マカフィーが2013年第4四半期の脅威レポートを発表した
マカフィーは3月31日、2013年第4四半期の脅威レポートを発表した。このレポートは、同社のデータセンターで収集した情報を、同社の研究機関「マカフィーラボ」の研究員が分析したもの。
POS攻撃に見るサイバー犯罪業界の隆盛
2013年第4四半期には、12月に米Target社など小売チェーンを標的とするPOS攻撃が確認された。同社への攻撃で約4000万人分のカード名義人のレコード、および約7000万人分の顧客のレコードが流出し、これは史上最大のデータ損失事件となっている。
カード情報の取引サイト
重要なのはこの攻撃が決して先進的なものではないことだ。一連の攻撃の多くはオンラインで購入可能な市販のマルウェアを利用したもので、これらのソフトを用いればプログラミングのスキルやマルウェアの機能に関する知識が少なくとも修正や再配布が簡単にできてしまうという。マルウェア対策のアプリケーションやコントロールを回避することももはや標準的な手口で、標的の防御をテストするソフトウェアや防御を回避するエクスプロイトキットも入手は容易になっているようだ。流出したカード情報は、取引市場で大口(一度に100万~400万枚)取引されているという。
こうした攻撃の実行や収益化の敷居が低くなりつつあることは、サイバー犯罪業界全体の活発化および拡大を示しているといえる。
悪意ある署名付きバイナリの出所はほとんどがCDN
新たに検知された署名付きバイナリの数。2012年の終わりから爆発的に増加している
新たに検出されたデジタル証明書付きマルウェアは、この四半期で230万を超え、前四半期から52%増加しているという。年間ベースでの2013年の検出数は、2012年の3倍以上にのぼる。
不正な署名のサブジェクトは同一のものが多い
署名には盗難や悪用されたものも含まれているが、このような増加の原因の大部分は疑わしいコンテンツディストリビューション(CDN)によるものだという。これらは、ディベロッパーが自身のプログラムや外部アプリケーションにリンクしたURLをアップロードし、署名付きインストーラー内に組み込むことを可能にするウェブサイトや企業を指す。マカフィーラボは、悪意のある署名付きバイナリーの証明書のサブジェクトのほとんどが、同一の疑わしいCDNに遡れるという調査の結果を発表している。
Officeのゼロデイ脆弱性を発見
またマカフィーラボは、2013年11月上旬にMicrosoft Officeを標的としたゼロデイエクスプロイトを発見した。これらの標的を絞った攻撃は、被害者の環境の特定のファイルの種類(.pdf、.txt、.ppt、.doc、.xlsなど)を検索して抜き出すことにより、機密情報を盗もうとしていたという。12月にはMicrosoftのパッチによって修正されている。
この脆弱性「CVE-2013-3906」はWordのOpen XML方式(docx)を利用しており、Open XMLを利用する最初の活動中のエクスプロイトとなる。これまで.docxファイルには脆弱性がないと考えられていたが、マカフィーラボは認識を改める必要があるとしている。
拡大するモバイルマルウェアにも注意が必要
新たに検知されたモバイルマルウェアの数
モバイルマルウェアの検知数の合計
マカフィーラボは2013年に247万の新しいモバイルマルウェアサンプルを収集し、第4四半期単独の合計値では74万4000に上ったという。マルウェアは、通常は他のエンドポイントデバイスに関連するほぼすべての攻撃ベクトルを通じ、モバイルデバイスにたどり着く可能性があると同社は指摘する。通常はダウンロードされたアプリとして、さらには悪意のあるウェブサイトの訪問、スパム、悪意のあるSMSメッセージ、マルウェアを含む広告から侵入するのだという。
モバイルアプリの82% が、Wi-Fiやデータネットワークを使用する時間、デバイスの電源をオンにする時間、または現在と直前の位置を追跡していることも判明している。モバイルアプリと追跡情報を共有することは、「BYOD(Bring Your Own Device)」といった従業員が個人の情報端末を持ち込んで業務で利用する場合、深刻なビジネスのセキュリティ問題の引き金となる可能性がある。評価のよくないモバイルアプリによって直接、または間接的にCEOの電話にインストールされた巧妙なマルウェアが、位置情報の追跡しか実行していなくても、競合他社、サプライヤー、金融アナリスト、脅迫者、さらには誰かに身体的危害を加えたいと望む人物にとっては貴重な情報を提供しかねないからだ。
