株式会社 日本HP
HP Wolf Securityレポートで、アーカイブファイルとHTMLスマグリングの組み合わせが脅威アクターの検知を困難にすることが判明
株式会社 日本HP(本社:東京都港区、代表取締役 社長執行役員:岡戸 伸樹)は、最新のグローバル調査「HP Wolf Security: 脅威インサイトレポート(2022年第3四半期)( https://jp.ext.hp.com/content/dam/jp-ext-hp-com/jp/ja/ec/lib/info/newsroom/2022_hp_wolf_security_threat_Insights_report_q3_2022.pdf )」の日本語版を公開しました。今回の調査では、マルウェアを配信するファイル形式としてZIPファイルやRARファイルなどのアーカイブファイル形式が3年ぶりにOfficeファイルを抜いて最も多いことが明らかになりました。本レポートは実際のサイバー攻撃を分析したもので、急速に変化するサイバー犯罪の世界で、犯罪者が検知を逃れてユーザーに侵入するために使用する最新の手法を提示することで組織が後れを取らないように支援します。
HP Wolf Securityを実行している数百万のエンドポイントデバイスのデータを基にした本調査では、マルウェアの44%がアーカイブファイルで配信され、2022年第2四半期と比較して11%増加していたことが明らかになりました。Microsoft Word、Excel、PowerPointなどのOfficeファイルを介して配信されたものは32%でした。(*1)。
レポートでは、アーカイブファイルと新しいHTMLスマグリング(サイバー犯罪者が悪意のあるアーカイブファイルをHTMLファイルに埋め込み、電子メールゲートウェイをバイパスする手法) を組み合わせて攻撃を仕掛けているいくつかのキャンペーンが特定されました。
例えば、最近のQakBotやIceIDキャンペーンでは、HTMLファイルを使用して、Adobeになりすました偽のオンラインドキュメントビューアにユーザーを誘導していました。その後、ユーザーはZIPファイルを開いてパスワードを入力してファイルを解凍するよう指示され、その後PCにマルウェアが展開されました。
オリジナルのHTMLファイル内のマルウェアはエンコードおよび暗号化されているため、電子メールのゲートウェイやその他のセキュリティツールによる検知は非常に困難です。さらに、攻撃者はソーシャルエンジニアリングの活用も進めており、説得力のある適切に設計されたウェブページを作成して、悪意のあるZIPファイルを開かせて攻撃を開始しようとしています。10月には、同じ攻撃者が偽のGoogleドライブのページを使い、ユーザーをだまして悪意のあるZIPファイルを開かせようとしていたことも明らかになりました。
「アーカイブは簡単に暗号化できるため、脅威アクターがマルウェアを隠したり、Webプロキシ、サンドボックス、電子メールスキャナーを回避したりするのに役立ちます。このため、特にHTMLスマグリングと組み合わせると、攻撃の検知が困難になります。QakBotとIceIDのキャンペーンで注目すべき点は、偽のページを作成するための努力です。これらのキャンペーンは、これまでに見たものよりも説得力があり、人々が信頼できるファイルと信頼できないファイルを判別することを困難にしました」と、HPのHP Wolf Security脅威調査チームのシニアマルウェアアナリストであるアレックス・ホランド(Alex Holland)は述べています。
HPはまた、モジュール型の感染チェーンを使用した複雑なキャンペーンを特定しました。これにより、攻撃者はキャンペーンの途中でスパイウェア、ランサムウェア、キーロガーなどのペイロードを変更したり、ジオフェンシングなどの新機能を導入できる可能性があります。また、攻撃者は侵入したターゲットに応じて戦術を変更できる可能性があります。ターゲットに送信される添付ファイルにマルウェアを直接含めないことで、電子メールのゲートウェイがこの種の攻撃を検知することも困難になります。
HPのパーソナルシステムズ事業セキュリティ部門グローバル責任者であるDr. イアン・プラット(Ian Pratt)は、「攻撃者は常に技術を切り替えているため、検知ツールによる特定は非常に困難です。きめ細かな隔離というゼロトラストの原則に従うことで、組織はマイクロ仮想化を使用して、リンクのクリックや悪意のある添付ファイルのオープンなどの潜在的にリスクのあるタスクを、基盤となるシステムから隔離された仮想マシンで実行されるようにすることができます。このプロセスはユーザーには見えず、内部に隠されたマルウェアを封じ込めて、攻撃者が機密データにアクセスできないようにし、アクセスを取得してラテラルムーブ(横展開)することを防止します」と述べています。
HP Wolf Securityは、電子メールの添付ファイルを開く、ファイルをダウンロードする、リンクをクリックするといったリスクの高いタスクを、隔離されたマイクロ仮想マシン (Micro-VM) で実行することでユーザーを保護し感染の試みの詳細な痕跡を記録します。HPのアプリケーション隔離技術は、他のセキュリティツールをすり抜ける可能性のある脅威を軽減し、新しい侵入手法と脅威アクターの動きに関する独自の洞察を提供します。HP Wolf Securityは、検知ツールを回避したPC上の脅威を隔離することで、サイバー犯罪者が使用している最新の手法について具体的な洞察を得ています。HPのお客様はこれまでに、180億件以上の電子メールの添付ファイルやウェブページをクリックし、ファイルをダウンロードしているが、不正アクセスは報告されていません。
データについて
データは、2022年7月から9月にかけて、HP Wolf Securityの顧客の仮想マシン内で匿名で収集されました。
「HP Wolf Security」について
HP Wolf Securityは、新しいタイプのエンドポイントセキュリティです。ハードウェアにより強化されたセキュリティとエンドポイントに焦点を当てたセキュリティサービスで構成するHPのポートフォリオは、組織がPC、プリンター、従業員をサイバー犯罪者から保護できるように設計されています。「HP Wolf Security」は、ハードウェアレベルからはじまり、ソフトウェアとサービスまで包括的なエンドポイント保護とレジリエンスを提供します。
*1:詳細は、「HP Wolf Security: 脅威インサイトレポート(2022年第3四半期)( https://jp.ext.hp.com/content/dam/jp-ext-hp-com/jp/ja/ec/lib/info/newsroom/2022_hp_wolf_security_threat_Insights_report_q3_2022.pdf )」)の2ページに記載されています。
◆「HP Wolf Security: 脅威インサイトレポート(2022年第3四半期)」の日本語レポートは以下のURLを参照してください。
https://jp.ext.hp.com/content/dam/jp-ext-hp-com/jp/ja/ec/lib/info/newsroom/2022_hp_wolf_security_threat_Insights_report_q3_2022.pdf
◆「HP Wolf Security」に関する情報は、以下のURLを参照してください。
http://www.hp.com/jp/wolf
◆プレスルーム
http://www.hp.com/jp/pressroom/
HPについて
HP Inc.は、ひとつの考え抜かれたアイデアが世界を変える力になると信じています。
テクノロジーカンパニーとして、PC、プリンター、3Dプリンティングソリューションの製品や
サービスを通じ、お客様のアイデアを形にするお手伝いをします。
# # #
文中の社名、商品名は、各社の商標または登録商標です。
◆お客様からのお問い合わせ先(記事掲載時のお問い合わせ先もこちらでお願いいたします。)
カスタマー・インフォメーションセンター
TEL:0120-436-555
ホームページ http://www.hp.com/jp/
