セキュリティラウンドアップ

「ランサムウェアビジネス」が
法人にもたらす深刻な被害
TrendLabsTM 2016 年年間セキュリティラウンドアップ
はじめに ........................................................................................................ 1
日本セキュリティラウンドアップ ........................................................................ 2
日本で過去最大の「ランサムウェア」被害、世界的なばらまき型攻撃が流入 ................. 3
水面下で続く「標的型サイバー攻撃」が組織の持つ情報を脅かす................................ 8
検出台数 10 万件突破、国内ネットバンキングを狙う攻撃が過去最大の拡散 ................. 11
「公開サーバへの攻撃」が 300 万件以上の重要情報を侵害 ...................................... 14
転換点を迎えた「モバイルの脅威」、ランサムウェア被害を国内でも確認 ................... 17
グローバルセキュリティラウンドアップ .............................................................. 22
ランサムウェアの新ファミリー数は 752%増加 ..................................................... 23
世界中で莫大な損害をもたらしたビジネスメール詐欺 ............................................. 27
「Adobe Acrobat Reader DC」や「Advantech WebAccess」で多数の脆弱性を確認 ... 29
IoT セキュリティの警鐘となったボットネット「Mirai」の大規模 DDoS 攻撃 ............... 32
過去最大規模の情報漏えい事例が発生、浮き彫りになった企業の責任 ......................... 34
Angler EK の終焉と他のエクスプロイトキットの台頭 ............................................. 37
オンライン銀行詐欺ツールや ATM マルウェアの標的となる銀行................................ 41
2016 年の脅威概況 ......................................................................................... 44
はじめに
「2016 年年間セキュリティラウンドアップ」は 2016 年 1 年間の世界と日本における脅威動向をまとめ
たレポートです。2016 年には全世界において身代金要求型不正プログラム(ランサムウェア)の記録的
な急増が確認されました。この世界的なランサムウェア脅威の急拡大は、日本にも大きく影響しました。
全世界的なばらまき型のマルウェアスパム 1攻撃の流入により、国内でのランサムウェア被害は検出台数
の面からも被害報告件数の面からも過去最大となり、まさに「日本におけるサイバー脅迫元年」の様相を
呈しました。このような世界的な脅威拡大の背景には、ランサムウェアを利用する攻撃手法がサイバー犯
罪者にとっての「ビジネスモデル」として確立し、より多くのサイバー犯罪者の参入を招いたことがある
ものと推測されます。これを示す一つのデータとして、新たに登場したランサムウェアファミリーの増加
があります。2016 年 1 年間で新たなランサムウェアファミリーは 247 種類を数えました。これは 2015
年 1 年間に登場したランサムウェアファミリーが 29 種類に過ぎなかったことと比べると、まさに急増と
言えます。
ランサムウェア以外の脅威トピックとして、既に大きな被害を企業にもたらしている「ビジネスメール詐
欺(BEC)」が世界的に注目されています。トレンドマイクロでは 2016 年に、92 ヶ国の企業に対して
BEC 関連のメールが送られていたことを確認しています。この業務メールの盗み見を発端とする送金詐欺
は、ランサムウェアと比べても 1 事例あたりの被害金額が高額であるため、今後はさらに攻撃の拡大が予
想されます。
2016 年を通じ、多くの脆弱性が明らかになっていますが、今後 IoT2の普及が見込まれる中でも、特にス
マート工場で使用される IIoT3システムの脆弱性リスクが高まっています。2016 年にはトレンドマイク
ロだけで SCADA4関連の脆弱性を 177 件確認しており、将来的な攻撃の発生が危惧されます。
また日本国内の状況としては、国内ネットバンキングを狙うオンライン銀行詐欺ツールの検出台数も 10
万件を突破し、過去最大を記録しています。ランサムウェア同様、メール経由の攻撃により拡散が広まっ
たものです。国内の法人組織が持つ重要情報を狙う攻撃としては、2016 年 6 月に公表された大手旅行代
理店の被害事例5に代表される「標的型サイバー攻撃」と、EC サイトなどインターネット上に公開されて
いる Web システムを侵害する「公開サーバへの攻撃」が継続中です。
※註 1:掲載されるデータ等の数値は、特に明記されていない場合、トレンドマイクロのクラウド型 セキュリティ基盤
「Trend Micro Smart Protection Network(SPN)」による統計データが出典となります
※註2: 本レポートに掲載される通貨の換算レートは、特に明記されていない場合、本レポートの執筆時点(2017 年 2 月 14
日付け 1 米ドル 113.5 円)のレートとなります。
1 マルウェアスパム:不正プログラムの拡散を目的としたスパムメール、不正プログラムを添付ファイルとして送信する
2 IoT:Internet of Things、モノのインターネット。すべての「モノ」がネット接続される社会のコンセプト
3 IIoT:Indastrial IoT、インダストリアル IoT、IoT の利点を産業分野に適用しようとするコンセプト
4 SCADA:Supervisory Control And Data Acquisition、産業用制御システム
5 http://www.jtbcorp.jp/jp/160614.html
1
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
日本セキュリティラウンドアップ
日本におけるサイバー脅迫元年、
過去最大のランサムウェア被害

日本で過去最大の「ランサムウェア」被害、世界的なばらまき型攻撃が流入

水面下で続く「標的型サイバー攻撃」が組織の持つ情報を脅かす

検出台数 10 万件突破、国内ネットバンキングを狙う攻撃が過去最大の拡散

「公開サーバへの攻撃」が 300 万件以上の重要報を侵害

転換点を迎えた「モバイルの脅威」、ランサムウェア被害を国内でも確認
2
日本セキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
日本で過去最大の「ランサムウェア」被害、世界的なばらまき型攻撃が流入
2014 年ころから顕在化し始めた日本国内でのランサムウェア被害は、2016 年を通じて急拡大しました。
個人利用者と法人利用者の双方に過去最大の被害をもたらした様は、まさに「日本におけるサイバー脅迫
元年」と言える状況です。
トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network(SPN)6」
の統計によれば、日本国内でのランサムウェアの検出台数は 2016 年の 1 年間で 6 万 5,000 件を超え、
2015 年 1 年間の検出台数 6,700 件に対し、9.8 倍の急増となりました。
図 1:国内でのランサムウェア検出台数推移
この過去最大規模の拡散により、実被害も過去最大規模に拡大しています。ランサムウェアの被害報告件
数は 2016 年 1 年間で 2,810 件となり、前年比 3.5 倍となりました。被害報告件数では、検出台数に反し、
法人利用者からの被害報告が全体の 8 割以上を占めています。ここからはランサムウェアが行うネットワ
ーク上のファイルを含めたデータ暗号化の活動が、法人の業務継続に深刻な被害を与えていることが読み
取れます。
6 https://www.trendmicro.co.jp/jp/why-trendmicro/spn/
3
日本セキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
図 2:国内でのランサムウェア被害報告件数推移(トレンドマイクロ調べ)
このような国内におけるランサムウェア被害の急増の背景として、世界的なマルウェアスパム 7によるラン
サムウェアの大量拡散があります。トレンドマイクロ SPN による監視では、1 回の攻撃でランサムウェア
の検出台数が 400 件以上確認されたマルウェアスパムのアウトブレイクを 2016 年 1 年間で 45 回確認し
ています。2015 年には同一基準でのアウトブレイクは 1 回も発生していなかったことと比較しても、こ
の 2016 年にはメール経由での不正プログラム拡散が大きく活発化していたことがわかります。
7 マルウェアスパム:不正プログラム拡散を目的としたスパムメール
4
日本セキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
図 3:国内でのランサムウェア拡散目的マルウェアスパムのアウトブレイク回数、総検出台数推移(トレンドマイクロ調べ)
また、この 45 回のアウトブレイクのうち、日本語の件名や本文を使用したメールによるものは 2 回のみ
であり、全体のおよそ 96%が英語メールの攻撃となっていました。このことからは、巧妙な内容の日本語
メールでなくとも、その添付ファイルを開いてしまう利用者が想像以上に多いことがわかります。また、
通常、日本国内の利用者のみを狙うマルウェアスパムでは、日本語の件名や本文を使用した日本語メール
が使用されることと比べ、このほとんどが英語のメールという状況からは、日本の利用者のみを狙ったラ
ンサムウェアの攻撃はまだほとんど無い、ということも読み取れます。
5
日本セキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
図 4:ランサムウェア拡散目的のマルウェアスパムと添付ファイルの例
トレンドマイクロの SPN の監視と調査では、2016 年全世界で検出されたランサムウェアの感染経路の 8
割近くはメールであり、ランサムウェアの拡散は全世界的にメール経由が中心でした。また、この攻撃総
数のうち日本からの検出は全体の 1.6%に過ぎません。2016 年に日本で発生した過去最大のランサムウェ
ア被害は、全世界的に急拡大したランサムウェアの攻撃が日本にも流入したものと言えます。必ずしも日
本を意図的に狙った攻撃によるものではなく、今後まだ日本を狙った攻撃が本格化する可能性があるもの
と言えます。
全世界的にランサムウェアを利用する攻撃が急拡大した状況の中で、海外では不特定に対するばらまき型
の攻撃だけでなく、特定の法人や業種に対する特別な攻撃、いわゆる「標的型」的な攻撃が確認されてい
ます。日本ではまだばらまき型の攻撃の流入が中心ですが、この法人を標的とする攻撃に関しても、10 月
の時点で流入の兆候8が見られています。確認された一連のメール攻撃9は、最大でも 30 通程度の非常に狭
い範囲への攻撃となっていましたが、日本語のメールを使用し送信対象が限定された法人利用者のみであ
る、メール送信元として同一の海外フリーメールサービス 10使用している、不正プログラムを添付せず受
信者を騙してクラウドストレージ 11ら入手させる、国内未確認のランサムウェアを使用している、などの
http://blog.trendmicro.co.jp/archives/14009
http://blog.trendmicro.co.jp/archives/14066
10 https://www.sigaint.org/
11 https://mega.nz/
8
9
6
日本セキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
様々な共通点があり、一連の攻撃の背後には、同一のサイバー犯罪者がいるものと推測されます。今後は
同様に国内法人に標的を絞ったランサムウェア攻撃が本格化、多発することが懸念されます。
図 5:2016 年 10 月~11 月に確認された法人利用者を狙う一連の日本語メールの内容(トレンドマイクロが独自に整理)
図 6:添付 PDF ファイルの内容例、「マルウェア除去ツール」の名目でランサムウェアのダウンロードを促す
7
日本セキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
水面下で続く「標的型サイバー攻撃」が組織の持つ情報を脅かす
2016 年国内で発生した最大のセキュリティインシデントの1つとして、6 月に発生した iJTB での事例12
が挙げられるでしょう。この事例以降、合わせて 7 件の標的型サイバー攻撃事例が公表されており、国内
の法人組織の情報を狙う継続的な攻撃の存在が垣間見えます。しかし、2015 年に日本年金機構の事例13を
発端に集中して発覚した 20 件以上の事例と比べると、2016 年の標的型サイバー攻撃は「減少傾向」と感
じられてしまうかもしれません。
図 7:標的型サイバー攻撃事例件数推移(公表情報を元にトレンドマイクロが独自に整理)
しかし、標的型サイバー攻撃は、被害者に気づかれないよう活動の痕跡を隠蔽・消去しつつ、継続的に行
われる攻撃です。トレンドマイクロで行っているネットワーク監視によれば、外部との C&C 通信14やネッ
トワーク侵入後の基盤拡大時の攻撃など、標的型サイバー攻撃の疑いのある通信の検出数は、最低でも月
9 万件以上で推移しています。特に、標的型サイバー攻撃で使用される RAT15によるものと考えられる外
部との C&C 通信に関しては、トレンドマイクロがネットワーク監視を行った組織の 1/4 前後での検出が継
続していることがわかります。
12 http://www.jtbcorp.jp/jp/160614.html
13 https://www.nenkin.go.jp/info/index.files/e7wRRjRfiKiN1.pdf
14 C&C 通信:RAT の遠隔操作通信のこと、現在では不正プログラムが自身の活動のために外部の不正サーバと行う通信
全般を指すことが多い
15 RAT:コンピュータを遠隔操作可能にするツールの通称。バックドア型の不正プログラムだけでなく、正規ソフトウェアを含む
8
日本セキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
図 8:標的型サイバー攻撃の疑いのある通信を確認した法人組織の割合推移(トレンドマイクロ調べ)
これらの不審な通信はあくまでもネットワーク監視下で発生したものであり、確認時に適切な対応が行わ
れ、深刻な被害は発生しなかったものと言えます。しかし、同様のネットワーク監視を行っていない組織
でも同じ割合で C&C 通信が発生しているとすれば、およそ 4 社に 1 社の割合で常に標的型サイバー攻撃
が侵入していることになります。そして、ネットワーク監視などの侵入に気づくための対策が行われてい
ないため、侵入に気づくことなく重要情報の侵害にまで至り、最悪の場合は被害の発生自体に自身では気
づけないまま、となっている可能性もあります。
この観点で、2016 年に発覚した標的型サイバー攻撃事例をその公表内容から読み解いてみると、自組織で
侵入に気づけた組織が多くなっていることがわかります。これは 2015 年に確認された多数の被害事例を
受けて、侵入を前提とした「侵入に気づくための対策」が国内でも進んだことの表れであると考えられま
す。逆に気づけなかった組織では、侵入を受けてから数か月後に外部から指摘されて被害が発覚するとい
うケースがあり、これは 2015 年に確認された多くの標的型サイバー攻撃事例と同一の傾向です。標的型
サイバー攻撃事例における「外部からの指摘」とは、不審な通信の指摘です。外部から不審な通信がわか
る条件は限定されており、多くの一般企業では期待できないものと言えます。これらの事例から見ると、
「侵入に気づくための対策」が十分に行われていない組織では、そもそも被害の発生自体に気づけていな
い状況である可能性があります。
9
日本セキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
公表月
組織
発覚
内容
6月
旅行会社 自組織で確認
メール開封から 5 日後に不審な通信を確認し発覚
6月
大学
自組織で確認
メール開封から 5 日後に不審な通信を確認し発覚
7月
大学
外部からの指摘 メール開封から 1 日後に外部の指摘を受け発覚
10 月 大学
外部からの指摘 2015 年 11 月にメールから侵入、侵入から 6 か月以上経過
11 月 金融機関 自組織で確認
メール開封当日に不正プログラムダウンロードに気づく
11 月 経済団体 自組織で確認
内部調査の結果不審な通信の存在を確認
11 月 出版社
外部からの指摘 侵入時期不明
図 9:2016 年に公表された標的型サイバー攻撃事例一覧(公表情報を基にトレンドマイクロが独自に整理)
10
日本セキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
検出台数 10 万件突破、国内ネットバンキングを狙う攻撃が過去最大の拡散
ランサムウェア被害の陰に隠れた形になっていましたが、国内ネットバンキングを狙うオンライン銀行詐欺
ツールの攻撃もメール経由で大幅な拡大を見せていました。SPN の統計によれば、全体の検出台数は日本
に本格的にオンライン銀行詐欺ツールが流入した 2012 年以降、初めて 10 万件を突破。国内の個人利用者、
法人利用者の双方で、過去最大の検出台数を記録しました。
図 10:国内でのオンライン銀行詐欺ツール検出台数推移
このオンライン銀行詐欺ツールの過去最大規模の拡散の要因は、ランサムウェアと同様、メール経由の攻
撃が挙げられます。SPN による監視では、1 回で検出台数 400 件以上が確認されたオンライン銀行詐欺ツ
ール拡散目的のマルウェアスパムの攻撃は 2016 年 1 年間で 36 回確認されました。2015 年には同一基準
でのアウトブレイクは 1 回も発生していなかった状況もランサムウェアと同様であり、2016 年において
は不正プログラムを拡散させる手法として、全般的にメール経由での攻撃が活発化していたと言えます。
11
日本セキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
図 11:国内でのランサムウェア拡散目的マルウェアスパムのアウトブレイク回数、総検出台数推移(トレンドマイクロ調べ)
しかし、オンライン銀行詐欺ツールを拡散させるマルウェアスパムについては、ランサムウェアとは対照
的に、日本語の件名や本文を使用したメールが全体の 97%を占めました。これは、国内で確認されるオン
ライン銀行詐欺ツールの攻撃では、情報詐取の対象とするネットバンキングの URL が国内の金融機関に絞
られており、明確に日本国内の利用者のみを攻撃対象としているためです。
図 12:オンライン銀行詐欺ツール拡散目的の日本語マルウェアスパム例
過去最大規模の拡散を記録したオンライン銀行詐欺ツールですが、警察庁 16や全国銀行協会(全銀協)17の公
表からは、特に法人で不正送金被害が減少傾向にあることが読み取れます。しかし、実際にはオンライン銀
行詐欺ツールの被害は不正送金だけにとどまりません。「オンライン銀行詐欺ツール(バンキングトロジャ
16 https://www.npa.go.jp/cyber/pdf/H280908_banking.pdf
17 http://www.zenginkyo.or.jp/topic/correspondence/
12
日本セキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
ン)」という呼称からは、ネットバンキングの侵害に特化した不正プログラムというイメージですが、実際
には銀行などの金融機関だけでなく、クレジットカードなど信販会社の Web サービスの認証情報について
も詐取対象にしています。また、オンライン銀行詐欺ツールはそのほとんどが元はボットやバックドア型不
正プログラムであり、一般的な遠隔操作やキーロガーなどの情報窃取を可能とする機能を元から持っていま
す。これらの情報窃取機能により、感染環境でネットバンキングが行われていなかった場合でも、そこに存
在するアドレス帳などの個人情報を窃取し、その後の攻撃に利用したり、アンダーグラウンド市場で販売し
たりすることで利益を得るサイバー犯罪者の行動がわかっています。つまり、オンライン銀行詐欺ツールは
「転んでもただでは起きない攻撃」となっており、ネットバンキングとは無関係な利用者にとっても決して
軽視することはできない脅威と言うことができます。
13
日本セキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
「公開サーバへの攻撃」が 300 万件以上の重要情報を侵害
法人組織からの情報を狙う攻撃において、公開サーバ、特に Web サイトはサイバー犯罪者の大きな攻撃目
標となっています。特に、通販サイトや各種 Web サービスと言った EC サイトは、各種個人情報やクレジ
ットカードなどの決済情報など、サイバー犯罪者にとって欲しい情報が集まっている場所と言えます。こ
のような公開サーバを狙った攻撃による情報漏えい事例として、2016 年には 48 件が公表されています。
図 13:2016 年国内での公開サーバからの情報漏えい事例件数推移(公表情報を元にトレンドマイクロが独自に整理)
公開サーバへの攻撃方法としては、大きく分けて「脆弱性攻撃」と、「管理アカウント乗っ取り」の2種
があります。「脆弱性攻撃」では、サイバー犯罪者は攻撃対象の Web システムにある脆弱性を見つけ出し
て利用します。多くの場合、脆弱性を利用したうえでバックドアを仕掛け、遠隔操作により最終的に情報
を盗み出します。「管理アカウント乗っ取り」はフィッシングやウイルス感染、脆弱性攻撃などの方法で
管理アカウントの認証情報を窃取し、正規の管理ツールを利用してシステムを侵害する方法です。これに
加え、EC サイトなどで提供されている Web サービスを侵害する方法として、利用者になりすまして不正
ログインする方法もあります。
14
日本セキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
図 14:「公開サーバへの攻撃」概念図
2016 年に公表された 48 件の情報漏えい事例について、公表内容から発生原因を確認したところ、「脆弱
性攻撃」によるものが 44%と最も多いことがわかりました。一方で、公表の時点で原因が特定できていな
い「不明」のものは 31%を占めており、「管理アカウント乗っ取り」は全体の 4%に止まりました。原因
が攻撃を受けた Web システム内にあり特定しやすい「脆弱性攻撃」に対し、「管理アカウント乗っ取り」
は正規の管理方法の悪用のため、根本原因の特定にはより詳細な解析作業が必要です。このことから、
「不明」とされる事例の中に「管理アカウント乗っ取り」の事例が多く埋もれている可能性があります。
図 15:2016 年国内での公開サーバからの情報漏えい事例の発生原因割合
(公表情報を元にトレンドマイクロが独自に整理)
これらの事例では、合わせて 300 万件以上の情報が流出した可能性が公表されています。流出情報の内容
を公表内容から確認したところ、流出情報に個人情報が含まれていた事例は 39 件で全体の 81%でした。
15
日本セキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
同様に、クレジットカード情報が含まれていた事例は 22 件で全体の 46%、ポイントが不正利用された事
例は 6 件で全体の 13%を占めました。ここからは、やはりサイバー犯罪者は Web 上で扱われる情報の中
でも、特に金銭利益につながる情報を目的として攻撃を行っていることがわかります。
また、公表された被害発覚理由では、自組織で情報漏えい被害に気づけたとしている事例は全体の 11%に
過ぎませんでした。特にクレジットカード情報の漏えい事例では、22 件中 19 件でクレジットカード会社
や決済代行業者からクレジットカードの不正利用の発生を指摘されたことが、被害の発覚理由となってい
ます。これは決済情報を扱うような重要なサイトであったとしても、運営する組織自身では被害に気づけ
なかったということを示しており、自組織にとって重要な存在である公開サーバで行うべき対策が十分で
なかったことの証明となってしまっていると言えます。
図 16:2016 年国内での公開サーバからの情報漏えい事例の発覚理由割合
(公表情報を元にトレンドマイクロが独自に整理)
16
日本セキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
転換点を迎えた「モバイルの脅威」、ランサムウェア被害を国内でも確認
これまで日本国内でのモバイル端末を狙う不正/迷惑アプリの事例に関しては、被害者にとってはどちらか
というと「迷惑」の側面が強いものでした。例えば、不要な正規アプリのインストールを促したり勝手に
インストールしたりするダウンローダ的なものや、広告表示を行うアドウェアなど、主にアフィリエイト
による金銭利益を狙うものです。PC におけるランサムウェアやオンライン銀行詐欺ツールといった不正プ
ログラムのような利用者に直接の被害を与えるような不正アプリが広く拡散した事例は、国内ではこれま
で確認されていませんでした。不正/迷惑アプリの世界的な頒布経路としては、比較的審査の甘いサードパ
ーティマーケットが主体です。ただし、日本の利用者が使用するサードパーティマーケットは携帯電話会
社などの信頼性の高い運営母体によるものがほとんどであり、そもそも不審なアプリに遭遇する可能性は
低く、深刻な被害も少なかったと言えます。
しかし、日本語表示に対応したモバイル向けランサムウェア「FLocker」の感染事例18が 3 月に確認されて
以降、明らかな傾向の変化が見て取れます。日本国内でのモバイル向けランサムウェアの検出数は 3 月以
降継続して 1 万件を超えており、これは 2 月以前の月数千件といったレベルからは明らかな拡大と言えま
す。
図 17:日本国内のモバイル端末でのランサムウェア検出数推移
18 http://blog.trendmicro.co.jp/archives/13041
17
日本セキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
図 18:日本語表示に対応したモバイル向けランサムウェア「Flocker」の身代金要求画面例
「Flocker」の感染被害に関しては、スマートフォンのようなモバイル端末以外にも、スマートテレビのよ
うな IoT19環境での被害事例20もトレンドマイクロに報告されています。ランサムウェアのように利用者に
深刻な被害をもたらす脅威の継続的な検出が発生していることは、国内でのモバイルの脅威において1つ
の転換点と言えます。また、スマートテレビに感染した事例が確認されているように、既にサイバー犯罪
者の狙いはモバイル端末と同時に IoT 機器にも向かっています。2016 年には「Mirai」21のような IoT 機
器を感染対象とした攻撃も既に確認されており、今後はモバイルの先にある IoT 機器のセキュリティも合
わせて考えていく必要があると言えます。
日本を含め世界的に不正/迷惑アプリを頒布する手法としては、利用者の興味のあるアプリに偽装して入手
させる「人気アプリ偽装」と、Web 上の不正広告などによる不正サイトへの誘導の2つの手口が主要な攻
撃手法となっています。
「人気アプリ偽装」の手法では、人気ゲームがいち早く入手できる、ゲームの攻略方法を教える、「チー
トツール」により本来は不可能な機能を可能にする、などの名目でサードパーティマーケットなどのダウ
ンロードサイトへ誘導し、興味を持った利用者自身に不正/迷惑アプリを入手させます。トレンドマイクロ
では、2016 年 7 月以降に「ポケモン GO」22や「スーパーマリオ」23、「アングリーバード」、「ねこあ
19 IoT:Internet Of Things、モノのインターネット すべてのモノがインターネットにつながること
20 http://blog.trendmicro.co.jp/archives/13453
21 http://blog.trendmicro.co.jp/archives/13956
22 http://blog.trendmicro.co.jp/archives/13621
23 http://blog.trendmicro.co.jp/archives/14139
18
日本セキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
つめ」24などの人気ゲームアプリの偽装事例を、複数確認しています。このような人気ゲームに便乗する
手口はモバイルを狙うサイバー犯罪者にとって1つの常套手段となっています。
図 19:「スーパーマリオ」を偽装した複数の不正アプリのインストール画面例
図 20:「ポケモン GO」のチートツール(ゲーム内通貨を自由に増やす)を偽装した不正アプリの例
24
http://blog.trendmicro.co.jp/archives/13834
19
日本セキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
もう 1 つの「不正サイトへの誘導」25については、「不正広告」経由での誘導が多く見られています。偽
のウイルス検出メッセージ、懸賞の当選やアンケートの依頼などのメッセージを正規の広告ルートを使っ
て表示し利用者を誘導します。最終的に利用者が誘導される不正サイトでは、不正/迷惑アプリをインスト
ールさせる、フィッシングサイトで利用者の情報を詐取する、などの攻撃に繋がります。不正広告の手法
では、利用者が正規サイトを閲覧しているときに誘導メッセージが表示されること、タイミングや閲覧者
により表示される広告が変わることなどから、脅威の遭遇経路特定が難しくなります。SPN の統計によれ
ば、日本国内のモバイル端末からこれらの不正サイトへ誘導された件数は 2016 年 1 年間で 209 万 7,000
件を数え、前年比で約 2.5 倍に増加しています。ここからも、不正サイトへの誘導がモバイル利用者にと
って大きな脅威の1つとなっていることがわかります。
図 21:日本国内のモバイル端末から不正サイトへ誘導されたアクセス件数推移
25
http://blog.trendmicro.co.jp/archives/13524
20
日本セキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
図 22:偽のウイルス感染メッセージ例
不正サイトへの誘導以外にアフィリエイト目的で正規アプリストアへ誘導する場合もある
21
日本セキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
グローバルセキュリティラウンドアップ
法人を狙ったサイバー攻撃が史上最悪

ランサムウェアの新ファミリー数は 752%増加

世界中で莫大な損害をもたらしたビジネスメール詐欺

「Adobe Acrobat Reader DC」や「Advantech WebAccess」で多数の脆弱性を確認

IoT セキュリティの警鐘となったボットネット「Mirai」の大規模 DDoS 攻撃

過去最大規模の情報漏えい事例が発生、浮き彫りになった企業の責任

Angler EK の終焉と他のエクスプロイトキットの台頭

オンライン銀行詐欺ツールや ATM マルウェアの標的となる銀行

2016 年の脅威概況
22
グローバルセキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
ランサムウェアの新ファミリー数は 752%増加
2016 年に確認されたランサムウェアの新ファミリー数は、2015 年の 29 種類から 247 種類に急増しま
した。これは前年比約 752%の増加率を示しています。
図 1:確認されたランサムウェアの新ファミリー数(2015 年・2016 年)
新ファミリーの急増にはいくつかの要因があげられます。まず、ランサムウェアが金銭取得に効果的な手
法であった点です。サイバー犯罪者は、ランサムウェアを利用して 2016 年全体で約 10 億米ドル(約
1,135 億円)を稼いだと言われています26。暗号化され人質に取られたデータを取り戻す手段として身代
金を支払う企業が今でも複数存在することがこうした背景にあります。
多くの企業が身代金を支払わずバックアップ等の対策に注力するようアドバイスされているにもかかわら
ず、この取り組みは徹底されていないようです。2016 年には、確定申告ファイル、サーバ関連ファイル、
仮想デスクトップのイメージファイルなど、企業のビジネスに深刻な影響を及ぼす特定のファイルを狙っ
たランサムウェアが登場しました。業務上の必要な情報を管理するデータベースのファイルが狙われた事
例27も確認されています。
26 http://www.csoonline.com/article/3154714/security/ransomware-took-in-1-billion-in-2016-improved-defenses-may-not-be-enough-to-stem-thetide.html
27 http://blog.trendmicro.co.jp/archives/14102
23
グローバルセキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
図 2:トレンドマイクロの解析による 2016 年のランサムウェア新ファミリーが暗号化するビジネス関連ファイル
詳細一覧は巻末の表 8 をご参照ください。
被害を受けた企業は、重要システムの停止や企業情報の損失等に見舞われています。多くの企業は、情報
を取り戻せる保証がないにもかかわらず、サイバー犯罪者の要求に従って身代金を支払う選択をしていま
した。2016 年 11 月、「サンフランシスコ市営交通局(San Francisco Municipal Transportation
Agency、SFMTA)」は、同局のシステムがランサムウェアにロックされた際、100 ビットコイン(当時
のレートで約 7 万米ドル・2017 年 2 月時点で約 795 万円)を要求されました28。仮想デスクトップサー
ビスのプロバイダ「VESK」は、自社サービスを復旧させるため、約 2 万 3,000 米ドル(約 261 万円)
の身代金を支払って復号鍵を取得しています29。米医療機関「The New Jersey Spine Center」では、電
子医療記録がサイバー犯罪者に暗号化され、電話システムが使用不可となり、さらにはスタッフによるバ
ックアップデータへのアクセスもブロックされたため、身代金(金額は未公表)の支払いに応じたと報道
されました30。
28 http://www.forbes.com/forbes/welcome/?toURL=http://www.forbes.com/sites/thomasbrewster/2016/11/28/san-francisco-muni-hackedransomware/&refURL=&referrer=#5d614c5854dd
29 http://www.theregister.co.uk/2016/09/29/vesk_coughs_up_18k_in_ransomware_attack/;
https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/ransomware-recap-sept-30-2016
30 http://www.healthcareitnews.com/news/two-more-ransomware-attacks-both-organizations-pay
24
グローバルセキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
図 3:注目すべきランサムウェアファミリーが確認された時期(2016 年)
25
グローバルセキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
ランサムウェアファミリー数増加の他の要因としては、オープンソースのランサムウェアの存在と
「Ransomware-as-a-service(RaaS)」の登場があげられます。オープンソースのランサムウェア
「Hidden Tear」や「EDA2」は、当初教育目的で設計されましたが、サイバー犯罪者により Web サー
バやデータベースへの攻撃に利用されました31。これらのソースコードは、悪用が発覚した後に削除され、
現在は入手不可となっています。また、RaaS によって、新規参入のサイバー犯罪者が簡単にランサムウ
ェアを利用できる状況が実現しました。経験の浅いサイバー犯罪者がネット恐喝等の活動を行う際、ラン
サムウェアがサービスとしてアンダーグラウンド市場で提供され、簡単にツールを入手できるようになり
ました32。
2016 年に検出されたランサムウェアの感染経路は、メール経由の割合が 79%と最も高く、添付ファイ
ルや本文内 URL などランサムウェアの侵入にメールが多用されました。企業では、Web やメールを介し
た入口対策、出口対策が求められており、メールのトラフィックを監視し、危険な URL や添付ファイル、
その他の不正活動をフィルタリングすることでランサムウェアの脅威を阻止することができます。
また、レピュテーション技術を駆使することで、Web やファイルの脅威をより効果的にフィルタリング
できます。ランサムウェアが実際のファイルから検出されるのはわずか 1%である一方、ランサムウェア
やエクスプロイトキットがホストされた URL からのダウンロードを検出した割合は 20%に及んでいるか
らです。
レピュテーション技術と合わせて、アプリケーションコントロール(ホワイトリスト)、挙動分析、ネッ
トワーク監視、脆弱性対策、さらに高度な機械学習といったランサムウェア対策技術を融合させることで、
企業はより効果的なセキュリティ対策を講じ、同時にシステム負荷を最小限に抑えることができます。例
えば、エンドポイントでのアプリケーションコントロールにより、企業は社内で使用可能なファイルを限
定し、それ以外をすべてフィルタリングで排除する対応が可能です。これにより、誤警告を回避し、安全
なコンテンツへのスムーズなアクセスが実現できます。また、ファイルの実行前、実行中に機械学習を用
いることで、さらに正確な検出が可能となります。
ランサムウェアファミリーが今後も進化と増加を続ける中、企業ではこうした現実を把握し、より強固で
効果的なセキュリティ対策を講じていかなければなりません。
31 http://blog.trendmicro.com/trendlabs-security-intelligence/new-open-source-ransomwar-based-on-hidden-tear-and-eda2-may-target-
businesses/
32 http://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/ransomware-as-a-service-what-this-means-for-enterprises
26
グローバルセキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
世界中で莫大な損害をもたらしたビジネスメール詐欺
ビジネスメール詐欺(Business Email Compromise、BEC)の攻撃により、全世界の企業で平均約 14
万米ドル(約 1,590 万円)の被害がもたらされました33。世界第 4 位のシェアを誇るケーブル製造企業
「Leoni AG」では、なりすました偽メールの指示に従い、最高財務責任者(CFO)が誤って別の口座に
約 4,460 万米ドル(約 51 億円)を送金する被害に見舞われ34、豪ブリスベン市議会は、サプライヤにな
りすましたメールの指示に従い、約 33 万米ドル(約 3,746 万円)以上を騙し取られる被害に遭っていま
す35。また、金融機関向け IT サービス企業「SS&C Technology」は、BEC の被害により約 600 万米ド
ル(約 6 億 8,000 万円)を失い、サービス提供を一時停止する事態に陥りました36。
BEC 関連のなりすましメールは 92 ヵ国で受信され、最も多く確認された国は、米国、イギリス、香港、日本、インドです。
上記は、確認された企業数の割合を国別に示した地図です。
図 4:BEC 関連のなりすましメールを受信した企業数毎の国別マップ(2016 年トレンドマイクロ調べ)
2016 年後半には、サイバー犯罪者が最高経営責任者(CEO)や経営幹部になりすまして偽の送金指示を
する BEC の手口が猛威を振るいました。サイバー犯罪者はこの手口で2週間以上にわたり、米国で 17 機
33 http://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/billion-dollar-scams-the-numbers-behind-business-emailcompromise
34 https://www.leoni.com/en/press/releases/details/leoni-targeted-by-criminals/ ; https://www.scmagazineuk.com/leoni-ag-suffers-34-millionwhaling-attack/article/530694/
35 http://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/brisbane-council-loses-450k-aud-to-bec-scam
36 http://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/6m-lost-in-another-bec-scam-who-is-the-weakest-link
27
グローバルセキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
関、イギリスで 10 機関、カナダで8機関の医療施設を攻撃しました37。これらの医療施設は、総合病院、
大学病院、専門医療、外来診療所、製薬会社など多岐に及んでいます。
BEC の手口は、人の心理的弱点を突いたソーシャルエンジニアリングに大きく依存しています。この種の
脅威から企業を守るためには、CEO から一般従業員まで全社員が BEC の手口を把握し騙されないことが
重要です。通常、偽の送金指示は、緊急案件を偽って標的の社員にメールで依頼されます。送金依頼を受
けた際は、必ず指示内容の詳細を精査し、念入りに確認しなければなりません。特にフィッシングメール
に気付く、またメール内のリンクを不用意にクリックしないといったことも BEC の被害に遭うリスクを
下げるために有効です。
また、機密情報を扱ったメールを返信する場合、簡単に返信ボタンを押さず、手動でメールアドレスを入
力して宛先に細心の注意を払うことです。取引先リストに掲載されたメールアドレスを手動で慎重に入力
することで、送金先が正規の取引先であるか確認できます。さらには、送金前の電話確認も有効な方法で
す。送金先が正規の取引先であるかを電話で確認し、偽の送金指示に騙されるリスクを回避できます。
BEC では不正プログラムが活用されないため、不正活動を検知する従来型のメール対策では、BEC 関連
メールを完全に阻止できない可能性があります。Web やメールの入口対策、出口対策を企業が講じる場
合、従来型のスパムメールやフィッシングメール対策だけでなく、BEC 関連メールで用いられるヘッダー
やソーシャルエンジニアリングの手法を文脈から把握して阻止できる対策が求められます。
37 http://blog.trendmicro.co.jp/archives/14092
28
グローバルセキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
「Adobe Acrobat Reader DC」や「Advantech WebAccess」で多数の脆弱性を確認
トレンドマイクロは、2016 年、傘下の「Zero Day Initiative(ZDI)」と合わせ、60 件のゼロデイ脆弱
性を含む合計 765 件の脆弱性を確認しました。これは 2015 年の合計 714 件を上回っています。765 件
中、トレンドマイクロで 87 件、ZDI で 662 件、16 件が双方で確認されました。
製品名
脆弱性数
Advantech WebAccess
109
Adobe Acrobat Reader DC
89
Apple® OS X®
52
Android
52
Foxit® Reader
49
Adobe Flash®
38
Microsoft® Internet Explorer®
33
Microsoft Windows® OS
26
SolarWinds®
25
Microsoft Edge
22
図 5:トレンドマイクロおよび ZDI に確認された
表 1:確認された脆弱性数毎の製品別トップ 10(2016 年トレンド
脆弱性数
マイクロおよび ZDI 調べ)
そのほとんどは「Adobe® Acrobat® Reader DC」および「Advantech WebAccess」の脆弱性であり、
特に「Advantech WebAccess」には 26 件のゼロデイ脆弱性が含まれていました。前者は PDF ファイル
を扱う企業向けアプリケーションであり、後者は SCADA システムに使用されています。「Adobe
Acrobat Reader DC」の脆弱性は 2015 年から増減は見られませんが、他の全 Adobe 製品と比較しても
この製品から最も多く脆弱性が確認されています。「Adobe Flash」においては、2015 年の 67 件より
も少なく、確認された脆弱性の数は 43%減少しました。現在、多くのブラウザが「Adobe Flash」を初
期設定で無効としており、HTML5 対応へ移行する傾向にあります 38 。それにもかかわらず、未だに
「Adobe Flash」のゼロデイ脆弱性の存在によって、レガシーシステムは今もゼロデイ攻撃の脅威にさら
されています39。例えば、世界の政府や大使館を狙う標的型サイバー攻撃キャンペーン「Pawn Storm」
では、この「Adobe Flash」のゼロデイ脆弱性を利用した攻撃が行われていました40。
38 https://petapixel.com/2016/08/17/major-browsers-will-soon-block-flash-website-ready/
39 http://blog.trendmicro.co.jp/archives/13937
40 http://blog.trendmicro.co.jp/archives/14014
29
グローバルセキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
Microsoft の脆弱性は、2015 年の 175 件に対して 2016 年に確認された脆弱性は 93 件と 47%減少して
います。「Internet Explore(IE)」は現在も Microsoft 全製品で最も脆弱性が多いものの、その数は大
幅に減少し、2015 年の 121 件に対して 2016 年は 33 件と 73%減少しました。
Microsoft 関連の脆弱性数減少にはいくつかの要因があげられます。まず、同社が多くの更新プログラム
を定期的に提供しているのに加え、利用者側も積極的にそれらを適用している点です。また、更新プログ
ラムを別々に通知するのではなく、月例の更新でまとめて適用させている点も特筆されます41。こうした
利用者の利便性を考慮したスムーズな更新プロセスが功を奏していると考えられます。
表 2:2015 年と 2016 年のカテゴリ別脆弱性数増減比較(トレンドマイクロ調べ)
一方、Apple 製品の脆弱性の数は 2016 年に急増しました。2016 年に確認された脆弱性は 81 件に達し、
2015 年の 33 件に対して 145%増加しています。デスクトップとスマートフォン双方の製品が企業で利
用され、2016 年に確認された脆弱性の数はそれぞれ 189%と 275%の増加率を示しました。例えば、
2016 年 10 月にはサイバー犯罪者が iOS プラットフォームの脆弱性を悪用し、「App Store®」上の正規
アプリを再パッケージされた広告を含むアプリに置き換えました42。こうして置き換えられたアプリを介
してユーザの個人情報や銀行口座情報の窃取が可能となりました。
2016 年は「Advantech WebAccess」から最も多くの脆弱性が確認されました。こうした SCADA 関連
の脆弱性が利用されると、産業自動化ネットワークの重要なコンポーネントが侵害されます。水道や電気
41 https://krebsonsecurity.com/2016/10/microsoft-no-more-pick-and-choose-patching/
42 http://blog.trendmicro.co.jp/archives/14425
30
グローバルセキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
等、多くの基幹施設やサービスが SCADA に依存しており、こうしたシステムのセキュリティ侵害は、実
世界の深刻なリスクにつながります。不正プログラムにより初めて停電が引き起こされた「BlackEnergy」
攻撃がその一例です。この攻撃ではウクライナの発電所が標的となり、同地域の約半数の世帯が数時間の
停電に見舞われました43。
その他の SCADA 関連アプリケーションで確認された脆弱性一覧は、巻末の表 6 をご参照ください。
モバイル端末のプラットフォームにおいては、弊社のデータが示すとおり、2016 年は Android 関連の脆
弱性の数が 206%増加しました。不正プログラムの亜種の 1 つ「DressCode」44では、トロイの木馬の
アプリが入っているモバイル端末が内部ネットワークに接続される度に、サイバー犯罪者がそのネットワ
ークにアクセスできました。著名な Android 向けマーケットや Google Play 上でさえも、少なくとも
3,000 のトロイの木馬のアプリが確認されました45。
SCADA システムに多数の脆弱性が存在する中、サイバー犯罪者がこれらの脆弱性を利用する前に、官民
双方による効果的なセキュリティ対策の開発が求められています。脆弱性を発見するリサーチャーを支援
する ZDI プログラムはその一環です。ZDI は様々な製品やプラットフォームで確認された脆弱性を報告
するリサーチャーを支援する報奨制度であり、こうした脆弱性が正しく通知された後、製造元が修正対応
可能な更新プログラムをリリースします。
システム管理者にとって製造元がリリースした更新プログラムの適用は重要タスクの 1 つです。製造元か
ら公式リリースがない場合、仮想パッチによる暫定的な対応が可能です。これによりゼロデイの攻撃を受
けるリスクからシステムを守ることができます。
43 http://blog.trendmicro.co.jp/archives/12828
44 http://blog.trendmicro.com/trendlabs-security-intelligence/dresscode-potential-impact-enterprises/
45 http://blog.trendmicro.co.jp/archives/14403
31
グローバルセキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
IoT セキュリティの警鐘となったボットネット「Mirai」の大規模 DDoS 攻撃
これまで IoT デバイスへの攻撃は実証段階と見なされていました46。スマートウォッチやスマート電球な
どの接続デバイスは、ツールや手段さえ整えばハッキング可能な IoT デバイスとしてリサーチャーのデモ
が繰り返されてきました47。ただしこれらはすべて実験環境でのデモであり、現実世界で大規模に再現さ
れたことはありませんでした。
しかし 2016 年第 4 四半期、ボットネット「Mirai」を使用して DNS プロバイダ「Dyn」を狙った「分散
型サービス拒否(Distributed Denial-of-Service、DDoS)」攻撃が実行されました48。サイバー犯罪者
は、監視カメラなど、脆弱性が存在する約 10 万もの IoT デバイスを乗っ取り、ボットネットの一部とし
て利用しました49。Dyn を狙った大規模な攻撃により、パケットの流れは通常の 50 倍に急増し、様々な
Webサイトやサービスが数時間オフラインに陥りました。被害を受けた Dyn の顧客には、大手 IT サー
ビス企業「Twitter」や「Reddit」、「Spotify」などが含まれていました。
IoT デバイスを狙った攻撃事例は、ここ数ヵ月、他にも報告されています。例えば、ランサムウェア
「Flocker」はスマート TV に感染します。このランサムウェアは法執行機関になりすまし、見覚えのな
い犯罪に関する警告文を表示してユーザを脅迫します。そして偽の警告文の表示後、デバイスをロックし、
日本語表示の場合には 1 万~2 万円分の iTunes®ギフトカードを要求します50。その他、フィンランドで
は、ビルの環境制御システムが DDoS 攻撃で停止し、住人が極寒の外に締め出される事例が発生しました
51
。
これら一連の攻撃は、企業にとって IoT セキュリティの警鐘となるでしょう。サイバー犯罪者は、今や
IoT を悪用して企業の内外から攻撃が可能です。社内ネットワーク上に脆弱性を抱えた IoT デバイスやシ
ステムが存在する場合、さらなる攻撃の侵入経路や業務妨害に利用される恐れがあります。IoT 技術を使
用していない企業も、業務に深刻な被害を及ぼす可能性がある「Mirai」のような脅威によって影響を受
ける恐れがあります。
スマートデバイスのすべてがセキュリティを考慮しているわけではない点をユーザは理解しておくべきで
しょう。このため、すべての製造元が強固なセキュリティ対策を整備するまで、ユーザ側のセキュリティ
対策は不可欠です。パスワードの頻繁な変更やデバイスのファームウェアを最新にするといった対策が有
効でしょう。IoT デバイスは、デフォルトのパスワードのまま販売されているケースが多く、パスワード
を変更せずに使用すれば悪用のリスクにさらされるでしょう。また企業においては、IoT セキュリティに
46
47
48
49
50
51
http://arstechnica.com/security/2014/12/connections-between-phones-and-smartwatches-wide-open-to-brute-force-hacks/
http://www.theregister.co.uk/2016/11/10/iot_worm_can_hack_philips_hue_lightbulbs_spread_across_cities/
http://dyn.com/blog/dyn-statement-on-10212016-ddos-attack/
https://www.tripwire.com/state-of-security/latest-security-news/100000-bots-infected-mirai-malware-caused-dyn-ddos-attack/
http://blog.trendmicro.co.jp/archives/13453
http://metropolitan.fi/entry/ddos-attack-halts-heating-in-finland-amidst-winter
32
グローバルセキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
関するより厳格なポリシーを取り入れていくことが第一歩となります。こうしたポリシーは、社内システ
ムに接続された全デバイスへの適用が必要です。
長期的には、IoT セキュリティ対策の責任は製造元が負うことになります。攻撃に伴うリスクをユーザ側
で完全に把握することは不可能に近いからです。製造元は、デバイスのソフトウェア開発キット(SDK)
や通信プロトコルのセキュリティを確保することで、脆弱性利用、プライバシー侵害、DDoS 攻撃につな
がる不正プログラム感染といった被害を防ぐことができます。
33
グローバルセキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
過去最大規模の情報漏えい事例が発生、浮き彫りになった企業の責任
今や企業の情報漏えい被害は珍しいことではありません。教育52から医療53といったあらゆる業種の組織
で情報漏えいの被害が繰り返し発生しています。
例えば、インターネットサービス企業「Yahoo!」での 2016 年 12 月の情報漏えい事例は、企業の責任を
浮き彫りしました。同社は、2013 年8月に発生した情報漏えい事例との関連で厳重な調査を受けていま
す。この事例は、氏名、生年月日、メールアドレス、MD5-ハッシュのパスワード、電話番号を含み、10
億件以上のユーザアカウントの情報が流出し54、過去最大規模の情報漏えいといわれています。これは、
同年 9 月に少なくとも 5 億件のアカウント情報が漏えいしたと公表された別の事例(当時こちらも過去最
大規模と報道されていました)からわずか 3 ヵ月後の出来事です。
同社は、情報漏えい時のユーザ情報の取り扱い等について厳重な調査を受け、漏えいした規模からユーザ
情報の安全性の懸念や疑問が指摘されました。また、この事例によって、顧客情報の安全性に関する企業
の方針が、その企業の評判に大きく影響する点が浮き彫りになりました。特に重要な点は「顧客への企業
の責任が大きく問われる」という点です。情報漏えいでは、侵入への対処だけでなく、どのように顧客へ
通知するかという点でも適切な対応が求められます。上述のケーブル製造企業「Leoni AG」は、ビジネ
スメール詐欺で数千万米ドルを騙し取られましたが、この際、同社は、発覚後ただちに Web サイトで詐
欺の詳細、影響の規模、どのように対処したか等を周知しました。こうした対応を通して企業は、顧客情
報やプライバシーの保護に強くコミットしていることを表明できます。
52 http://www.wxyz.com/news/michigan-state-university-confirms-data-breach-of-server-containing-400000-student-staff-records
53 http://www.seattletimes.com/seattle-news/health/data-breach-exposes-info-for-400000-community-health-plan-members/
54 http://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/yahoo-discloses-2013-breach-exposed-over-1billion-accounts
34
グローバルセキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
図 6:2016 年下半期の主要な情報漏えい事例一覧(報道事例および PRC55のまとめを基にトレンドマイクロが整理)56
55 https://www.privacyrights.org/
56 http://www.tripwire.com/state-of-security/latest-security-news/disney-confirms-data-breach-of-playdom-forums-servers/
35
グローバルセキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
企業では侵害検知システムを備えたセキュリティ対策が必要です。これにより、ネットワークトラフィッ
ク上の全ポートを監視して異常を検知し、システムへ侵入しようとするサイバー犯罪者を阻止できます。
また、カスタムサンドボックス機能を導入して不正プログラムを解析することで、コマンド&コントロー
ル(C&C)サーバからの活動を検知し、情報漏えい関連活動を特定できます。さらに機械学習により、ネ
ットワークトラフィックに対応し、ファイルや挙動といったネットワークを流れるコンテンツが不正かど
うかを瞬時かつ正確に判断します。
36
グローバルセキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
Angler EK の終焉と他のエクスプロイトキットの台頭
2016 年第 3 四半期、大きな勢力を誇っていたエクスプロイトキット「Angler EK」が終焉を迎えました。
2016 年 6 月に Angler EK 関連のサイバー犯罪者 50 名が検挙され57、その後急速に収束に向かいました。
そして、それ以降、サイバー犯罪者は他のエクスプロイトキットを利用し始めました。
「Angler EK」の後は「Neutrino EK」が台頭し、「CRYPMIC」、「WALTRIX」、「CERBER 4.0」な
どのランサムウェアの拡散に利用されました58。しかし同年 9 月、このエクスプロイトキットも減少し、
アンダーグラウンドでの入手が困難となり、依頼ベースでのみ提供されるようになりました 59。その他、
「Rig EK」もまた「Angler EK」の終焉を受けて台頭し、不正広告キャンペーンにより「CERBER」60、
「LOCKY」61、「MILICRY」などのランサムウェア拡散に利用されました 62。この不正広告キャンペー
ンは、「Google Maps」、「Imgur」、「Pastee」などの正規サービスを利用してランサムウェアを感
染させ、ユーザのファイルをロックしました。
他のエクスプロイトキットにおいても、それぞれ手法が更新されています。2016 年 10 月、「Bizarro
Sundown EK」では Web サイトを改ざんしてランサムウェア「LOCKY」の2つのバージョンを拡散して
いたことが確認されました63。このエクスプロイトキットの作成者は、自身のコードを無害な画像ファイ
ルに埋め込むステガノグラフィの手法を駆使していました64。
図 7:エクスプロイトキットがホストされた URL へのアクセス数(2016 年)
57
58
59
60
61
62
63
64
http://uk.reuters.com/article/uk-russia-cyber-arrests-idUKKCN0YN42R
http://blog.trendmicro.co.jp/archives/13897
http://malware.dontneedcoffee.com/2016/10/rig-evolves-neutrino-waves-goodbye.html
http://www.trendmicro.com.ph/vinfo/ph/security/news/cybercrime-and-digital-threats/ransomware-recap-oct-14-2016
http://www.trendmicro.com.ph/vinfo/ph/security/news/cybercrime-and-digital-threats/ransomware-recap-sept-30-2016
http://blog.trendmicro.co.jp/archives/13793
http://blog.trendmicro.co.jp/archives/13998
http://blog.trendmicro.co.jp/archives/14214
37
グローバルセキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
2016 年は、より多くのエクスプロイトキットによりランサムウェアが拡散されました。例えば、悪名高
いランサムウェアファミリー「CERBER」の最近の亜種は複数のキャンペーン活動に関連していました65。
「CERBER 4.0」は同年 10 月に登場し、不正広告キャンペーンで拡散し、正規サイトを汚染しようとす
るサイバー犯罪者に使用されるランサムウェアとなりました。「Neutrino」、「Magnitude」、「Rig」
が「CERBER 4.0」を拡散していた 3 つのエクスプロイトキットとして知られています。
表 3:エクスプロイトキットに拡散されたランサムウェアファミリー(2015 年および 2016 年)
65 http://blog.trendmicro.co.jp/archives/13897
38
グローバルセキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
「Angler EK」が活発だった 2015 年に比べると、2016 年は、エクスプロイトキットに利用される脆弱
性の数も大きく減少しました。
図 8:エクスプロイトキットが利用した脆弱性および製品の詳細(2016 年)
39
グローバルセキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
2015 年にエクスプロイトキットが利用した脆弱性の総数は 17 件でした。2016 年には 5 件となり、
71%減と大幅に減少しました。製品別では「Adobe Flash」の脆弱性が最も多くエクスプロイトキットに
利用されました。しかし 2015 年と比べると、2016 年は 80%減と大幅に減少しました。
図 9:エクスプロイトキットに利用された脆弱性数と製品(2015 年および 2016 年)
2016 年に利用された脆弱性数の減少傾向にもかかわらず、エクスプロイトキットは、不正広告キャンペ
ーン、ランサムウェア攻撃、その他のサイバー犯罪キャンペーンなど、サイバー犯罪者の強力な武器とし
て利用されています。エクスプロイトキットによる攻撃は、企業のプラットフォームやシステムの脆弱性
対策の状況に依存します。したがってレガシーシステムを利用している企業は、大きなリスクにさらされ
るでしょう。脆弱性利用の脅威を阻止するには、自社のソフトウェアやオペレーティングシステムに更新
プログラムを適用しておくことが不可欠です。
仮想パッチを導入すれば、製造元から公式に更新プログラムがリリースされていない脆弱性も保護し、リ
スクを軽減できます。企業では、更新プログラム適用の負担を気にせず柔軟に対応したり、更新プログラ
ムの管理を容易にするために、こうした仮想パッチ導入という選択肢は有効でしょう。さらに機械学習を
搭載したセキュリティ製品によって、脆弱性を狙った攻撃をリアルタイムで検知・ブロックできます。
40
グローバルセキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
オンライン銀行詐欺ツールや ATM マルウェアの標的となる銀行
不正プログラムとカードスキミング(カード情報の読み取り)によって、現金自動預け払い機(ATM)は
サイバー犯罪者にとって格好の標的となっています。2009 年に初めて「Skimer」が登場して以降、
ATM マルウェアの存在は定期的に確認されてきました。そして今回「Skimer」の最新亜種は、ATM 自体
が情報を読み取るスキマーへと変化しました66。
図 10:ATM マルウェアファミリーと発祥地67
サイバー犯罪者が ATM を狙い続ける理由の 1 つは、今だに多くの ATM で Windows® XP など、旧来の
オペレーティングシステム(OS)が使用されているからです。Windows® XP は、2014 年に Microsoft
がサポートを停止したため68、脆弱性が放置される状況に陥っています69。つまり、この OS を利用して
いるシステムは修正パッチが提供されず、攻撃を受けるリスクが高くなっています。
66 http://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/skimer-atm-malware-updated-turns-atm-into-skimmer
67 http://blog.trendmicro.com/trendlabs-security-intelligence/atm-malware-on-the-rise/
68 Windows XP Embedded のサポート停止は 2016 年
69 https://esupport.trendmicro.com/en-us/home/pages/technical-support/1101952.aspx
41
グローバルセキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
また、攻撃を多様化させるため、サイバー犯罪者は、様々な亜種の ATM マルウェアを用いています。
2014 年 10 月から存在が確認され、2016 年 12 月に再び注目された「ALICE」は最低限の機能のみを備
えた ATM マルウェアです70。この ATM マルウェアの特徴は、ATM 内のテンキーといった ATM 独特のハ
ードウェアに接続しない点です。ATM への手の込んだインストールやアンインストールの必要もなく、
サイバー犯罪者が標的である ATM 環境下で実行ファイルをクリックするだけです。
「ALICE」の場合、サイバー犯罪者は、ATM に物理的に接し、CD-ROM や USB で感染させることになり
ます。そして自前のキーボードを ATM のマザーボードに接続させ、そこで不正プログラム実行を操作し
ます。
図 11:オンライン銀行詐欺ツールトップ 10(2016 年)
オンライン銀行詐欺ツールは、今も銀行関連の脅威として注目されています。2016 年初旬、オンライン
銀行詐欺ツール「DYRE/DYREZA」作成者の逮捕後、「QAKBOT」の検出数が再上昇しました 71。2016
年第 2 四半期に入ると、サーバを狙った攻撃事例や新たな C&C サーバが確認され、「RAMNIT」も再び
台頭してきました72。「RAMNIT」は、2015 年に関連サーバが停止されて以降、ほとんど確認されてい
ませんでしたが73、イギリスの主要銀行を標的にして再登場し74、2016 年末に活動が確認されました。
70
71
72
73
74
http://blog.trendmicro.co.jp/archives/14189
http://blog.trendmicro.com/trendlabs-security-intelligence/despite-arrests-and-takedowns-online-banking-threats-persist/
http://www.securityweek.com/ramnit-banking-trojan-resumes-activity
http://www.securityweek.com/ramnit-botnet-brought-down-joint-operation-police-security-researchers
https://securityintelligence.com/ramnit-rears-its-ugly-head-again-targets-major-uk-banks/
42
グローバルセキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
ATM マルウェアやオンライン銀行詐欺ツールが拡大し続ける中、銀行や金融機関は、ATM の物理的なセ
キュリティを整備しなければなりません。ATM で使用されている OS を更新し、定期検査や関連機器の
ソフトウェアの脆弱性対応の時間を確保するなど、セキュリティ対策の徹底が必要です。特にアプリケー
ションコントロールによるセキュリティ対策は有効です。これにより、ホワイトリストに存在しないアプ
リケーションのインストールや使用をブロックし、効果的な対策を講じることができます。
オンライン取引のセキュリティでは、ユーザ側の対策も不可欠です。オフラインでもオンラインでも、銀
行取引を実行する場合、被害は何よりもユーザに及ぶからです。
サイバー犯罪者は、オンライン銀行詐欺ツールを使用してユーザの個人情報や認証情報を窃取します。そ
して窃取した情報を利用して、サイバー犯罪者が企業のネットワークへ侵入してきます。こうした点を考
慮し、ユーザは定期的にパスワードや暗証番号を変更し、オンライン取引の際には細心の注意を払う必要
があります。法人組織では、高度な不正プログラム検知を実現するエンドポイントのセキュリティ対策を
導入したり、二要素認証を採用したりすることでオンライン銀行取引のセキュリティを確保する必要があ
ります。さらに Web サイト、ファイル、メール等の侵入経路に対するセキュリティ対策導入を推奨しま
す。
43
グローバルセキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
2016 年の脅威概況
トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」
によると、2016 年全体で弊社でブロックした脅威合計数は 819 億に及び、2015 年と比較して 59%の
増加率を示しました。この増加は、メール関連の総脅威数に起因し、特にメールやスパムメールを介して
拡散したランサムウェアや BEC の急増によります。
図 12:全世界で検出された脅威合計数の年別推移
図 13:全世界で検出された 1 秒毎の脅威合計数の年別推移
44
グローバルセキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
図 14:全世界で検出されたメール脅威の年別推移
図 15:全世界で検出された不正 URL へのアクセス数の年別推移
45
グローバルセキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
図 16:全世界で検出された不正ファイル数の年別推移
図 17:ランサムウェア関連のスパムメールに使用された添付ファイルのファイル形式(2016 年)
註:2016 年 11 月の JavaScript の添付ファイル急増は、ドロッパー型の不正プログラムとして知られる「NEMUCOD」に起
因しています。メールで拡散するランサムウェア「LOCKY」もこの急増の要因となっています。
46
グローバルセキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
時期 | 発生した国
12/22 | 米国
12/ 14 | 米国
12/ 8 | 米国
11/ 29 | カナダ
11/ 29 | 米国
11/ 28 | 米国
11/ 24 | 米国
11/ 18 | 米国
11/ 15 | 米国
11/ 14 | 米国
11/ 11 | 米国
75
76
77
78
79
80
81
被害を受けた組織
概要
米カリフォルニア州医療機関「East Valley
医療や保険関連を含む個人情報 6 万 5,000 件が影
Community Health Center」
響をうけた75
米メリーランド州キャロル郡保安事務所「Carroll
ファイル復旧のため 2,400 米ドルを支払った76
County Sheriff’s Office」
米ジョージア州ヘンリー郡庁舎「Henry County
氏名、住所、電話番号、免許証番号を含む個人情報
Office」
が漏えい77
カナダ オタワの大学「Carleton University」
大学の PC やファイルがロックされた78
米メリーランド州ハワード郡庁舎「Howard County
Office」
3 万 3,000 件のファイルが暗号化された79
サンフランシスコ市営交通局「San Francisco
鉄道システムが停止し、乗客が無銭乗車できる状態とな
Municipal Transport Agency」
った80
米モンタナ州ビッグフォーク学区「Bigfork School
District」
米アイオワ州スペンサー商工会議所「Spencer
学生の情報やその他のファイルが暗号化された81
全 PC システムが影響を受けた82
Chamber of Commerce」
米アイオワ州マディソン郡庁舎「Madison County
Office」
ファイルを復号するため 2 万 8,000 米ドルを支払った83
米ウィスコンシン州ウォーキシャ郡メノモニーフォールズ村
システムがロックされ、5,672 米ドルの支払いが要求され
の業者「Menomonee Falls local business」
た84
米テキサス州シギーン市の皮膚科診療所「Seguin
患者情報、社会保障番号、医療サービス支払いコード
dermatologist」
などの機密情報にアクセスされた85
http://www.information-management.com/news/security/california-health-center-ransomware-attack-affects-65000-10030545-1.html
http://techtalk.pcpitstop.com/2016/12/14/ransomware-strikes-arkansas-sheriffs-office/
http://techtalk.pcpitstop.com/2016/12/08/henry-county-hit-ransomware-leaving-18000-voters-victims/
http://www.cbc.ca/news/technology/ransomware-carleton-university-computers-bitcoin-infects-1.3872702
http://kokomoperspective.com/kp/news/ransomware-targets-howard-county-government/article_9a6d8640-b5bb-11e6-854b-ff832671083f.html
http://www.bankinfosecurity.com/ransomware-result-free-ticket-to-ride-in-san-francisco-a-9562
http://billingsgazette.com/news/state-and-regional/montana/ransomware-attack-on-bigfork-schools-fix-in-works/article_7ff38855-e5a1-59d884de-18869e1c0df6.html
82 http://techtalk.pcpitstop.com/2016/11/18/spencer-chamber-infected-ransomware/
83 http://indianaeconomicdigest.com/main.asp?SectionID=31&subsectionID=201&articleID=85949
84 http://www.mynorthwestnow.com/story/news/local/menomonee-falls/2016/11/10/cyber-ransoming-hits-menomonee-fallsbusinesses/93548816/
85 http://www.expressnews.com/business/local/article/Ransomware-attack-targets-Seguin-dermatology-10609268.php
47
グローバルセキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
英国の医療機関「NHS Trust」傘下の病院
10/ 31 | イギリス
「Diana, Princess of Wales Hospital」、
「Scunthorpe General Hospital」、「Goole and
診察予約やその他の業務がキャンセルされた86
District Hospital」の3施設
10/17 | 米国
10/4 | 米国
9/29 | イギリス
9/22 | 米国
9/20 | 米国
9/20 | 米国
9/12 | 米国
9/12 | 米国
9/9 | 米国
9/7 | Japan
米テキサス州アーリントンおよびグランドプレーリーの医
療機関「Rainbow Children’s Clinic」
患者情報が暗号化された87
米ミシシッピ州オックスフォードの医療機関「Urgent
氏名、社会保障番号、生年月日、健康保険情報、そ
Care Clinic of Oxford」
の他の個人情報を含む患者情報が侵害された88
「SAMAS」のランサムウェアの被害からシステムを復旧す
英クラウドサービスプロバイダ「VESK」
るため、2 万 3,000 米ドルの身代金が支払われた89
米テキサス州パームハースト警察「Palmhurst
1 年分のデータを復旧するのに 1 週間を費やした90
Police Department」
南カリフォルニア大学附属病院「Keck Medical
患者記録が保存されたサーバ2つが影響を受けた91
Center」
米テネシー州スプリングフィールド市庁舎「Springfield
City Hall」
米カリフォルニア州医療機関「Yuba-Sutter
10 日間ファイルへのアクセス不可状態となった92
データへのアクセスが制限され業務に支障が生じた93
Medical Clinic」
米ノースダコタ州鉱物資源局「The North Dakota
350 米ドルの身代金が要求されたが、オフサイトのバック
Department of Mineral Resources」
アップにより 24 時間に復旧94
米ロードアイランド州の医療機関「University
氏名、住所、生年月日、社会保障番号、支払い記録
Gastroenterology」
等の患者情報が暗号化された
神戸大学
PC1台が感染し、学生の個人情報が影響を受けた95
米ウェストバージニア州およびケンタッキー州の医療機
8/27 | 米国
関「Appalachian Regional Healthcare
システムが停止し、マニュアルでの業務が強いられた96
System」傘下の「Appalachian Regional
Hospitals」
8/20 | 米国
86
87
88
89
90
91
92
93
94
95
96
97
米フロリダ州サラソータ市庁舎「Sarasota City Hall」
すべての PC システムが1日以上停止した97
http://www.dailymail.co.uk/news/article-3890964/NHS-Trust-cancels-operation-three-hospitals-electronic-hit-computer-virus-attack.html
https://www.databreaches.net/rainbow-childrens-clinic-notifies-33368-patients-of-ransomware-attack/
http://www.healthcareitnews.com/node/530046
http://www.2-spyware.com/remove-samas-dr-ransomware-virus.html
http://www.krgv.com/story/33153212/palmhurst-police-department-avoids-data-loss
http://www.keckmedicine.org/wp-content/uploads/2016/09/doc11167320160920094345.pdf
http://www.tennessean.com/story/news/local/robertson/2016/09/20/springfield-city-hall-recovers-ransomware-attack/90746176/
http://www.appeal-democrat.com/news/ransomware-attack-hits-yuba-city-clinic/article_23755354-7954-11e6-8506-5f7d1b5d1d53.html
http://www.grandforksherald.com/news/4113494-nd-department-attacked-ransomware
http://www.kobe-u.ac.jp/NEWS/info/2016_09_07_01.html
http://www.register-herald.com/news/arh-computers-breached/article_5159665b-7786-523b-b233-c3524259b538.html
http://www.mysuncoast.com/news/local/city-of-sarasota-s-system-hacked-by-ransomware-data-held/article_706019e2-6635-11e6-94ccaf3af2bb01f1.html
48
グローバルセキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
7/27| 米国
7/26| 米国
ニュージャージー州の医療機関「New Jersey Spine
暗号化されたファイルを復旧のため、身代金(金額未公
Center」
表)が支払われた98
カリフォルニア州ノバート市の医療機関「Marin
5,000 件の患者情報が窃取され、2 週間分のバックアッ
Medical Practice Concepts」
プにより復旧99
米ミズーリ州セントルイス郡ボールウィンの小売業労働
7/21| 米国
組合「United Food and Commercial Workers
組合員の個人情報が窃取された可能がある100
Local 655(UFCW Local 655)」
7/20| 米国
7/11| 米国
米アイオワ州ウッドベリー郡庁舎「Woodbury
バックアップのない 3,700 件のファイルが暗号化された101
County Office」
米ロードアイランド州の医療機関「University
業務に必要なストレージシステム内のファイルが暗号され
Gastroenterology」
た102
表 4:2016 年 7 月以降に報道された主要なランサムウェア事例(トレンドマイクロ調べ)
98 http://www.healthcareitnews.com/news/two-more-ransomware-attacks-both-organizations-pay
99 http://www.marinij.com/article/NO/20160813/NEWS/160819914
100 https://www.bna.com/ransomware-attack-hits-n57982082675/
101 http://siouxcityjournal.com/news/supervisors-approve-investigation-into-cyber-attack-that-compromised-county-files/article_6273cb18-77045803-bd66-c88a9931a4d0.html
102 http://universitygi.com/securityincident.pdf
49
グローバルセキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
50
グローバルセキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
表 5:新たに確認されたランサムウェアファミリー(2016 年)
表 6:脆弱性が確認された SCADA 関連アプリケーションリスト(2016 年)
2015 年合計
714
2016 年合計
765
高
38.0%
高
37.1%
中
60.2%
中
61.4%
低
1.5%
低
1.1%
評価なし
0.3%
評価なし
0.4%
表 7:トレンドマイクロおよび弊社傘下 ZDI による「Common Vulnerability Scoring System(CVSS)」評価
註:多数の脆弱性が確認・報告されたましたが、そのほとんどは、CVSS で「中」と評価されています。
51
グローバルセキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
図 18:POS マルウェアファミリートップ 10(2016 年)
52
グローバルセキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
53
グローバルセキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
54
グローバルセキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
55
グローバルセキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
表 8:トレンドマイクロの解析による 2016 年のランサムウェア新ファミリーが暗号化するビジネス関連ファイルの詳細一覧
56
グローバルセキュリティラウンドアップ
TREND MICRO | 2016 年年間 セキュリティラウンドアップ
TREND MICRO
本書に関する著作権は、トレンドマイクロ株式会社へ独占的に帰属します。
トレンドマイクロ株式会社が書面により事前に承諾している場合を除き、形態および手段を問わず本書またはその一部を複製することは
禁じられています。本書の作成にあたっては細心の注意を払っていますが、本書の記述に誤りや欠落があってもトレンドマイクロ株式会社は
いかなる責任も負わないものとします。本書およびその記述内容は予告なしに変更される場合があります。
本書に記載されている各社の社名、製品名、およびサービス名は、各社の商標または登録商標です。
〒151-0053
東京都渋谷区代々木 2-1-1 新宿マインズタワー
大代表 TEL:03-5334-3600 FAX:03-5334-4008
http://www.trendmicro.co.jp
TRENDLABSSM
フィリピン・米国に本部を置き、日本・台湾・ドイツ・アイルランド・中国・フランス・イギリス・ブラジルの 10 カ国 12 ヵ所の各国拠点と連携し
てソリューションを提供しています。
数カ月におよぶ厳しいトレーニングを経て最終合格率約 1%の難関を突破した、選びぬかれた 1,000 名以上の専門スタッフが、脅威の
解析やソリューションへの反映など、24 時間 365 日体制でインターネットの脅威動向を常時監視・分析しています。
世界中から収集した脅威情報を、各種レピュテーションデータベースや不正プログラム、迷惑メールなどの各種パターンファイルなど、グローバ
ル共通のソリューションに随時反映しています。
サポートセンターの役割も兼ねる研究所として、お客様に満足いただけるサポート体制を整備し、より多くの脅威に迅速に対応しています。
© 2017 Trend Micro Incorporated. All Rights Reserved
57
グローバルセキュリティラウンドアップ