イーセットジャパンは9月7日、「ESET脅威レポート2023年上半期版」を公開した。同日開催の報道向け説明会では、ESETでSecurity Awareness Specialistを務めるOndrej Kubovic(オンドレイ・クボヴィッチ)氏が詳細を説明した。
同レポートは、12月~翌年5月を上半期、6~11月を下半期として年2回発表される。同社がグローバルで収集したテレメトリーデータなどを同社のアナリストが分析している。今回は上半期版ということで2022年12月~2023年5月が調査対象期間となるが、説明会では最新情報として2023年6~8月のデータも含めた9カ月分の脅威動向について解説された。
ESETでSecurity Awareness Specialistを務めるOndrej Kubovic氏
またKubovic氏は、同レポートの特徴として「レポートの発行を始めてから過去3年半のわれわれのテレメトリーデータで、日本は世界でも最も多くの脅威が検出された国だ」と話す。その理由として、「日本にはESET製品のユーザーが多い」「日本にはテレメトリーデータの収集に同意してくれるユーザーが多い」「『Emotet』のように、日本を特に標的とする攻撃者グループが存在する」――の3点が挙げられた。
この結果、同社の分析データは米国を中心にデータ収集を行っているセキュリティベンダーのレポートよりも、日本の状況を反映したものとなっている可能性がある。
まずグローバルでの全体的な脅威の検出傾向については、2022年下半期に比べてやや減少傾向だという。その理由としては「ロシアのウクライナ侵攻によって急増していたサイバー攻撃が落ち着いてきており、侵攻前の水準に戻りつつある」(同氏)とした。
一方、日本での検出数は変動が大きいが、全体的には微減(2%減)となっている。その中でも何回か検出件数が急増するスパイクが見られるが、その多くは「HTML/Phishing.Agent trojan」(メール添付された不正なHTMLファイル/トロイの木馬)や「DOC/Fraud trojan」(詐欺サイトのリンクが埋め込まれたdocファイル)によるものとなっている。
日本における脅威の検出傾向。変動幅が大きいものの、全体としては前期比2%減となっている
脅威の種類別の上位10件
なお、DOC/Fraud torojanでは、セクストーション(性的脅迫:ポルノサイトなどを閲覧した証拠をつかんでいるので、公開されたくないなら支払えなどと脅す手法)が多く見られるという。このほか、日本で検出される脅威の多くはさまざまな情報窃取型のマルウェアで、Emotetなども検出されている。
世界と日本で異なる傾向となっている例としては、「Microsoft SQL Server」と「Remote Desktop Protocol」(RDP)をターゲットとした攻撃の傾向だ。グローバルではSQL Serverに対する攻撃が前期比85%増と急増している一方、コロナ禍で急増したRDPをターゲットとした攻撃が減少に転じているが、日本では逆にSQL Serverへの攻撃は11%減と減少傾向で、RDPに対する攻撃は2%増となっている。
Microsoft SQL Serverに対する攻撃とRDPに対する攻撃のトレンド比較。グローバルではSQL Serverへの攻撃が増加する一方RDPは減少傾向だが、日本では逆のトレンドとなっている
この点について、Kubovic氏は「日本ではSQL Serverがあまり使われていない一方、RDPへの攻撃に対する防御がまだ不十分で攻撃成功率が高いためではないか」としている。システムへの侵入手法では、ブルートフォース攻撃によるパスワード推測が最多となる一方、2位は「Apache Log4j」の脆弱性となっており、いまだに対策が講じられていないシステムが多数残存している状況が分かる。
システムへの侵入手法のランキング。パスワード推測が4割以上を占める一方、2位はLog4jの脆弱性を利用する手法となっており、対策が不十分なシステムがまだ多いことが分かる
2019年ごろから何度か大流行を繰り返したEmotetに関しては、さまざまな対策が進んだこともあって今期の活動はかなり低調だったという。2023年上半期には3つの小さなキャンペーンが検出されたものの影響は小さくなっている。
RDPやLog4jなど、既知の脆弱性に対する攻撃が引き続き多く検知されていることから、既知の脆弱性に対して確実に対策を行っていくことの重要性が改めて浮き彫りになった形だ。
2023年上半期のEmotetの検出数の推移。こちらは対策が功奏したようで、活動がかなり低調となっている
