※ 本ブログは、2023年3月16日にHP WOLF SECURITY BLOGにポストされたHP Wolf Security Threat Insights Report Q3 2024の日本語訳です。

HP Wolf Security 脅威インサイトレポートの2022年第4四半期版へようこそ。本レポートでは、HP Wolf Securityの顧客テレメトリーによって2022年第4四半期に確認された注目すべき脅威、マルウェアのトレンド、テクニックをレビューしています。

• 3四半期連続で、アーカイブはマルウェアを配信する最も人気のあるファイルタイプでした（42％）。攻撃者がOfficeファイルフォーマットからディスクイメージファイル（IMG、ISO）などマクロに依存しない代替手段にシフトしているため、アーカイブマルウェアは2022年第1四半期から20%上昇しています。IMGファイル内に保存されたマルウェアは、第4四半期に前四半期比31%増となりました。アーカイブは簡単に暗号化できるため、Webプロキシ、サンドボックス、メールスキャナによるマルウェアの検知が困難で、脅威アクターにとって魅力的です。多くの組織が正当な理由で暗号化アーカイブを使用しているため、暗号化アーカイブのEメール添付をポリシーで拒否することは困難です。
• 脅威アクターは、例えば支払いを求める宅配便会社を装って被害者からクレジットカードやデビットカードの情報を盗むために、QRコードを使ったルアーを試しています。この種の攻撃では、対象者がフィッシングに対する保護が不十分な携帯電話から悪意あるWebサイトにアクセスする可能性が高くなります。
• 攻撃者は、PDFファイルに悪意のあるリンクを埋め込むことで、Eメールゲートウェイスキャナー等のネットワーク境界のセキュリティ対策を回避しています。HP Wolf Securityが第4四半期に検知したPDFマルウェアは、前四半期と比較して38%増加しました。HP Wolf Securityが検知した電子メールの脅威の13%は、1つ以上のEメールゲートウェイスキャナーをバイパスしており、検知ベースのセキュリティ対策に頼ることの限界を浮き彫りにしています。また、HTMLスマグリングを含むHTMLの脅威は、第4四半期に44%増加し、15番目（第3四半期の17番目から2ランク上昇）に人気の高いマルウェアフォーマットとなりました。
• 第4四半期は、人気のあるソフトウェアプロジェクトを模倣し、ユーザーを騙してPCをマルウェアに感染させる攻撃者が急増しています。この攻撃は、ユーザーが検索エンジンの広告をクリックし、正規のWebサイトとほとんど同じように見える悪意のあるWebサイトに誘導することを目的としています。この攻撃は、ユーザーが検索エンジンの広告をクリックすると、正規のWeb サイトとほとんど同じように見える悪意のあるWebサイトへ誘導されることを利用しています。第4四半期、HPの脅威リサーチでは、8つのマルウェアファミリーの拡散に利用された、マルバタイジングキャンペーンで模倣された24のソフトウェアプロジェクトを特定しました。

脅威のランドスケープ

HP Wolf Security 脅威インサイトレポートの2022年第4四半期版へようこそ。四半期ごとに我々のセキュリティエキスパートが、HPWolf Securityで特定された注目すべきマルウェアキャンペーン、トレンド、テクニックを紹介します。検知ツールを回避してエンドポイントに到達した脅威を隔離することで、HP Wolf Securityは、サイバー犯罪者が使用している最新のテクニックを把握し、セキュリティチームに新たな脅威と戦うための知識を与え、セキュリティ体制を向上させます。[1]

エグゼクティブサマリー

特筆すべき脅威

攻撃者はPDFルアーでマルウェアを配信し、Eメールのセキュリティを回避

PCへのマルウェア配信手法としてOfficeドキュメントやスプレッドシートが使われなくなったことで、攻撃者はHTMLスマグリングや悪意あるショートカット (LNK)ファイルなどの代替手法を試すようになりました。 HTMLスマグリングは、メールゲートウェイのセキュリティ回避に有効です。これは攻撃者がマルウェアをHTML添付ファイル内に暗号化することで、スキャナによる悪意あるコンテンツの検査を防止できるからです。この手法は依然として用いれれていますが、攻撃者は常に新たなテクニックを駆使して検知を回避しようとしています。12月に勢いを増したテクニックの1つが、PDFドキュメントです。HP Wolf Securityでは、第4四半期にPDFマルウェアが前四半期比で38%増加したことを確認しています。

感染チェーンは、攻撃者がPDFドキュメントを被害者にEメールで送信することから始まります。HTMLスマグリングと同様に、攻撃者は受信者の注意を引くために有名ブランドを模倣します。図1は、第4四半期に見られた偽のオンラインドキュメントビューアの例( 人気のあるルアーテンプレート)です。このPDFドキュメントには、Webサーバ上でホストされているZIPアーカイブファイルへ導くリンクが含まれています。このPDF添付ファイルには実行可能なコードが含まれていないため、メールゲートウェイで検知される可能性は低くなっています。また、検知を回避する可能性を高めるため、攻撃者はアーカイブを暗号化し、受信者に送信されるPDF文書でパスワードと手順を提供します。

多くのダウンロードされたZIPアーカイブには、ショートカットファイルを含むディスクイメージファイル(.ISOまたは.IMG) が含まれています。感染を引き起こすためには、受信者がショートカットファイルを開く必要があります。このテクニックは、人手によるランサムウェア攻撃の先駆けとして知られるQakBotやIcedIDなどのマルウェアファミリーの配信に用いられていることが確認されています。[2][ 3]

悪意のあるPDFやHTMLの添付ファイルを介して感染させるための手順は、マクロが有効なOffice文書よりも多くなっています。しかし、マルウェアの実行に多くのユーザー操作が必要であるにもかかわらず、攻撃者がネットワークの侵害に成功しているのは、ユーザーがこうした罠に引っかかってしまうからです。

攻撃者のQRコードを使った機密情報を盗むための実験

2022年11月末、QRコードを悪用し、クレジットカード情報などの機密情報を盗み出す中国語の珍しいフィッシングキャンペーンを発見しました。[4] フィッシングやマルウェアのインシデントで使用される画像を比較する当社の内部分析システムにより発見されました。このキャンペーンでは、攻撃者はQRコードを使ってユーザーを悪意のあるWebサイトに誘導していました。

この攻撃は、Eメールで受信者に送信されるWordドキュメントから始まります。このドキュメントは、受信者が政府の助成金を受ける権利があるとするもので、権威への依存、緊急性、行動を起こすための金銭的動機付けといった、効果的なフィッシングルアーの典型的な要素に合致しています。助成金を受け取るには、人気のインスタントメッセージ、ソーシャルメディア、モバイル決済アプリであるWeChatを使ってQRコードをスキャンし、その後はWebサイトの指示に従うことが求められます。

QRコードの使用は、フィッシング詐欺の防止や検知の仕組みが弱いPCからモバイル端末への切り替えを強制する効果的な方法です。また、QRコードはメールゲートウェイがコードの誘導先のWebアドレスを検査する可能性が低いため、通常のハイパーリンクに比べてフィッシングメールがユーザーの受信トレイに届く可能性が高くなるというメリットもあります。

10月末から、このようなフィッシングキャンペーンがほぼ毎日、高い頻度で観測されています。攻撃者は、毎日ドキュメントのルアーやドメインを変えています。これらのキャンペーンの規模について決定的なことは言えませんが、攻撃者が動的なフィッシングフレームワークを選択したことは、拡張性が考慮されたことを示しています。これらのキャンペーンが大量に配信されているのは妥当なところです。フィッシングキットの構造上、キャンペーンのコンテンツとテーマは容易に交換可能です。

また、宅配業者を装った英語でのフィッシングキャンペーンでQRコードが使用され、代金を請求されるケースも確認されており、個人および組織ともにこのようなキャンペーンに注意する必要があります。

偽ソフトウェアのマルバタイジングが増加中

Emotetの配信者はOfficeの厳格なマクロポリシーを回避してPCを感染

第4四半期には、Emotetのキャンペーンはほとんど行われていませんでした。[9]  しかし、11月2日から11日にかけて、このマルウェアは数ヶ月ぶりに新たなスパムキャンペーンを実施しました。このマルウェアは、Eメールに添付された悪意のあるマクロ対応のExcelスプレッドシートを介して、従来通り配布されました。しかし、そのドキュメントのデザインに変化が見られました。

長年にわたり攻撃者に悪用されてきたVisual Basic for Applicationのマクロは、2022年2月Microsoftによって、Webからダウンロードした多くのMicrosoft Officeファイルフォーマットでデフォルトで無効にされました。[10]  この変更は、攻撃ファイルタイプの多様化という継続的なトレンドに寄与しています。興味深いことに、Emotetの配信者はマクロから離れるのではなく、単にポリシーを回避しようとしました。

受信者がスプレッドシートを開くと、Officeのバナーを装ったソーシャルエンジニアリング画像が表示されます。ここにはスプレッドシートの内容を確認するには、表示されているフォルダのいずれかにファイルをコピーし、再度開く必要があると表示されています。HTMLスマグリングやPDFマルウェアの配信と同様、この方法は感染を引き起こすために高度なユーザー操作を必要とします。Officeのポリシーが変更される以前は、ユーザーの2回のクリックで不注意によるマルウェア実行をさせることができました。

ユーザがその指示に従うと、悪意のあるマクロが実行されます。このコードは、ユーザーのディレクトリに名前の異なるの4つのDLLファイルを保存し、regsvr32.exe (T1218.010) を使用してそれらを実行し、Emotetのペイロードを実行に至ります。[11] この複雑なユーザーの操作から、このキャンペーンは、この配信手法と他の方法との感染率の比較テストだった可能性もあります。

注目すべきトレンド

3四半期連続でマルウェアの配信ファイルタイプとしてアーカイブが最多を継続

第4四半期にHTMLの脅威が増加

最新の状態を維持する

HP Wolf Security 脅威インサイトレポートは、ほとんどのお客様が脅威のテレメトリをHPと共有することを選択することによって実現されています。当社のセキュリティ専門家は、脅威の傾向や重要なマルウェアキャンペーンを分析し、洞察を注釈したアラートを顧客にフィードバックしています。

HP Wolf Security の導入を最大限に活用するために、お客様には以下のステップを踏むことをお勧めします。[a]

• HP Wolf Security ControllerでThreat Intelligence ServicesとThreat Forwardingを有効にし、MITRE ATT&CKのアノテーション、トリアージ、専門家による分析を受けることができるようにしてください。[b]詳細については、ナレッジベースの記事をご覧ください。[12] [13]
• HP Wolf Security Controllerを最新の状態に保ち、新しいダッシュボードとレポートテンプレートを受け取ることができるようにしてください。最新のリリースノートとソフトウェアのダウンロードは、カスタマーポータルでご覧ください。[14]
• HP Wolf Securityのエンドポイントソフトウェアをアップデートし、当社の研究チームが追加した脅威アノテーションルールを常に最新に保ってください。

HP Threat Research チームは、セキュリティチームが脅威から身を守るために役立つ 侵害の痕跡 (IOC) やツールを定期的に公開しています。これらのリソースは、HP Threat Research GitHub リポジトリからアクセスできます。[15] 最新の脅威に関する調査については、HP WOLF SECURITY ブログ [16] にアクセスしてください。

HP Wolf Security 脅威インサイトレポートについて

企業は、ユーザーがEメールの添付ファイルを開いたり、Eメール内のハイパーリンクをクリックしたり、Webからファイルをダウンロードすることに対して最も脆弱です。HP Wolf Securityは、リスクの高いアクティビティをマイクロVMに隔離し、ホストコンピュータがマルウェアに感染したり、企業ネットワークに広がったりしないようにすることで企業を保護します。HP Wolf Securityは、イントロスペクションを使用して豊富なフォレンジックデータを収集し、お客様のネットワークが直面する脅威を理解し、インフラストラクチャを強化できるよう支援します。HP Wolf Security 脅威インサイトレポートは、当社の脅威研究チームが分析した注目すべきマルウェアキャンペーンを紹介し、お客様が新たな脅威を認識し、環境を保護するために行動を起こすことができるようにします。

HP Wolf Securityについて

HP Wolf Securityは、新しいタイプc のエンドポイントセキュリティです。HPのハードウェアで強化されたセキュリ ティとエンドポイントに特化したセキュリティサービスのポートフォリオは、組織がPC、プリンター、そして人々を、取り囲むサイバー犯罪者から守るために設計されています。HP Wolf Security は、ハードウェア・レベル からソフトウェアやサービスに至るまで、包括的なエンドポイントの保護とレジリエンスを提供します。

リファレンス

[1] https://jp.ext.hp.com/business-solution/wolf/

[2] https://malpedia.caad.fkie.fraunhofer.de/details/win.qakbot

[3] https://malpedia.caad.fkie.fraunhofer.de/details/win.icedid

[4] https://threatresearch.ext.hp.com/chinese-phishing-campaign-abuses-qr-codes-to-steal-credit-card-details/

[5] https://threatresearch.ext.hp.com/adverts-mimicking-popular-software-leads-to-malware/

[6] https://malpedia.caad.fkie.fraunhofer.de/details/win.vidar

[7] https://malpedia.caad.fkie.fraunhofer.de/details/win.rhadamanthys

[8] https://malpedia.caad.fkie.fraunhofer.de/details/win.bat_loader

[9] https://malpedia.caad.fkie.fraunhofer.de/details/win.emotet

[10] https://attack.mitre.org/techniques/T1218/010/

[11] https://learn.microsoft.com/en-us/deployoffice/security/internet-macros-blocked

[12] https://enterprisesecurity.hp.com/s/article/Threat-Forwarding

[13] https://enterprisesecurity.hp.com/s/article/HP-Threat-Intelligence

[14] https://enterprisesecurity.hp.com/s/

[15] https://github.com/hpthreatresearch/

[16] https://threatresearch.ext.hp.com/blog

a. HP Wolf Enterprise Securityはオプションサービスで、HP Sure Click EnterpriseやHP Sure Access Enterpriseなどが該当します。HP Sure Click Enterpriseは、Windows 10が必要で、Microsoft Internet Explorer、Google Chrome、ChromiumまたはFirefoxに対応しています。Microsoft OfficeまたはAdobe Acrobatがインストールされている場合、サポートされている文書には、Microsoft Office（Word、Excel、PowerPoint）およびPDFファイルが含まれます。HPSure Access Enterpriseには、Windows 10 ProまたはEnterpriseが必要です。HPのサービスは、ご購入時にお客様に提供または提示される、当該HPのサービスに適用される使用条件に準拠します。お客様によっては該当地域の法令に従ってその他の法的権利を有することもあり、その場合には当該権利はHPサービスお取引条件またはお使いのHP製品とともに提供されるHP限定保証条件による影響を一切受けません。完全なシステム要件については、以下を参照ください。www.hpdaas.com/requirements

b. HP Wolf Security Controllerは、HP Sure Click EnterpriseまたはHP Sure Access Enterpriseが必要です。HP Wolf Security Controllerは、デバイスやアプリケーションに関する重要なデータを提供する管理・分析プラットフォームで、スタンドアロンサービスとしては販売していません。HP Wolf Security Controllerは、厳格なGDPRプライバシー規制に従っており、情報セキュリティに関してISO27001、ISO27017、SOC2 Type2の認証を受けています。HPクラウドへの接続が可能なインターネットアクセスが必要です。完全なシステム要件については、以下を参照ください。http://www.hpdaas.com/requirements

c. HP SecurityはHP Wolf Securityになりました。セキュリティ機能はプラットフォームによって異なりますので、詳細は製品データシートをご覧ください。

HPのサービスは、ご購入時にお客様に提供または提示される、当該HPのサービスに適用される使用条件に準拠します。お客様によっては該当地域の法令に従ってその他の法的権利を有することもあり、その場合には当該権利はHPサービスお取引条件またはお使いのHP製品とともに提供されるHP限定保証条件にによる影響を一切受けません。

© Copyright 2022 HP Development Company, L.P. ここに記載されている情報は、予告なく変更されることがあります。HP の製品およびサービスに関する唯一の保証は、当該製品およびサービスに付随する明示的な保証書に記載されています。本書のいかなる内容も、追加的な保証を構成することは一切ありません。HP は、本書に含まれる技術的または編集上の誤りや脱落について責任を負いません。

Author : HP WOLF SECURITY