セキュリティー企業のTrellix(=トレリックス)は8月4日、2022年第1四半期の脅威動向をまとめたレポートを発表した。
それによると、近年は感染したパソコンに特定の制限をかけ、その制限の解除と引き換えに金銭を要求する「ランサムウエア」の被害が拡大していたが、第1四半期においては、ランサムウエアによる攻撃者への身代金の支払いは減少した。これは、1月にランサムウエア集団「REvil」のメンバーが逮捕されたことが大きいという。
また、主要なランサムウエアグループの動向から推測されるランサムウエアの感染端末数が減少。さらに、バックアップ等の対策を取っている企業が増えたこともあり、身代金を支払わない企業も増えている。同社セールスエンジニアリング本部ディレクターの櫻井秀光氏(=写真)は「資金が得られなければランサムウエアグループの組織は弱体化する。企業が身代金を支払わないことが重要だ」と述べた。
また、メールを悪用したサイバー攻撃としては、本物に似せた偽サイトに誘導し、正規サービスであるとユーザーに誤認させてログインIDとパスワードを窃取する「クレデンシャルフィッシング」が増加。これは、クラウドサービスを利用するユーザーが増加したことが大きいという。正規IDとパスワードを窃取された場合、情報漏えいだけではなく、「なりすまし」攻撃が可能になるだけに、注意が必要だ。櫻井氏は「フィッシングサイトにアクセスさせられてしまうと、本物かどうかを見分けるのは難しい。メールアドレスを確認したり、日本語がおかしくないかを確認したり、あるいは普段と異なるタイミングでメールが届いていないかなど、総合的に判断する必要がある」とした。
メールを悪用したランサムウエア攻撃も目立つ。攻撃者はランサムウエアを感染させるためにフィッシングメールを積極的に利用している。また、パスワード付き圧縮ファイルにランサムウエアを仕込んでいる場合もある。フィッシングサイトにアクセスしてしまい、悪意あるファイルをダウンロードさせられるケースでは、暗号化された「HTTPS」通信を復号して解析できないウェブセキュリティー製品を使っていると、悪意あるファイルかどうかを検知できない。
近年は、外部から受け取ったプログラムを保護された領域で動作させる「サンドボックス」を利用する企業も増えているが、攻撃者は検知を回避するために、サンドボックスが対応していないアーカイブ形式やスクリプトを利用しているという。そのため、パスワード付き添付ファイル、スクリプト等でリダイレクトを繰り返す悪意あるURLなど、サンドボックスの検知を回避しようとする最新の攻撃手法に対応した機能が必要としている。