インテル セキュリティのMcAfee Labsは日々、世界各地に配備した数百万台のセンサーからデータを収集するとともに、脅威動向を研究しています。そしてその成果をインテル セキュリティが構築している脅威インテリジェンス「McAfee Global Threat Intelligence」(McAfee GTI)を通じて皆様にお届けし、防御に活用していただくとともに、定期的にレポートの形にまとめ、公表しています。
今回は、2016年第3四半期(10~12月)の脅威動向をまとめた「McAfee Labs脅威レポート: 2016年12月」のハイライトをご紹介します。
「ランサムウェアが主な脅威に」という1年前の予測が残念ながら的中
2016年もまた、さまざまなサイバー脅威がメディアをにぎわせた1年となりました。中でも多くのユーザーや企業を脅かしたのが、PCや共有ネットワークドライブ内のファイルを暗号化してしまい、「元通りに使えるようにしたければ身代金を支払え」と要求してくる「ランサムウェア」です。
ちょうど1年前に公表した「McAfee Labs 2016年の脅威予測 」において、インテル セキュリティは、ランサムウェアが2016年の主な脅威の一つになると予測しましたが、残念ながらその予測は的中しました。2016年初めから第3四半期末までの間に新たに検出されたランサムウェアのサンプル数は80%増加し、386万603個に上っています。その上、攻撃の手口も高度化しています。「2016年はランサムウェアの年だった」と言っても過言ではないでしょう。
さて、ランサムウェアが登場したのは最近の話ではありません。この世に初めて出現したのは1989年のことで、いまや絶滅寸前のフロッピーディスクを介して感染するものでした。その後、インターネットの普及に伴って、画面をロックして金銭を要求するランサムウェアが流通し、個人ユーザーを脅かすこともありました。
このランサムウェアの性質に大きな変化が生じたのは、「CryptoLocker」が登場した2013年と言えるでしょう。ビットコインをはじめとする仮想通貨の登場により、その前後から、匿名で身代金の取引が行える環境が整っていました。CryptoLockerはさらに、Webサイトやメールの添付ファイルだけでなく、匿名通信を可能にするTorネットワーク経由でも拡散し、セキュリティ製品による検出を避けるための難読化も施されていました。その後もCryptoWallやCTB-Lockerなどさまざまなランサムウェアが登場し、一部は、特別なスキルがなくてもランサムウェアを作成してばらまける「Ransomware as a Service」(サービスとしてのランサムウェア)として提供されるに至っています。
2016年は、ランサムウェアの手口がさらに高度化しました。画像やドキュメントファイルを暗号化し、開けなくするものだけでなく、マスターブートレコードとファイルシステムを暗号化する「Petya」、ディスクパーティション全体を暗号化する「Mamba」のように、システムの起動そのものを妨げるランサムウェアが登場しました。被害者のPCではなくWebサイトを暗号化し、オンラインストアを利用できなくする「KimcilWare」も報告されています。
ターゲットも広がりました。不特定多数の個人を狙うのではなく、企業や医療機関がターゲットになり、やむを得ず攻撃者に身代金を支払った例は記憶に新しいところです。
その上、不正送金マルウェアにも用いられた「Angler」や「Neutrino」といったエクスプロイトキットを悪用し、脆弱性を突いて配布したり、仮想マシンの存在を検出してサンドボックスによる検出をかいくぐろうとするなど、ますますランサムウェアの手口は巧妙化しています。
一方で、明るいニュースもあります。ユーロポールとインテル セキュリティが中心となって立ち上げた「No More Ransom」(英文)という取り組みでは、パッチ適用やバックアップ取得といった被害防止のための助言を行うとともに、復号ツールを提供し、万一ランサムウェアに感染しても身代金を支払わなくても済むよう支援を行っています。さらに、世界各国の捜査当局とセキュリティベンダーが連携し、ランサムウェアシステムの閉鎖にも成功しています。インテル セキュリティは「2017年の脅威予測」において、こうした取り組みが実を結び、2017年にはランサムウェアの勢いは衰えると予想しています。
SOCは構築したものの、仏作って魂入れず?
もう一つ、興味深い調査結果を紹介しましょう。インテル セキュリティはカナダ、ドイツ、英国、米国のITセキュリティ責任者360人を対象に、セキュリティ監視や防御に当たる「Security Operation Center」(SOC)に関する調査を行いました。この結果からは、SOCは構築したものの、増加するセキュリティインシデントと大量のアラートを前に、優先順位付けに頭を悩ませている実態が見えてきます。
まず、10社のうち9社が、何らかの形でSOCを構築・利用していることが明らかになりました。企業規模や業種によって異なりますが、専用SOCを設けたり、Network Operation Center(NOC)の機能を兼ねて自社内に構築するケースもあれば、マネージドセキュリティサービスプロバイダー(MSSP)のサービスを受けるケースもあり、運用形態は多様です。
大半のSOCが、成熟度を高め、プロアクティブなセキュリティ運用を目指していると回答していますが、残念ながら実態はそこまで到達していないようです。回答者の26%は「事後対応型」のモデルにとどまっており、セキュリティ管理や脅威の検出、インシデント対応を場当たり的に行っていることが分かりました。また大半の組織では大量のアラートが発生しており、93%が「脅威の優先度を判断できていない」と回答しています。
国内でもサイバーセキュリティ対策の一環として、CSIRTやSOCの構築、運用に取り組む企業が増えていますが、本当に大事なのは組織を整えることではなく、いかに成熟したセキュリティ運用を実現するかです。それには人、プロセス、技術の3つの要素を向上させる必要があります。同時に、SIEMなどのツールを活用して自動化できる部分は自動化し、時にMSSPなどプロフェッショナルの力を借りるところは借りて、トリアージを迅速かつ適切に行い、インシデント調査に要する時間を短縮していくことが重要でしょう。
McAfee Labs脅威レポート2016年12月版
McAfee Global Threat Intelligence(McAfee GTI)
