マカフィーのセキュリティ研究機関である McAfee Labs(マカフィー ラボ)は6月10日、2015年第四半期の脅威レポートを発表した。
今回のレポートでは、新しいランサムウェアの急速な蔓延、サイバースパイ集団「Equation Group」によるHDD/SSDファームウェア攻撃、そしてAdobe Flashを標的としたマルウェアの急増などが報告されている。
2015年第1四半期に McAfee Labsが登録した新しいランサムウェアは165%増加した。その主な要因は、検出が困難なCTB-Locker(*1)ランサムウェア ファミリ、Teslacryptと呼ばれる新しいランサムウェア ファミリ、そしてCryptoWall、TorrentLocker、BandarChorの各ランサムウェアの新バージョンの出現によるものと分析している。McAfee Labsは、CTB-Lockerが増加した要因として、セキュリティソフトウェアを回避する巧妙な手口、見破るのが困難なフィッシングメール、CTB-Lockerを内包したフィッシングメッセージの配布と成功の対価として身代金の1%を共犯者に提供する「アフィリエイト」プログラムを挙げている。
*1 感染した被害者のファイルを暗号化し、元の状態にファイルを復号化するために身代金を要求するランサムウェア型トロイの木馬
McAfee Labsでは、組織と個人に対して、インテル セキュリティフィッシングクイズなどのツールを活用して、フィッシングメールの見分け方を学ぶことが重要であると提案している。
また、第1四半期には、Adobe Flashを標的としたマルウェアの新しいサンプル数が 317%増加した。McAfee Labsでは、この急激な増加のいくつかの要因として、Adobe Flash の人気の高さ、ユーザーによるAdobe Flashパッチ適用の遅れ、Adobe Flashの脆弱性を悪用する新しい手法、Adobe Flashファイル(.swf)を再生できるモバイル端末の台数の急増、一部のAdobe Flashエクスプロイトの検出の難しさなどを挙げている。McAfee Labs は、エクスプロイトキット開発者の間で、Java アーカイブとMicrosoft Silverlight の脆弱性を標的とした攻撃から、Adobe Flash の脆弱性を標的とした攻撃への移行が続いていると考えている。
第1四半期には、米国立標準技術研究所(NIST)が運営する脆弱性情報データベース「NVD(National Vulnerability Database)」に、新たに42件のAdobe Flashの脆弱性が提出された。これらの脆弱性が提出されたその日のうちに、Adobe 社では 42 件の脆弱性のすべてに対する最初の修正を発表した。
McAfee Labs は、脆弱性に対応するベンダーの取り組みを無駄にしないために、組織と個人ユーザーは最新のセキュリティパッチを適用して製品を最新の状態に維持することに努める必要があると指摘している。
2015年2月、サイバーセキュリティコミュニティは、「Equation Group」と呼ばれる組織がHDDとSSDのファームウェアを悪用した攻撃を実施しようとしていることを探知した。これはMcAfee Labsが、2月に発見された再プログラミングモジュールを検証したところ、以前に報告されたHDD再プログラミング機能に加えて、SSD内のファームウェアも再プログラミングできることを発見したことで判明したものだ。一度再プログラミングされると、HDDとSSDのファームウェアは感染したシステムが起動するたびにマルウェアをリロードするため、ドライブの再フォーマットやOSの再インストールなどを実施した場合でも、マルウェアは存続する。このマルウェアに感染すると、マルウェア自体がドライブの隠れた領域に格納されるため、セキュリティソフトウェアで検出することはできない。
McAfee Labsは、組織に対し、悪意あるリンクを含んだフィッシングメールやマルウェアに感染したUSBドライブやCDなど、既知の初期攻撃での脅威の検出を強化するための対策を講じるとともに、データ流出の防止に役立つソリューションの導入を検討するようアドバイスしている。
2015年第1四半期のその他の脅威動向は以下の通り。
・PCマルウェアの増加:2015年第1四半期には、新しいPCマルウェアはわずかに減少した。これは、2014年第4四半期に急増したSoftPulseというアドウェア ファミリの活動が通常水準に戻ったことによるもの。またMcAfee Labsは、2015年第1四半期にマルウェア「zoo」が13%増加し、サンプル数が4億件に達したと報告している。 ・モバイルマルウェア:モバイルマルウェアの新しいサンプル数が、2014年第4四半期から2015年第1四半期にかけて49%も増加した。 ・SSL攻撃:2015年第1四半期もSSL関連の攻撃は続いていますが、2014年第4四半期に比べると、件数は徐々に減っている。この減少は、SSLライブラリーのアップデートにより、2014年第4四半期に悪用された脆弱性の多くに対処した結果であると推察している。shellshock攻撃は、昨年末に登場して以来、引き続き猛威を振るっている。 。スパムボットネット:医薬品、盗難クレジットカード、悪質なソーシャルメディア マーケティングツールの押し売りを仕掛けるDyre、Dridex、Darkmailer3.Slenfbotなどのボットネットは、FestiやDarkmailer2を抜いてスパムネットワークのトップに躍り出た。
McAfee Labsのシニアバイスプレジデント、ヴィンセント・ウィーファー(Vincent Weafer)は次のように述べている。
「Adobe Flashのような人気の高い製品では、潜在的に数百万のユーザーを脅かすセキュリティ問題を事前に識別し、軽減するなどの大きな責任が伴います。今回のMcAfee Labsの調査結果は、IT業界がサイバーセキュリティの分野で機先を制するために協力していることを証明しています。業界のパートナー各社は脅威に対するインテリジェンスを共有し、テクノロジー プロバイダーは情報に迅速に対応することで、潜在的な脅威を防止しています。また、インテルは、ソフトウェアとハードウェアのハイブリッドな脅威やエクスプロイトを深刻に受け止めています。我々は学術的な概念実証と、ファームウェアまたはBIOS操作機能を持つ未知のマルウェアの両方を注意深く監視していますが、Equation Groupによるこれらのファームウェア攻撃は、この種の脅威の中でも最も高度なものの1つに位置付けられます。そのようなマルウェアはこれまで標的を絞り込んだ攻撃に利用されてきましたが、今後は、そのような脅威が一般に流通し、復活してくることは避けられないと思われるため、企業はそれらに対する防御策を講じる必要があります」