マカフィーのリサーチ機関、McAfee Labsは日々、世界各地に配備した数百万台のセンサーや顧客から得られたデータを元に脅威動向を研究しています。そして、その成果をマカフィーが構築している脅威インテリジェンス「McAfee Global Threat Intelligence」(McAfee GTI)を通じて皆様にお届けし、防御に活用していただくとともに、定期的にレポートの形にまとめ、公表しています。
今回は、2016年第4四半期(2016 年10~12月)の脅威動向をまとめた「McAfee Labs脅威レポート: 2017年4月」のハイライトをご紹介します。
まず全体的な動向ですが、この四半期、新種のマルウェアやモバイルマルウェア、新種のランサムウェアの数はいずれも減少しました。一方でMac OSを狙う新種のマルウェアは245%増加しています。2016年通年で見ると実に744%もの増加です。絶対数はWindowsをターゲットにしたマルウェアに比べると少ないものの注意が必要でしょう。
攻撃者にも大きな可能性をもたらす「IoT」、Miraiが示したインパクトとは
あらゆるものがインターネットにつながり、情報を交換することで、今までに存在しなかった便利なサービスを実現するInternet of Things(IoT)が大きな可能性を秘めています。既に150億台以上のデバイスがインターネットに接続して稼動しており、その数は2020年には2000億台以上に増加するとマカフィーは予想しています。
ですが、残念ながらIoTは、サイバー犯罪者にとっても「大きな可能性」をもたらす存在のようです。この事実を如実に示したのが、IoTボットネットの「Mirai」でした。2016年10月、DNSサービスを提供するDynに1.2Tbpsというこれまでとは桁違いの規模のDDoS攻撃を仕掛け、複数のサービスに影響を及ぼした事件は記憶に新しいところです。
Miraiは、インターネットに接続されたルータやカメラ、DVRなどさまざまなIoTデバイスにスキャンをかけ、デフォルトのままのパスワードを使っている機器にブルートフォース攻撃を行い感染を広げていきます。侵入に成功すると、攻撃者のコントロールサーバからの指令に従ってDDoS攻撃を実施するのです。数年前にPCをターゲットにしてボットネットを構築し、DDoSサービスが行われたのと同じ構図と言えるでしょう。マカフィーでは、Miraiボットネットを用いた「DDoS as a Service」がアンダーグラウンドのフォーラムで売買されていることも確認しています。
ポイントは、Miraiのソースコードが公開されてしまったことです。「Anna-Senpai」と名乗るMiraiボットネットの作者は、2016年10月1日にソースコードをリリースしましたが、そのわずか4日後にはMiraiに感染した機器をDDoS攻撃のプラットフォームとして貸し出す「Mirai botnet as a Service」がアンダーグラウンドで売買され始めました。
ソースコードをベースにした亜種も増加しています。10月28日にドイツテレコムに攻撃を仕掛けたのもMiraiの亜種でした。この亜種は、ISPや通信事業者が顧客のモデムやルータをリモートから管理するためのプロトコルを用いて脆弱性を悪用し、感染を広げていました。
マカフィーではMiraiボットネットの感染状況をモニタリングするとともに、ハニーポットを設置してその動きを確認してみました。その結果、インターネットに接続されたデバイスは5分としないうちに攻撃を受け、その後2日間でさまざまな国のゲームサイトやECサイトに対し計34回のDDoS攻撃が実行される結果となりました。興味深いのは、いわゆる「スクリプトキディ」でもMiraiボットネットを操れるよう、チュートリアル動画まで用意されていたことです。他のマルウェア同様に、特にスキルを持たない人でもMiraiを悪用して攻撃を実施できる状況が整いつつあるかもしれません。
このように大きなインパクトを与えたMiraiボットネットですが、マルウェアとして見た場合、デフォルトで設定されたままのパスワードを悪用するという具合に、機能自体はとてもベーシックです。今後、より多くの資金を持つプロの攻撃者がIoTデバイスに目をつけ、リアルタイムOSの脆弱性を悪用したり、暗号化通信やP2P接続を用いてセキュリティ対策を迂回するなど、より高度な手口を用いてくる可能性もあると予想しています。
詳細はレポートで紹介していますが、対策はIoTデバイスを購入する際には過去のセキュリティ履歴を調査し、メーカーのセキュリティに対する姿勢を確認すること。そして購入後もPCと同様、ソフトウェアを最新のものにアップデートし、それが難しい場合はホワイトリスト型の対策などを用いてリスクを緩和することなどです。不要なポートは無効化するとともに、デフォルトのパスワードを変更し、より強固なものに変更する……つまり、ITの世界で実施されてきたベストプラクティスをIoTにもぜひ適用してください。
進展する脅威インテリジェンスの共有、いくつかの課題も
今回のレポートではまた、セキュリティ運用をいっそう効率化させるため、脅威インテリジェンスの共有についても触れています。マカフィーが複数のベンダーとともに進めるCyber Threat Alliance(CTA)(英文)もその一例ですが、他にもISACやISAO(英文)、CERTなどの枠組みを通じ、セキュリティ研究者やベンダー、政府の間で脅威インテリジェンスの共有が進んでいます。
一方でいくつかの課題も浮上しています。特に重要な課題は、現時点では手作業に頼っている脅威インテリジェンス共有の「自動化」でしょう。さらに増大し続けるデータの「量」をいかに処理するか、また疑わしい情報や偽の情報を排除し、どのように「検証」して「品質」を保つか、それでいて同時に脅威に負けない「スピード」を確保するか……。
このように改善すべきポイントはいくつかありますが、少なくとも情報共有によって攻撃にプロアクティブに対処し、攻撃側のアドバンテージを減らせることは確かです。米国政府ではCybersecurity Information Sharing Act(CISA)(英文)のような法令を定めて、情報共有の枠組みを後押しし始めています。こうした情報を有効に活用し、対策やデータ共有のためのオープンなアーキテクチャや相互接続性を持った標準が求められることでしょう。
