ倍になっていた。

2021年7月〜2022年7月の間に検知されたランサムウェアの件数（提供：フォーティネットジャパン）

　攻撃対象として拡大しているのは「エンドポイント」と「OT」（Operational Technology）だという。

　「エンドポイントの攻撃には『スプーフィングの脆弱（ぜいじゃく）性（CVE-2022-26925）』や『リモートコード実行の脆弱性（CVE-2022-26937）』などが悪用されている。脆弱性を悪用した攻撃が多いのはOTも同じだ。さまざまな機器やプラットフォームが実際に攻撃されたことで、攻撃者の絶好のターゲットになっていることが明らかになった。こうした攻撃に対してはエンドポイント保護の技術活用が有効だ」

　Fortinetは最近拡大している脅威として「ワイパーマルウェア」を挙げた。ワイパーマルウェアは、データを消去するマルウェアで「攻撃手法が高度化し、破壊力が向上している」という。このマルウェアの利用拡大にはウクライナ紛争が深く影響しているとFortinetはみている。

　「ウクライナ紛争を契機に、重要インフラを主な標的とする攻撃者がワイパーマルウェアを仕掛ける例が大幅に増加した。FortiGuard Labsは2022年上半期に、新しい主要ワイパー亜種を少なくとも7つ特定し、ウクライナ以外の24カ国でも検知した」

攻撃者が好む「防御の回避法」戦術を取っている

　FortiGuard Labsが攻撃者の戦術を検証したところ、最も多く採用していたのは「防御の回避」だという。

マルウェアの上位の戦術と手法（提供：フォーティネットジャパン）

　「多くの場合、攻撃者はシステムバイナリのプロキシ実行を使用して防御を回避しようとしていた。攻撃者は自らの存在を隠し、正規の証明書でコマンドを隠蔽（いんぺい）した上で信頼されるプロセスを実行して不正行為を働こうとしている。別のプロセスのアドレス空間にコードをインジェクションすることで防御を回避する手法（プロセスインジェクション）も多く利用されている」