Proofpoint 2019Q2 脅威レポート - Emotetの停止、なりすましの増加など

図1：添付ファイルベースとURLベースの悪意のあるメッセージの相対量（インデックス値、2019年Q2）

図2は、2月にURLベースの配信が急増したことを除いて、この傾向が1年を通して一貫していることを示しています。

図2：添付ファイルベースとURLベースの悪意のあるメッセージの相対量（インデックス値、2019年Q1およびQ2）

図3は、Q2期間中のマルウェアファミリーごとのメッセージボリュームの全体的な分布を示しています。ボットネット（ほとんどがEmotetによるもの）がトップのペイロードである一方、バンキング型トロイの木馬と情報スティーラーが、悪意のあるペイロード全体の39％を占めています。

図4は、2019年Q1からQ2の間に観察された相対的なマルウェア量の劇的な変化を示しています。EmotetはQ2も全ペイロードの3分の1以上を占めましたが、クレデンシャルスティーラーはQ1に比べてほぼ2倍になりました。RAT（Remote Access Trojan：リモートアクセス型トロイの木馬）、バックドア、キーロガーなど、通常はボリュームの少ないマルウェアファミリーのいくつかも増加しましたが、合わせても全体のメッセージ量の15％未満です。

図4：悪意のあるメッセージの量の四半期ごとの比較（マルウェアファミリー別）

ここ数四半期の傾向と同様に、Q2もランサムウェアの活動はほとんどありませんでしたが、GandCrabおよびSodinokibiによる小規模なキャンペーンがいくつかありました。RATは、2019年Q1には最大でも全体のボリュームの1%しかありませんでしたが、Q2は全体の6%に増えました。これは、主に中規模のRATキャンペーンを頻繁に行ったTA505によるものです。キーロガーとバックドアのアクティビティも数倍に増加しましたが、それでもペイロードの8％未満でした。バンキング型トロイの木馬の活動は比較的安定しており、Q1の21％からQ2の23％に増加しました。スティーラーの活動はQ1と比較して80％増加しましたが、Q2のボットネットの活動はQ1の半分近くで、Emotetに代わってUrsnif（バンキング型トロイの木馬）およびPony（クレデンシャルスティーラー）が台頭しました。

Ursnif、Pony、およびURLZoneがEmotetに取って代わり、バンキング型トロイの木馬およびスティーラーが今夏のマルウェア活動を牽引

重要な統計値：Emotetが5月末から活動を停止したため、相対的なメッセージ量は2019年Q1からQ2の間に24ポイント減少しました。

図5：Emotetメッセージの相対量（インデックス値、2019年Q1およびQ2）

2018年Q4から2019年Q1にかけて行われた大量のキャンペーンの後、Q2に入りEmotetのボリュームは徐々に減少し始めました。2019年5月31日に夏休み前の最後のEmotetキャンペーンと思われるものが観測されました。しかし、他の大規模なマルウェアオペレーションでも見られることですが、脅威アクターがボットネットの改修、新しいインフラストラクチャの構築、または送信制御を復活させるために活動を一時停止することは珍しくありません。Emotetが膨大なボリュームによって全体的な脅威ランドスケープに及ぼす影響の大きさと、巧妙に作成されローカライズされたキャンペーンを考えると、今後数四半期はマルウェアとC&Cインフラの監視を続ける必要があるでしょう。

2019年6月のEmotetの不在を完全に補完した攻撃者やマルウェアはありませんでしたが、UrsnifとPonyのボリュームはQ2を通して高いものでした。また、継続的な大量のURLZoneキャンペーンも確認されました。そのほとんどは、Ursnifを日本でのセカンダリペイロードとして配布するために使用されました。

図6：Ursnifバンキング型トロイの木馬およびPonyスティーラーの相対的なメッセージ量（インデックス値、2019年Q1およびQ2）

2019年Q1には大量のIcedID、The Trick、およびQbotがバンキング型トロイの木馬ペイロードの85％を占めましたが、Q2はUrsnifが約80％を占めました。URLZoneは主にUrsnifをセカンダリペイロードとして配布するために使用され、11％を占めています。TrickとDridexは、それぞれ3％と2％を占めています。図7は、Q2にUrsnifが突出した状況を示しています。

図7：バンキング型トロイの木馬の相対的なメッセージ量（2019年Q2）

Q2は、Ponyに代表されるクレデンシャルスティーラーが注目されました。Ponyは、ProofpointがTA511と名付けて追跡している脅威アクターによる大量のキャンペーンによって、すべてのスティーラートラフィックの半分以上を占めました。他にはAZORultスティーラーが16％を占め、Loki BotとFormbookを加えて上位4つのスティーラーとなります。Q2の後半は停止していましたが、Emotetのマルチツールアプローチも含め、これらはすべて被害者の知らないうちにデバイスに感染し、静かに常駐するように設計された堅牢なマルウェアです。

GandCrab（ランサムウェア）の運営者が引退し、RATが台頭

重要な統計値：RATは、Q2のすべての悪意のあるペイロードの6％を占めました。

ランサムウェアは、2019年Q1以前にほぼ消滅していましたが、GandCrabは注意深く構築されローカライズした上で地理的にターゲットを絞ったキャンペーンにより、例外的に残っていました。しかし、Q2の終わりに、GandCrabの「ransomware-as-a-service」の運営者は、身代金として20億ドル以上を稼いだと報じられた後に、「引退」すると発表しました。Q2はSodinokibiランサムウェア（GandCrabの後継者と考える人もいます）を配布するいくつかの小さなキャンペーンを確認しましたが、電子メールを介したランサムウェア攻撃はさらに少なくなりました。

一方、RATを使ったキャンペーンは、他のマルウェアファミリーと比較して5倍に増加しました。これらの攻撃は主にTA505によって行われたもので、今四半期中にいくつかの中規模のFlawedAmmyyキャンペーンが観測されました。Q1のレポートでも述べたように、堅牢で多目的のマルウェアへの傾向は、TA505によるRATの広範囲な配布と、ランサムウェアからのシフトから始まったのです。

なりすましの脅威：Q2は、IDディセプション技術の使用が拡大

重要な統計値：なりすましメールでのドメインスプーフィングの使用は、Q1から47ポイント増加して57％になりました。

なりすましは、コンシューマを狙う電子メールスパムでよく使われる手法ですが、Q2は組織を狙ったバルクメールでも広く使われました。通常はビジネスメール詐欺（BEC）に関連して毎四半期数万～数十万通のなりすましメールを観測しますが、Q2は数千通のメッセージ規模でこの手法が使われました。ただし、これらのメッセージのほとんどはBECではなく、バルク詐欺やアフィリエイトスパムでした。この変化の理由は明確ではありませんが、一般的なコンシューマを狙った詐欺ではなく、組織とその従業員を対象としたバルク詐欺にこのような手法が使用されたのは、Proofpointが観測した限りでは初めてです。

同時に、Q2にはID詐欺の手段としてのドメインスプーフィングの使用が大幅に増加しました。Q1には、ディスプレイネームスプーフィングなどの単純な戦術ではなくドメインスプーフィングを使用したメッセージは10％未満でしたが、Q2にはその数は57％に増加しました。

また同様に、これらの攻撃で使用されるドメインの数と種類は、四半期ごとに劇的に増加しています。トップレベルドメイン（TLD）の使用数は2倍以上になりましたが、なりすまし攻撃の最初に使用されるユニークな送信元ドメインヘッダーの数は54倍に増加しました。

Proofpointはこの傾向を引き続き監視して、エンタープライズ向けの電子メールでのIDディセプション技術の使用と実装における大規模な変化の背後にある理由を調査します。

Proofpointからの推奨事項

本レポートは、組織のサイバーセキュリティ戦略に役立てていただけるよう、変化する脅威ランドスケープに関するインサイトを提供しています。今後数か月について、データ、顧客、ブランドを保護する方法についての推奨事項を以下に示します。

エンドユーザーは、怪しいリンクをクリックしてしまうものであると考えてください。ソーシャルエンジニアリングは電子メール攻撃において最もよく使われる手法であり、犯罪者は人的要因を悪用する新しい方法を探し続けています。従業員をターゲットとするインバウンドの脅威と、顧客をターゲットとするアウトバウンドの脅威の両方を識別して隔離するソリューションを活用して、受信トレイに到達する前にそれらを排除しましょう。

なりすまし攻撃に対抗するための強固な防御体制を構築します。標的を絞った低ボリュームのBEC（ビジネスメール詐欺）には、多くの場合ペイロードがまったく含まれていないため、従来のソリューションでは検出が困難です。検疫およびブロックのポリシーの構築に使用できる動的な分類機能を備えたソリューションに投資しましょう。このソリューションは、さまざまな目的と実践を持つ脅威アクターがIDディセプション技術を採用する可能性があるため、スケーラブルでなければなりません。また、可能であればDMARCを完全に実装する必要があります。

ブランド価値と顧客を保護します。ソーシャルメディア、メール、モバイル、特にブランドに便乗する不正アカウントを使って顧客を狙う攻撃と戦います。Webをスキャンし、不正で疑わしい活動を報告する包括的なドメイン詐欺への対抗ソリューションを探してください。

脅威インテリジェンスベンダーと契約してください。より小規模で、より標的を絞った攻撃に対抗するためには、高度な脅威インテリジェンスが必要です。静的手法と動的手法を組み合わせて新しい攻撃ツール、戦術、標的を検出し、それらから学習するソリューションを活用します。