マカフィー、2020年第4四半期　脅威レポートを発表

新型コロナウイルス関連脅威とPowerShellマルウェアの急増継続を確認

ニュースハイライト：

・2020年第4四半期、新型コロナウイルス関連の

サイバー攻撃の検出が前四半期比114％増

・DonoffマルウェアによってPowershellの脅威が208%増

・新しいマルウェアサンプルは10％増、平均で毎分648件の脅威が出現

・新しいランサムウェアは69％増、モバイルマルウェアは118％増

・クラウドのユーザーアカウントに対する外部からの攻撃を310万件確認

・「エターナルブルー」エクスプロイトは、

第4四半期において最も顕著に悪用された脆弱性に

・頻度の高いMITRE ATT&CK手法として、

System Information Discovery、Obfuscated Files、

Process Injection、Exploits of Public Facing Applicationsを確認

デバイスからクラウドまでを保護するサイバーセキュリティ企業である

米国マカフィー（McAfee Corp、本社：米国カリフォルニア州、Nasdaq：MCFE）は、

「McAfee 脅威レポート：2021年4月」を発表しました。

最新のレポートでは、2020年第3及び第4四半期における

マルウェア関連のサイバー犯罪活動とサイバー脅威の進化を分析しています。

第4四半期では、1分あたり平均648件の新たな脅威を検出し、

第3四半期に比べて1分あたり60件（10％）増加しています。

また、新型コロナウイルス感染症（COVID-19）関連のサイバー攻撃の検出は、

第3四半期では240％増、第4四半期では114％増と2期連続で増加しました。

一方、Donoffマルウェアの継続的な増加により、

PowerShellの脅威も208％の急増となりました。

マカフィーのフェロー兼チーフサイエンティストである

ラージ・サマニ（Raj Samani）は、次のように述べています。

「世界、そして企業は、パンデミック（感染症の世界的大流行）下での

制約と継続的なリモートワークの課題に適応する一方で、

セキュリティの脅威は複雑さを増し、件数や規模において拡大し続けています。

従業員のほとんどはリモートでの作業に習熟し、生産性を高めましたが、

新たな悪意ある攻撃スキームが登場し、

企業は、この機に便乗した新型コロナ関連のサイバー攻撃の増加に苦しんでいます。

さらに、業務関連のアプリやプロセスの脆弱性を標的とする

ランサムウェアやマルウェアはアクティブに活動しており、

ネットワークやデータを乗っ取ることが可能な危険性の高い脅威であり続け、

数百万ドル相当の資産と復旧コストを費やしています」。

マカフィーは、徹底した研究、調査分析、世界中の様々な脅威経路における

10億超のセンサーを通じてMcAfee Global Threat Intelligenceクラウドに

収集された脅威データに基づき、サイバー脅威の状況を

四半期ごとに評価しています。

2020年に導入したMVISION Insightsにより、マカフィーはサイバー攻撃の流行と、

関連するIoCを追跡し、フィールド内での検出を

特定することができるようになりました。

2020年末にサイバーセキュリティの世界を揺るがした

SUNBURSTマルウェアに関する観測結果を提供するとともに、

第4四半期に犯罪者グループとAPTグループで確認された

頻度の高いMITRE ATT&CK手法などの主要な統計を

今回のレポートで初めて取り上げました。

COVID-19関連の脅威

大勢の従業員が在宅勤務を強いられる前例のない状況に

世界中の組織が適応する中、サイバー犯罪者は、

パンデミックによる制約と、リモートデバイスや

回線のセキュリティの潜在的な脆弱性に対処しなければならない社員を

標的にCOVID-19関連の攻撃を積極的に仕掛けました。

パンデミックが世界中を席巻した2020年第2四半期では

605％の増加となりました。その勢いは続き、

第3四半期には240％増、第4四半期には114％増となりました。

マルウェアの脅威

2020年第3四半期にMcAfee Labsが確認した脅威は、

1分あたり平均588件で、前四半期から169件（40％）増えました。

さらに、第4四半期までには平均648件に上昇し、

1分あたり60件（10％）の増加となりました。

・PowerShell：

主にDonoffマルウェアによって

第4四半期は208％増となりました。

マカフィーは、多数のPowerShell攻撃が、

権限昇格手法として正当に実行されているプロセスにコードを

挿入するために、Process Injectionが

利用されていることを確認しました。

・モバイルマルウェア：

SMS Regサンプルが急増したため、

第4四半期には118％増となりました。HiddenAds、Clicker、

MoqHao、HiddenApp、Dropper、FakeAppは、

最も検出されたモバイルマルウェアファミリーでした。

・ランサムウェア：

Cryptodefenseによって、第4四半期では

第3四半期よりも69％増加しました。REvil、Thanos、Ryuk、

RansomeXX、Mazeのグループは、ランサムウェアファミリーの

リスト全体で上位を占めました。

・MacOSマルウェア：

EvilQuestランサムウェアによって

第3四半期に420％と爆発的に増加しましたが、

年末にかけて減速しました。

被害者、経路、脆弱性

セキュリティインシデント（公開済）：

2020年第4四半期にテクノロジー（科学技術）業界を

標的としたインシデント（公開済）が

100％の増加となりました。公共機関は同期間で93％増となりました。

攻撃経路：

第4四半期に最も多く報告された

セキュリティインシデントの原因はマルウェアで、

アカウント乗っ取り、標的型攻撃、脆弱性が続きました。

新しい脆弱性関連のインシデントは第4四半期に100％増となり、

マルウェアと標的型攻撃はそれぞれ43％増、

アカウント乗っ取りは30％増となりました。

脆弱性エクスプロイト：

マカフィーが監視、調査したサイバー攻撃の中で、

2020年第4四半期において最も顕著だったのは、

「エターナルブルー」エクスプロイトでした。

MITRE ATT&CK 手法

マカフィーが第3四半期と第4四半期に観測した

頻度の高いMITRE ATT&CK手法は、System Information Discovery、

Obfuscated Files or Information、File and Directory Discovery、

Data Encryption for Impact、Stop Services、Process Injection、

Process Discovery、Masquerading Techniques、

Exploits of Public Facing Applicationsです。

・System Information Discovery：

マカフィーが2020年第4四半期に確認した

サイバー攻撃で、最も注目に値するMITRE手法の1つです。

これらの攻撃で使われたマルウェアには、

被害者のマシンからOSバージョン、

ハードウェア構成、ホスト名を収集し、

攻撃者に送信する機能が含まれていました。

・Obfuscated Files or Information：

第4四半期で2番目に多く確認された手法です。

注目すべき例の1つは、セキュリティを回避するべく

VHDファイル（または仮想ハードドライブ）を使用して悪意のある

ペイロードをパッケージ化および難読化した

攻撃者グループAPT28によるものでした。

・Process Injection：

マカフィーは、PowerShellの脅威、RemcosなどのRATツール、

REvilなどのランサムウェアグループ、

国家が支援する複数のAPTグループなど、

いくつかのマルウェアファミリーおよび脅威グループにおいて、

この権限昇格手法を確認しました。

・Exploits of Public Facing Applications：

第4四半期にこの手法の使用が

増加したとの国土安全保障省サイバーセキュリティ・

インフラストラクチャセキュリティ庁（CISA）からの

複数のレポートを受け、米国家安全保障局（NSA）は、

業界に対し、国家が支援する攻撃者がリモート管理や

VPNソフトウェアなどの公開アプリケーションのいくつかの脆弱性を

積極的に悪用していると警告しました。

マカフィーは、洗練された国家主体の攻撃者に加え、

このような初期アクセス戦術を活用した

ランサムウェアグループを確認しました。

クラウド利用者に対する攻撃

マカフィーは、クラウドのユーザーアカウントに対する

外部からの攻撃を約310万件確認しました。

これは、2020年第4四半期に3,000万人を超える世界中の

McAfee MVISION Cloud利用者からもたらされた匿名化された

クラウド利用データの集計に基づいています。

このデータセットは、金融サービス、医療、公共機関、教育、小売、

テクノロジー、製造、エネルギー、公益事業、法曹、不動産、輸送、

ビジネスサービスなど、世界の主要産業を網羅しています。

参考情報：

・脅威レポート 20201年4月Web（英語）

・脅威レポート 20201年4月PDF（英語）※

・MVISION Insights Public View （英語）

・McAfee セキュリティ解析センター

・McAfee COVID-19 Threats Dashboard （英語）

※ 脅威レポートの日本語版PDFは後日公開予定です。

■McAfee Labs とAdvanced Threat Researchについて

McAfee Labsと マカフィーの Advanced Threat Research（ATR）チームは、

脅威調査、脅威インテリジェンス、サイバー セキュリティに関する

世界有数の情報ソースです。

McAfee LabsとMcAfee Advanced Threat Research（ATR）チームは、

ファイル、Web、メッセージ、ネットワークなど、

主要な脅威ポイントに配置された数十億のセンサーから

脅威データを収集しています。

そして、それら脅威ポイントから収集された脅威インテリジェンス、

重要な分析結果、専門家としての見解をリアルタイムで配信し、

より優れた保護とリスクの軽減に取り組んでいます。

■マカフィーについて

マカフィーはデバイスからクラウドまでを保護する

サイバーセキュリティ企業です。業界、製品、組織、

そして個人の垣根を越えて共に力を合わせることで実現する

より安全な世界を目指し、マカフィーは企業、

そして個人向けのセキュリティ ソリューションを提供しています。

詳細は https://www.mcafee.com/enterprise/ja-jp/home.html をご覧ください。

*McAfee、マカフィー、McAfeeのロゴは、米国およびその他の国における

米国法人 McAfee, LLCまたはその関連会社の商標又は登録商標です。

*その他の会社名、製品名やブランドは、該当各社の商標又は登録商標です。