企業経営を脅かすサイバー攻撃の 横行 TrendLabsSM 2014 年 年間セキュリティラウンドアップ 目 次 総括 …………………………………………………………………………… 3 日本セキュリティラウンドアップ 正規サイトでも危険、不正広告が 10 万人を脅威へ誘導 ………………… 5 日本を狙うネット詐欺が急増:ネット通販の偽サイトが 10 万人以上に影響 7 ネットバンキングを狙う攻撃が倍増、被害は法人でも拡大 ……………… 9 顧客情報を奪う攻撃が企業を脅かす………………………………………… 11 Android 不正アプリの脅威拡大、iOS 安全神話にも陰りが……………… 14 2014 年を通じ、不正プログラム検出台数でアドウェアがトップ 3 を独占 17 グローバルセキュリティラウンドアップ 企業経営を脅かすサイバー攻撃の横行 …………………………………… 19 脅威の主流となった POS マルウェア ……………………………………… 22 「Heartbleed」と「Shellshock」が覆した安全神話 ……………………26 セキュリティ上の課題に直面するネットバンキング ……………………… 28 活動範囲を広げ、巧妙化するランサムウェア ……………………………… 31 世界規模で拡大し続けるサイバー犯罪者とアンダーグラウンド経済 … 38 脅威概況:減少傾向の中、フィッシングサイトが倍増 ………………… 40 2014 年 年間セキュリティラウンドアップ 総括 2014 年を通じ、企業経営を大きく脅かすサイバー攻撃が横行しています。特に、組織内外の 脅威により企業の持つ情報が侵害されることで、重要情報の損失だけでなく、甚大な金銭的被 害や、企業活動に大きく影響する二次被害がもたらされる事例が、過去にない頻度で発生して います。企業の安定した事業継続のためにも、自ら保有する情報資産を守るために内外の脅威 に対する対策を進めていくことが、これまで以上に求められていくと言えるでしょう。 海外では特に POS システムへの攻撃により、大量の決済情報が窃取される事件が 17 件発覚し ました。これらの攻撃では公表されただけでも 6000 万件以上のクレジットカード情報が漏えい しています。 12 月に米国で発生したハッキンググループによる映画製作・配給会社へのサイバー 攻撃事例では 100TB の極秘情報が侵害され、その損失コストは 100 万ドルと試算されています。 日本では内部犯行でおよそ 2900 万件の個人情報が漏えいし、被害に遭った教育関連企業は対 策費として 260 億円の特別損失を計上したことが明らかになっています。その他にも 6 月に米 国で発生した IT 企業への攻撃ではクラウド上の顧客データがバックアップごと消失し、企業活動 が停止、廃業に追い込まれています。日本でもネット通販サイトを標的とした攻撃の被害から回 復できず、ネット通販が再開できない状態が続いている事例がありました。 その他、一般のインターネット利用者を狙う攻撃では、 「名前解決」 、 「コンテンツ配信」などイ ンターネットの根幹の仕組みを悪用したり、 「不正広告」 、 「Web 検索結果の汚染」 、など、正規 サイトやサービスの信頼に便乗したりして、利用者を脅威へ誘導する攻撃手口が過去にない規 模で発生しています。このような攻撃はインターネット利用者の「怪しいサイトにアクセスしなけ れば大丈夫」というような、これまでのセキュリティ常識を逆手に取った攻撃と言えます。これら の誘導手口により、利用者は最終的に「フィッシング詐欺」 、 「通販関連詐欺サイト」 、 「オンライ ン銀行詐欺ツール」など、金銭そのものや、金銭に繋がるオンラインサービスの認証情報を詐 取される被害を受けます。実際、2014 年における国内のオンライン銀行詐欺ツールの検出台 数は個人、法人共に 2013 年のおよそ 2 倍、フィッシング詐欺についても 1 年を通じて 217 万人 以上がフィッシングサイトへ誘導されたことが確認されています。 またこのような全体の脅威傾向の背景として、特に広く公開サーバに影響を与える Linux やオー プンソースソフト脆弱性が相次いで発覚しています。特に 4 月に発覚した「Heartbleed」 、9 月 に発覚した「Shellshock」は、企業の公開サーバで広く使用されている Linux やオープンソー スソフトウェアにおける脆弱性が深刻な影響をもたらすことを証明した事例と言えます。 日本セキュリティラウンドアップ 信頼を悪用する攻撃者 はじめに サイバー犯罪者は、金銭的利益を最終目的とし、インターネット上の様々な金銭に繋がる情報を狙い続けており、彼 らの思惑は実際のセキュリティインシデントとして表面化します。 2014 年、広く一般のインターネット利用者に大きな被害を与えた攻撃として、直接金銭的利益に繋がる「ネットバン キングを狙う攻撃」と、フィッシング詐欺や通販関連詐欺サイトを含む「ネット詐欺」が上げられます。そして、これ らの脅威へインターネット利用者を誘導する手法としては、正規サイトやサービスへの一般利用者の信頼にただ乗り する攻撃や、インターネットの根幹の仕組みを侵害する攻撃が顕著に見られました。 また、企業においては、過去最大級と言われる内部犯行事例を含め、企業の扱う顧客情報の盗難事例が多く露見し ています。これらの攻撃では、規模や業種を問わず被害が発覚しています。また同時に、遠隔操作によるネットワー ク内部の探索など、これまで標的型サイバー攻撃と呼ばれていたような攻撃手法が使われていた事例も見られまし た。企業の持つ顧客情報を狙う攻撃は、今後一層巧妙化、大規模化していくでしょう。 脅 威 の 全 体 像として、2014 年 にトレンドマイクロ のクラウド型 セ キュリティ技 術 基 盤 で ある SPN(Smart Protection Network)で集計した日本での脅威ブロック数はおよそ 8 億件となりました。これは、2013 年の 4 億 7 千万件の 1.7 倍となる件数です。 トレンドマイクロ SPN による日本の脅威ブロック数推移) 43,890,856 8億 180,267,281 121,395,508 568,707,330 4億 61,602,151 不正サイト 290,323,900 スパムメール 不正プログラム 0 2013 年 2014 年 註:本稿に掲載されるデータ等の数値は、特に明記されていない場合、トレンドマイクロのクラウド型セキュリティ基盤 「Trend Micro Smart Protection Network」が出典となります。 TREND MICRO | 2014 年 年間セキュリティラウンドアップ 正規サイトでも危険、不正広告が 10 万人を脅威へ誘導 2014 年のサイバー攻撃の中で特に顕著だったのは、インターネットの仕組みを利用し、正規サイトやサービスの信頼を逆手にとって インターネット利用者を脅威へ誘導する手法でした。該当する攻撃手法として 2013 年以前は正規 Web サイト改ざんがありましたが、 2014 年にはさまざまな手法が国内への攻撃で確認されました。特に正規ソフトの更新機能を侵害し不正プログラムを頒布する攻撃や、 CDN(コンテンツデリバリネットワーク)1 のサービス侵害により複数の正規サイトから不正プログラムが配布された攻撃は国内では初め て確認された手法です。また、ドメイン情報を書き換えインターネットの名前解決の仕組みを悪用して不正サイトへ誘導する「ドメイン ハイジャック」でも、新聞社やソーシャルメディアなど、複数の国内著名サイトでの被害が明るみになったのは初めてと言えます。 2014 年に確認された主な攻撃事例リスト(トレンドマイクロが独自に調査) ネット広告の汚染 2 正規Web改ざん 1年を通じ35件の改ざん事例が公表、 合わせて6万件以上のアクセスに影響(1~12月) 3 正規ソフトの侵害 正規ソフトの侵害 3 動画再生ソフトの更新機能から不正プログラムが配信。 国内の複数企業で感染を確認 2月 3月 4月 CDNの侵害 5 CDNのサービス侵害により、複数の正規サイト上から 不正プログラムが配信。9万8千ユーザに影響 Webアドオンの侵害 7 ソーシャルブックマークボタンのシステムが侵 され、国内5万7千ユーザを不正プログラムへ誘導 ソーシャルメディアからの誘導 9 Facebook上でタグ付機能の悪用による誘導が 継続的に発生。4日間で2300人を偽サイトへ誘導 (8月以降) ネット広告の汚染 1月 12 Youtube上での不正広告で国内5千ユーザが 不正プログラムへ誘導 5月 6月 7月 8月 9月 10月 11月 12月 Yahoo!のリスティング広告汚染で 不正プログラムへ誘導。 主に欧州での被害だったが日本にも影響 4 3 ネッ 害ト広告の汚染 侵のトフソ規正 Yahoo!のリスティング広告汚染で フィッシングサイトへの誘導を確認 ネット広告の汚染 一般サイトでの不正広告表示により、 1万7千アクセスを不正プログラムへ誘導 正規ソフトの侵害 8 テキストエディタソフトの更新機能から 不正プログラムが配信 Web検索結果の汚染 10 Google検索結果から中継サービスを利用した 詐欺サイトへ誘導 ドメインハイジャック 11 有名新聞社など複数国内サイトのドメイン情報が 書き換えられ、不正プログラムへ誘導(9~10月) ネット広告の汚染 13 Googleでのリスティング広告汚染で国内から 8万5千件のアクセスを通販詐欺サイトへ誘導 2345678910111213 1 :Web コンテンツをインターネット経由で配信するために最適化されたネットワーク、およびそのサービス。コンテンツ配信 CDN(コンテンツデリバリネットワーク) 網 2 3 4 5 6 7 8 http://blog.trendmicro.co.jp/archives/8421 http://www.gomplayer.jp/player/notice/view.html?intSeq=300 http://www9.nhk.or.jp/kabun-blog/200/181449.html http://www.cdnetworks.co.jp/pressrelease/2272/ http://blog.trendmicro.co.jp/archives/9335 http://blog.trendmicro.co.jp/archives/9715 https://jp.emeditor.com/general/%e6%9b%b4%e6%96%b0%e3%83%81%e3%82%a7%e3%83%83%e3%82%af%e3%81%ab%e3%82%88 %e3%82%8b%e3%82%a6%e3%82%a3%e3%83%ab%e3%82%b9%e6%84%9f%e6%9f%93%e3%81%ae%e5%8f%af%e8%83%bd%e6 %80%a7/ 9 http://blog.trendmicro.co.jp/archives/10389 10 http://blog.trendmicro.co.jp/archives/9831 11 http://jprs.jp/tech/security/2014-11-05-unauthorized-update-of-registration-information.html 12 http://blog.trendmicro.co.jp/archives/10094 13 http://blog.trendmicro.co.jp/archives/10720 5 | 日本セキュリティラウンドアップ TREND MICRO | 2014 年 年間セキュリティラウンドアップ 8 月以降 Facebook 上で確認されているタグ付け機能の悪用による誘導例 その他の手法もこれまでは小規模な事例が散見されていましたが、数千以上の利用者やアクセスに影響するような規模の事例は確認さ れていませんでした。中でもネット広告の汚染は 2014 年を通じて拡大し、12 月に確認された Web 検索時に検索キーワードに従って表 示されるリスティング広告の汚染では、1 か月間に 8 万件以上のアクセスが通販関連詐欺サイトへ誘導されるという大規模被害が確認 されています。また、今や Web サイトのアドオン機能として当たり前になってきたソーシャルメディアへの投稿ボタンが侵害された事例 も 8 月に発生しましたが、これも国内から 5 万件以上のアクセスを誘導する大規模なものでした。 セキュリティエキスパートの見解 サイバー攻撃者はより大きな利益を求め、効果的な攻撃手法を試し続けています。2014年はその攻撃手法が、正規サイトやサ ービスといったインターネットの信頼を悪用する方向に向いた年と言えます。これは、一般のインターネット利用者が持つ 「正規 サイト上の表示は安全」 というような 「セキュリティ常識」 を逆手に取ったものであり、主な事例だけを見ても、 このような利用者を 騙す手法はサイバー犯罪者にとっての大きな成功に繋がっています。過去の様々な事例の検証から、 これまで脅威への誘導手 法の主流だったスパムメールにおける誘導の成功率を、0.6%前後とトレンドマイクロでは試算しています。これは100万通のス この2014年に台 パムメール送信を行った場合、脅威への誘導が成功するのは6000件程度であるということです。これに比べ、 頭した複数の攻撃手法は、短期間に数千から数万規模のアクセスを誘導できる手法だったと言えます。特に 「マルバタイジング」 とも呼ばれる不正広告の手口は今後常套化していくでしょう。 また、 インターネットの信頼を悪用するにあたって、 やCDN(コンテンツデリバリネットワーク)といったインターネ DNS(名前解決) ット自体の根幹にあたる仕組みを侵害する手法も目立ちました。特に名前解決のような根本の仕組みを侵害される攻撃は、 サイ トやサービスの管理者にもわからないところで脅威への誘導が行われるものであり、利用者にとってもアクセスしたURLは正規 サイトそのものと同じ表示になるため、二重に気付くことができない攻撃と言えます。 個人利用者にとって、 このようなインターネットの信頼を悪用する攻撃の頻発は、 「不審なサイトにはアクセスしない」 など、 これま で言われてきたセキュリティの心掛けを覆されることを意味します。正規サイトやサービスの表示に対し、個人利用者がそのすべ ての安全性を確認することは、現実的ではありません。セキュリティ対策ソフトの利用なしにインターネットを利用することは、 こ れまで以上に危険な時代になったと言えるでしょう。また、 サイトやサービスの運営者にとっては、 自身が提供するサイトやサービ スの侵害が利用者に被害を与えないよう、提供側でどのような対策が行われているかを把握することが必要です。また、侵害さ れた場合にも早期に気付く対策が重要になっていくでしょう。 6 | 日本セキュリティラウンドアップ TREND MICRO | 2014 年 年間セキュリティラウンドアップ 日本を狙うネット詐欺が急増:ネット通販の偽サイトが 10 万人以上に影響 フィッシング詐欺や通販関連の詐欺サイトなど、日本を狙う「ネット詐欺」が 2014 年の後半にかけて急増しています。「ネット詐欺」は インターネット利用者の使用するオンラインサービスの認証情報や、金銭もしくは決済情報を詐取するサイバー犯罪です。 特に 2014 年 8 月以降は、 「偽サイト」 「 、なりすまし EC サイト」 などと呼ばれるネット通販関連の詐欺サイトへ、一般利用者を誘導する様々 な不審な動きが顕著でした。 8 月以降から継続的に確認されたソーシャルメディア上でのタグ付けを利用した誘導 14 や 10 月に確認され た中継サービスの手法を用いた「なりすましオンラインショッピングモールサイト事例」15、12 月に確認された Web 検索の際に表示され る「リスティング広告の汚染」16 などが顕著な事例でした。これらの事例では判明しただけでも、合わせて 10 万以上の利用者が通販関 連詐欺サイトに誘導されたことがわかっています。 また、ネット詐欺の中では既に古典的な手法となっている「フィッシング詐欺」に関しても 4 月以降に急増していることが SPN の Web レピュテーション(WRS)機能の統計で明らかになっています。 1 年間を通じ、およそ 176 万ユーザがフィッシングサイトへ誘導されま したが、特に第 3 四半期は約 61 万、第 4 四半期は約 75 万と急増しており、上半期と下半期の比較ではおよそ 3 倍増となっています。 日本におけるフィッシングサイトへのアクセスブロック数推移 75 万 80万 61万2千 40万 27万4千 13 万5千 0 14 http://blog.trendmicro.co.jp/archives/10389 15 http://blog.trendmicro.co.jp/archives/9831 16 http://blog.trendmicro.co.jp/archives/10720 7 | 日本セキュリティラウンドアップ 第 1 四半期 第 2 四半期 第 3 四半期 第 4 四半期 TREND MICRO | 2014 年 年間セキュリティラウンドアップ セキュリティエキスパートの見解 「ネット詐欺」の急増の中でも、より直接的に金銭を奪える通販関連の詐欺サイトの事例が目立ってきていることは、サイバー犯 罪者の目的がやはり金銭的利益であることを示していると言えるでしょう。通販関連詐欺サイトへの誘導方法としては、不正広告 や Web 検索結果の汚染(ブラックハット SEO)の手口が確認されています。これは、ある商品のネット上での最安値を調べる際 に Web 検索を利用する消費者の行動をサイバー犯罪者はよく知っており、逆手に取ったものと言えます。 Web 検索結果の汚染による、通販関連詐欺サイトへの誘導例 特定のキーワードでの検索結果に偽サイトが混入している また、インターネットのオンラインサービスで使用される認証情報は、金銭に繋がる標的として狙われ続けています。認証情報 の詐取手法として、既に古典的な攻撃手法であるフィッシング詐欺はいまだ有効性が高いことも、2014 年を通じたフィッシング 詐欺の増加に表れています。このようなネット詐欺に関しては技術的な検知と同時に、その手口をよく周知して行くことが重要で しょう。 8 | 日本セキュリティラウンドアップ TREND MICRO | 2014 年 年間セキュリティラウンドアップ ネットバンキングを狙う攻撃が倍増、被害は法人でも拡大 は、 2013 年に拡大した国内のネットバンキングを狙う脅威「オンライン銀行詐欺ツール」 2014 年を通じてその被害を拡大させてきました。 特に、1 月に確認された「AIBATOOK」 、5 月に確認された「VAWTRAK」 、12 月に確認された「WERDLOD」など、2013 年に主流だっ た「ZBOT」とは異なる不正プログラムも次々に登場し、全体の検出台数では 2013 年の約2倍にまで増加しました。 日本における代表的オンライン銀行詐欺ツールの年間検出台数推移 6万 4万7,700 また、2014 年には個人利用者だけでなく、法人ネットバンキング 利用者でも被害が拡大しており、法人利用者での検出台数は 1 年 間で 8500 件と 2013 年の約 2 倍になっています。警察庁の公表 2 4万 万 17 によれば法人口座からの不正送金被害は約 10 億 8800 万円と、 2013 年の約 9800 万円からおよそ 11 倍の急増となっています。 2万5,200 2万 0 2013 年 2014 年 国内法人利用者における代表的オンライン銀行詐欺ツールの検出台数推移 2,800 2,700 2,200 2000 1,800 1,200 1,200 1000 700 300 0 第 1 四半期 第 2 四半期 第 3 四半期 第 4 四半期 第 1 四半期 第 2 四半期 第 3 四半期 第 4 四半期 2013 年 2014 年 17 http://www.npa.go.jp/cyber/pdf/H270212_banking.pdf 9 | 日本セキュリティラウンドアップ TREND MICRO | 2014 年 年間セキュリティラウンドアップ セキュリティエキスパートの見解 ネットバンキングを狙う攻撃が、個人、法人の双方で被害拡大した要因として、活動の巧妙化が上げられます。特に、法人顧客 が認証のために使用する電子証明書の窃取 18 、ワンタイムパスワードを突破する自動送金活動(ATS)19 、そしてプロキシ設定の 変更による中間者攻撃(MitM)20 などの活動が、国内ネットバンキングを対象にしたものとして 2014 年に入り初めて確認されま した。特に、中間者攻撃の事例では、不正なルート証明書を感染環境にインストールすることにより、正規の SSL 通信が成立し ているように見せかけるなど、非常に巧妙な手口が用いられていたことも確認されています。 ATS 活動の際に利用者に表示される偽画面例(実際の画面を元にしたイメージ) MitM 攻撃のために被害者のプロキシ設定を変更する設定ファイルの記述例 また、攻撃に使用される不正プログラム「オンライン銀行詐欺ツール」の解析からは、認証情報詐取の対象がネットバンキング だけではなく、クレジットカード、ネット通販、Web メールなどへ拡大していることが明らかになっています。このような認証情報 詐取目的の不正プログラムを使用した攻撃は、直接金銭を奪える対象としてネットバンキングを中心に狙いながら、攻撃手法の 巧妙化と対象の拡大を続け、常套手段化して行くでしょう。また、ビットコインの取引所や POS システムなど、データの集積場 所を狙う攻撃傾向と併せて考えると、金融機関のシステム自体を侵害するような大規模な攻撃の発生も予想されます。 18 http://blog.trendmicro.co.jp/archives/9417 19 http://blog.trendmicro.co.jp/archives/9884 20 http://blog.trendmicro.co.jp/archives/10558 10 | 日本セキュリティラウンドアップ TREND MICRO | 2014 年 年間セキュリティラウンドアップ 顧客情報を奪う攻撃が企業を脅かす 2014 年に確認されたセキュリティインシデントの中でも日本国内で最も影響が大きかったのは、7 月に発覚した教育関連企業での内部 犯行による事例 21 でしょう。この事例は 1 人のエンジニアによる内部犯行でしたが、約 2900 万件という国内史上最大規模の情報漏え い事例として大きな波紋を呼びました。 この事例を象徴として、決済情報やオンラインサービスを使用する際の認証情報などを含む、顧客情報を企業から奪う脅威が顕在化し ています。特に注目された内部犯行の事例のほか、外部からのサイバー攻撃の事例でも合わせて 100 万件以上の顧客情報が盗難被 害に遭っています。これらの事例は企業が持つ顧客情報がサイバー犯罪者にとって、大きな攻撃目的になっていることを示しています。 2014 年に公表された主な情報盗難事例(公表データを元にトレンドマイクロが独自に調査) 発覚時期 業種・サービス 従業員数 種別 主な被害 ネット通販 約 250 外部からの攻撃(公開サー バ) サイト改ざんにより約 1200 件のクレジットカード情 報が盗難 ネット通販 約 200 外部からの攻撃(ネットワー ク侵入) 外部からの侵入でおよそ 9 万 5 千件のクレジット カード情報が盗難 仮想通貨 約 10 外部からの攻撃(不明) 外部からの攻撃により 4 億円以上の仮想通貨が盗 難 教育 約 10 内部犯行 元従業員が持ち出した顧客リストから 109 人に対し メール送信 情報通信 約 200 外部からの攻撃(ネットワー ク侵入) 外部からの侵入でおよそ 6 万 4 千件のアカウント 情報が盗難 サービス業 約 2500 外部からの攻撃(公開サー バ) サイト改ざんにより不審なプログラムが設置されて いたのを発見 教育 約 3000 内部犯行 約 2900 万件の顧客情報が盗難 製造・小売 約 500 外部からの攻撃(公開サー バ) サイト改ざんにより約 600 件のクレジットカード情 報と 6 万件の顧客情報が盗難 放送局 約 100 外部からの攻撃(ネットワー ク侵入) 約 2 万件の顧客情報が盗難 ホビーショップ 約 80 外部からの攻撃(公開サー バ) サイト改ざんにより約 900 件のクレジットカード情 報が盗難 航空 約1万 外部からの攻撃(ネットワー ク侵入) 約 74 万件の顧客情報が盗難 通信 約1万 内部犯行 顧客情報約 1000 人分が盗難 情報通信 約 9000 外部からの攻撃(ネットワー ク侵入) サイト利用者の認証情報 3 件が盗難 10 月 小売 約 1000 内部犯行 およそ 500 人の個人情報を外部業者へ売却 10 月 人材紹介 約 100 内部犯行 1 万 7 千人分の顧客情報を持ち出し 小売 約 160 外部からの攻撃(公開サー バ) およそ 2 万 3 千件のクレジットカード情報が盗難 1月 1月 2月 4月 4月 5月 7月 7月 8月 8月 9月 9月 9月 11 月 21 http://blog.benesse.ne.jp/bh/ja/news/m/2014/09/25/docs/20140925 リリース .pdf 11 | 日本セキュリティラウンドアップ TREND MICRO | 2014 年 年間セキュリティラウンドアップ これらの被害事例の中でも、外部からの攻撃事例においては、これまで「標的型サイバー攻撃」で使用されていたような侵入後の遠隔 操作を中心とする攻撃手法が確認されています。 「標的型サイバー攻撃」で使用される攻撃手法の概念図 事前準備 初期潜入 情報探索 攻撃先決定、偵察、初期潜入 メール送信、受信者による 内部活動ツール送出、LAN 用不正プログラム準備、C&C 添付不正プログラム実行 内情報探索 サーバ準備 情報集約 端末制御 C&C 通信による遠隔操作の確立、 感染環境確認 情報送出 有益情報の収集 収集情報の入手 内 部 活 動 内 部 活 動 法人に対して遠隔操作を狙う攻撃者の目的をはっきりと示すデータとして、トレンドマイクロが法人顧客の調査依頼により解析した不正 プログラムのうち、標的型サイバー攻撃手法に欠かせない遠隔操作型不正プログラム(検出名 BKDR)の割合が増加傾向を示してい ます。特に 2014 年第 4 四半期には 5 割を超え、1 年間でおよそ 5 倍の増加率となっています。 12 | 日本セキュリティラウンドアップ TREND MICRO | 2014 年 年間セキュリティラウンドアップ 法人からの解析依頼における遠隔操作型不正プログラム割合推移 54.2% 50.0% 32.4% 29.5% 25.0% 16.4% 9.8% 4.2% 0 第3四半期 2013年 第4四半期 第1四半期 2014年 第2四半期 第3四半期 第4四半期 セキュリティエキスパートの見解 情報盗難の事例に表れている「標的型サイバー攻撃」の手法とは、具体的には、遠隔操作型不正プログラムを使った社内端末 の遠隔操作、遠隔操作により制御を奪った端末を利用した社内ネットワークの探索やデータベースへのアクセス、データベース から抜き取った情報の集約、社外への送出、といった手法です。このような攻撃手法は、手間と時間がかかる攻撃であり、これ までは国家的な機密を狙う攻撃でのみ使用されていると思われてきました。しかし、この 2014 年に判明した外部からの情報盗 難事例の傾向からは、企業の持つ顧客情報レベルを目的とした攻撃にも「標的型サイバー攻撃」の手法が広がっていることが 見て取れます。また、被害を受けた企業の規模も従業員数 1 万人規模から 10 人以下の企業が含まれており、攻撃者の狙う顧 客情報を持っている企業であれば、規模や業種を問わず被害を受ける可能性があることを示しています。今後、企業でのセキュ リティ対策は、このような内部への潜入と遠隔操作を中心とする「気付けない攻撃」への対策を前提に、侵入にいかに早く気付 き、被害を最小限にとどめるか、が重要になるでしょう。 13 | 日本セキュリティラウンドアップ TREND MICRO | 2014 年 年間セキュリティラウンドアップ Android 不正アプリの脅威拡大、iOS 安全神話にも陰りが モバイルの脅威では、Android 向け不正アプリがトレンドマイクロの累計で 400 万を越え、拡大は加速度を増しています。トレンドマ イクロ SPN の統計データによれば、2014 年の1年間で 200 万件以上の不正アプリ検出を日本から確認しました。不正アプリの活動 分類による検出割合では、情報窃取、アドウェア、遠隔操作などの活動を行う不正アプリが多く確認されています。特に、情報窃取や 遠隔操作を行う不正アプリを使用して感染端末から盗んだ情報を元に、端末利用者に対して架空請求や詐欺、恐喝を行うような事例が 日本国内で発生しており、実際に攻撃者が逮捕された事例もありました。 2014 年日本で検出されたモバイル向け不正アプリ活動分類割合 50% 43.65% 40% 31.49% 30% 20% 16.56% 7.80% 10% 1.76% 0 情報窃取 アドウェア 遠隔操作 SMS 送信 ワンクリック ウェア 0.71% ハッキング ツール 1.90% その他 注:活動が重複しているものがあるため合計は 100%を超える 2014 年に日本で検出されたモバイル向け不正アプリファミリー TOP10 と脅威種別 14 | 日本セキュリティラウンドアップ GALEAK 32.0% 情報窃取 SMSROOT 16.6% 遠隔操作 ADRD 8.5% アドウェア MINIMOB 7.1% アドウェア EXPLOITSIGN 3.9% 情報窃取/SMS送信 ARPUSH 3.0% アドウェア FAKEAPP 2.9% 情報窃取 SMSREG 2.6% SMS送信 PLANKTON 2.3% アドウェア EQA 2.0% 情報窃取 TREND MICRO | 2014 年 年間セキュリティラウンドアップ また、これまで不正アプリに対しては安全であると思われてきた iOS 端末についても、今後の不正アプリ被害発生を予兆させる事例が 立て続けに確認されています。これまで iOS は、正規アプリストアである App Store を経由しないアプリのインストールは原則行えな いこと、また、App Store の不正アプリに対する審査が非常に厳格であることの、2 つの条件により不正アプリから守られてきました。 しかし、9 月には App Store 上で有名アプリにそっくりな偽アプリを公開する手口を確認 22 しました。有名アプリの知名度にただ乗り する偽アプリは Android 向け不正アプリでは定番になっている手口ですが、この iOS 向け偽アプリでは不正な活動は含まれておらず、 結果的にオリジナルの有名アプリの知名度を利用して説明通りの動作をしないアプリを購入させようとする、いわば詐欺的行為でした。 この偽アプリの開発者は同様の偽アプリを継続して公開していることが確認されており、中には有名パスワード管理ツールの偽アプリな ども含まれていました。 確認された偽アプリとオリジナルの比較、 App Store 上での表示 オリジナル 偽アプリ アプリ名 Akinator the Genie Akinator Genie 発行者 Elokence Jennifer Mendelson アプリ id id484090401 id878859876 偽アプリは誤解を誘うため、オリジナルとそっくりなアイコンやキャラクターを使用 22 http://blog.trendmicro.co.jp/archives/10058 15 | 日本セキュリティラウンドアップ TREND MICRO | 2014 年 年間セキュリティラウンドアップ また、11 月に確認された「WireLurker」23 と「Masque Attack」24 の2つの事例では、企業などが自社アプリを展開する際に用いられる 「プロビジョニングプロファイル」の仕組みを用いることで、 App Store 以外から不正アプリをインストールさせることを実現しています。 続いて 12 月には、App Store の審査から外れた音楽アプリが、 「プロビジョニングプロファイル」の仕組みを用いて、一般のインター ネット上で配信されていた事例も確認 25 されました。これらの事例は iOS の正規機能である「プロビジョニングプロファイル」の悪用 により App Store 以外のインターネットサイトから不正アプリを広く一般の利用者に配信する攻撃が可能であることを証明したものと言 えます。 App Store 以外から「プロビジョニングプロファイル」によりアプリをインストールさせる表示例 この画面で「インストール」を選択するだけで Jailbreak されていない iOS 端末にアプリがインストールされる 23 http://blog.trendmicro.co.jp/archives/10258 24 http://blog.trendmicro.co.jp/archives/10420 25 http://blog.trendmicro.co.jp/archives/10497 16 | 日本セキュリティラウンドアップ TREND MICRO | 2014 年 年間セキュリティラウンドアップ 2014 年を通じ、不正プログラム検出台数でアドウェアがトップ 3 を独占 2014 年を通じて、アドウェアが検出台数のトップを占めています。これはアドウェアによるアフィリエイト広告への誘導やクリックといっ た手法に加え、特定ソフトのインストール数により収入を得る PPI(ペイパーインストール)などの手法が定着し、サイバー犯罪者にとっ ては少額ながらも比較的安全に安定した収入を得るための手法として常套化してきたためと考えられます。 2014 年 日本国内で検出された不正プログラム Top3(総計およびセグメント別)(トレンドマイクロ SPN による) 総計 Top3 検出台数 アドウェア以外 検出台数 ADW_INSTALLCORE 66 万 4 千 JS_SENSAVE.A 6万8千 ADW_SENSAVE 19 万 7 千 CRCK_GETCPRM 5万 ADW_OPENCANDY 17 万 5 千 JS_NEVAR.A 2万7千 大企業 検出台数 中小・中堅企業 検出台数 ADW_INSTALLCORE 2 万 9,200 ADW_INSTALLCORE 2 万 5,500 ADW_OPENCANDY 7,400 ADW_ OPENCANDY 4,300 ADW_DEALPLY 4,800 ADW_DEALPLY 3,900 アドウェア以外 アドウェア以外 WORM_DOWNAD.AD 3,400 WORM_DOWNAD.FUF 1,100 JS_NEVAR.A 800 JS_AGENT.APS 1,000 JS_AGENT.APS 800 個人ユーザ CRCK_KEYGEN 検出台数 ADW_INSTALLCORE 60 万 ADW_OPENCANDY 29 万 3 千 ADW_DEALPLY 13 万 8 千 アドウェア以外 JS_NEVAR.A 5万3千 CRCK_GETCPRM 5万1千 CRCK_KEYGEN 2万5千 17 | 日本セキュリティラウンドアップ 1,100 グローバルセキュリティラウンドアップ 企業経営を脅かすサイバー攻撃の横行 はじめに 2014 年は、個人や企業を問わず、破壊的なサイバー攻撃が行われた年だったといえます。膨大な量の機密情報が 攻撃者の手に渡り、甚大な金銭的被害はもちろん、取り返しの付かない風評被害ももたらされました。こうした状況 は、いつ誰がサイバー攻撃の新たな被害者になってもおかしくない深刻さを物語っています。 大規模な情報漏えいにより、さまざまな企業が、金銭的に法的に、そして業務遂行や生産性の面で大きな損害を 被りました。これらの象徴の一つとして、業界を問わず多くの企業で発生した PoS マルウェアによる PoS システ ムからの情報漏えいインシデントは、2014 年に急増しました。大規模な情報漏えいだけでなく、 「Heartbleed」や 「Shellshock」など、これまで安全と見なされ広く利用されてきたオープンソースソフトウェアの脆弱性を狙った攻 撃や、 「Fake ID」や「Same Origin Policy(SOP) 」など、モバイルの端末やプラットフォームでの脆弱性を狙った 攻撃も 2014 年特筆すべき点です。また、 「エメンタル作戦」を企てたサイバー犯罪者の攻撃で示されたとおり、安 全と見なされていた二段階認証も、脅威に対して脆弱なことが浮き彫りにされました。 これらを踏まえると、今後は標的型であるかどうかを問わず、あらゆる対象が致命的な攻撃にさらされる可能性があ るといえるでしょう。攻撃者は、利益を得ることだけを動機に対象を見定めているからです。今日のサイバー犯罪に おけるアンダーグラウンド経済の繁栄からも明らかなとおり、窃取した情報は「宝の山」と見なされており、これか らもサイバー犯罪者は、個人情報や機密情報という「金脈」を狙って見境のない攻撃をしかけてくるでしょう。 脅威に直面してからの事後対応はもはや不十分で、インシデントが発生する前のリスク評価結果に対する事前対応が 不可欠になってきています。攻撃に素早く対処して被害を最小に食い止めるためにも、企業や組織は、 サイバーセキュ リティへの投資を再考する必要があります。業界や規模を問わず、どの企業もこうしたサイバー攻撃の標的になり得 る現在、必要に応じて迅速な対処を可能にするセキュリティプランの策定は極めて重要だといえます。 註:本稿に掲載されるデータ等の数値は、特に明記されていない場合、トレンドマイクロのクラウド型セキュリティ基 盤「Trend Micro Smart Protection Network」が出典となります。 何が最も重要であるかを見極め、適切な技術を駆使し、ユーザへの教育を怠らない ―― セキュリティ対策とは、これらすべてをしっかりと実行することに尽きます。企業の中枢とな る情報を守ることは、IT 技術者だけでなく、企業に属するすべての人々の仕事だからです。 —Raimund Genes トレンドマイクロCTO TREND MICRO | 2014 年 年間セキュリティラウンドアップ 企業経営を脅かすサイバー攻撃の横行 2014 年は、大規模な情報漏えい事例がこれまでにないペースで立て続けに発生しました。「ソニー・ピクチャーズ エンタテイン メント」の漏えい事例は、自社ネットワークのセキュリティを侵害された企業が被る損害を如実に物語っているといえます。 2014 年は、大規模な情報漏えい事例が立て続けに報じられた年となりました。 1 小売業、銀行、公共施設、その他、数多くの企業や 組織が、数百万に及ぶ顧客情報を失い、攻撃者の手に渡るという被害に遭い、これらの企業は業界を問わず、金銭的損失だけでなく、 「Code Spaces」は、顧客データベースとバックアップ情 ブランドイメージでもダメージを被りました。 2 例えば 2014 年第 2 四半期、 報が攻撃者に削除された結果、業務停止に追い込まれ 3 、 「P.F. Chang’s」は、被害後、クレジットカード決済に手動インプリンター の併用を余儀なくされました。「Home Depot」は、被害の結果、米国とカナダで 44 件の民事訴訟に直面しました。米国以外では、 日本の教育・出版・通信販売事業の大手「ベネッセコーポレーション」が大規模な情報漏えい被害に遭いました。この事件では、業務 委託先元社員により約 2,900 万件もの顧客情報が持ち出され、名簿業者へ売却されています。同社は、顧客へ謝罪し、補償と「ベネッ セこども基金」の設立に 200 億円を拠出しました。 4 2014 年に確認されたサイバー攻撃の中でも、「ソニー・ピクチャーズ エンタテインメント」へのハッキング事例は、情報漏えいがいか に莫大な損失を企業にもたらすかを如実に示すケースだといえます。同社は、 「Guardian of Peace(GOP) 」と名乗るグループにセ キュリティを侵害された後、自社ネットワークを一時的に閉鎖せざるを得ない状況に陥りました。 5 窃取された機密情報は、100 テラ バイトに及んだとも言われ 6、同社は被害額を公表していませんが、米国シンクタンク「戦略国際問題研究所(Center for Strategic and International Studies, CSIS)」のサイバーセキュリティ専門家によると、その額は 1 億米ドルに達するといいます。 7 8 9「Sony」 傘下の他の企業も、同様に大規模攻撃の被害に見舞われました。 10 一方では、100 万米ドルの被害を防ぐためにセキュリティ技術に 1 千万米ドルの投資は行うことはないと述べたとされる、2007 年当時の同社役員のコメントも記事で引用されました。 11 IT 管理者は、セキュリティ対策において異常を検知する際、自分たちは何を探しているのかをしっかりと理解しておく必要があり ます。多くの攻撃は、痕跡をほとんど残さないように設計されているため、セキュリティ侵害の可能性を示す指標が何なのかを 把握しておくことは非常に重要になります。 —Ziv Chang Cybersafety Solutionsディレクター 攻撃者は、標的にした企業の IT 環境やセキュリティ対策の詳細を理解するため、事前調査に多くの時間を費やします。企業の IT 管理者は、こうした攻撃者の傾向を理解した上で、セキュリティ対策を講じる必要があります。すべてのネットワークは異なっ ており、それぞれに応じて別々の環境設定を施す必要があります。 IT 管理者は、こうしたネットワークの事情も十分に理解し、 自社の環境に適したセキュリティ対策を講じるべきです。 –Spencer Hsieh 標的型攻撃スレットリサーチャー 1 2 3 4 5 6 7 8 9 10 11 https://app.trendmicro.co.jp/doc_dl/select.asp?type=1&cid=120&cm_sp=Corp-_-threat_wp-_-prediction_2014 http://www.itgovernance.co.uk/blog/list-of-the-hacks-and-breaches-in-2014/ http://about-threats.trendmicro.com/us/security-roundup/2014/2Q/turning-the-tables-on-cyber-attacks/ http://www.benesse.co.jp/customer/ http://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/the-hack-of-sony-pictures-what-you-need-to-know http://www.foxbusiness.com/technology/2014/12/18/revelations-from-sony-hack/ http://fortune.com/2014/12/09/cyber-attack-could-cost-sony-studio-as-much-as-100-million/ http://www.washingtonpost.com/blogs/the-switch/wp/2014/12/05/why-its-so-hard-to-calculate-the-cost-of-the-sony-pictures-hack/ http://www.thestar.com/business/2014/12/18/sony_hacker_attack_will_cost_company_tens_of_millions_of_dollars.html http://gizmodo.com/why-sony-keeps-getting-hacked-1667259233 http://blog.trendmicro.com/reality-sony-pictures-breach/ 19 | グローバルセキュリティラウンドアップ TREND MICRO | 2014 年 年間セキュリティラウンドアップ 「ソニー・ピクチャーズ エンタテインメント」のハッキング事例を追及する多くの記事は、いずれも決定的な結論に至ってはいません。 ハクティビズム(政治・ 米国鉄道大手「アムトラック」と同様、 金銭的、 個人的理由による内部犯行を指摘する記事もあります。 12 13 他方、 社会的主張の元のハッキング活動)を理由にあげる記事もあります。動機はどうであれ、どの企業もこうした被害に遭う可能性があり、 大企業はこれら過去の事例を教訓に自社ネットワークを不正侵入から守る必要性を痛感したといえます。 14 同社のセキュリティ対策がどのように突破されたか、その真相はまだ明らかではありませんが、米国連邦捜査局(FBI)が「ソニー・ピ クチャーズ エンタテインメントへのハッキング事件」としてその破壊的な不正プログラムへの注意を促す中、関連したとされる不正プ ログラム「WIPALL」をトレンドマイクロが解析した限りでは、その手法は「STUXNET」クラスの不正プログラムに比べてあまり洗練 されたものでないことが判明しています。 15 16 17 むろん、この攻撃に関してまだ公開されていない別のコンポーネントや手法が存在する 可能性も否定できません。 主要な不正プログラムの動作比較 コンポーネン ト 侵入方法・ 自動実行の 手法 隠ぺい手法 情報探索 STUXNET 複数のバックドア機 能、不正な SYS ファ イル ワーム機能、LINK ファイル、ルートキッ ト機能 主要なトロイの木馬 型不正プログラム複 数、情報送出機能 トロイの木馬型スパ イウェア、環境設定 ファイル 主要なトロイの木馬 型不正プログラムの ドロッパー 不明 USB を介して侵入、 LINK ファイルにより 4 つの脆弱性のエク スプロイト ソーシャルエンジニ アリング、レジストリ キー スピアフィッシング・ メールの利用、ハン グルのワードプロセッ サの脆弱性を利用 コンピュータ内リアル タイムスキャナーの 無効化 エクスプロイトとルー トキットコンポーネン トを使用 検出を逃れるため、 セキュリティ対策に 偽装 亜種により異なる 正規の Windows サービスに偽装 事前に定義された情 報に基づき、ネット ワーク共有ファイルに 侵入 クライアントおよび サーバのコンポーネ ントをインストール し、ネットワークコマ ンドを実行 不明 該当なし ルートアクセス用の アカウント向けに保存 された SSH 情報を チェックする 不明 WinCC サーバのプロ ジェクトデータベース や情報を、攻撃者か ら閲覧・変更するこ とが可能になる POS システムに保存 された顧客のクレジッ トカード情報を窃取 銀行のログインペー ジのユーザ入力情報 を窃取するため、キー 操作情報を記録 機密情報のリーク(韓 国の原発プラントを 標的にした事例の場 合) システムの固定・リ モートドライブ内の ファイルを削除 PLCs(制御装置) の制御 支払い情報の窃盗 銀行関連の個人情報 の窃取 妨害行為 ワームのコピーを実 行 情報窃取 目的 12 13 14 15 16 17 BlackPOS http://blog.trendmicro.co.jp/archives/9640 http://blog.trendmicro.co.jp/archives/10549 http://www.cnet.com/uk/news/sony-hacked-again-this-time-the-playstation-store/ http://blog.trendmicro.co.jp/archives/10527 http://blog.trendmicro.co.jp/archives/10641 http://blog.trendmicro.co.jp/archives/10484 20 | グローバルセキュリティラウンドアップ ZeuS/ZBOT MBR Wipers WIPALL TREND MICRO | 2014 年 年間セキュリティラウンドアップ 情報漏えいは、さまざまな弱点を突かれることで発生します。「Code Spaces」の事例では、攻撃者が社員の個人情報を入手し、それ を悪用することで社内ネットワークへ侵入したとされています。この場合、より強固なパスワード管理ポリシーを実施し、社員へのセキュ リティ教育を徹底することで被害を防げた可能性があります。「Home Depot」の事例では、関連業者から窃取した機密情報が悪用さ れたことにより侵害を受けたと報告されています。この事例では、関連業者全体を含む規模でのセキュリティ対策実践の重要性が示唆 されます。 18「ソニー・ピクチャーズ エンタテインメント」のケースでは、アクセスされたファイル、削除されたファイル、ネットワーク 外に送信されたファイル等の状況を把握できるネットワーク上のセキュリティ対策が導入されていれば、早期の侵入検知に有効であった 可能性があります。 19 この場合、事前にベースラインを設定しておくことが重要です。ネットワークの環境設定やシステム構成を事前 に把握しておくことで、不審な動きや情報探索の兆候などを察知することが可能になります。 20 18 http://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/utilizing-island-hopping-in-targeted-attacks 19 http://blog.trendmicro.com/trendlabs-security-intelligence/the-easy-to-miss-basics-of-network-defense/ 20 http://blog.trendmicro.co.jp/archives/9679 21 | グローバルセキュリティラウンドアップ TREND MICRO | 2014 年 年間セキュリティラウンドアップ 脅威の主流となった POS マルウェア 2014 年、POS マルウェアによる攻撃は脅威の主流となりました。この攻撃により、複数の大手企業が数百万の顧客情報を失い、 その情報が攻撃者の手に渡りました。 さまざまな業界の大手企業が POS マルウェアの攻撃に見舞われ、サイバー犯罪者は、数百万に及ぶ顧客情報を手にしました。 POS システムを狙った攻撃の標的は、もはや小売業だけではなく、ホテル、レストラン、駐車場など、同システムが使用されるあらゆる業 種に及んでいます。 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 トレンドマイクロのデータからも、2014 年を通して PoS マルウェアの感染数が増加していることが分かります。また、多数の国々に感 染が及んでいることも確認できます。 POS マルウェアの検出台数:2014 年 200 156 138 124 100 0 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 73 第1四半期 第2四半期 第3四半期 第4四半期 http://pressroom.target.com/news/target-provides-update-on-data-breach-and-financial-performance http://pressroom.target.com/news/target-provides-update-on-data-breach-and-financial-performance http://www.whitelodging.com/about/payment-card-issues https://sallybeautyholdings.com/questions-and-answers.aspx http://www.michaels.com/payment-card-notice-ceo-letter/payment-card-notice-CEO.html http://pfchangs.com/security/ http://www.goodwill.org/press-releases/goodwill-provides-update-on-data-security-issue/ https://corporate.homedepot.com/MediaCenter/Documents/Press%20Release.pdf https://www.jimmyjohns.com/datasecurityincident/index.html http://www.kmart.com/en_us/dap/statement1010140.html http://www.dairyqueen.com/us-en/datasecurityincident/?localechange=1& http://www.spplus.com/sp-acts-block-payment-card-security-incident/ http://krebsonsecurity.com/2014/12/banks-credit-card-breach-at-bebe-stores/ http://www.pnf.com/security-update/ http://press.chick-fil-a.com/Pressroom/LatestNews/PressDetail/databreach 22 | グローバルセキュリティラウンドアップ TREND MICRO | 2014 年 年間セキュリティラウンドアップ POS マルウェア検出台数の国別分布:2014 年 米国 29.77% カナダ 6.71% イギリス 6.50% オーストラリア 5.87% フィリピン 5.66% 台湾 3.98% フランス 3.14% イタリア 3.14% ブラジル 2.94% 日本 2.31% その他 29.98% POS マルウェアファミリの分布(2013 年と 2014 年の比較) 2014年 2013年 ALINA Rdasrv VSkimmer 55.39% 43.63% 0.98% BlackPOS 50.73% SORAYA 14.88% ALINA 9.64% Rdasrv 7.34% JACKPOS 5.87% Vskimmer 4.40% BACKOFF 2.94% BrutPOS 1.68% Chewbacca 1.47% DECBAL 1.05% POS マルウェアは、2013 年と比較して、2014 年に亜種の数が増えています。また、新たに登場した亜種では、古い亜種を駆逐する ことになっても敢えて技術的に高度な機能を追加させるなど、POS マルウェア作成が積極的に取り組まれる状況も伺えます。 23 | グローバルセキュリティラウンドアップ TREND MICRO | 2014 年 年間セキュリティラウンドアップ 2014 年に発生した POS マルウェア関連情報漏えい事例(一部被害規模を含む) 小売業 小売業 4千万人分の顧客の支払いカード情報 ホテル セキュリティコードと期限日を含む支払い カードの番号 小売業 35万人分の顧客の支払いカード情報。その 内、9200人分が不正利用 12月 2013年 1月 2014年 2月 美容 最大2万5千人分の顧客のCVV番号 (セキ ュリティコード) を含む2種類の支払いカー ドデータ漏えいの形跡 約260万人分の顧客の支払いカード情報 3月 小売業 335店舗からの顧客の支払いカード情報 支払いカード情報 レストラン 216店舗からの顧客の支払いカード情報 レストラン 395店舗からの顧客の支払いカード情報 駐車場 宅配業 51地域の顧客に関する支払いカード情報 6月 7月 小売業 5600万人分の顧客の支払いカード情報お よび、5300万人分の顧客のメールアドレス 8月 9月 小売業 支払いカード情報 10月 小売業 11月 17の駐車施設からの顧客の支払いカード情 報 支払いカード情報 4月 5月 小売業 レストラン 116万人分の顧客の支払いカード情報 12月 駐車場 支払いカード情報 1月 2015年 小売業 クレジットカード情報 レストラン 駐車場 支払いカード情報 支払いカード情報 サイバー犯罪のアンダーグラウンド市場でも、地域を問わず、窃取した情報の販売は実入りの良いビジネスと見なされており、実際、 POS マルウェアに特化した開発キットも、アンダーグラウンド市場に出回っています。こうした傾向も、POS マルウェアによる攻撃が 成功していることの要因だといえます。 36 37 36 http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-pos-ram-scraper-malware.pdf 37 http://blog.trendmicro.co.jp/archives/9902 24 | グローバルセキュリティラウンドアップ TREND MICRO | 2014 年 年間セキュリティラウンドアップ 各 POS マルウェアの発生時期と関連性 RawPOS 2009年 Alina Rdasrv BlackPOS 2010年 Dexter VSkimmer 2011年 Soraya LusyPOS JackPOS Backoff NewPoSThings ChewBacca 2012年 2013年 2014年 2015年 Decebal BlackPOS 2 BrutPOS GetMyPass この攻撃による被害に悩まされ続けました。自社ネットワークのセキュリティ POS マルウェアでサイバー犯罪者が勢いづく一方、企業は、 が侵害された企業では、システムから脅威を排除するため、そして何よりも顧客への信頼を回復するため、数百万ドルのコストを費や す状況に陥りました。米国では、個人および企業の双方が POS マルウェアの脅威に悩まされ、カナダや英国も例外ではありませんで した。なお、米国の場合、国内の EMV(IC チップ付クレジットカードの統一規格)技術の導入率が低いこともあり、特にクレジットカー ド詐欺のリスクにさらされています。 こうした問題に対処するため、 「American Express」や、 「Visa」 、 「MasterCard」 、 「Discover」といった大手金融機関は、販売者 側が EMV の支払い端末を導入していない場合、窃取された情報による詐欺取引で発生した負債は販売者側に負わせるという措置も開 始しています。各種改善案と共に、 「Chip-and-PIN」や「EMV カード」のセキュリティ対策の導入が強く推奨されています。これらの 対策は、正しく実施された場合、クレジットカード詐欺による金銭の不正取得を著しく困難にさせることが可能となります。 これまで、POS システムのような特定の目的に特化した専用システムは、容易にサイバー攻撃の標的にはされないと思われてきました。 しかし今回、これらのシステムへの攻撃の成功が多大な利益をサイバー犯罪者へもたらすことが証明されました。このことは、産業用 制御システム(ICS)や SCADA の端末など、同様の専用システムが新たな標的になり得る可能性を示唆したともいえます。 38394041 小売業やホテル、レストラン、その他のサービス業界等、日々の業務を POS システムに大きく依存している場合、セキュリティ対策では、 攻撃者が利用しそうな侵入経路を入念に検査することが必要です。その際、 「使用プログラムを POS システム関連に限定」するアプリ ケーションコントロールによるセキュリティの実装だけではなく、ネットワーク全体を俯瞰して侵入可能な経路を精査することも求められ ます。そのようなアドバンスドネットワークセキュリティによる脅威検知と最新の知見を組み合わせた技術が侵入検知の精度を高めるこ とに役立つでしょう。 38 39 40 41 http://about.americanexpress.com/news/pr/2012/emv_roadmap.aspx http://usa.visa.com/download/merchants/bulletin-us-participation-liability-shift-080911.pdf http://www.mastercard.us/mchip-emv.html http://blog.discovernetwork.com/stories/news/discover-announces-next-steps-for-emv-deployment-across-the-globe/ 25 | グローバルセキュリティラウンドアップ TREND MICRO | 2014 年 年間セキュリティラウンドアップ 「Heartbleed」と「Shellshock」が覆した安全神話 2014 年は、これまで安全と見なされてきたソフトウェアやプラットフォームの「安全神話」が覆された年ともいえます。 2014 年の主なゼロデイ攻撃の発生数は前年より減少していますが、その深刻度は依然として変わっていません。 42 広く使用されてい るソフトウェアやプラットフォームに脆弱性が存在する場合、それらが悪用される状況は変わらず、未防備のまま攻撃の標的にされてい ます。 2014 年に発生した主なゼロデイ脆弱性 CVE-2014-0810 三四郎 CVE-2014-0498 Adobe Flash Player CVE-2014-0502 Adobe Flash Player CVE-2014-1776 Internet Explorer CVE-2014-4113 Windows CVE-2014-4148 Windows CVE-2014-3566 SSL 3.0 CVE-2014-0322 1月 Internet Explorer 2月 CVE-2014-0499 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 Adobe Flash Player CVE-2014-1761 Microsoft Word CVE-2014-0515 Adobe Flash Player CVE-2014-4114 Windows CVE-2014-6352 Windows CVE-2014-7247 一太郎 どれだけ多くのゼロデイ攻撃が発生しようとも、 「Heartbleed」や「Shellshock」のような攻撃が確認されたとしても、 「SQL インジェクション」や「クロスサイトスクリプティング(XSS) 」や「不完全認証」といった基本的な脆弱性攻撃への注意は決し て怠るべきではありません。多くの場合、 大規模な情報漏えいにはこういった脆弱性攻撃が駆使されているからです。もちろん、 データに対するアクセス制御、暗号化の適用、脆弱性への迅速な対応を可能にするセキュリティ製品の導入も、脆弱性利用を 阻止する上で、決して怠ってはならない基本かつ最善の対処法です。 –Pawan Kinger Deep Security Labsディレクター 42 http://blog.trendmicro.co.jp/archives/10722 26 | グローバルセキュリティラウンドアップ TREND MICRO | 2014 年 年間セキュリティラウンドアップ 頻繁に脆弱性が悪用されるアプリケーションが注目される中、これまで安全と思われてきたアプリケーションでは、脆弱性へのパッチ対 応が数年間も放置されるような状況が続いていました。 しかし、今回 2 件の大規模な脆弱性の悪用事例を契機に、 この種のアプリケーショ (Window® や Adobe® や Java ™等)商 ンも大きく注目されることとなりました。 43 「Heartbleed」と「Shellshock」の事例は、 業用アプリケーションと異なり、安全と思われてきた「オープンソースのアプリケーション」の脆弱性を狙う脅威が明らかにされたから です。 44 一連の事例は、Linux を含む多くの UNIX 上のシステムに影響を及ぼすため、Web サーバの 67.7% が UNIX を使用してい る点が懸念されました。各種の研究機関や大学など、 超高速のコンピュータ処理を必要とする機関で使用されているスーパーコンピュー タの大部分でも、Linux が使用されています。 4546 「Heartbleed」や「Shellshock」といった事例により膨大な量のデー Linux がサーバのプラットフォームで広く使用されている事実は、 タがリスクにさらされることを意味します。これらのサーバが攻撃を受けた場合、サーバの所有者は甚大な被害に見舞われます。脆弱 性が存在するシステムへの修正適用に莫大なコストを費やさざるを得ず、修正作業に伴うシステムの不稼働時間も、大きな金銭的損失 にもつながります。 オープンソースの取り組みは、多くの利用者による厳しいレビューを実現し、品質管理を保証する上でソフトウェア開発の利点とも見な されてきました。しかし今回の事例を契機に、影響を受けた企業も個人も、ソフトウェアベンダによる修正パッチ公開までの仮想パッチ 対応など、さらなる脆弱性対策の検討が求められています。 Shellshock と Heartbleed の脆弱性露見までの期間の比較 BASH (SHELLSHOCK) OPENSSL (HEARTBLEED) 脆弱性露見までの期間 25年強 1989年6月8日 脆弱性露見までの期間 1989 1994 深刻度:警告 2年強 2011年12月31日 深刻度:危険 1999 2014年9月26日 2014年4月7日 脆弱性が放置された日数: 2004 2014年9月25日 2009 9,241日 最初の攻撃から修正パッチ が公開されるまでの日数: 1日 脆弱性の存在が確認された日 修正パッチが公開された日 攻撃の確認された日 43 44 45 46 http://blog.trendmicro.co.jp/archives/9957 http://blog.trendmicro.co.jp/archives/8927 http://w3techs.com/technologies/overview/operating_system/all http://www.top500.org/statistics/overtime/ 27 | グローバルセキュリティラウンドアップ 脆弱性が放置された日数: 828日 2014 攻撃日未特定 最初の攻撃から修正パッチが公開 されるまでの日数: 未特定 TREND MICRO | 2014 年 年間セキュリティラウンドアップ セキュリティ上の課題に直面するネットバンキング ネットバンキングを狙う詐欺や不正アプリが横行する中、 「エメンタル作戦」は、重要取引のセキュリティを保証する上で、二段 階認証さえも、もはや十分ではないことを示しました。 ネットバンキング、モバイルバンキングは、技術面での先進国を中心に世界的な広がりを見せています。一方、その取引の安全性を 担保するセキュリティ対策は後手に回っています。 47 多段階認証は、まだ広く普及したとはいえない状況で、48 利用者側も、金融関 連取引の安全性を保証することの意味をしっかりと理解しなければならない段階といえます。利用者は、巧妙に仕組まれたソーシャル エンジニアリングの手口に騙され、 アカウント番号や、ユーザ名、 パスワード等の重要情報を不用意に提供してしまう被害に遭っています。 ネットバンキングは便利さをもたらしましたが、そこにはリスクも伴います。実際、サイバー犯罪者は、利用者から情報を窃取するため、 さまざまな工夫を凝らしています。トレンドマイクロで「エメンタル作戦」と名づけたサイバー犯罪活動もその一例です。トレンドマイ クロの調査では、二段階認証さえも攻撃者により突破されることが明らかになりました。 49 ネットバンキングを狙う詐欺ツールは、2014 年の第 4 四半期、毎月のように増加し続けました。中でも「ZBOT」といった悪名高い不 正プログラムファミリは、今なおサイバー犯罪者に数百万ドルの儲けをもたらしています。 50 これらの不正プログラムは、ネットバン キングのセキュリティ対策向上に対抗しながら、2014 年を通して絶えず巧妙化が図られてきました。この傾向は、個人や企業を問わず、 ネットバンキングやモバイルバンキングの利用者がサイバー犯罪者にとって大きな儲けをもたらす恰好の標的である限り、今後も変わ ることはないでしょう。 オンライン銀行詐欺ツールの検出台数(2014 年) 14万5千 15万 13万7千 10万2千 攻撃者が利用した不正プログラムは、単一セッショントー クン(認証キー)によるセキュリティ対策の不十分さを明 11万2千 らかにしました。銀行やオンラインの決済を行う組織は、 顧客を偽装モバイルアプリへ誘導される危険にさらされ ています。多段階のトランザクション認証番号(TANs) や、Photo-TANs(写真を介した読み取り) 、物理的なカー 7万5千 ドリーダーを併用するなど、万全を期したセキュリティ対 策の導入を検討すべきでしょう。 0 47 48 49 50 —David Sancho, Feike Hacquebord, and Rainer Link 第1四半期 第2四半期 第3四半期 第4四半期 http://mefminute.com/2014/01/24/mobile-payments-driving-global-m-commerce-adoption/ http://www.rand.org/pubs/technical_reports/TR937.html http://blog.trendmicro.co.jp/archives/9669 http://krebsonsecurity.com/2014/06/operation-tovar-targets-gameover-zeus-botnet-cryptolocker-scourge/ 28 | グローバルセキュリティラウンドアップ シニアスレットリサーチャー TREND MICRO | 2014 年 年間セキュリティラウンドアップ ネットバンキングの利用者が注意すべきは、コンピュータ上の脅威だけではありません。モバイル向け不正アプリや高リスクアプリの 脅威からも自身を守る必要があります。モバイルバンキング導入の増加に伴い、利用者の個人情報窃取だけでなく、利用者のアカウ ントから不正な引き落としをする偽バンキングアプリも増加しています。実際、Android ™端末向け不正アプリや高リスクアプリは、 2014 年を通して増加し続け、Android プラットフォームで確認された銀行・金融関係の不正アプリの数は 4 倍に達しました。 2014 年の Android 向け不正プログラム累積数 500万 426万 352万 268万 250万 0 209万 第1四半期 第2四半期 第3四半期 第4四半期 モバイルバンキング関連/金融関連の不正プログラム数 2,500 2,069 1,721 1,466 1,250 952 561 13 0 第1四半期 2013年 475 125 第2四半期 第3四半期 第4四半期 第1四半期 2014年 第2四半期 第3四半期 第4四半期 註: 「モバイルバンキング/金融関連の不正アプリ」とは、偽のバンキングアプリ等、ユーザの金融関連情報の窃取を目的とした不 正アプリを意味します。 2014 年は、Android 端末のユーザだけがリスクにさらされていたわけではありません。「WireLurker」や「Masque Attack」など、ジェ イルブレイク ( 脱獄 ) を施していない端末に感染することが可能な iOS 向け脅威も登場しました。 29 | グローバルセキュリティラウンドアップ TREND MICRO | 2014 年 年間セキュリティラウンドアップ iOS 関連不正プログラムの検体数 10 9 7 5 5 4 1 1 1 3月 4月 0 10月 2013年 11月 12月 1月 2月 2014年 5月 6月 7月 8月 9月 10月 11月 2014 年は、「FakeID」や「SOP(Same Origin Policy: 同一生成元ポリシー)」といったモバイル関連の脆弱性も大きな懸念となりま 不正なモバイルバンキングアプリを正規アプリに偽装させて検出を回避できるため、 した。 5152「FakeID」のような脆弱性を悪用すると、 大きな被害をもたらす危険性があります。 銀行詐欺の被害が発生した銀行では、被害が詐欺によるものと正式に認められた場合、被害者の顧客への金銭の払い戻し等の甚大な 損失と共に、銀行から守られていないと顧客が感じることで、顧客からの信頼も失うことになります。 53 銀行や金融機関は、多段階認証の導入を検討すべきでしょう。これにより、銀行と顧客との間に介在しようとするサイバー犯罪者の目 論見に対し、さらなる防壁を設けることができます。同様のリスクにさられている銀行は、セキュリティソフトの利用や適切なパスワー ド管理によるコンピュータのセキュリティ向上に関するノウハウを顧客に共有すると同時に、口座利用者を狙った脅威情報を顧客に周知 することで、より積極的な対策が可能になります。 モバイル端末のユーザは、公式アプリストアからダウンロードしたアプリのみの使用に限定し、ダウンロードする際、Android でも iOS でもいずれの場合も、開発者の詳細やアプリのレビューをしっかりと精読することです。 51 http://blog.trendmicro.co.jp/archives/9642 52 http://blog.trendmicro.com/trendlabs-security-intelligence/facebook-users-targeted-by-android-same-origin-policy-exploit/ 53 http://www.ey.com/Publication/vwLUAssets/EY-global-commercial-banking-survey-2014/$FILE/EY-global-commercial-banking-survey-2014.pdf 30 | グローバルセキュリティラウンドアップ TREND MICRO | 2014 年 年間セキュリティラウンドアップ 活動範囲を広げ、巧妙化するランサムウェア ランサムウェアが地域を問わず、悪質化してきました。脅し文句だけで身代金を要求していた従来の亜種と異なり、新たな亜種は、 侵入したコンピュータ内のファイルを暗号化して人質に取ります。 いまやランサムウェアは、脅し文句だけではなく、侵入したコンピュータ内のファイルを暗号化して人質に取り、国境を越えて活動を展 開しています。 54 55 56 57 ヨーロッパや中東、アフリカ、日本で猛威を振るったランサムウェアは、現在、オーストラリアやニュージー ランドでもその存在が確認されています。また、個人ユーザや中小企業にも被害をもたらしています。 ランサムウェアの検出数は、2013 年から 2014 年にかけて減少傾向にありますが、関連する感染事例ではいまだ大きな被害が報告さ れています。 2013 年は、 「REVETON」や「RANSON」等の従来型ランサムウェアが全体の 97%を占めていましたが、2014 年は、 Crypto ランサムウェアが登場し、そのシェアを 27.35% に拡大させました。 ランサムウェアの領域で、新しい何かが登場したわけではありませんが、 「CryptoLocker」は、従来型ランサムウェアや偽セキュ リティソフトで駆使されていた 「脅しの手口」 を、 より効果的なものにレベルアップさせたことは確かでしょう。今日、 ほとんどのユー ザは、優れたセキュリティソフトを使用していると思いますが、それと同時に、ユーザ教育、定期的な更新、コンピュータの正し い使用法等が、 「CryptoLocker」やその他の同様の脅威から身を守るための基本であることは、改めて留意しておく必要があ ります。 –Jay Yaneza スレットアナリスト ランサムウェア検出台数:2013 年と 2014 年の比較 10万 8万 4千 5万 4万 8千 ランサムウェア検出台数 1万5千 2千 0 54 55 56 57 2013年 2014年 http://blog.trendmicro.co.jp/archives/10530 http://blog.trendmicro.co.jp/archives/10161 http://blog.trendmicro.com/trendlabs-security-intelligence/torrentlocker-ransomware-hits-anz-region/ http://blog.trendmicro.co.jp/archives/8801 31 | グローバルセキュリティラウンドアップ TREND MICRO | 2014 年 年間セキュリティラウンドアップ ランサムウェア検出台数:四半期ごとの変遷 2万9千 3万 「CryptoLocker」 が初登場 2万1千 2万 1万6千 1万5千 1万5千 1万1千 9千 9千 0 第1四半期 2013年 第2四半期 第3四半期 第4四半期 第1四半期 2014年 第2四半期 第3四半期 第4四半期 ランサムウェア検出台数の国別分布:2013 年と 2014 年の比較 2013年 2014年 8万 4千 4万 8千 米国 35.93% 米国 41.81% 日本 19.94% 日本 16.11% ドイツ 6.39% オーストラリア 6.42% オーストラリア 5.67% ドイツ 3.98% トルコ 3.19% トルコ 3.35% イタリア 2.49% インド 2.51% フランス 2.00% カナダ 2.24% カナダ 1.87% フランス 2.19% フィリピン 1.70% イギリス 1.95% イギリス 1.64% イタリア 1.85% その他 19.18% その他 17.59% 32 | グローバルセキュリティラウンドアップ TREND MICRO | 2014 年 年間セキュリティラウンドアップ ランサムウェアのファミリ別分布:2013 年と 2014 年の比較 2013年 2014年 8万 4千 RANSOM REVETON CRILOCK MATSNU CRYPTOR 4万 8千 76.54% 18.21% 2.91% 1.79% 0.38% 0.17% その他 RANSOM REVETON CRILOCK KOVTER CRYPWALL MATSNU CRIBIT CRYPTOR FINALDO CRYPDEF ランサムウェア Cryptoランサムウェア その他 32.12% 30.65% 12.29% 8.83% 5.17% 5.13% 1.98% 1.03% 0.88% 0.87% 1.05% 米国、オーストラリア、トルコ、インド、カナダ、フランスおよびイギリスにおいて、ランサムウェアに感染したコンピュータ数が 2013 年から 2014 年にかけて増加しています。 ランサムウェア検出台数の国別分布:2013 年と 2014 年の比較 国 2013 年 国 2014 年 米国 35.93% 米国 41.81% 日本 19.94% 日本 16.11% ドイツ 6.39% オーストラリア 6.42% オーストラリア 5.67% ドイツ 3.98% トルコ 3.19% トルコ 3.35% イタリア 2.49% インド 2.51% フランス 2.00% カナダ 2.24% カナダ 1.87% フランス 2.19% フィリピン 1.70% イギリス 1.95% イギリス 1.64% イタリア 1.85% その他 19.18% その他 17.58% 33 | グローバルセキュリティラウンドアップ 割合の増減 変動 TREND MICRO | 2014 年 年間セキュリティラウンドアップ 多言語化された CyptoLocker の表記の違い (オーストラリア) (スペイン) 34 | グローバルセキュリティラウンドアップ TREND MICRO | 2014 年 年間セキュリティラウンドアップ (フランス) (イタリア) 35 | グローバルセキュリティラウンドアップ TREND MICRO | 2014 年 年間セキュリティラウンドアップ (ドイツ) ランサムウェアのセグメント別分布:2013 年と 2014 年の比較 2013年 2014年 個人ユーザ 中小企業 中堅・大企業 2013年 2014年 71.51% 9.61% 18.88% 69.75% 11.66% 18.59% ランサムウェアの感染数は、モバイルの脅威動向でも、特に 2014 年第 4 四半期にかけて同様の傾向が確認されました。攻撃対象範 囲が広がる中、ランサムウェア自体も、攻撃者の匿名保持のため、身代金の支払いに「Bitcoin(ビットコイン) 」やその他の仮想通 貨の使用を要求するなどの進化が見られました。 36 | グローバルセキュリティラウンドアップ TREND MICRO | 2014 年 年間セキュリティラウンドアップ モバイル関連のランサムウェア数 300 276 150 79 72 33 0 9 9 9 5月 6月 7月 8月 29 9月 10月 11月 12月 ランサムウェアへの対策は、個人ユーザも企業の社員も、何よりもまず、身代金を払わざるを得ない状況を回避するという「予防」が 最善策であり、この点からも以下の注意事項の厳守は重要です。 不審なリンクはクリックしないこと 「3-2-1 ルール」 (3 箇所に 2 種類の方法で 1 つはオフサイト)でバックアップしておくこと 58 メールの送信元は必ずチェックすること メッセージの内容には細心の注意を払うこと 58 http://blog.trendmicro.co.jp/archives/10698 37 | グローバルセキュリティラウンドアップ TREND MICRO | 2014 年 年間セキュリティラウンドアップ 世界規模で拡大し続けるサイバー犯罪者とアンダーグラウンド経済 「Pawn Storm 作戦」等の攻撃で明らかなとおり、攻撃者の活動範囲は、もはや一国の枠に収まることはありません。 トレンドマイクロでは、サイバー犯罪者の動機を深く理解するため、サイバー犯罪のアンダーグラウンド経済の発展を追跡調査してい ます。世界中にさまざまなサイバー犯罪者の拠点が発生する中、金銭目的は、唯一ではないにしても、最大の動機であることは間違 いありません。現実社会の経済発展と同様、サイバー犯罪のアンダーグラウンドで提供される製品やサービスも、設置からオペレーショ ン運営まで専門性を特化させながら、絶えず発展し続けています。 製品やサービスの提供者(トロイの木馬型不正プログラムや DDoS 攻撃用ツールの闇開発者、クレジットカードの闇市場の運営者など) が存在する一方、特定のニーズに応じてこれらの製品やサービスをそれぞれの提供者から購入する買い手も存在します。各地域のア ンダーグラウンドで提供されるこれら製品やサービスの価格は、供給過剰による価格下落など、複数年に渡る市場原理を通して決定さ れます。 ロシアのサイバー犯罪アンダーグラウンドで売買されるクレジットカードの価格:年ごとの比較 10米ドル 9 2011年 8 7 6 5米ドル 4 3 2 2012年 2013年 2014年 米国 2.50米ドル 1.00米ドル 1.00米ドル 2.50米ドル オースト ラリア 7.00米ドル 5.00米ドル 4.00米ドル 4.50米ドル カナダ 5.00米ドル 5.00米ドル 6.00米ドル 4.00米ドル ドイツ 9.00米ドル 7.00米ドル 9.00米ドル 3.00米ドル イギリス 7.00米ドル 8.00米ドル 5.00米ドル 4.50米ドル 1 0 2011年 2012年 2013年 2014年 各地域のアンダーグラウンド市場は、 共通した傾向と共にそれぞれ異なった特徴も示しています。例えば、 ロシアのアンダーグラウンドは、 「トラフィック・ディレクション・システム(Traffic Direction System: TDS) 」や「ペイ・パー・インストール(Pay-Per-Install:PPI) 」等、 グレイウェアやアドウェアを大量送信するサービスを提供していることで知られています。中国のアンダーグラウンドは、モバイル関連 の詐欺に特化し、数千通に及ぶ SMS 関連のスパムメールを 1 時間以内に送信するハードウェア設定サービスも提供しています。ブラ ジルのアンダーグラウンドは、銀行へのフィッシング攻撃で知られていますが、珍しいところでは、新米サイバー犯罪者向けの詐欺トレー ニングコース(10 モジュール)まで提供しています。 38 | グローバルセキュリティラウンドアップ TREND MICRO | 2014 年 年間セキュリティラウンドアップ Web 上のサイバー犯罪者同士のやりとりのほとんどは、ソーシャルメディアの暗号化投稿やフォーラムなど、隠ぺいされたかたちで行 なわれています。しかしそれでも、サイバー犯罪者ができるだけ長く活動を続けるためには、匿名性保持は重要な鍵であり、その努力 は、Deep Web の Darknet 活用にまで及んでいます。 2013 年、Deep Web 上の闇市場「Slikroad」は閉鎖されましたが、その後、 サイト運営者「Dread Pirate Robers」の後継者登場も危惧されています。サイバー犯罪者に利用されるさまざまな闇市場が登場す る中、2014 年、ユーロポールのサイバー犯罪対策局(EC3)と米連邦捜査局(FBI)は、こうした検索困難な Web サイト上の捜査と して「Onymous 作戦」を展開し 59 、17 名を摘発したと発表しました。なお、Deep Web 上では仮想通貨が大きな役割を果たしており、 2014 年には「Cloakcoins」60 という新たな仮想通貨も登場しました。これは、ビットコインと異なり、取引の痕跡を完全に隠ぺいする ことが可能だといわれています。 標的型サイバー攻撃の世界では、さまざまなタイプの攻撃者が密かに活動しますが、ここでも国際的に活動を展開する攻撃者が登場 しました。サイバー犯罪の第一の動機は金銭目的ですが、国際的に活動する攻撃者の間では、企業の機密情報や、知的財産、その他 の取引関係の機密情報等を窃取することの価値も認識されて始めています。狙われる標的や、コマンド&コントロール(C&C)サーバ の所在地が多様化する中、攻撃の事前調査の段階でも、多種多様な共犯者が関わっています。標的となる業界は、電気通信、製造業、 政府機関、メディア関連等、多岐に及び、地域に関しても、標的型サイバー攻撃のキャンペーン「Regin」はベルギーを標的にし、 「Pawn Storm 作戦」は米国やハンガリー、オーストリア、「Plead」は台湾を標的にするなど、こちらも多岐に及んでいます。 こうした点からも、リスク管理を行う企業は、地球上のさまざまな地域から狙われていることを前提として、あらゆる種類の侵入者の可 能性を考慮する必要があります。サイバー犯罪は悪質化の一途を辿り、攻撃自体も、アンダーグラウンドのサービス等により手軽に実 行できるようになってきています。このような状況においては、サイバーセキュリティへの投資を適用範囲と質の面から再検証すること は急務の課題だといえるでしょう。 「Pawn Storm 作戦」では、米国やその同盟国の軍事施設や大使館、防衛機関等に勤める契約社員のメール情報を最初に入手 しようとした点で、レベルアップしたといえるスピアフィッシング手法が駆使されました。この場合、攻撃者は、スピアフィッシン グメールや巧妙に細工された Web メールサービスを組み合わせて契約社員のメールソフトへのアクセスを取得し、標的の組織 内での足場を築こうとしていました。 —Loucif Kharouni, Feike Hacquebord, Numaan Huq, Jim Gogolinski, Fernando Mercês, Alfred Remorin, and Douglas Otis シニアスレットリサーチャー 59 https://www.cryptocoinsnews.com/operation-onymous-also-shut-down-deep-net-markets-cloud-9-hydra-and-more/ 60 http://www.cloakcoin.com/ 39 | グローバルセキュリティラウンドアップ TREND MICRO | 2014 年 年間セキュリティラウンドアップ 脅威概況:減少傾向の中、フィッシングサイトが倍増 トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によると、不正ドメインやスパムメー ル等の脅威項目で量的な減少傾向が確認されました。他方、不正プログラムは、相変わらずサイバー犯罪活動の重要なツール として利用され、フィッシングサイトは 2014 年数が倍増しています。 年間を通して識別・ブロックしてきた脅威状況を振り返ったとき、2014 年は、量よりも質の重要性が浮き彫りにされた年だったといえ ます。 Web からの脅威では、複合コンポーネントによる活動が続いています。一方、2014 年の主要事例で示されたとおり、攻撃者 側の戦略では、被害者を量的に増やすより、自分たちの目的に即した標的に絞り込むなど、質的な巧妙化の傾向が見られました。 スパムメールの送信元となる IP アドレスのブロックは、感染フローを断ち切る上で重要性なステップとなります。膨大なメーリングリス トで無差別に送信されるメールは、無害なメールも含まれているものの、脅威を構成する要素の一部といえます。トレンドマイクロの スパムメールフィルタリングは、これらを識別し、500 億に及ぶ Email レピュテーション・クエリから(2012 年・2013 年からの減少は 見られるものの十分適正に)スパムメールを検知しています。 トレンドマイクロでは、送信元のレピュテーションと共に、スパムメールのコンテンツにも基づくブロックもしています。トレンドマイクロ のメールセキュリティ製品からのデータによると、スパムメールの全体量は、2014 年第 3 四半期に若干増加しているものの、安定し た傾向を示しています。 スパムメールとしてブロックされた Email レピュテー ション・クエリ数 800億 メールセキュリティ製品によりブロックされたスパムメール 数 11兆 12兆 690億 670億 8兆 9兆 8兆 500億 6兆 400億 0 0 2012年 2013年 2014年 第1四半期 第2四半期 註:このデータは、トレンドマイクロのメールセキュリティ製品からのフィードバックにもとづいています。 40 | グローバルセキュリティラウンドアップ 第3四半期 第4四半期 TREND MICRO | 2014 年 年間セキュリティラウンドアップ スパムメールの使用言語トップ 10:2013 年と 2014 年の比較 2013年 2014年 英語 87.14% 英語 85.84% 中国語 2.36% ドイツ語 3.29% 日本語 1.84% 日本語 1.87% ドイツ語 1.48% 中国語 1.84% ロシア語 1.20% ロシア語 0.85% ポルトガル語 0.28% ポルトガル語 0.41% スペイン語 0.21% ポーランド語 0.37% アイスランド語 0.12% スペイン語 0.32% イタリア語 0.10% フランス語 0.29% フランス語 0.10% イタリア語 0.12% その他 5.17% その他 4.80% スパムメール送信者が最も好んで使用する言語は相変わらず英語ですが、2013 年の 87.14% から若干減少も確認されます。これ は、2014 年に英語以外のスパムメールが若干増加したことを意味しているといえます。英語以外では、中国語や日本語を追い抜い て、ドイツが第 2 位にランクインしています。 41 | グローバルセキュリティラウンドアップ TREND MICRO | 2014 年 年間セキュリティラウンドアップ スパムメール送信国トップ 10:2013 年と 2014 年の比較 2013年 2014年 米国 9.91% 米国 8.37% スペイン 6.29% スペイン 7.89% インド 6.26% アルゼンチン 6.35% アルゼンチン 5.37% イタリア 5.00% イタリア 4.87% ドイツ 4.84% 台湾 4.38% ベトナム 4.27% コロンビア 3.69% イラン 3.95% 中国 3.53% 中国 3.90% ペルー 3.53% ロシア 3.58% メキシコ 3.29% コロンビア 3.19% その他 48.88% その他 48.66% 割合は小さいものの、2013 年は、米国とスペインが最も活発なスパムメール送信国でした。 2014 年には、ワードサラダ(自動生成 による文法が正しいが意味が支離滅裂な文章)によるスパムメール急増が、スペイン、ドイツ、イタリア、イランで確認され、2014 年のスパムメール使用言語にも影響しています。 61 「より多くの有効なクリックを得る」という目標を達成するため、 ソーシャルネットワーキングサイトなど、 2014 年、スパムメール送信者は、 他のチャンネルも大いに活用しました。トレンドマイクロが実施した Twitter 悪用に関する調査でも 62 、攻撃者がユーザの注意を惹く ためにソーシャルネットワーキングサイトのプラットフォームを活用する状況を確認しています。Web メールのクライアントも、 ネットワー ク通信は暗号化できることから、スパムメール送信者によるスパムフィルタリング回避の手段として利用されました。 こうした点からも、不正 URL、不正 IP、不正ドメインをブロックする機能が、企業のセキュリティ対策において重要になってくる理由 が分かります。スパムメールがソーシャルメディアや Web メールを利用して侵入してくる中、ユーザの不用意なクリックで不正リモート サイトへ誘導される前に、それを阻止することができる URL ブロッキング等の技術が不可欠となるでしょう。 サイバー犯罪者は、フィッシングサイトの誘導先ページ、リダイレクト先、不正プログラムのダウンロード元などに URL を悪用します。 2014 年、トレンドマイクロでは、不正サイトへアクセスしようとする 40 億に及ぶユーザ・クエリ、毎分 7000 にも及ぶ不正 URL への クリックをブロックしました。 61 http://blog.trendmicro.com/trendlabs-security-intelligence/kelihos-spambot-highlights-security-risk-in-spf-records/ 62 http://blog.trendmicro.co.jp/archives/10013 42 | グローバルセキュリティラウンドアップ TREND MICRO | 2014 年 年間セキュリティラウンドアップ 不正サイトへのアクセスブロック数 50億 48億7千万 49億9千万 フィッシングサイト数:2013 年と 2014 年の比較 400万 374万 38億9千万 200万 25億 198万 0 0 2012年 2013年 2013年 2014年 2014年 不 正 サ イトへ の アクセスブ ロック数 は 減 少して い ます が、 なお、ブロックされた不正 URL の中では、不正プログラム利 フィッシングサイトの数は増加を続けています。 2014 年は、 用に関連したものが最多数を占めていました。 88.65% のフィッシングサイト増加を確認しています。 一年 間の登録で新ドメインを大量作成する方法は、既存サイトをリ ニューアルするよりも安上がりであり、アンダーグラウンドでは、 Web サイト作成サービスや作成のためのテンプレート等も出 回っています。 2013 年、ボットネット活動に関連するコマンド&コントロール (C&C)サーバが最も多く置かれていた国は米国で、その後に イギリスとインドが続きます。ただし、C&C サーバはリモート での運営が可能なため、C&C サーバの設置国に攻撃者が滞在 しているわけではない点に注意が必要です。 2014 年:C&C サーバ設置国トップ 10 43 | グローバルセキュリティラウンドアップ 米国 21.08% イギリス 9.45% インド 6.11% ブラジル 3.14% イラン 2.94% ドイツ 2.86% ロシア 2.85% ウクライナ 2.63% オランダ 2.60% ルーマニア 2.47% その他 43.87% TREND MICRO | 2014 年 年間セキュリティラウンドアップ 2014 年:C&C サーバ接続先 国別トップ 10 米国 20.04% 日本 18.99% インド 6.20% オーストラリア 6.17% 台湾 5.84% フランス 5.66% ドイツ 5.37% マレーシア 5.27% イタリア 3.05% インドネシア 2.17% その他 21.24% C&C サーバの接続先であるゾンビ PC(ボット化した PC)は、さまざまな国に分布していますが、米国、日本、インドが上位を占めて います。 スパムメールや URL のフィッシングのブロックでも対応が不十分な脅威の場合、 ファイル普及度やふるまい検知にもとづいて未知のファ イルが不正であるかどうかの判断が求められます。 2014 年、トレンドマイクロでは、100 億に及ぶ、不正ファイルへのアクセスやダウ ンロードに関するリクエストをブロックしました。これは 2013 年の 2 倍の量であり、不正と判断されたファイル・クエリ数としては、毎 分 2 万 1 千相当に及びます。 ブロックされた不正ファイル数 109億6千万 120億 62億8千万 60億 20億6千万 0 2012年 2013年 2014年 相変わらず「DOWNAD」が、 大企業に感染する不正プログラムのトップ 1 を占めています。この事実は、 すでに Microsoft からのサポー トが終了している Windows® XP の PC にこの不正プログラムが感染するにも関わらず、いまだこのオペレーティングシステム(OS) を使用している企業が存在することを意味しています。 44 | グローバルセキュリティラウンドアップ TREND MICRO | 2014 年 年間セキュリティラウンドアップ 攻撃者の使用するツールや攻撃自体の戦略が巧妙化する中、企業は、脅威がユーザのエンドポイントに到達する前に阻止できる多層 的なセキュリティソリューションを導入する必要があります。 2014 年第 4 四半期のトップ 3 不正プログラムとアドウェア 不正プログラム アドウェア 30万 10万 29万 9千 9万6千 24万 6千 8万 6万7千 15万 5万 11万 9千 0 0 SALITY DOWNAD ADW_ ADW_ ADW_ OPENCANDY INSTALLCORE SSEARCH GAMARUE 大企業 中小・中堅企業 個人ユーザ 4万 1万2千 6万 1万 1千 5万 9千 4万 3万 9千 3万 5千 3万 0 DOWNAD DUNIHI 3万 3千 SALITY 45 | グローバルセキュリティラウンドアップ 8千 6千 0 DOWNAD SALITY 5千 VOBFUS 2万 3千 2万 0 GAMARUE SALITY VIRUX TREND MICRO | 2014 年 年間セキュリティラウンドアップ 不正プログラム/アドウェア ファミリ 動作 ダメージ度 フリーウェアにバンドルされコンピュータに侵入し、ツールバーとして活動。 中 ADW_OPENCANDY サードパーティのアプリケーションにバンドルされてコンピュータに侵入するアド ウェア。 中 ADW_SSEARCH 不正プログラムにバンドルされてコンピュータに侵入し、不正プログラムのコン ポーネントとして活動。 低 ADW_INSTALLCORE DOWNAD 複数の動作を通して拡散するワーム。セキュリティベンダのサイトへのアクセスを ブロックし、他の不正プログラムをダウンロード。 深刻 DUNIHI スパムメールや不正な Web サイトを介してコンピュータに侵入するワーム。感染 したコンピュータをボットとして利用。 中 GAMARUE LINK ファイルを介して拡散し、感染したコンピュータをボットとして利用。ファイ ルの隠ぺいも行う。 中 SALITY EXE ファイルや SCR ファイル、リムーバブルドライブ、ダウンローダ等に感染し て拡散するファイル感染型ウイルス。 高 クラッキングサイトからダウンロードされ、さまざまなファイルタイプに感染して 拡散するファイル感染型ウイルス。 FAKEAV(偽セキュリティソフトの手口を使う 不正プログラム)もダウンロードする。 高 VIRUX VOBFUS Autorun を使用し、ドライブへ感染することで拡散するワーム。複製する際に自 身のコードを変化させるポリモーフィック型のワームでもある。 高 ブロックされた脅威の総数 年間の検知率(検知数/秒) 800億 800億 2,546/秒 2,600/秒 740億 2,337/秒 2,065/秒 650億 400億 1,300/秒 0 2012年 2013年 2014年 46 | グローバルセキュリティラウンドアップ 0 2012年 2013年 2014年 制作 Global Technical Support & R&D Center of TREND MICRO TREND MICRO ™ 本書に関する著作権は、トレンドマイクロ株式会社へ独占的に帰属 します。 トレンドマイクロ株式会社が書面により事前に承諾している場合を 除き、形態および手段を問わず本書またはその一部を複製するこ とは禁じられています。本書の作成にあたっては細心の注意を払っ ていますが、本書の記述に誤りや欠落があってもトレンドマイクロ 株式会社はいかなる責任も負わないものとします。本書およびそ の記述内容は予告なしに変更される場合があります。 本書に記載されている各社の社名、製品名、およびサービス名は、 各社の商標または登録商標です。 〒 151-0053 東京都渋谷区代々木 2-1-1 新宿マインズタワー 大代表 TEL:03-5334-3600 FAX:03-5334-4008 http://www.trendmicro.co.jp BR-REPO-018
© Copyright 2024 ExpyDoc
