THREAT REPORT Quarterly AFCC NEWS Vol.98 フィッシングという言葉が 1996 年に出現して以来、手口は進化し続けており、被害総額と被害者数は上昇の一途です。 RSA が提供するフィッシングサイト閉鎖サービス「RSA FraudAction」は、フィッシングサイトを検知すると監視を開始 し、ホスティング事業者と協力してフィッシングサイトを閉鎖します。FraudAction の中核である AFCC(Anti-Fraud Command Center:不正対策指令センター)では、200 名以上のフロード・アナリストが 24 時間 365 日体制で数カ 国語を駆使し、対策に従事しています。Quarterly AFCC NEWS は、AFCC のインテリジェンスレポートからフィッシン グやオンライン犯罪情報、統計情報をまとめたものです。(2016 年第 4 四半期版 : 12 月 12 日発行) 今号のトピック 1. IoT 機器をバックドアにして吹き荒れる DDoS ボット MIRAI の嵐 大きな被害を出している DDoS 攻撃手法と同じサービスが闇市場で提供されていることを発見 2. 2017 グローバル オンライン不正・犯罪予報 2016 年も大詰めとなり、早くも来年のトレンド予測をわかりやすく視覚化 3. 今号の統計 2016 年第 3 四半期のフィッシング攻撃件数は、驚異的だった前四半期に比べて 4 割ほどに減少したが、それ でも過去 3 番目の件数となった。トロイの木馬を使った攻撃については、長らく最も使われてきた Zeus が、 Vawtrak にその座を譲るという変事が起きた。攻撃をホストしていた国も、長らく首位だった米国の比率が大きく 下がり、ロシアと並ばれるなど、変化の大きい四半期となった。 1. IoT 機器をバックドアにして吹き荒れる DDoS ボット MIRAI の嵐 ボット「Mirai」は、決して新しいものではない。しかし、フランスの大手インターネットホスティング事業者や世界 的に有名なセキュリティブロガーのサイト、数多くの有名小売り事業者、決済サービス、ソーシャル・ネットワーキ ング・プラットフォームなどに大損害をもたらした記録的規模の DDoS 攻撃の原因でもある。 RSA は、10 月 21 日、DYN(DNS サービス事業者)を襲った大規模な DDoS 攻撃の後、秒間 1 テラビットの DDoS 攻撃も実行可能だという IoT ベースの有料ボットネットサービスの広告を地下市場で発見した。利用料は、攻撃 者に使えるデバイスの数が 5 万台で 4,600 ドル、10 万台なら 7,500 ドルだという。 攻撃のバックドアに使われる IoT IoT(モノのインターネット)は、すでに社会の至る所にある。浸透しすぎていてあることに気付かないほどであ る。Mirai の DDoS 攻撃は、そうした IoT 機器、主に CCTV セキュリティカメラ、デジタルビデオレコーダー、ルー ターなどで、セキュリティ上の脆弱性を抱えたインターネット接続機器を狙っている。コンピュータシステムへの侵 入・感染用バックドアとして、また DDoS 攻撃に使うボットとしても、こうした機器の悪用を目論んでいる。インター ネットに繋がれているこうした機器は、世界では数十億台にもなるため、そのうち、わずかな比率に感染しただけ でも、数万台規模の凶悪なボットネットを作ることができる。 1 図-1: 地下マーケットに投稿されていたボットネットサービスの広告 図-2: ボットの種類が Mirai であることを確認する提供者の投稿 計算リソースに乏しい IoT 機器には、高度なセキュリティ機能が実装されていない。しかし、Mirai が狙っている 最大のセキュリティ脆弱性は、管理者の意識の低さにある。 既定値やマニュアルに例示されているユーザー名とパスワードを使う ブルートフォース(総当り)攻撃の辞書にあるような、よく見かける、簡単に推測できるユーザー名とパスワー ドを使う 最新のソフトウェア/ファームウェアや更新パッチを適用しない 既定状態のままの設定で、使用しない通信プロトコルやポートが開放されたまま Mirai の動作メカニズム Mirai は、以下の様な機能を実行する複数の部品で構成されている。 インターネット上にあるハッキング可能な脆弱な機器を検索し、SQL データベースにリストとして格納する 脆弱な機器に接続されている機器に感染し、隷属する C&C サーバーからの指示で、隷属化した機器に DDoS 攻撃を指示する Mirai のソースコードは、2016 年 9 月末に公開され、実装されている機能について記述された分析結果が数 多く発表されている。その中で特記すべき機能・特長は、以下のとおり。 標的にされたサーバーに対して、HTTP、GRE IP、GRE ETH、SYN/ACK、STOMP(Simple Text Oriented Message Protocol)、DNS、UDP など多彩なプロトコルを使った DDoS 攻撃を実行できる Mirai には、クッキー情報を操作することで、様々なセキュリティ対策を回避する機能があると思われる Mirai には、(セキュリティ対策が充実して逆探知のリスクがある) インターネット基盤を支える主要なプレー ヤー、政府機関、大企業の IP アドレスが埋め込み記述されていて、脆弱な機器の検索対象から外している インストールされると、Mirai は、他者がインストールしたボットネットのプロセスを除去するためにメモリ領域の 2 スクレイピング(洗い出し)を行う Mirai は、SSH、Telnet、HTTP ポートを使うすべてのプロセスをシャットダウンするスクリプトを有効化し、先に 感染していたマルウェアやボットのインスタンスを殺す「Search and Destroy」スクリプトを実行する 取りうる予防策 脆弱性の改善と被害の最少化に向け実施すべき対策には、以下の様なものが考えられる 既定、一般的、推測可能なパスワードの使用及びその再利用を止める すべてのリモート WAN アクセスを制限もしくは使用を止める ポート、SSH(22)、Telnet(23)、HTTP/HTTPS(80/443)を確実に閉じる 一部専門家は、DNS サーバの有効期間(TTL)延長を推奨している あるインターネットセキュリティ企業は、TTL 失効時に DNS レコードを削除する代わりに、全リソースを恒久 バックアップするよう推奨している 2. 2017 グローバル オンライン不正・犯罪予報 この 1 年に観測されたオンライン不正行為を洞察し、2017 年に予想されるグローバル サイバー犯罪を予測する。 2017 年の予想:多くの e コマースサイトは引き続き、不正行為の被害に EMV(IC チップ搭載クレジットカードの統一規格)の普及に伴い、複製の容易な磁気ス トライプ型カードを使った対面決済の不正行為数は減少し、CNP(Card-Not-Present:非 対面決済)による不正行為数が大幅に増加、2020 年までに米国で 70 億米ドルに達する と予想されている。つまり、不正行為とは、店舗でカードを提示する行為から、窃取した カード情報(カードの番号、氏名、有効期間、CVV/CVC)を使ってオンラインで物品を購 入する行為へと移行してきている。特に小売企業界はその変化を体感しており、オンライ ン送金や請求書の支払いサービスは、E コマースの不正取引の 5 分の 1 を占め、次にホ テル/サービス業(航空業界含む)、エレクトロニクス、ファッション(宝飾含む)、エンターテ イメント、そしてゲーム業界が続く。 • 3D Secure 2.0 の仕様確定により、加盟店やカード会社は 2.0 フレームワーク を採用するための戦略策定を開始したが、少なくとも 12~18 か月はかかるとみ られる。結果として、2017 年は引き続きカードを提示しない CNP 詐欺による e 予報のインフォグラフィック全体 は、別添をご参照ください。 コマースの不正行為をする機会の窓は開いた状態だ。 2017 年の予想:モバイルによるモバイルを標的とするサイバー犯罪が増加 手軽なコミュニケーション、迅速な銀行取引や商業活動の方法として、モバイルは世界中で主要な通信手段に なった。これにはサイバー犯罪者も注目している。この 1 年に不正行為と確認できたオンライン取引の 60%がモ バイル機器が発生元であることを RSA は発見した。モバイルのトラフィック量はかつてないほど増大しており、 RSA の調べではモバイルとウェブの取引量は、ほぼ 1 対 1 の割合になってきている。 • モバイル取引がはじめて Web 取引を上回るペースになる見込みに伴い、モバイル通信における不正行 為の数は今後も急速な増加が予想される。特に、銀行や小売企業、その他のサービス提供者によるモバ 3 イルアプリを活用した顧客向けのサービスの増加に伴い、モバイルアプリからの不正行為の数は増加す るだろう。 • モバイルユーザーの間で生体認証の利用の拡大が始まる。このような動きはすでに始まっており、また、サ イバーセキュリティが中心的な推進役でもなくなるだろう。ユーザー体験がモバイル通信における利用の推 進の鍵となる。ユーザーのアクセス方法として、モバイルを使用する顧客にとって理想的とは言えない従来 のユーザー名とパスワードの組み合わせとは対照的に、生体情報はベストな選択肢だと考えられている。 指紋、声紋、静脈パターンの認証は、リスク度合いに基づいた取引の監視を組み合わせることで、モバイル 通信における認証管理と不正行為の管理のためのテクノロジーとして最も有力な組み合わせとなるだろう。 2017 年の予想:フィッシング詐欺 は向上し、カード所有者の情報を入手するための攻撃が増加 フィッシング詐欺は現在も増加している。RSA が 2016 年の第 2 四半期に識別したフィッシング詐欺の攻撃の 数は 2015 年の全期間を合わせた数より多くなっており、これは新たなフィッシング攻撃が 30 秒に 1 回発生して いることになる。企業や組織にかかる被害は決してばかにできる金額ではない。フィッシング攻撃の平均的な稼 働時間と 1 時間の攻撃による平均コストから考えると、2016 年にグローバル企業が受けたフィッシングによる被 害は 90 億米ドルと推計される。 • フィッシング行為者は、攻撃の寿命を向上させるため、攻撃方法の改良と変革に引き続き取り組んでいく。 EMV カードに対応した最新の端末が増加する中、POS 端末や ATM 機器への侵入やスキミング行為は全 く効果的な手段ではなくなっており、カード所有者の情報を標的にした巧妙なフィッシング攻撃の数が増加 する可能性が高くなっていくだろう。 4 3. 今号の統計 銀行利用者を狙うトロイの木馬の認知件数(四半期推移) RSA が認知した銀行利用者を狙ったトロイの木馬の亜種別認知件数の推移は以下の通り。前四半期比でほ ぼ半減となった第 3 四半期から減少傾向が続いたが、反転増加し過去 3 四半期を上回った。 1,400 1,200 1,000 800 600 1,310 400 665 483 436 200 295 0 2015-Q3 2015-Q4 2016-Q1 2016-Q2 2016-Q3 ※ 亜種は概ね攻撃者ごとあるいは攻撃のたびに新たに作成されるため、攻撃の活性度を反映する。 トロイの木馬を使った攻撃に用いられた通信ノード(URL)の認知件数の推移(四半期推移) トロイの木馬の感染、更新、窃取した情報の送信などの目的で用いられた URL の認知件数。 こちらも、トロイの木馬の認知件数ほどではないが前四半期から倍増した。 3,500 3,000 2,500 2,000 1,500 3,221 1,000 1,673 500 1,009 1,526 735 0 2015-Q3 2015-Q4 2016-Q1 2016-Q2 2016-Q3 ※ 通常、亜種 1 種に複数の URL が関連づけられているので、亜種の件数を URL の件数が大幅に上回る。 5 認知されたトロイの木馬亜種の分類 2016 年第 3 四半期、世界を対象とした攻撃への関与が確認されたトロイの木馬について、RSA AFCC が認 知したものを原種別に分類した結果。 最大のポイントは、長く首位を占めていた王者 Zeus が、その座を Vawtrak に譲ったことにある。半年前にわずか 2 ポイントでランク入り、前回 は 16%を占めて 3 位に入っ ていたが、今回は比率を 45%まで引き上げた。 Rammit 3% Gozi 2% obile Malware 1%その他 1% Ransom Ware 3% ISR Stealer 5% 続く Pony Stealer 18%、 Citadel14%で新たな三強 Zeus 7% を構成している。 その他のマルウェアには、 Vawtrak 45% Citadel 14% キーロガーや DNS changer などが含まれている。 Pony Stealer 18% マルウェア攻撃のホスト国別分布(月次) 亜種の分類で歴史的首位交代が起きたのと同様、トロイの木馬と通信していた URL がホストされていた国も 前回 45%を占めた米国が比率を 10%まで下げ、ロシアに並ばれた。3 位のウクライナや 5 位のカザフスタンも 圏外からランクインするなど、順位に大きな変動があった。 ロシア 10% 米国 10% ウク ライナ 5% フランス 4% その他 63% カザフスタン 3% ドイツ 2% オランダ 2% 英国 1% トルコ 1% ※ いずれもホストした ISP やフィッシングドメインを管理していた登録事業者の所在地別分類 6 フィッシング攻撃数(四半期推移) 第 3 四半期のフィッシング攻撃件数は、201,002 件。昨年 1 年分の攻撃件数に匹敵する 50 万件超えとなった 前四半期に比べると、4 割弱の水準ではあるが、実は今年第 1 四半期に次ぐ史上三番目の攻撃件数である。 2016 年に入ってからの 3 四半期で、2014 年から 2015 年の二年分に匹敵する攻撃が発生したことになる。しか も、ブラックフライデー、サイバーマンデーなど、例年サイバー犯罪が増加するホリデーシーズンを控えていること もあり、いよいよ警戒を厳にする必要がある。 600,000 500,000 400,000 516,702 300,000 200,000 240,520 100,000 125,212 141,344 108,454 147,359 100,510 201,002 142,812 125,006 126,797 130,946 144,694 0 2013- 2013- 2014- 2014- 2014- 2014- 2015- 2015- 2015- 2015- 2016- 2016- 2016Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 フィッシング攻撃を受けた回数(国別シェア) 2016 年第 3 四半期も、最も多く攻撃を受けたのは米国のブランドの利用者で、第 2 四半期よりも 6 ポイント比 率を上げた。2 位につけたカナダも 3 ポイント比率を高めており、その分、3 位、4 位、5 位がそれぞれ 1 ポイント ずつ比率を下げている。これは、形としては、第 2 四半期に見られた変化の揺り戻しになる。その中でも、1 ポイ ント増のスペインが 3 位に入り、5 ポイント増の南アフリカが 5 位に入るなど順位の変動は生じている。 米国 54% その他 1% コロンビア 1% フランス 1% ナイジェリア 1% カナダ 13% ブラジル 3% オランダ 3% インド 7% スペイン 8% 南アフリカ 7% 7 フィッシング攻撃のホスト国別分布(月次) 2016 年第 3 四半期、米国内でホスティングされた攻撃の比率は 4 ポイント増え、米国集中が加速している。 カナダ 1% その他 14% ポーランド 1% 豪州 2% ロシア 2% オランダ 3% ブラジル 3% フランス 3% 英国 3% 米国 64% ドイツ 3% ※ いずれもフィッシングサイトをホストした ISP やフィッシングドメインを管理していた登録事業者の所在地別分類 日本でホストされたフィッシングサイト(月次推移) 2016 年第 3 四半期、日本でホストされたフィッシングサイト数はのべ 77 件だった。第 2 四半期の 9 件から大 幅に増加した。前年同期の 128 件には及ばないが、年初からの累計数は昨年よりも 1 割ほど多い。 70 61 60 60 50 44 43 40 40 29 27 30 26 20 9 10 7 6 1 3 5月 6月 0 9月 10月 11月 12月 1月 2月 3月 4月 7月 8月 9月 フィッシング対策協議会の発表によると、第 3 四半期の間に報告されたフィッシングの件数は、1,657 件で、第 1 四半期の 6,332 件以降、第 2 四半期の 2,094 に続いて減少している。しかし、7 月以降、V プリカ (Visa プリ ペイドカード) 、Apple 、福岡銀行、ジャパンネット銀行、りそな銀行、三井住友銀行、ゆうちょ銀行、Amazon、 Line、ハンゲームと大変多くのブランドに関するフィッシングの注意喚起が出されている。 ※ この報告は、AFCC が把握している攻撃の数です。AFCC が毎月発表する「RSA Monthly Online Fraud Report」 が Web に掲載されています。 本ニュースレターに関するお問い合せ先 EMC ジャパン株式会社 RSA 事業本部 マーケティング部 嶋宮 知子 Tel : (03)6830-3234(直通) eMail : [email protected] 8 サイバー犯罪グロッサリー APT 攻撃 APT は Advanced Persistent Threat の略。新旧様々な脆弱性を突くマルウェアやソーシャル・エンジニアリングなど、あらゆる攻撃手法 を駆使して、政府機関や公共機関に対して、長期にわたって執拗に行われる攻撃全般の総称である。 Blackshades トロイの木馬を含む複数のサイバー攻撃手段を内包した RAT(Remote Access Tool)型のマルウェア。 CAPTCHA Completely Automated Public Turing tests for telling Computers and Humans Apart: コンピュータと人間を区別する完全に自動化さ れた公開チューリングテスト。機械的に判定しにくいように文字をゆがめて表示した画像を用いて、人とコンピュータを区別する方法、ま たそれに使われる画像。 C&C サーバ Command and Control Server。ボットに感染したトロイの木馬に対する制御や指示を行うためのサーバ。 Citadel 流出した Zeus のソースコードから生まれたトロイの木馬のコード名。開発者集団が CRM を積極的に活用しているのが大きな特徴。 Zeus の備えていた機能に加え、次々と新しい顧客志向の機能をリリースしており、2012 年前半現在大流行している。 CITM Chat-in-the-Middle の略。通常のフィッシング攻撃でニセサイトに誘導し、サポート担当者を装ったチャットにより、秘密の質問とその答え などの高機密情報を詐取する攻撃方法。 Dark Market オンライン詐欺師たちの集まるアンダーグラウンドフォーラム。最も格式が高かったが、主要メンバーが相次いで逮捕されたことから、 2008 年 9 月閉鎖。実態は FBI によるおとり捜査用のフォーラムだった。 fast-flux ボットネットの型のコード名。転じてこの型のボットネットを用いた攻撃法の呼称としても用いられる。不正サイトの特定→閉鎖を困難にす るため、複数のドメイン上のサーバを自動的に使い回す点が大きな特徴。 MITB Man-in-the-Browser の略。感染した PC からのオンラインバンキングサイトへのログインや振り込み手続きを検知、セッションをハイ ジャックして、ミュール(本ページ下段参照)の口座に預金を振り込むオンライン詐欺手法。ブラウザの設定ファイルを変更して不正なコー ドを実行させることから、この名がついた。 Neosploit マルウェアのコード名。PC の脆弱性を突いてマルウェアを大量配布するための攻撃者御用達ツールとして幅広く販売されていたが、 2008 年 7 月開発チームが業績不振を理由に廃業宣言した。 RBN Russian Business Network。悪名高いロシアのサイバー犯罪者組織。 Rock Phish 世界最大規模のオンライン犯罪者集団のコード名。 SilentBanker 2007 年 12 月に発見されたトロイの木馬のコード名。世界各国の 400 以上の銀行に対するトランザクションを検知し、セッション・ハイ ジャックすることで信用情報を詐取する。二要素認証や SSL にも対応している。 Sinowal トロイの木馬のコード名。自動的にサイレントインストールされ、勝手にネットワークに接続し機密を外部に転送する。2006 年に最初に確 認されており、Torpig の別名を持つ。 SpyEye トロイの木馬のコード名。2010 年急拡大し、Zeus に次ぐ地位を占めるに至った。SpyEye の作者が Zeus の作者からコードを譲り受け、 両者を統合した強力な新型トロイの木馬を開発すると発表したことで衝撃を与えた。 Stuxnet 金銭的利得を目的とした従来のマルウェアとは異なり、物理的なインフラを攻撃する目的で開発された初のマルウェア。USB メモリ経由 で感染し、重要インフラに関わるシステムを麻痺させようとする。 ZeuEsta Host Zeus を感染させたり、Zeus を使った攻撃を行ったりするために必要なツールやサポート情報の提供も含む包括的オンライン詐欺用ホス ティングサービス。 Zeus トロイの木馬のコード名。発生は 1996 年と古いが、2008 年 4 月に Rock Phish 団が Zeus の亜種を利用したことから再び注目を集めて いる。オンラインバンクやクレジットカードに関する秘密を検索し、盗出する。 カーディング 不正に手に入れたクレジットカード情報を使って商品を購入する詐欺行為。商品は通常売却して現金化する。 ミュール 盗品の受領・転送や詐取した現金の振り込み・転送を担う運び屋のような役割。ただし、詐欺師がまっとうな仕事を装った採用情報にだ まされて、知らぬ間に犯罪の片棒を担がされている人を指す。 ランサムウェア 他人の PC に感染して、そのローカルデータを勝手に暗号化したり、PC が起動しないように MBR(マスター・ブート・レコード)に不正な書き 換えを加えるなど、一方的にユーザがデータにアクセスできないようにした上で、身代金を要求するマルウェア リシッピング カーディングによって手に入れた商品を他国へ転送した上で換金する不正行為。盗んだクレジットカード情報を現金化する手段の一つ。 最近はサービスとしても提供されている。 9
© Copyright 2024 ExpyDoc
