Anglerエクスプロイト キットの感染チェーン
米マカフィーの研究機関であるMcAfee Labs(マカフィー ラボ)は2月24日、2014年第4四半期の脅威レポートを発表した。
今回のレポートでは、モバイル向け脅威動向に関する詳細について考察しているほか、モバイルアプリの開発者がSSLの重大な脆弱性の修正を放置していることにより、数百万人の携帯電話ユーザーに脅威の影響がおよぶ可能性があることを指摘している。また、徐々に広まりつつあるAnglerエクスプロイトキットの詳細を明らかにするとともに、システム設定を変更し、ユーザーに知られることなく個人情報を収集するプログラムなど、ますます危険性を増している不審なプログラム(PUP)について注意を促している。
モバイルアプリの脆弱性が
数百万人のモバイルユーザーに影響する可能性
McAfee Labsの調査によると、モバイルアプリの提供業者は最も基本的なSSLの脆弱性(不適切なデジタル証明書チェーンの検証)への対処が遅れていることがわかった。2014年9月、米国カーネギーメロン大学のコンピュータ緊急対応チーム(CERT、Computer Emergency Response Team)は、この脆弱性を抱えているモバイルアプリのリストを発表した。そのなかには、数百万のダウンロード件数を達成している人気のアプリも含まれていた。
2015年1月には、McAfee Labsが、CERTの発表した脆弱性(ログイン認証情報をセキュリティが確保されていない接続で送信)を抱えるモバイルアプリのうち、人気の上位25のアプリをテストしたところ、そのうち18のアプリでは、脆弱性が一般に公表され、また警告されたにも関わらず修正されていないことが判明した。一部のケースでは、アプリ自体に複数回のバージョンアップが行われていながら、セキュリティの問題は放置されているアプリさえあったという。McAfee Labsが、それら脆弱性を抱えたアプリに対して、中間者(Man-in-the-Middle)攻撃を試したところ、安全とされているSSLセッションの最中に共有情報の傍受が可能であることが確認された。脆弱なデータにはユーザー名およびパスワードが含まれており、さらに一部のアプリでは、ソーシャルネットワークやその他の第三者サービスのログイン認証情報も含まれていた。
こうしたモバイルアプリの脆弱性が実際に悪用されたという報告はないが、これらのアプリの累積ダウンロード数は数億におよんでいるという。この膨大なダウンロード件数を考慮し、McAfee Labsでは、モバイルアプリ開発者がSSLの脆弱性を修正しないことにより、数百万人のユーザーが中間者(Man-in-the-Middle)攻撃のターゲットになっている可能性があると推測している。
増加するAnglerエクスプロイトキットの増加と攻撃の高度化
また、McAfee Labsが注目する第4四半期のもう1つの傾向として、Anglerエクスプロイトキットの増加が挙げられる。このエクスプロイトキットは、「サービスとしてのサイバー犯罪(Cybercrime as a Service)」の考え方から誕生した既製ツールの1つであり、これまで以上に悪質な脅威をもたらす。McAfee Labsによると、サイバー犯罪者は、2014年の下半期にAnglerへの移行を進めており、その間に有名なエクスプロイトキットであるBlacoleよりも人気のあるキットとなった。Anglerはさまざまな検知回避手法を駆使して仮想マシン、サンドボックス、セキュリティ ソフトウェアによって検知されないようになっており、頻繁にパターンやペイロードを変更することで一部のセキュリティ製品から脅威を隠そうとする。
このクライムウェアパッケージには、簡単に使える攻撃機能や新機能が含まれている。それらの攻撃機能や新機能には、ファイルレスの感染、仮想マシンやセキュリティ製品の検知回避、バンキング型トロイの木馬、ルートキット、ランサムウェア、CryptoLocker、バックドア型トロイの木馬といった、さまざまなペイロードを配布する機能などが含まれている。
2014年第4四半期のその他の脅威動向は以下の通り。
モバイルマルウェア
McAfee Labsでは、2014年第4四半期にモバイルマルウェアのサンプル数が14%増加し、アジアとアフリカが最も高い感染率を示したと報告しています。マカフィーが監視しているモバイルシステムの少なくとも8%が、2014年第4四半期に感染を報告しており、その活動の多くがAirPush広告ネットワークを介して行われていました。
不審なプログラム(PUP)
2014年第4四半期中に McAfee Labsは毎日、9100万台のシステムでPUPを検出しました。McAfee Labsでは、PUPは危険性をさらに増しており、正規のアプリを装いながら、ユーザーが望んでいない広告の表示、ブラウザの設定変更、ユーザーやシステムのデータ収集といった不正な活動を行っていることを確認しています。
ランサムウェア(PUP)
ランサムウェアの新規サンプル数は、過去1年間は減少傾向でしたが、2014年第3四半期から再び増加しています。2014年第4四半期には、新規サンプル数が155%増加しました。
署名付きマルウェア
一時期減少していた新しい署名付き不正バイナリは、2014年第4四半期には再び増加率が上昇し、署名付きバイナリの総数は17%増加しました。
マルウェアの総数(PUP)
現在、McAfee Labsでは、1分あたり387件のマルウェアの新規サンプルを検出しています。これは1秒あたり6件以上に相当します。
McAfee Labsのシニアバイスプレジデント、ヴィンセント・ウィーファー(Vincent Weafer)は次のように述べている。
「私たちの生活はモバイル機器やそこで動作するアプリケーションにますます依存するようになり、モバイル機器は今や個人ユーザーや企業ユーザーにとって不可欠なツールです。デジタルの信頼性は、私たちがデジタル世界に深く関与し、またデジタル世界が提供するメリットを安全に享受するために必要不可欠なものです。そして、モバイルアプリの開発者はこれまで以上に安全性に関して大きな責任を果たす必要があると考えています。開発者は、ユーザーがモバイルアプリを楽しみながらデジタルライフを満喫できるよう、アプリケーションが安全性の高いプログラミングの慣行に従い、また過去十年にわたって開発されてきた脆弱性への対処法に準じることで、一定水準のセキュリティ レベルを提供すべきだと考えています」
『McAfee Labs Threats Report: February 2015(McAfee Labs脅威レポート: 2015年2月)』の日本語版全文は、以下からダウンロードできる。
http://www.mcafee.com/jp/threat-center/report/download89.aspx
