Trelixは12月1日、2022年第3四半期の脅威レポートを発表し、報道機関向けにオンライン説明会を開催した。常務執行役 セールスエンジニアリング本部 シニアディレクターの櫻井秀光氏がレポートの詳細を解説した。
Trellix 常務執行役 セールスエンジニアリング本部 シニアディレクター 櫻井秀光氏
同社は、旧McAfeeの法人向け事業と旧FireEye事業が統合されたもので、XDR(eXtended Detection and Response)を中核としたセキュリティソリューションを提供する。日本では統合作業が進行中で、社名変更もまだこれからの状況だが、櫻井氏はまず、これまで脅威レポートの発行を担ってきた同社内のリサーチ部門が新たに「Trellix Advanced Research Center」(ARC)という正式名称で活動を開始したことを明かした。また、今後は「製品研究」「脅威インテリジェンス」「敵対的調査研究とアドボカシー」「リサーチエンジニアリング」「データサイエンス」の5つのチームで活動していく方針を示した。
2022年第3四半期のランサムウェアの動向については、「Contiの活動が停止」「引き続きLockBitの検出数が最多」といったトレンドが紹介された。Contiに関しては、ソースコードやチャットの内容が外部に漏れてしまうなどのトラブルの影響からか、活動が停止したという。また、ランサムウェアの影響を受けた業界として、運輸・海運業が米国だけでも前四半期比で100%増となり、世界全体で見ても通信に次いで2番目に影響を受けた業界となった。
この理由として、櫻井氏は「世界的な経済活動の改善により運輸・海運業の重要性が増す中で、標的にされた可能性が考えられる」としている。また、ドイツでの同四半期のランサムウェアの検出数は前四半期比で32%増となり、「全世界の特定されたランサムウェアキャンペーンに影響を受けた上位10カ国の最上位」だったという。この理由としては「ロシア・ドイツ間の緊張などの政治的な情勢が影響したと考えられる」(同氏)としており、現在のウクライナ情勢に関して同国を支援する立場を取るドイツに対してサイバー攻撃が仕掛けられているとの分析が示された。
国家主導型の攻撃に関しては、中国を拠点とするサイバー攻撃者グループ「Mustang Panda」の活動が最も多く検出され、次いでロシアを拠点とする「APT29」、パキスタンを拠点とする「APT36」の検出数が多かったという。攻撃対象となっている業界として最多だったのは運輸・海運で、国別ではドイツでのAPTの脅威検出数が最多となった。
メールセキュリティでは、2017~2018年に発見された「Microsoft Office」の数式エディターの脆弱性を悪用しようとするマルウェアの検出が最多だったという。なお、メール経由でのマルウェアの進入経路として最多だったのはURLで、ユーザーにリンクをクリックさせてマルウェアをダウンロードさせる手法である。さらに、悪意あるメール経由で感染したマルウェアの種類としてはトロイの木馬が最多で、トップ5のうちの85%を占めた。
最後に櫻井氏は「注目すべき脅威」として、15年前にPythonプロジェクトに報告された脆弱性「CVE-2007-4559」がその後、適切に対処されないまま放置されていた点を挙げた。結果として世界中でさまざまなソフトウェアプロジェクトにこの脆弱性が組み込まれてしまっているという。こうした見落としが生じた理由としては、「Pythonは非営利団体であるPython Software Foundation(PSF)によって運営・所有されており、この種の問題を追跡してタイムリーに修正することはしばしば困難」(同氏)だと指摘した。
これはPythonに限らずオープンソースソフトウェアでは常に起こり得るリスクと考えられるため、昨今関心が高まっているSBOM(ソフトウェア部品表)などの取り組みを進め、使用しているソフトウェアのどこにどのようなソフトウェアモジュールが組み込まれているのかをきちんと把握しておくことが重要になると思われる。
