Mac OSのマルウェアが245％増加ってマジ？

　マカフィーは4月6日（現地時間）、脅威インテリジェンスの共有に向けた課題、攻撃の検証結果などを報告した、最新の脅威レポート「McAfee Labs脅威レポート: 2017年4月」を発表した。

　それにあわせて、4月17日には、レポートをもとにした報道関係者向け勉強会が開催された。マカフィー セールスエンジニアリング本部 本部長 櫻井秀光氏によると、2016年第4四半期は「世界中で1分あたり176件のサイバー上の脅威」を検知したという。

　櫻井氏も「驚いた」というのが、Mac OS（ここでは、アップルが開発・販売するオペレーティングシステムのmacOS、OS X、Mac OS Xをまとめて指す）のマルウェアが急増している点。合計サンプル数は前期比245%の増加を記録。2016年通年でのMac OSマルウェア合計数は、実に前年比744%の増加となっている。

　増加の原因は、アドウェアの急増によるもの。フリーツールなど広告を表示してサイトに誘導するものやメールの添付ファイル、ウェブの脆弱性、不審なウェブサイトを経由して感染が広がったと分析している。件数自体はWindowsやAndroidに及ばないものの、Mac OSもセキュリティーへの対策がきわめて重要といえる。

　また、ランサムウェアの被害も相変わらず報告されている。変わった例では、オーストラリアのラグジュアリーホテルがランサムウェア攻撃を受けた結果、ホテル側が1500ユーロ相当のビットコインを支払い、カードキーから物理的な「鍵」に変更せざるを得なくなったという事件が発生した。

　攻撃者は、ホテルの予約システムと管理システムに攻撃をしかけ、ランサムウェアで両システムをロックした。そのため、ホテル側は宿泊客用のルームキーの新規発行、再発行ができなくなり、攻撃者の要求を受け入れざるを得ない状況になったという。

　とはいえ、第4四半期に検知されたランサムウェアはおよそ37万件。これは前期比で約71%減という数字。2016年通年で発見されたランサムウェアの合計サンプル数は前年比88%の増加を記録しているとはいえ、その勢いには減少傾向もみられるようだ。

　このように、セキュリティーを取り巻く状況は日々移り変わっている。最新のデータを知り、セキュリティーへの意識を持つことが大事になってくるだろう。今回はMcAfeeの最新レポートを紹介しよう。これを読んで、今日の脅威動向についての知識を高めてほしい。

McAfee Labs脅威レポート: 2017年4月

• データの量、検証、品質、速度、相関分析が、脅威インテリジェンスの共有に向けた障壁になっていることが判明
• 2016年第4四半期中、1分あたり176件、1秒あたり3件近くのサイバー上の脅威をMcAfee Labsが新たに検知
• 2016年第4四半期中、ランサムウェア ファミリー「Locky」と「CryptoWall」の活動は衰退したものの、2016年全体ではランサムウェアが前年比88%増加
• 2016年を通じてモバイル マルウェアは前年比99%増加するとともに、2016年通年で発見されたマルウェアのサンプル合計数は6億3,800万個で前年から24%増加
• Windowsへの脅威との比較ではまだ極めて少ないものの、第4四半期の新規Mac OSマルウェアのサンプル数は245%の急増、2016年通年のサンプル合計数は744%の増加を記録
• McAfee Labsは、毎分5台のIoTデバイスで、IPアドレスがMiraiに感染していると試算

　米国マカフィー（McAfee LLC、本社：米国カリフォルニア州）は本日、脅威インテリジェンスの共有に向けた課題、IoTデバイスを標的としたMiraiボットネットの詳しい構造と内部的な挙動、さまざまな業界で報告されている攻撃の検証結果、マルウェア、ランサムウェア、モバイル マルウェアを含む、2016年第4四半期に確認された脅威の増加傾向について報告する最新の2016年第4四半期の脅威レポート「McAfee Labs脅威レポート: 2017年4月」を発表しました。

　本レポートでは、脅威インテリジェンスの構成要素、情報源、共有モデル、すなわちセキュリティ運用チームで脅威情報の共有を強化する方法や、セキュリティ業界が解決すべき極めて重要な課題など、脅威インテリジェンス共有の背景やそれを促進する要因などについて説明しています。レポートで紹介されている脅威インテリジェンス共有に関する主な課題は以下の通りです。

• データの量：現在でも、大量の情報から不要なデータを取り除くという課題が原因で、防御側が取り組むべき最優先のセキュリティ インシデントに対し、優先度や対応範囲を決め、対処する、といったことができていません。
• データの検証：攻撃者が、脅威インテリジェンス システムを騙し、混乱させるために偽の情報を送信する可能性があります。その結果、これらの偽の情報が正しく処理されない場合、正規の情報源からの脅威情報が改ざんされる可能性があります。
• データの品質：セキュリティ ベンダーは、脅威データをより多く収集し、共有することだけにこだわると、大量の重複データが生成され、貴重な時間と労力が無駄になる危険性があります。センサーを通じて、持続型攻撃の構造上の重要な要素を識別できるデータを取得する必要があります。
• データの速度：脅威インテリジェンスを受け取るのが遅れてサイバー攻撃を阻止できなかったとしても、その情報は感染後のクリーンアップ プロセスに役に立ちます。一方で、セキュリティ センサーやシステムは、攻撃の速度に対応するためにほぼリアルタイムのスピードで脅威インテリジェンスを共有する必要があります。
• データの相関分析：組織に関連するパターンや重要なデータ ポイントを特定できない場合、そのデータをインテリジェンスへと変換し、その後、セキュリティ運用チームの役に立つ情報として提供することができません。

　脅威インテリジェンス共有の効率や効果を向上させるため、McAfee Labsは以下の3つの点に注力することを提案しています。

• イベントの優先度判断：イベントの優先度を簡単に設定し、セキュリティ担当者が優先度に応じて対処できる環境を用意する。
• 関連付け：さまざまな侵害の兆候を相互に関連付けて分析し、防御側でサイバー攻撃の関係性を把握する。
• 共有モデルの強化：自社製品間だけでなく、他社製品の間でも脅威インテリジェンスの共有を強化する。

Miraiボットネットの急増
　第4四半期に大きな話題となった、米国の大手DNSサービス事業者のDyn社を狙ったDDoS攻撃には、Miraiが関与していました。Miraiは、脆弱なIoTデバイスを検出して感染し、そのデバイスを標的型攻撃用のボット化して攻撃に利用します。

　マカフィーのCEOであるクリス・ヤング（Christopher Young）は次のように述べています。「現代のあらゆるものがインターネットに接続された時代において、サイバーセキュリティは最大の課題であり、家族、企業幹部、そして世界の指導者にとって大きな負荷となっています。明確な目的を持った独立企業となるマカフィーは、世界共通の脅威に対して人材、技術、組織を統合するための俊敏性を獲得するとともに、テクノロジーが導く未来の安全を実現するために取り組みます」

　10月にMiraiのソース コードが一般公開されたため、そこから派生型のボットが急増する結果となりましたが、大多数はスクリプト キディ（他人の作成したプログラムを悪用する比較的技術レベルの低いハッカー）によるものと思われ、その影響は比較的限定されています。しかし、ソース コードが公開されたことで、Miraiをベースにした「サービスとしてのDDoS（DDoS as a Service）」が出回るようになり、洗練されたものではないものの、意欲的な攻撃者が、セキュリティが脆弱な他のIoTデバイスを利用したDDoS攻撃を実行しやすくなりました。Miraiボットネットを利用したDDoS攻撃は、サイバー犯罪市場のサービスとして1日あたり50～7,500米ドルで購入することができます。

　McAfee Labsは、2016年第4四半期末までに250万台のIoT デバイスがMiraiに感染したと予測しています。これは、1分あたり約5台分のIoTデバイスのIPアドレスがMiraiボットネット化していたことになります。

　Miraiボットネットの詳細については、このトピックに関する当社のブログ（英語）や動画（英語）をご覧ください。

2016年第4四半期の脅威動向
　2016年第4四半期中、McAfeeの世界規模の脅威データベースであるGTI（グローバル脅威インテリジェンス）ネットワークは、さまざまな業界におけるサイバー脅威の増加とサイバー攻撃のインシデントで顕著な傾向を確認しました。

• マルウェアの増加：第4四半期、マルウェアの新規サンプル数は前期比で17%減少しましたが、2016年通年で発見されたサンプルの合計数は6億3,800万個と、前年比24%の増加を記録しました。
• モバイル マルウェア：第4四半期、モバイル マルウェアの新規サンプル数は前期比で17%減少しましたが、2016年通年で発見されたモバイル マルウェアの合計数は前年比99%の増加を記録しました。
• ランサムウェアの増加：第4四半期、ランサムウェアの新規サンプル数は前期比で71%減少しました。主な理由は、一般的なランサムウェアの検出数が減少したことと、「Locky」および「CryptoWall」のランサムウェア ファミリーが活動を衰退させたことによるものです。2016年通年で発見されたランサムウェアの合計サンプル数は前年比88%の増加を記録しました。
• Mac OSマルウェア：Windowsの脅威と比較するとまだ数は少ないものの、アドウェア（広告を表示するソフトウェア）が電子メールやWebサイト経由で拡散したことなどが原因で、第4四半期に新たに発見されたMac OSマルウェアの合計サンプル数は前期比245%の増加を記録しました。2016年通年でのMac OSマルウェア合計数は前年比744%の増加となっています。
• スパム ボットネット：第4四半期に10大ボットネットから配信されたスパム電子メールやメッセージの数は、前期比24%減の1億8,100万件でした。2016年通年では、これらボットネットから9億3,400万件のスパム メッセージが生成されました。
• セキュリティ インシデントの報告：マカフィーは、第4四半期に一般開示されたセキュリティ インシデントを197件確認しました。2016年全体では、974件のセキュリティ インシデントが一般開示されています。セキュリティ インシデントとは、情報資産の完全性、機密性、または可用性が危険に曝された出来事を意味します。こうしたインシデントには情報漏洩が含まれます。情報漏洩とは、データの開示が確認されたインシデントを意味します。
• 公的機関へのサイバー攻撃：現時点で最大のインシデント件数が確認されているのは公的機関を標的としたものですが、この原因はインシデント報告要件の厳格さに加え、大多数は投票者データベースに関するインシデントや選挙ウェブサイトへの迷惑書き込みなど、アメリカ大統領選に関わる攻撃の増加によるものではないかとマカフィーでは考えています。
• 金融とゲーム関連の攻撃：第3四半期にソフトウェア開発部門でインシデントが急増した原因は、ゲーム プラットフォームへの攻撃の増加にあります。金融部門では、金融部門へのSWIFT攻撃が原因で、第2四半期のインシデント数が急増しました。
• ボットネットの活動：医薬品やロシア製自動車部品（「格安の冬用タイヤと夏用タイヤ」など）を装う「KelihosC」ボットネットが原因で、第4四半期にボットネットの合計数が増加しました。

　マカフィーのMcAfee Labs担当バイス プレジデントであるヴィンセント・ウィーファー (Vincent Weafer) は、「セキュリティ業界では、企業間、ベンダーの提供するソリューション間、また、ベンダーの製品ポートフォリオ間でも、脅威インテリジェンスの共有に極めて大きな問題が発生しています。マカフィーの掲げるTogether is Powerのコンセプトのもと、この問題に対処することで、サイバーセキュリティ チームは検知の自動化やインシデント対応を効率的に行うことができ、これが最終的に、サイバーセキュリティ戦争で防御側が優位に立てるかどうかを決定します」と述べています。

　また、ウィーファーは、「巧妙さを増す攻撃者は、従来のようなサイロ化された防御システムから巧みに逃れます。サイロ化されたシステムでは情報が共有されないため、他の場所では阻止されている脅威であっても、別の場所で侵入されてしまいます。脅威情報を共有することで、企業は各所で発生している脅威の経験から学び、さまざまな特徴に基づく情報を得て、サイバー上のイベントの流れをより確実に把握できるようになります」と述べています。

『McAfee Labs Threats Report: April 2017（McAfee Labs脅威レポート: 2017年4月）』の日本語版全文は、以下からダウンロードできます。 https://www.mcafee.com/jp/resources/reports/rp-quarterly-threats-mar-2017.pdf