小売業におけるクラウドの脅威

セキュアアクセスサービスエッジ（SASE）のリーディングカンパニーであるNetskope（以下、ネットスコープ）の調査研究部門であるNetskope Threat Labsは、小売業におけるクラウドの脅威に焦点を当てた、最新の調査レポートを発表した。本レポートでは、過去1年間に小売業を標的とする攻撃者によって展開された主要なマルウェアファミリーは、IoTボットネット、リモートアクセスツールおよびインフォスティーラー（情報窃取型マルウェア）であることが明らかになった。また、小売業で主流のアプリケーションが、この1年でGoogle CloudベースのアプリケーションからOutlookなどのMicrosoftアプリへと移行したことも明らかになっている。

主要な調査結果は以下の通りです。

• 小売業を狙う攻撃にインフォスティーラーを使用：攻撃者が組織や顧客から支払い情報などの重要なデータの窃取を試みることから、インフォスティーラーは小売業界に対する攻撃において主要なマルウェアファミリーとなっている。
  • また、攻撃者が収集した認証情報や個人の財務情報を販売していることにより、インフォスティーラーはより広範なサイバー犯罪のエコシステムの供給源となっている。
• ボットネットとトロイの木馬がネットワークデバイスを標的に：Miraiボットネットファミリーは、ルーター、カメラ、小売業の環境におけるその他のIoTデバイスなど、Linuxを実行する脆弱なネットワークデバイスを標的にする攻撃でより多く確認されている。
  • IoTデバイスはセキュリティリスクとして見過ごされがちであるものの、サイバー犯罪の補助となる視覚情報やセンサー情報を得るために有効であり、さらに他のターゲットに対するDDoS攻撃に悪用されることもある。
  • 同様に、ブラウザやリモートカメラにアクセスし、攻撃者への情報送信やコマンド受信を可能にするリモートアクセス型トロイの木馬（RAT）も多く用いられた。
  • Miraiマルウェアのソースコード流出以来、その亜種は大幅に増加しており、複数の脆弱なエンドポイントを持つセクターである小売業界にとってリスクとなっている。
• Microsoftアプリを介した攻撃の増加：昨年のレポートではGoogleアプリケーションは他の業界に比べ小売業界においてはるかに高い人気を示していたが、この1年で見られたのはMicrosoftの人気の復活。この傾向は特にストレージサービスについて顕著で、OneDriveとGoogleドライブの差はこの1年で広がっています。ユーザー比率の平均はOneDriveが43%から51%に増加した一方で、Googleドライブが34%から23%に減少しています。同様の傾向はメールアプリでも見られ、Outlook（21%）がGmail（13%）に代わり最も人気のあるメールアプリとなっている。
  • Microsoft OneDriveは、小売業を含むあらゆるセクターにおいて、マルウェア配信に最も多く用いられるクラウドアプリケーションとなっている。攻撃者はOneDriveに対するユーザーの信頼と親しみを利用する手法に傾倒しており、それによってユーザーがリンクをクリックしマルウェアをダウンロードする可能性を高めている。
  • 小売業では、Outlookによる攻撃が他のセクターより成功しており、小売業界におけるOutlookを介したマルウェアダウンロード件数（10%）は、他業界における平均（5%）の2倍となっている。
• 小売業におけるWhatsApp人気：WhatsAppの利用率およびダウンロード率の平均を見てみると、小売業（14%）では他業界（5.8%）と比べて約3倍近い人気となっている。しかし、現在WhatsAppは、マルウェアのダウンロードに使われるアプリの上位リストには挙がっていない。この状況は、脅威アクターがWhatsAppの人気について、WhatsApp経由でより多くの攻撃を仕掛ける経済的根拠が認められると見なし始めていることから、変化する可能性がある。
  • X（12%）、Facebook（10%）、Instagram（アップロード数の1.5%）などのソーシャルメディアアプリケーションは、いずれも小売業において他の業界での平均よりも人気がある。 

この調査結果について、ネットスコープのサイバーインテリジェンスプリンシパルであるパオロ・パッセリ（Paoro Passeri）は次のように述べている。

「小売業界がいまだMiraiのようなボットネットのターゲットとなっていることは、驚くべきことです。これは、攻撃者が小売店舗全体に配備された脆弱性や設定ミスのあるIoTデバイスを侵害し、それを悪用して分散型サービス拒否（DDoS）攻撃の効果を劇的に増加させようとしていることによります。Miraiは特に新しい脅威ではなく、2016年の発見以来、現在では複数の亜種が使用されています。攻撃者がIoTデバイスをターゲットにするためにこのボットネットを使い続けているという事実は、あまりにも多くの組織が、インターネットに接続されたデバイスのセキュリティ態勢を危険なことに見過ごし続けているということを示しています。これは、IoTボットネットから発信される攻撃のターゲットだけでなく、IoTデバイスをボットネットの配下として利用されている組織にとってもまた、重大なリスクとなっています。なぜならIoTデバイスの悪用は、ビジネス機能に影響を与えかねない業務の停止を容易に招くためです」

「この脆弱性は、認証情報や顧客の財務データを抜き取るインフォスティーラー、そしてリモートアクセスマルウェアの使用と相まって、小売業を攻撃者にとって大きな利益をもたらし得る潜在的ターゲットにしています」

「特に興味を引かれたのは、2023年8月末にFBIによって制圧されたにもかかわらず、Qakbotが小売業界における脅威の上位となっていることです。Qakbotのインフラは、追加のマルウェアペイロードを配布するために攻撃者によってすぐに再装備され、さらなる可能性を攻撃者に提供しています。さらにQakbotの活動が中断された後も、独立したQakbotキャンペーンが複数検出されています」

「小売企業をターゲットにした攻撃者の手法の中で、MiraiのようなボットネットやQakbotのようなインフォスティーラーが上位を占め続けているという事実は、組織のインフラとエンドポイント強化のためセキュリティリーダーがするべきことが数多く残されていることを示しています。幸いにも、ウェブやクラウドのトラフィックを検査し、悪意あるトラフィックを確実にブロックして、侵害されたエンドポイントやドメインを隔離する、といった基本的なサイバーハイジーン（衛生管理）のベストプラクティスに従うことで、こうした攻撃者の餌食となるリスクを減らすことができます」

Netskope Threat Labsは、小売業セクターの企業の皆様に対し、これらの脅威に対抗するために、自社のセキュリティ態勢の見直しと以下のベストプラクティスを推奨している。

• あらゆるウェブトラフィックおよびクラウドトラフィックを含む、すべてのHTTPおよびHTTPSダウンロードを検査し、マルウェアがネットワークに侵入するのを防ぎましょう。
• 実行可能ファイルやアーカイブのようなリスクの高いファイルタイプは、ダウンロード前に静的解析と動的解析を組み合わせた徹底的な検査を行いましょう。
• 組織内で使用されていないアプリやインスタンスからのダウンロードとアップロードをブロックするようポリシーを設定することで、リスク領域を業務に必要なアプリやインスタンスのみに絞り込み、内部の関係者による偶発的または意図的なデータ流失や、攻撃者による悪用のリスクを最小限に抑えましょう。
• 一般的なマルウェアに関連するコマンドアンドコントロールトラフィックなど、悪意あるトラフィックパターンを識別しブロックできる侵入防御システム（IPS）を使用しましょう。この種の通信をブロックすることで、攻撃者のさらなる行動を制限し、被害の拡大を防げます。
•  リモートブラウザ分離（RBI）技術を使用し、新たに観測されたドメインや新しく登録されたドメインなどより高リスクな可能性があると分類されたウェブサイトを訪れる必要がある場合に向け、さらなる保護を提供しましょう。 

本レポートは、ネットスコープの2,500以上のお客様における小売業界のサブセットについて収集された匿名の使用データに基づいており、本調査の趣旨に沿ったデータの分析については、すべてのお客様から事前の承認を得ている。本レポート内の統計は、2023年3月1日から2024年2月29日までの期間に基づいている。 

本レポートの完全版はこちらから。