Netskopeが発表した最新の脅威レポートが示す新たなマルウェア動向

Netskope Threat Labsが2024年の最新の脅威レポートを発表しました。このレポートでは、2024年7月1日から10月1日までの間における、主にクラウド関連の脅威について詳細に分析されています。特に、GitHubやOneDriveといった一般的なクラウドアプリがマルウェア配布にどのように利用されているかが注目されています。

マルウェア配布の現状

最新のレポートによれば、GitHubは主にポストエクスプロイトツールのダウンロードに、OneDriveはマルウェアそのものの配布に利用されていることが明らかになりました。これらのクラウドアプリは、攻撃者にとって高度な検知回避手段を提供しており、直接的なセキュリティ対策が施されていない場合、特に効果的です。

当四半期のマルウェアファミリーのトップは、インフォスティーラーの「AgentTesla」とリモートアクセス型トロイの木馬「Remcos RAT」で、それぞれ特有の機能を持った脅威です。これらは、企業のセキュリティを脅かす重要な要素となっています。

クラウドアプリの悪用

攻撃者は、企業内で広く使われているCラウドアプリを悪用し、セキュリティ対策を回避する手法を採用しています。特に、GitHubとOneDriveはマルウェア配布の際に非常に高い成功率を誇ります。GitHubでは、MimikatzやImpacketといった道具が主に利用され、OneDriveではBumblebee Loaderのようなマルウェアが配布されていることが確認されています。

このような背景から、企業は自社のセキュリティ対策を再評価し、不要なリスクを排除するための方策を強化する必要があります。

マルウェアファミリーの分析

以下に、2024年7月から10月の間にNetskopeがブロックしたマルウェアファミリーの上位を示します：
1. AgentTesla（インフォスティーラー）: ブラウザパスワードの窃取やキーストロークの取得など、多くの機能を備えたリモートアクセス型トロイの木馬。
2. NjRAT（別名Bladabindi）: キーロギングやブラウザ認証情報の窃取、被害者のカメラアクセスなどを行うリモートアクセス型トロイの木馬。
3. Remcos（RAT）: デバイスの遠隔操作に広範な機能を持ち、多くの攻撃者に利用されています。

これらの脅威は、セキュリティ体制の抜け道を突く形で深刻な問題を引き起こす可能性があるため、注意が必要です。

セキュリティ対策の提言

Netskope Threat Labsは、企業に対し以下のセキュリティ対策を推奨しています：

- クラウドトラフィックの詳細な検査を行い、全てのHTTPおよびHTTPSダウンロードを分析する。
- ZIPファイルなどのアーカイブファイルに対してリカーシブインスペクションを実施し、悪意あるコンテンツ含有の有無を確認する。
- 高リスクファイル（実行可能ファイルやアーカイブなど）の静的および動的分析を行う。
- 自社で使用されていないアプリからのダウンロードをブロックするポリシーを設定する。

これらの対策を講じることで、企業はマルウェアによる被害を最小限に抑えることが可能です。新たに登録されたドメインからのファイルダウンロードを全てブロックすることで、さらなる安全を確保することも重要です。

結論

Netskopeは、世界中の多数の企業をエンドポイント脅威から防ぐために、リアルタイムのセキュリティサービスを提供しています。今後も、マルウェアの脅威に対する正確な情報提供と効果的な対策を推進し続けることで、企業のデータ保護を支援していくことが期待されます。脅威レポートの詳細は、Netskopeの公式Webサイトにて確認できます。