Vision

ウォッチガードのサイバーセキュリティ調査によると、マルウェアの30%は「ゼロデイ」

ウォッチガードのサイバーセキュリティ調査によると、マルウェアの30%は「ゼロデイ」

ジェフ・ホイールライト

(写真はShutterstockより)

シアトルに拠点を置くネットワークセキュリティ企業ウォッチガード・テクノロジーズ社の新しいレポートによると、新たなサイバーセキュリティの脅威は、テクノロジー企業と従来のウイルス対策ソフトウェア企業の対応能力に挑戦している。

ウォッチガード・テクノロジーズのCTO、コーリー・ナクライナー氏。(GeekWireファイル写真)

ウォッチガード・テクノロジーズのインターネット・セキュリティ・レポートによると、シアトルに本社を置く同社が2016年下半期に世界中で検出したマルウェアの30%が、ウイルス対策企業がまだシグネチャを開発して対抗していない新しいコード、つまり「ゼロデイ」コードに分類された。

この初のレポートでは、世界中で稼働中のWatchGuard Fireboxセキュリティアプライアンス24,694台から得られたデータを分析しました。同社によると、レポートの対象期間である3ヶ月間に、同社のGateway AntiVirus(GAV)サービスは、1,480万種以上のマルウェアが顧客ネットワークに侵入するのを阻止しました。また、同社のAPT Blockerマルウェア対策サービスは、さらに380万種をブロックしたとレポートで述べています。

セキュリティアプライアンスメーカーとして、従来のウイルス対策ソリューションが見逃している脅威を指摘することは、ウォッチガードの利益になります。しかし、その基盤となるデータは、進化するサイバーセキュリティの脅威の状況を独自の視点で捉える上で役立ちます。

調査では、メールやウェブ上でマルウェアを拡散させる手段としてJavaScriptが利用されていることが、他の調査結果の中でも特に増加していることが指摘されています。また、ウォッチガードは、上位の攻撃の73%が、悪意のあるサイトにアクセスするだけで実行されるドライブバイダウンロードを介してウェブブラウザを標的としていることも明らかにしました。

WatchGuard のリストに掲載されているマルウェアの驚くべき種類の 1 つは、Microsoft Office (特に Microsoft Word) で反復タスクを実行する小さな自動プログラムを作成する機能を悪用する悪意のあるマクロ ドキュメントです。

「2014年にマクロマルウェアが初めて復活した時は驚きました」と、ウォッチガードの最高技術責任者であるコーリー・ナクライナーは認めています。「マクロベースのマルウェアは、1999年当時最もよく知られた脅威の一つでした(メリッサウイルスを覚えている方もいるかもしれません)。当時、Officeのマクロ実行に関するデフォルト設定は比較的緩やかでした。しかし、メリッサ以降、Office製品はデフォルト設定を変更し、ドキュメント内でマクロを実行するには、はるかに多くのユーザインタラクションが必要になりました。」

マクロベースの攻撃の背後にある技術はそれ以来大きく変わっていませんが、ナクライナー氏によると、マクロを含む文書をユーザーに開かせるための手法は進化しており、悪意のあるマクロを含む文書が攻撃の手段としてより一般的に利用されるようになっているとのことです。これは、Microsoft Officeの新しいバージョンでは、文書でマクロを使用するにはユーザーが明示的に許可を与える必要があるにもかかわらずです。

「ハッカーの視点から見ると、攻撃に必要なユーザーインタラクションはどれも成功率を低下させる要因となります。そのため、悪意のあるマクロ文書が再び現れたのは驚くべきことです。なぜなら、それらは被害者に余分な手順を要求するからです」と彼は述べた。「しかし、ソーシャルエンジニアリングの手法は進化し、人々にマクロを有効にするよう仕向けています。そしておそらく、今日ではより多くの企業が公式文書でマクロを正当に使用しているため、マクロを有効にすることに慣れてしまっているのでしょう。」

ウォッチガードグラフィック

このレポートで最も興味深い示唆の一つは、この新しいマクロ配信マルウェアの出所である。レポートでは、ドキュメント マクロ マルウェアが最も多く出現しているのは米国と中国であると示しており、「この関係は被害者と攻撃者に関係している可能性があると考えていますが、どちらがどちらかについては読者の皆様の判断にお任せします」とコメントしている。

Geekwireとのインタビューで、Nachreiner氏はこの点についてより深い洞察を与えるために、もう少しデータを提供しました。「トップ10にランクインしたマクロベースのマルウェアは、地理的分布の観点から見ると全く異なっていました。例えば、リストのトップ(6位)のマクロベースのマルウェアはW97M/Classでした。この亜種は米国で214,792回(98.6%)、中国で3,040回(1.4%)検出されました」と彼は述べています。「しかし、他の国では全く検出されていません。」

ナクライナー氏は、これらの数字は、この脅威をめぐる米国と中国の間に何らかの関係があることを示唆していると述べている。「リストに掲載されている他のマクロマルウェアもこの傾向を引き継いでおり、検出件数の大部分は米国で、中国でも少量ではあるものの依然として重要な数となっています。リストに掲載されている後発のマクロ脅威の中には、少なくとも他国でも拡散し始めているものもありますが、そのヒット数は数十件から数百件程度です」とナクライナー氏は述べた。「さらに、地理的にも他のマルウェアほど広範囲に分布しているわけではありません。米国と中国では常に最も多くのヒット数を記録しており、主に米国内で蔓延していました。」