Check Pointの2024年のサイバーセキュリティレポートによると、メールは依然として、悪意のあるファイルを配信する方法として最も多く利用されているようです。
このレポートでは「メールベースの攻撃は、引き続き主要な初期感染経路」と報告しています。
「悪意のあるファイルの88%はメール経由で配信され、残りはインターネットから直接ダウンロードされます。サイバー攻撃者は防御側の企業が導入しているメールセキュリティ戦略に適応しつつあり、これらの対策を回避して配信する手法を模索しています。Microsoftは、Mark-of-the-Web(MotW)で示される外部ソースのファイルに含まれるOffice VBAマクロを無効にする制限を課したことで、悪意のあるOfficeファイルの蔓延は急激に減少しました。2022年にはこれらのファイルは約50%を占めていましたが、2023年には2%まで減少しました。Officeファイルに代わって利用されるようになってきたのが、HTMLファイルやさまざまな種類のアーカイブファイルです。」
Check Pointのリサーチャーによると、 悪意のあるコンテンツを配信するためにHTMLファイルを使用するケースが急増しています。
Check Pointのリサーチャーは次のように述べています。「特に、HTMLファイルの悪用が大幅に増加しました。悪意のある添付ファイルの内、HTMLファイルは全体の69%を占めています。サイバー攻撃者はさまざまな方法でHTMLファイルを使用しており、正規のWebサイトのログインページを模倣し、ユーザーの認証情報を詐取するためのフィッシングスキームにも使用されています。これらには、悪意のあるJavaScriptや、パッチが適用されていないブラウザやブラウザプラグインに対するエクスプロイトが含まれている場合があります。最近のCheck Pointの研究で実証されているように、これらの手法はスキルレベルの低い攻撃者だけではなく、高度なAPTを実施している攻撃者も利用しれています。HTMLはその他にも、HTMLスマグリング、実行可能ファイルの自動ダウンロード、他の悪意のあるURLへのリダイレクトなどに使用されます。 メールで配信されるHTMLファイルが正規の目的で使用されるケースはほぼないことから、企業は何らかの制限お導入することを検討する必要があるでしょう。」
攻撃者は、セキュリティフィルターによる検出を回避するために、パスワードで保護されたアーカイブも使用します。
Check Pointは次のように述べています。「さまざまなアーカイブファイルの使用も増加しています。パスワードで保護されたアーカイブのコンテンツは多くのセキュリティサービスが検証できないため、効果的に攻撃できるようになります。imgやisoなどの他の形式のファイルは、MotWの警告を迂回する目的で利用されることがあります。Microsoftはこの機能を修正していますが、7-zipなどの他のプロバイダは、ユーザーがこの機能を使用するかどうかを選択するオプトインポリシーを採用しているため、MotWによる保護の仕組みの有効性が低下しています。」
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの醸成につなげています。
詳細については、Check Pointの記事を参照してください。
原典:Stu Sjouwerman著 2024年2月27日発信 https://blog.knowbe4.com/email-responsible-malicious-file-deliveries
