著者:米インテル セキュリティ McAfee Labs 上級副社長 ヴィンセント・ウィーファー
サイバーセキュリティ上の脅威の全体像を見ると、新旧の技術、人為的なミス、そしてユーザー自身に関する事象など、さまざまな要素が混在しています。第3四半期には、ソーシャルエンジニアリングの利用により旧来の手法を進化させた脅威、ルートキットに代わるファイルレス マルウェア、モバイル アプリのセキュリティ対策の不備、そしてセキュリティに対して最も脆弱な部分であるユーザーとしての“あなた”自身につけ込む脅威が顕著でした。
インテル セキュリティの最新の脅威レポート『McAfee Labs Threats Report: November 2015(McAfee Labs脅威レポート:2015年11月)』 では、以下のようなサイバーセキュリティ上の脅威が複合的に発生している状況を報告しています。
McAfee Labsの研究員は、サービス プロバイダーが定めたガイドラインを守らないなど、モバイルアプリに見られるセキュリティ対策の不備が、クラウドに保存されたユーザー データの流出につながりかねないことを指摘しています。McAfee Labsの分析では、このような状況を受け、実際にモバイル バンキングを利用するユーザーがハッキングの被害を受けた事例も紹介しています。
また、ソーシャルエンジニアリングの手法を利用して企業の内部システムへの侵入を試みるマクロ マルウェアについても調査しています。この手法によって、ここ数年減少を続けていたマクロ マルウェアが再び増加傾向にあり、特に最近数カ月では、マクロ マルウェアによる攻撃回数は過去6年間で最高の水準に達しています。マクロ マルウェアによる新規の攻撃は、2014年第3四半期には10,000件未満でしたが、2015年の第3四半期には約45,000件まで増加しており、この件数は2009年からの観測以来、かつてない水準の伸びとなっています。
新しいプラットフォームの機能や脅威テクノロジーの進歩を通じて、従来の脅威検知技術を回避する新種のファイルレスが発生していることが報告されています。こうしたファイルレス マルウェアの攻撃は、ルートキットの攻撃に取って代わりつつあります。
これらの状況を受け、インテル セキュリティでは常に技術革新を推進し続け、そして脅威テクノロジーの進化よりも一歩先んじる必要があると同時に、アプリの安全なコーディングのためのベストプラクティスや、スピアフィッシングなど定番の手法に対抗するためのユーザーの教育といった、一般的なソリューションの提供も継続的に行っていかなくてはならないということを、改めて認識する必要があると考えています。
モバイル アプリのセキュリティ対策の不備を悪用
McAfee Labsでは、2カ月にわたって約30万件のモバイル アプリを分析した結果、東ヨーロッパで数千のモバイル バンキング用アカウントが狙われた攻撃で使用された、2種類のモバイル バンキング型トロイの木馬を発見しました。これら2種類のマルウェアは、セキュリティ業界では「Android/OpFake」や「Android/Marry」と呼ばれ、アプリのデータをバックエンドで管理しているサービス プロバイダーにネットワーク接続するためにモバイル アプリ内に実装された“脆弱な”コードを悪用できるようになっていました。
モバイル アプリの多くは、安全なデータの格納や通信を、サービス プロバイダーが提供するバックエンドサービスに依存しています。そして、モバイル アプリとバックエンド サービスとの接続領域でのコーディングと設定は、モバイル アプリの開発者の責任になります。バックエンドのサービス プロバイダーが要求するセキュリティのガイドラインをアプリ開発者が遵守しない場合、その接続領域での脆弱性を狙った攻撃によりユーザーのデータが流出する恐れがあります。そして、モバイルとクラウドの間で行われる個人や企業のデータの取引量が増加すればするほど、データ流出の可能性も同時に高まります。
これまでに、これら2種類のモバイル バンキング型トロイの木馬を使用した2つのサイバー攻撃が撲滅されましたが、McAfee Labsでは、これらのマルウェアがバックエンドの低品質なコードの脆弱性を狙い、ルート権限を悪用して不正なコードを知らないうちに実装し、そしてSMSメッセージスキームを使ってクレジットカード番号を盗み、詐欺取引を実行できるようにしていた証拠を見つけました。これら 2つのモバイル バンキング型トロイの木馬は、モバイル バンキングを利用する顧客13,842名のSMSメッセージ171,256件を傍受してそれを流出させ、さらにこのマルウェアに感染した1,645台のモバイル機器に対してリモートでコマンドを実行していました。
インテル セキュリティでは、開発者がこのバックエンドのコーディングのベストプラクティスやサービス プロバイダーが要求する安全なコーディングのガイドラインに、より一層注意を払うべきであると考えています。また、ユーザーに対しては、モバイル アプリをダウンロードするときには安全かつ有名なサイトを使用し、そして自分のモバイル機器上でアプリが要求するルート権限をしっかりと確認することを推奨しています。
マクロ マルウェアにより、スピアフィッシングの検出数が6年ぶりの高水準
また、McAfee Labsの調査では、過去1年間でのマクロ マルウェアの検出件数が前年比4倍となり、2009年以来、この分野で最高の増加率を記録しました。マクロ マルウェアの復活は、企業ユーザーを欺いてマルウェアが潜んだ電子メールの添付ファイルを開封させることを狙った、スピアフィッシングの手法によるものであることがわかっています。これらの新種のマクロ マルウェアは、不正なペイロードをダウンロードした後も、自己を隠蔽し続ける機能を備えています。
こうした不正なマクロ マルウェアは、1990年代にユーザーを苦しめてきましたが、Microsoftなどのプラットフォーム プロバイダーが、初期設定でマクロの自動実行を停止する対策をとったことから、件数が減少してきました。
初期のマクロ マルウェアによる攻撃はあらゆる種類のユーザーを標的にしていましたが、新種のマクロ マルウェアの活動は、主に日常的にマクロを使用している大規模組織に狙いを絞っています。今日では、ソーシャル エンジニアリングの手法を利用することで、悪意のある電子メールでも自社のビジネスに関連した“正しいメール”と誤認させることができるため、ユーザーは不用意にマクロの実行を許可してしまう傾向にあります。
インテル セキュリティでは、ユーザーがスピアフィッシングに対して用心することに加え、組織が製品のマクロ セキュリティを「高」に設定し、マクロの添付ファイルを含む電子メールをフィルタリングするよう電子メールゲートウェイを設定することを推奨しています。
ファイルレス マルウェアの技術革新
McAfee Labsは、2015年初から第3四半期までに74,471件のファイルレス マルウェアのサンプルを採取しました。最も感染が拡大している3種類のファイルレス マルウェアは、ハードウェア プラットフォームのメモリ領域に直接感染し、カーネルレベルのAPIのバックグラウンドまたはOSのレジストリ内部に潜伏します。
通常、ほとんどの不正な感染では、システムに何らかのファイルを残すため、そのファイルを検出、分析することで感染を特定できます。しかし、Kovter、Powelike、XswKitといった新種の攻撃は、OSのプラットフォーム サービスを悪用して、ディスクに痕跡を残さずに侵入するよう設計されています。
インテル セキュリティでは、安全なウェブ閲覧と電子メール利用の習慣を守り、さらに電子メールとウェブの保護を導入して攻撃をブロックすることを推奨しています。
2015年第3四半期の脅威の統計
脅威動向全般:McAfee Labsのグローバル規模の脅威データベースであるGTI(Global Threat Intelligence)では、第3四半期に毎分平均327件(毎秒5件以上)の新種の脅威を検出しました。また、次のような脅威も検出しました。
- ユーザーを騙し、電子メールやブラウザの検索などを経由して危険なURLに接続させようとする攻撃が740万件以上(未遂を含む)
- インテル セキュリティの顧客ネットワークをターゲットにした感染ファイルが350万件以上
- インストールまたは起動を試みる不審なプログラム(PUP)が740万件
モバイルマルウェア:モバイルマルウェアのサンプル総数は、第2四半期から第3四半期にかけて16%増加し、前年同期比で81%の増加になりました。新種のモバイルマルウェアの数は、5四半期連続で増加していますが、感染件数はそれほど増加していません。これは、OSの防御機能の改善によるものとインテル セキュリティでは考えています。
Mac OSマルウェア:マルウェアの作成者は、Macプラットフォームを標的にますます攻勢を強めています。第3四半期には、Mac OSを狙うマルウェアの登録数が第2四半期の4倍に増えています。増加したマルウェアの大半は、同一種類の脅威によるものです。
ランサムウェア:ランサムウェアの新規サンプル数は、第2四半期から第3四半期にかけて18%増加しました。McAfee Labsが収集しているランサムウェアのサンプル総数は、この1年間で155%増加しました。
ルートキットは減少:新規のルートキットマルウェアは65%減少し、この分野としては2008年以来、最も低い水準で推移しています。減少した理由は、攻撃者が得られる利益が縮小したためとインテル セキュリティでは考えています。MicrosoftはWindowsの64ビット版でドライバの署名を強制し、さらにPatch Guardを導入しているため、攻撃者にとってはカーネルを悪用することが非常に困難になっています。
悪意ある署名付きバイナリ:悪意ある署名付きバイナリの新規サンプルは、3四半期連続で減少傾向にあります。
ボットネットの活動:Kelihosボットネットが、第3四半期にスパム送信ボットネットのトップに再び返り咲きました。このボットネットは、偽の消費者向け製品や偽の医薬品の宣伝に使用されているものですが、第1~2四半期には、それほど活発な動きを見せていませんでした。
これらの重要トピックの詳細や2015年第3四半期の脅威の状況に関するさらに詳細な統計については、下記URLの『McAfee Labs Threats Report: November 2015(McAfee Labs脅威レポート:2015年11月)』から日本語版全文をダウンロードできます。
※本ページの内容はMcAfee Blogの抄訳です。
