2015年第4四半期の脅威動向。2015年半ばに減少したランサムウェアが再び増加した
マカフィーは3月30日、2015年第4四半期の脅威レポートを発表した。同レポートは、インテル セキュリティの研究機関「McAfee Labs」の調査によるもの。
主な調査テーマは「サイバー脅威インテリジェンス」(※従来の脅威情報よりも詳細な分析・解析によって得た洞察を用いた、脅威に対処するための基盤となる情報のこと)について。サイバー攻撃が複雑化/巧妙化する近年は、企業や組織でのサイバー脅威インテリジェンスの共有と活用への関心が高まっているという。
しかし、サイバー脅威インテリジェンスを活用していると回答したセキュリティー専門家はわずか42%に留まった。活用への課題として「企業のポリシー」「業界の規制」「活用方法に関する情報不足」などが挙げられている。調査結果の概要は以下の通り。
有効性の認識と導入:
共有された脅威インテリジェンスを活用していると回答した42%のセキュリティ専門家のうち、97%が自社の保護をさらに向上できると考えています。また、インテリジェンスを実際に共有していると回答した担当者の59%は、こうした共有への取り組みが自社にとって「非常に有益である」と認識しており、さらに38%は「やや有益である」と回答しています。
業界固有のインテリジェンス:
約91%もの回答者が、自社の業界特有のサイバー脅威インテリジェンスに関心があると回答しており、「非常に関心がある」が54%、「やや関心がある」が37%となりました。特にMcAfee Labsが監視してきた脅威のうち、金融サービスや重要社会インフラなど無停止での業務遂行が要求されるミッションクリティカルな業界では高度に専門化された脅威が発生していることから、これらの業界はそれぞれ特有のサイバー脅威インテリジェンスを共有することによる効果を最も享受できるものと考えています。
共有に向けた意欲:
回答者の63%が、サイバー脅威インテリジェンスの共有を受け入れるだけでなく、安全かつ非公開のプラットフォーム内で共有される場合に限り、実際に自社の脅威データを提供してもよいと回答しています。しかしながら、共有に対して「非常に前向き」であると回答したのは24%、「やや前向き」は39%となり、自社の情報の共有に向けた取り組みは、意欲の度合いによって異なる結果となりました。
共有するデータの種類:
共有してもよい脅威データの種類については、マルウェアの動作(72%)、URLレピュテーション(58%)、外部IPアドレスのレピュテーション(54%)、証明書のレピュテーション(43%)、ファイルレピュテーション(37%)が挙げられました。
サイバー脅威インテリジェンスの共有に向けた課題:
共有されたサイバー脅威インテリジェンスを自社で採用していない理由については、54%が「企業ポリシー」を理由に挙げており、「業界の規制」(24%)がその後に続きます。また、自社でデータを共有していないその他の理由として、「関心はあるがさらに詳細な情報が必要」(24%)、または「データを共有することで企業や個人の特定につながる懸念がある」(21%)などの回答がありました。これらの調査結果は、業界で活用できるサイバー脅威インテリジェンスを集約するための多様な選択肢に関する経験や知識の不足、さらには、サイバー脅威インテリジェンスを共有することによる法的な影響についての理解不足を示しています。
2015年第4四半期の脅威動向は以下の通り。前四半期に比べ、今期は新たなランサムウェアは26%増加。新たなモバイルマルウェアは72%増加したという。
ランサムウェアが再び急増:
新たなランサムウェアは、2015年半ばにわずかに減少した後、再び急増に転じ、2015年第4四半期は前四半期比で26%増加しました。オープンソースのランサムウェアのコードやサービスとしてのランサムウェア(Ransomware as a Service)によって、攻撃がより簡単になったため、TeslacryptおよびCryptoWall 3のキャンペーンの勢いは止まることがなく、ランサムウェアのキャンペーンは引き続き攻撃者にとって金銭的に魅力的な手法となっています。2015年10月に行われたCryptoWall 3ランサムウェアの分析では、たった1つのランサムウェア キャンペーンに起因する被害者の身代金は3億2500万米ドルに上るとMcAfee Labsの研究者は関連付けており、このことはランサムウェアによるキャンペーンの経済的規模を示しています。
モバイルマルウェアの急増:
マルウェアの作者が新たなマルウェアをより短期間で作成したとみられ、2015年第4四半期の新しいモバイルマルウェアサンプル数は前四半期比で72%増加しています。
ルートキットマルウェアの減少:
新しいルートキットマルウェアサンプル数は、第4四半期に大幅に減少しており、このタイプの攻撃は長期的な減少傾向が続いています。McAfee Labsは、2011年第3四半期から始まったこの減少の一因として、64ビットのインテルプロセッサーと64ビットのMicrosoft Windowsを組み合わせたシステムの普及が進んでいることがあると考えています。これらのテクノロジーには、Kernel Patch ProtectionやSecure Bootといった機能が組み込まれており、ルートキットマルウェアのような脅威に対して優れた保護を提供しています。
マルウェアが再び増加:
新しいマルウェアのサンプル総数は、3四半期連続で減少した後、この第4四半期に再び増加に転じました。新たに検出された悪意のあるハッシュは4200万件で、第3四半期よりも10%増えており、McAfee Labsのこれまでの記録で2番目に高い数字となりました。第4四半期の増加の一因は、新たなモバイルマルウェアのサンプル数が230万件となり、第3四半期より100万件も増加したことによるものです。
悪意のある署名付きバイナリの減少:
新たな悪意のある署名付きバイナリ数は、この1年間、四半期ごとに減少しており、2015年第4四半期は、2013年第2四半期以来最も低い水準でした。より強力なハッシュ関数へとビジネスが移行するなかで、ダークマーケットで重要な位置を占めていた古い証明書の期限が切れた、または無効にされていることが、この現象の一因であるとMcAfee Labsは考えています。また、Smart Screen(Microsoft Internet Explorerの一部、現在はWindowsの別の機能に移行)といったテクノロジーにより、悪意のある署名付きバイナリを通じてマルウェアの作者が利益を得ないよう、信頼性を確認できます。
2015年第4四半期の脅威レポート(日本語版)の全文は、McAfee セキュリティ研究レポートのページからダウンロードできる。
