2021年12月のホリデーシーズンが不振に終わった後、サイバー犯罪者は2022年第1四半期に再び姿を現しました。2022年の初めの数か月間、世界中のマルウェアとフィッシングの量は増加傾向にありました。
2022年3月、Vadeは3290万件のマルウェアメールを検出しました。これは、2016年11月以来、Vadeが検出した月間最大合計数です。3月の急増は2月との比較で201%の増加を示し、2022年第1四半期に検出されたマルウェアメールの合計数は前四半期比で48.3%の増加を示しました。
2021年1月、Vadeは1億1040万件のフィッシングメールを検出し、12月から277%増加しました。フィッシングの量は2月に2030万件に減少した後、3月に46%増加して2980万件になり、3月2日から3月9日にかけて日本でフィッシング活動が急増しました。
Microsoftは最もなりすましの多いブランド、Auのなりすましが急増
ブランドのなりすましは依然として企業にとって最大の脅威であり、サイバー犯罪者は世界で最も信頼されているブランドになりすましてユーザを誘惑しています。Microsoftは2022年第1四半期にフィッシング攻撃で最もなりすましの多いブランドでした。Microsoftは、当四半期中にVadeが検出したブランドのフィッシングページの8.8%(4,119件)を占めて、98.9%増加しました。
Excelフォームを使ったMicrosoftのフィッシング
日本の移動体通信業者であるAuは、フィッシングページの6.2%(2,899件)を占めて2位にランクインし、2021年第4四半期から34%増加しました。
2021年第4四半期に最もなりすましの多かったブランドであるFacebookは、2つ順位を下げて3位にランクインし、Vadeが検出したフィッシングページの5.9%(2,768件)を占めて、2021年第4四半期から12.2%減少しました。
Facebookのすぐ後に続くのはWhatsAppで、フィッシングページの5.6%(2,638件)がVadeによって分析され、Credit Agricoleは5.3%(2,482件)となりました。ブランドのなりすましで最も大幅な増加を示したのはAppleで、以前はリストの22位にランクインしていましたが、フィッシングページが3.8%(1,776件)を占め、順位を15位上げて7位にランクインし、2021年第4四半期から366%増加しました。なりすましが大幅に増加したその他のブランドには、94%の増加を示したAdobeや46%の増加を示した楽天などがあります。
金融サービスのなりすましが依然として支配的
金融サービス業界は、依然としてすべての業界の中で最もなりすましの多い業界であり、第1四半期にVadeが分析したブランド化されたフィッシングページ全体の32%を占めています。フィッシングで最もなりすましの多かったブランドのトップ25には、Crédit Agricole、La Banque Postale、MTB、 PayPalなど9つの金融サービスブランドがランクインしており、4つのブランドがトップ10入りしました。
インターネット/通信事業者は、第1四半期にブランドのなりすましが大幅に増加しました。以前は8位だったOrangeは、順位を2つ上げて6位にランクインし、フィッシングページが106%増加しました。Comcastは、以前は12位でしたが、順位を1つ下げて13位になり、フィッシングページは40%増加しました。第1四半期に、Vadeは4万6960件の固有のフィッシングページを分析しました。これは2021年第4四半期との比較で32.7%の増加を示しています。
Emotetの再来、ターゲットは日本
米国、カナダ、およびヨーロッパの法執行機関による協調的な取り組みのおかげで、Emotetは2021年1月に一時的に活動停止に追い込まれましたが、再び表舞台に姿を現しました。Vadeは、2021年初頭にEmotetの再出現の追跡を開始しましたが、3月初旬に日本でEmotetを武器にしたメールが急増しました。第1四半期にVadeが検出したマルウェアの80%はEmotetでした。
以下の2021年3月にVadeによって検出されたEmotet攻撃の分析によると、ハッカーは不正にアクセスしたメールアカウントを悪用して、悪意のある高度に難読化されたマクロがロードされたExcelの添付ファイルを配信しました。xlsm形式の添付ファイルには、合計6枚のシートを含むスプレッドシートに5枚の非表示シートが含まれていました。
xl folder content
Workbook.xmlの内容
非表示シートLafasbor1には難読化された悪意のある文字列が含まれていますが、シート自体には、ウイルス対策保護をすり抜けるための情報や数式、参照がいくつかのシートに格納されています。
Obfuscation based on formulas
ファイルsharedStrings.xmlには、マルウェアのダウンロードに使用されるURLなどのハードコードされた文字列が含まれています。マクロシートフォルダ内のファイルintlsheet1.xmlの以下のスクリーンショットの難読化されたコードは、ペイロードを隠します。
intlsheet1.xmlの難読化されたコード
洗練されたことで、Emotetは現在出回っている最も危険なマルウェアウイルスの1つになりました。Emotetが単独で機能することは稀で、通常は最高で3つのマルウェアウイルスと組み合わせて使用され、それぞれが固有の目的を持ち、攻撃チェーンとして個別のイベントを実行します。
時事問題をテーマにした攻撃
ウクライナ
常に悪いニュースを利用する準備ができているサイバー犯罪者は、すぐにウクライナでの戦争を利用してユーザーを引きつけました。第1四半期にヨーロッパでVadeが検出したウクライナをテーマにしたメールのうち10.8%がフィッシング攻撃であり、14.3%が詐欺に分類されました。ほとんどのメールは、ウクライナへの人道援助やその他の支援の取り組みを約束し、その多くは、迅速な支払いを可能にするビットコインウォレットへのリンクを備えていました。
フィッシングとマルウェアからビジネスを保護する
フィッシングやマルウェアをブロックする従来のやり方は、もはや通用しません。Emotetは、1つのパッケージに複数の危険なウイルスが詰め込まれたウイルスであり、その環境に応じて動作を変え、分析されていることを検知すると休止状態になることができる多くのマルウェアウイルスの1つにすぎません。
フィッシングは、URLスキャン技術の回避する能力や、最も高度なフィルタをすり抜ける画像操作などの難読化技術を備えたフィッシングキットなどのツールを使って、非常に高度なものを目指して同等の発展を遂げました。
フィッシング攻撃とマルウェア攻撃の両方に共通しているのは、それぞれが悪意のある動作や単純なレピュテーションベースの分析や添付ファイルのサンドボックスでは検出できない特性を示していることです。攻撃を予測して対応するために、企業はメールセキュリティに対して行動ベースのアプローチに移行しなければなりません。
人工知能は、過去の攻撃から継続的に学習し、質の高いデータを使って人間によって訓練され、検出された脅威に自律的に対応することで、このニーズに応えます。AIを基本とするサイバーセキュリティは、ほんの数年前まではあると嬉しいものだったかもしれませんが、今日では、攻撃からビジネスを守るために欠かせないものになりました。
