Untitled - トレンドマイクロ

2015 年年間セキュリティラウンドアップ......................................................... 1
総括 .......................................................................................................... 1
日本セキュリティラウンドアップ .................................................................... 2
はじめに .................................................................................................... 2
気づけない標的型サイバー攻撃、4 社に 1 社は侵入済み、発覚までに 5 か月以上 ....... 4
日本を狙う「正規サイト汚染」、気づけない不正広告が 7000 サイト以上に影響 ....... 8
脆弱性を利用した「自動感染」、国内からの 720 万アクセスに影響....................... 12
金銭を狙う攻撃:ランサムウェアとネットバンキングの被害が国内法人で拡大、PoS マ
ルウェアも日本で検出増 ............................................................................... 14
情報漏えいに繋がる公開サーバへの攻撃 .......................................................... 20
グローバル セキュリティラウンドアップ ......................................................... 22
はじめに ................................................................................................... 22
漏えい情報を悪用したサイバー攻撃やネット恐喝が発生 ...................................... 23
サイバー攻撃やモバイルへの脅威に悪用される脆弱性 ......................................... 26
各地域で進化を続けるサイバー犯罪アンダーグラウンド ...................................... 28
実証された IoT のインシデントリスク ............................................................. 31
Angler EK がエクスプロイトキットの増加を牽引 ............................................... 33
世界的にランサムウェアの法人被害が拡大 ....................................................... 36
テイクダウン後に再出現した「DRIDEX」が急増 ............................................... 40
2015 年の脅威概況 ..................................................................................... 43
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
2015 年年間セキュリティラウンドアップ
総括
「2015 年年間セキュリティラウンドアップ」は、2015 年の 1 年間における、日本と全世界での脅威動
向をまとめたレポートです。「ランサムウェア」や「オンライン銀行詐欺ツール」に代表される金銭を狙
う攻撃の被害が継続して発生しています。このような金銭を狙う攻撃は広く無差別に行われていると考え
られてきましたが、2015 年には特に法人で被害が増加しました。
この傾向は特にランサムウェアで顕著であり、全世界での法人利用者におけるランサムウェア検出台数は
3 万件を超え、前年 2014 年の 2.3 倍に増加しました。日本でも法人利用者からのランサムウェア被害報
告件数は 650 件と前年比 16.2 倍に急増しています。このように急増した法人被害の多くはデータを「人
質」にする暗号化型ランサムウェアによって引き起こされています。中でも、ネットワーク共有上のデー
タを暗号化する活動が被害を深刻化させています。2014 年にはランサムウェア全体の 2 割強に過ぎなか
った暗号化型ランサムウェアは、2015 年には全体の 7 割以上を占めるようになりました。
その他の金銭を狙う攻撃として、海外では PoS マルウェアの攻撃範囲拡大が見られています。これまで
PoS マルウェアは、主に大規模のチェーン店を標的として被害を与えてきました。しかし、メールや
Web 経由での拡散など、より広い範囲を狙う攻撃が中小中堅企業でも被害を増加させており、結果的に
全世界における PoS マルウェアの検出台数は過去最大となっています。
法人での被害という観点では、標的型メールを発端とした標的型サイバー攻撃による情報漏えい事件が日
本で 6 月以降に多数発覚しました。2015 年の 1 年間に国内で発覚した標的型サイバー攻撃事例は 23 件
となり、前年 2014 年の 4.6 倍、公表されているだけでも合わせて 110 万件の個人情報が漏えいしまし
た。また、海外では漏えいした情報が新たな攻撃に利用されることを表した事例が 2 例発生しています。
7 月に発生したイタリアの IT 企業「Hacking Team」から漏えいした脆弱性情報からは、世界各地でゼ
ロデイ攻撃が発生しました。また、米国の出会い系サイト「Ashley Maddison」から漏えいした個人情報
からは、詐欺や脅迫の被害が発生しました。
また、広く一般を狙う攻撃では、「Web 改ざん」や「不正広告」などの「正規サイト汚染」から最終的
に金銭を狙う不正プログラムを侵入させる Web 経由の「脅威連鎖」による被害が、日本で顕著になって
います。これらの正規サイト汚染では「脆弱性攻撃サイト」を経由した脆弱性攻撃により、利用者の気づ
かないうちに脅威が侵入します。トレンドマイクロでは日本からおよそ 720 万件のアクセスが脆弱性攻
撃サイトへ誘導されていたことを確認しています。全体では既に Web 経由攻撃の 85%は安全なはずの正
規サイトを見ているだけで被害に遭う攻撃となっています。
1
日本セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
日本セキュリティラウンドアップ
「気づけない」攻撃手法が日本で拡大
はじめに
2015 年に確認された日本におけるセキュリティ関連の話題の中でも、6 月に発覚した日本年金機構から
の情報漏えい事件が最も大きな注目を集めました。この事件を発端とし、国内法人組織の情報を狙う「標
的型サイバー攻撃」の実態が明るみになりました。この 6 月中に続々と発覚した被害事例のインパクトが
あまりに強かったため、ともすると標的型サイバー攻撃は一過性の事象のように思われているかもしれま
せん。実際、標的型サイバー攻撃による大きな情報漏えい事例は 9 月以降報道されていません。しかしト
レンドマイクロの調査では、その時点で被害が無いように見える法人組織であっても 4 社に 1 社の割合で
既に侵入を受けており、被害に気がついていないだけ、という実態がわかってきました。
また、広く一般のインターネット利用者を狙う脅威としては、「正規サイト汚染」を発端とし、脆弱性を
利用した攻撃によって金銭目的の不正プログラムを気づかないままに感染させる、「脅威連鎖」の全貌が
明らかになってきました。発端となる正規サイト汚染に関しては、これまでの常套手段であった Web 改
ざんに加え、新たに「不正広告」が日本国内でも大きな影響を及ぼしています。トレンドマイクロの調査
では、脆弱性攻撃サイトへの誘導手段のうち、不正広告と Web 改ざんの「正規サイト汚染」が 86%を占
めていました。
この Web 経由の脅威連鎖の中でインターネット利用者に自動的に不正プログラムを感染させる手法とし
て、脆弱性攻撃ツールであるエクスプロイトキットの利用が常套手段化しています。2015 年 1 年間では
エクスプロイトキットを使用した脆弱性攻撃サイトへ日本から 720 万件以上のアクセスがありました。
そして脅威連鎖の最後には、「ランサムウェア」や「オンライン銀行詐欺ツール」と言った金銭を狙う不
正プログラムが侵入することが確認されています。特にランサムウェアの検出台数は法人利用者において
前年比 2.7 倍に増加しており、個人利用者だけでなく法人利用者でも深刻な被害が発生しています。
2
日本セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
脅威の全体像として、トレンドマイクロのクラウド型セキュリティ基盤である SPN(Smart Protection
Network)1で集計した、2015 年における日本での総脅威ブロック数は、およそ 8 億 9 千万件となりま
した。これは前年比 11%増であり、1 時間におよそ 10 万件の脅威から利用者を保護している計算になり
ます。
図 1:2015 年第 3 四半期、日本国内での脅威ブロック数とその内訳
※註: 本レポートに掲載されるデータ等の数値は、特に明記されていない場合、トレンドマイクロのクラウド型セキュリティ
基盤「Trend Micro Smart Protection Network」による統計データが出典となります。
1
http://www.trendmicro.co.jp/jp/why-trendmicro/spn/index.html
3
日本セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
気づけない標的型サイバー攻撃、4 社に 1 社は侵入済み、発覚までに 5 か月以上
6 月に発覚した日本年金機構からの個人情報漏えい事例2以降、それまで表面化してこなかった組織の持
つ情報を狙う攻撃が一気に顕在化しました。2015 年 1 年間に発覚した標的型サイバー攻撃3事例は 23
件であり、公表されているだけでも 110 万件近い情報が流出しました。この発覚件数は 2014 年 1 年間
で公表された同様のサイバー攻撃事例 5 件の 4.6 倍となります。
№
発覚/公表日
1
1月9日
2
1 月 16 日
3
被害組織
発覚原因
侵入経路
情報流出被害
商社
外部からの指摘
標的型メール
400 件の個人情報
新聞社
不審通信調査
不明
電子メール、社内文書などが流出
6月1日
年金事業
外部からの指摘
標的型メール
101 万件の個人情報
4
6月9日
業界団体
外部からの指摘
標的型メール
2 万 7 千件の個人情報
5
6 月 10 日
商工会議所
外部からの指摘
標的型メール
1 万 2139 件の個人情報
6
6 月 13 日
医療保険事業
外部からの指摘
不明
不明
7
6 月 16 日
地方自治体
外部からの指摘
標的型メール
不明
8
6 月 16 日
海外協力事業
外部からの指摘
標的型メール
不明
9
6 月 17 日
医療保険事業
外部からの指摘
不明
個人情報(規模不明)
10
6 月 17 日
施設管理事業
外部からの指摘
標的型メール
不明
11
6 月 17 日
公共施設
外部からの指摘
標的型メール
不明
12
6 月 17 日
海外協力事業
不明
標的型メール
個人情報(規模不明)
13
6 月 19 日
医療機関
外部からの指摘
標的型メール
250 件の個人情報
14
6 月 19 日
宿泊施設
外部からの指摘
標的型メール
個人情報(規模不明)
15
6 月 19 日
医療機関
外部からの指摘
標的型メール
不明
16
6 月 22 日
教育機関
外部からの指摘
標的型メール
3308 件の個人情報
17
6 月 25 日
官公庁
外部からの指摘
不明
不明
18
7 月 10 日
官公庁
外部からの指摘
水飲み場型
不明
19
7 月 16 日
教育機関
内部異常調査
標的型メール
3 万 6300 件の個人情報
20
7 月 17 日
政府機関
不審通信調査
不明
不明
21
7 月 20 日
地方自治体
外部からの指摘
水飲み場型
2700 件の個人情報
22
8月7日
研究開発法人
不明
水飲み場型
215 件の個人情報
23
8 月 28 日
交通機関
外部からの指摘
標的型メール
不明
図 2:2015 年に公表された主な情報窃取サイバー攻撃事例とその内容(トレンドマイクロが独自に整理)
これらの公表事例の内容を整理してみると、23 件中 18 件で外部の指摘を受けて調査を開始しており、
「自分では気づけない」という標的型サイバー攻撃の特徴が表れています。
2
http://blog.trendmicro.co.jp/archives/11682
3
標的型サイバー攻撃:重要情報の入手を最終目標とし、特定の組織を攻撃対象として、その標的に特化して継続的に行われる一連の攻撃。
「持続的標的型攻撃」、「高度標的型攻撃」などとも呼ばれる
4
日本セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
図 3:2015 年に公表された主な情報窃取サイバー攻撃事例の発覚原因の割合(トレンドマイクロが独自に整理)
また、侵入経路に関しては標的型メールの添付ファイルによる侵入が最も多いものとなっていますが、7
月以降には Web 経由のいわゆる「水飲み場型攻撃4」による感染も見られています。
図 4:2015 年に公表された主な情報窃取サイバー攻撃事例の侵入経路の割合(トレンドマイクロが独自に整理)
ただし Web 経由とされている事例でも、調査の結果、メール内の URL から改ざんサイトへ誘導されて
いた事例も確認されており、侵入の発端はほぼすべてが標的型メールであると言えます。また、侵入経路
がはっきりとわかっていない事例も 22%あり、外部指摘からの被害発覚後の調査では、攻撃の全貌把握
は十分に行えない場合があることがわかります。
ただし、これらの公表事例だけで判断した場合、事例は 2015 年 6 月以降に集中しており、標的型サイ
バー攻撃の被害は一過性のものであるかのように思えるかもしれません。しかしこの被害発覚の集中は、
4
水飲み場型攻撃:標的型サイバー攻撃において、標的となる組織や個人が利用する Web サイトを改ざんし、攻撃に利用する攻撃手法。英:
Watering Hole Attack
5
日本セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
日本年金機構の事例発覚を発端により厳しい監視や調査が行われた結果、これまで気づけていなかった攻
撃がこの期間に表面化しただけ、と言えます。標的型サイバー攻撃ではまず外部からの遠隔操作を実現す
るための RAT5を標的組織内に侵入させます。トレンドマイクロが 2015 年に行った組織内ネットワーク
における挙動監視対応では、事例の 24%において、この標的型サイバー攻撃で使用される RAT による不
審な通信を検出しました。この割合は 2014 年における監視対応においても 26%とほぼ同様の割合とな
っており、この 2 年間で大きな変化はありませんでした。
図 5:トレンドマイクロのネットワーク挙動監視における RAT 通信を検出した事例の割合
また、2015 年 1 年間にトレンドマイクロで実際に対応を行った標的型サイバー攻撃事例においては調査
の結果、最初の侵入は調査依頼の 5 か月以上前(平均 153 日、最長 443 日)に発生しており、長期間に
わたって攻撃に気づけない実態がわかっています。
これらのデータからは、標的型サイバー攻撃は決して一過性のものではなく、ずっと継続して繰り返され
ていることがわかります。そして、この侵入に気づくことができなかった組織が実際に被害を受けてしま
った組織、と言うことができるでしょう。これらの事実から浮き彫りになる、日本における標的型サイバ
ー攻撃被害の実態は、
1.
被害に遭っていないと考えている企業であっても 4 社に 1 社は既に標的型サイバー攻撃の侵入を
受けている
2.
平均的な事例では最初の侵入から 5 か月以上経過後に外部から指摘されて侵入が発覚し対応を開
始する。最悪の場合はそのまま気づかずに情報を奪われ発覚もしない
という状況である、とまとめることができます。
5
RAT:攻撃者が外部からの遠隔操作を実現するために使用するツールの総称。Ramote Access Trojan(もしくは Tool)、遠隔操作ツール
6
日本セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
セキュリティエキスパートの見解
2015 年に発覚した多くの標的型サイバー攻撃事例を通じて、その「気づけない」特徴が明らかになりま
した。これらの特徴は以前から指摘されていたものですが、表面化しにくい標的型サイバー攻撃被害にお
いて、実事例の中から確認できたことには大きな意味があります。
これらの実事例においては、個々の事例における攻撃者の最終的な狙いまでは断定できていません。しか
し、情報流出被害を確認した被害事例 13 件のうち、12 件は個人情報の漏えいとなっており、実際に確
認されている被害の内容は組織の持つ個人情報に集中していると言えます。
顧客や職員の個人情報はどのような法人組織でも必ず持っている重要情報です。また、マイナンバー制の
施行により、組織の持つ個人情報の重要性はこれまでよりも高まっています。これらを考え合わせると、
「気づけない攻撃」への対策は、すべての法人組織において自分事として捉え、取り組んでいくべき課題
になったものと言えます。
組織でのセキュリティ対策は、このような気づけない標的型サイバー攻撃にいち早く気づけるような対処
が必要です。そのためには侵入を前提としたネットワーク内外への通信監視の対策が重要です。侵入に気
づけていなかった組織が受けた「外部からの指摘」は、組織内のネットワークに侵入した RAT による外
部 C&C サーバ6との通信の存在によるものでした。また、対策の前提として、自組織が持つ情報資産を棚
卸し、守るべき情報の優先度を決定すること、侵入が発覚した場合どのような対応を行うべきかといった
事前準備も重要です。
6
C&C サーバ:攻撃者が RAT に遠隔操作の指令を送るために使用するサーバ。Command & Control Server、C2 サーバ
7
日本セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
日本を狙う「正規サイト汚染」、気づけない不正広告が 7000 サイト以上に影響
2015 年を通じ、「不正広告7」と「Web 改ざん」を中心とした「正規サイト汚染」が日本を狙う攻撃で
多く使用されている実態が明らかになってきました。2015 年にトレンドマイクロでは多くの Web 経由
でのドライブバイダウンロード攻撃8を確認しました。うち、特に調査を行った 127 件の脆弱性攻撃サイ
トについて、国内からのアクセスをたどり誘導元サイトを確認したところ、44%が不正広告、41%が
Web 改ざんであり、正規サイト汚染を発端とする攻撃が全体の 85%を占めていることがわかりました。
図 6:国内からのアクセスが確認された脆弱性攻撃サイトへの誘導元サイト種別割合(2016 年 1 月トレンドマイクロ調査)
特に、7 月以降に攻撃が顕著化9
10
した不正広告ではその後も攻撃が拡大しています。攻撃者は脆弱性攻
撃サイトへ誘導するコードを含む広告コンテンツをなんらかの方法でアドサーバ 11に混入させることで、
正規のネット広告を不正広告で汚染します。2015 年にトレンドマイクロでは、国内からのアクセスがあ
った不正広告サーバ12を 55 件確認しましたが、そのうちのおよそ 4 割にあたる 21 件が 12 月に登場し
ており、日本を狙う不正広告は増加傾向にあると言えます。
7
不正広告:一般の Web サイト上に表示される広告コンテンツ内に、不正コードを混入させる攻撃。英:Malvertisement、Malvertising
8
ドライブバイダウンロード:脆弱性などを利用し自動的に不正プログラムをダウンロード、実行させる攻撃手法
9
http://blog.trendmicro.co.jp/archives/12174
http://blog.trendmicro.co.jp/archives/12293
10
11
アドサーバ:ネット広告で使用される広告コンテンツをホストするサーバ
12 不正広告サーバ:不正広告をホストしているアドサーバ
8
日本セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
図 7:国内から脆弱性攻撃サイトへの誘導を行う不正広告攻撃の件数推移(2016 年 1 月トレンドマイクロ調査)
これらの不正広告サーバについて、国内からのアクセス経路を調査したところ、7000 件以上の正規サイ
ト上でこれらの不正広告が表示されていたものとわかりました。サイト種別としては、ブログ・Wiki な
どのレンタルシステムが最も多く確認されました。これらのサイトでは日常的に多くの広告を表示するま
とめサイトなどが運用されています。また、各種メディアや企業のサイトは数的な割合としては少ないも
のの月間 100 万アクセスを超える人気サイトが多く、影響度としては非常に大きいものと言えます。
図 8:不正広告の表示が推測される 7000 サイトの種別内訳(2016 年 1 月トレンドマイクロ調査)
また Web 改ざんについては、Web サイトの弱点として CMS13の脆弱性を狙う手口が顕著になっており、
特に国内でも使用の多い WordPress14が狙われる傾向が明らかになっています。2015 年にトレンドマ
イクロが国内で調査を行った Web 経由のドライブバイダウンロード攻撃で使用された改ざん事例 129
件の中でも、WordPress を使用していた被害 Web サイトが最も多く、99 件で全体の 77%を占めまし
た。
13 Web を構成する各種コンテンツの編集や保存を一元的に管理するシステムの総称。Content Management System、コンテンツ管理システム
14 https://ja.wordpress.org/
9
日本セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
図 9:改ざんサイトで利用されていた CMS の種別内訳(トレンドマイクロ調査)
図 10:改ざんサイトで利用されていた CMS の最新バージョン適用率(トレンドマイクロ調査)
これらの被害 Web サイトでは WordPress、Joomla! 15、Drupal16などの CMS が使用されていましたが、
調査時点で最新バージョンの CMS の使用が確認できたのは 1 件のみでした。また、確認された使用バー
ジョンからの推測では、23%は 1 年以上 CMS のアップデートが行われておらず、平均で 7 か月間、最
長では 4 年 7 か月以上放置されていると思われるサイトもありました。これらのアップデートの放置が
直接改ざん原因に繋がるとは断定できませんが、そもそも Web サイトの管理自体が行き届いていないサ
イトが被害を受けやすい、ということは言えるでしょう。
15
16
http://www.joomla.jp/
http://drupal.jp/
10
日本セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
セキュリティエキスパートの見解
不正広告による攻撃は、多くのインターネット利用者に影響を及ぼせる点、そして、閲覧者や閲覧タイミ
ングなどの条件で刻々と変化するネット広告の仕組みから、その再現と追跡が困難であるという点におい
て、攻撃者にとって都合の良い攻撃方法となっています。7 月から 12 月に不正広告サーバ件数が拡大し
ている点から見ても、既に攻撃者は日本への攻撃において不正広告の有効性を把握したと考えられ、今後
も不正広告は増加していくものと考えられます。
このような Web 経由の攻撃の拡大の裏で使われる正規サイト汚染の手法として、2015 年末からドメイ
ンシャドウイング(Domain Shadowing)という手口が観測17されています。ドメインシャドウイング
とは、攻撃者が正規サイトのドメイン上に勝手にサブドメインを追加して悪用する手口です。例えば、
「example.jp」というドメインの正規サイトがあった場合、攻撃者は「sub. example.jp」というサブ
ドメインを作成します。そして、このサブドメイン上に不正広告などの攻撃用コンテンツを設置し、攻撃
に利用します。攻撃者にサブドメインと攻撃コンテンツの追加を許してしまうという点で、ドメインシャ
ドウイングはサイトの乗っ取りとも言える攻撃手法です。攻撃者にとってはドメイン名が正規サイトのも
のとなるため、疑われにくい利点があると考えられます。
不正広告による攻撃の際、攻撃者がドメインシャドウイングの手法で用意したサイトを不正なアドサーバ
として利用する事例を、海外では確認していました。2015 年にトレンドマイクロが調査を行った国内の
不正広告事例 55 件の中でも、現在も運営が続いている正規サイトのサブドメインにアドサーバが設置さ
れていた事例を 4 件確認、うち 3 件は 12 月に登場したものであり、既に日本を狙う攻撃でもドメインシ
ャドウイングの手法が流入していることがわかりました。その他の Web 改ざん被害とも合わせ、正規サ
イトの運営者、管理者は自身の Web サイトがこのような攻撃の踏み台にならないような対策をすべきで
しょう。特に、ドメインシャドウイングは運用中のサイト上の対策だけでは検知できない脅威です。この
ような脅威が存在することを認識することが、対策を進める上でも重要です。具体的には、サブドメイン
を追加する際に必要な ID・パスワードの管理は適切か、パスワードの強度は十分か、などを再確認して
ください。また、運用中のドメインに不審なサブドメインが追加されていないか確認してください。
17
http://blog.trendmicro.co.jp/archives/12775
11
日本セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
脆弱性を利用した「自動感染」、国内からの 720 万アクセスに影響
正規サイト汚染など Web 経由でのドライブバイダウンロード攻撃が拡大している背景として、「エクス
プロイトキット18」と呼ばれる脆弱性攻撃ツールを使って構築された脆弱性攻撃サイト(EK サイト)に
より、不正プログラムを頒布する手口が常套手段化しています。エクスプロイトキットでは、特にインタ
ー ネ ッ ト 上 で 一 般 的 に 使 用 さ れ る 、 Internet Explorer 、 Adobe Flash 、 Java 、 Adobe Reader 、
Microsoft Silverlight などの製品の脆弱性が攻撃対象になっています。ほとんどの EK サイトでは、使用
するエクスプロイトキットが対応している複数の脆弱性をすべて攻撃するよう設定しているため、EK サ
イトに誘導されたインターネット利用者の環境で1つでも脆弱性を含んだバージョンの製品を使用してい
た場合、脆弱性攻撃が成功し、自動的に不正プログラムに感染してしまうことになります。
トレンドマイクロの SPN による調査では、2015 年に確認された EK サイトに対し、日本国内からだけで
およそ 720 万件のアクセスが誘導されたことがわかっています。これは全世界でも国別でトップとなる
アクセス数であり、日本を狙う攻撃における脆弱性利用の影響度を示しているものと言えます。
図 11:国内から EK サイトへのアクセス数推移
18
エクスプロイトキット:脆弱性攻撃サイト構築用の攻撃ツール
12
日本セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
セキュリティエキスパートの見解
攻撃者にとって、不正プログラムを使用した攻撃を行う上での一番の課題は、いかにして利用者に不正プ
ログラムのファイルを入手させ実行させるか、です。その意味で、脆弱性を利用したドライブバイダウン
ロード攻撃は、利用者の操作とは関係なく、自動的にファイルをダウンロードさせると同時に実行までさ
せることができる、攻撃者にとって最も効果的な手法です。エクスプロイトキットは、その最も効果的な
攻撃を簡便に実現することができるツールであり、常套的攻撃手法となるのも当然のものと言えます。
このようなエクスプロイトキットは複数存在していますが、日本国内からのアクセスが確認された EK サ
イトに関しては、「Angler EK(アングラーEK)」、「Nuclear EK(ニュークリア EK)」、「Rig EK
(リグ EK)」の 3 種に集中しています。中でも特にアングラーEK は 8 割近くの EK サイトで使用され
ていました。アングラーEK は世界的にも最も多く使用されているエクスプロイトキットでもあります。
特に、脆弱性の攻撃コード収録が他のエクスプロイトキットよりも早いことがわかっており、攻撃者にと
って利用しやすいエクスプロイトキットとなっていることが攻撃者に人気となっているのではないかと思
われます。
13
日本セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
金銭を狙う攻撃:ランサムウェアとネットバンキングの被害が国内法人で拡大、PoS
マルウェアも日本で検出増
広くインターネット利用者を狙う不正プログラム攻撃の目的が、金銭利益を狙うものとなっていることが
指摘され始めてから既に 10 年が経過しています。2015 年の Web 経由での攻撃傾向を見ても、国内から
アクセスのあった EK サイトから侵入する不正プログラムの¾以上が、ランサムウェア、オンライン銀行
詐欺ツールといった感染者の金銭を狙う不正プログラムとなっており、攻撃者の主要な目的が金銭である
ことは明白です。
図 12:EK サイトから侵入する不正プログラム種別割合
2015 年、これらの金銭を狙う不正プログラムの被害は、特に国内法人で拡大しました。ランサムウェア
全体の検出台数は 2014 年の 7600 件から 2015 年の 6700 件と微減でしたが、法人利用者からの検出の
割合は 2014 年の 5%から、2015 年には 15%と概ね 3 倍増になっています。
図 13:国内ランサムウェア検出台数推移
14
日本セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
図 14:国内ランサムウェア検出台数における法人での検出割合推移
法人利用者における実被害の把握という面でもこの傾向は裏付けられています。トレンドマイクロサポー
トセンターに入った法人利用者からのランサムウエア感染被害報告数は前年比 15.8 倍となり、増加の一
途をたどっています。
図 15:国内法人からのランサムウェア感染被害報告数推移(トレンドマイクロサポートセンター調べ)
国内ネットバンキングを狙う不正プログラムの攻撃では、2014 年後半からいったん減少傾向にあった攻
撃が 2015 年後半に再び活発化しています。オンライン銀行詐欺ツール本体とそれを侵入させるためのダ
ウンローダやエクスプロイトコードを含む、ネットバンキングを狙う不正プログラム全体の日本での検出
台数は、2014 年第 2 四半期に 2 万 8000 件を超えて以来、2014 年後半から 2015 年前半にかけては小
15
日本セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
康状態を保っていました。しかし、2015 年第 4 四半期は再び 2 万件を超え、前年同期比でおよそ 3 倍の
増加となっており、完全に 2014 年前半の水準に戻った感があります。
図 16:ネットバンキングを狙う不正プログラム(オンライン銀行詐欺ツール本体、ダウンローダなど)の国内検出台数推移
この 2015 年における全体の検出台数増加傾向の中でも、ランサムウェアと同様に法人利用者での被害拡
大傾向が見てとれます。2015 年第 3 四半期に 4300 件と過去最高の検出台数を記録すると翌第 4 四半期
にはその 1.6 倍の 7100 件と過去最高を更新、前年同期比で約 6 倍の急増となりました。
16
日本セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
図 17:ネットバンキングを狙う不正プログラムの国内法人利用者での検出台数と全体に占める割合の推移
特に 2015 年下半期には、全体のおよそ 3 割が法人での被害となっており、金銭目的の不正プログラムは
主に個人利用者を狙う、というイメージは過去のものとなったと言えるでしょう。
また、同様に金銭目的の不正プログラムである PoS マルウェア19も、日本での検出台数が増加傾向にあり
ます。2015 年第 4 四半期の検出台数は世界でも日本でも過去最高となっています。海外では多数の被害
が発覚しているのに比べ、日本ではこれまで PoS マルウェアによる被害の実例は確認されていません。
しかし、検出台数の増加の事実から日本にも PoS マルウェアが持ち込まれていることは確かであり、実
被害の発生に注意していく必要があります。
図 18:POS マルウェアの世界及び日本での検出台数推移
19
PoS マルウェア:PoS 端末に感染し、クレジットカードなどの決済情報を窃取する不正プログラムの総称
17
日本セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
セキュリティエキスパートの見解
国内ネットバンキングを狙う攻撃では新たなオンライン銀行詐欺ツールの登場が相次いでいます。オンラ
イン銀行詐欺ツールでは、設定により情報窃取対象の Web サイトを変更可能です。これまで、2012 年
頃 か ら 国 内 ネ ッ ト バ ン キ ン グ へ の 攻 撃 を 本 格 化 し た ZBOT を は じ め 、 2014 年 は AIBATOOK 、
VAWTRAK、WERDLOD が、そして 2015 年は SHIZ、ROVNIX、BEBLOH(別名:URLZONE)が新た
に国内ネットバンキングを狙う設定を持つことが確認されました。
2015 年に新たに登場した SHIZ、ROVNIX、BEBLOH に共通する特色として、これらはすべて 2015 年
以前から存在するバックドア型不正プログラム20でしたが、オンライン銀行詐欺ツールとして使用するた
めに、ネットバンキングを狙う活動をプラグインなどで実現していることがあります。このようなツール
の改造による増加は、以前からの攻撃者が国内ネットバンキングを狙う攻撃に新たに参入していることを
推測させます。
また、これらのオンライン銀行詐欺ツールは、種類ごとに主な拡散経路が異なっていることも注目されま
す。ZBOT、VAWTRAK、AIBATOOK は主に正規サイト汚染を中心とする Web 経由での拡散が確認され
ています。対して、WERDLOD21、SHIZ22、ROVNIX、BEBLOH は電子メール(マルウェアスパム 23)
経由での拡散が主となっており、マルウェアスパムキャンペーンの発生と検出台数の増加が完全にリンク
します。
マルウェアスパムキャンペーンによる拡散については、上記のオンライン銀行詐欺ツール同様に、ランサ
ムウェアも拡散24しています。これらのマルウェアスパムでは、直接不正プログラムを添付する手法に加
え、請求書や複合機からのメッセージなどの文書送信を偽装したメールによるマクロ型不正プログラムの
使用や、請求書や配送確認を偽装したメールによる不正 JavaScript ファイル(拡張子.js)の使用が多く
見られています。このマクロ型不正プログラムを使用する手口の増加は、国内での検出台数増加にも表れ
ており、特に 2015 年第 4 四半期には前期比 3 倍以上の急激な増加が見られています。
20
バックドア型不正プログラム:感染コンピュータを外部から操作できるような侵入口(=バックドア)を用意する活動を行う不正プログラム
21
http://blog.trendmicro.co.jp/archives/12206
http://blog.trendmicro.co.jp/archives/12622
22
23
マルウェアスパム:不正プログラムの頒布を目的としたスパムメール
24
http://blog.trendmicro.co.jp/archives/12713
18
日本セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
図 19:日本でのマクロ型不正プログラムの検出台数推移
図 20:マクロ型不正プログラムを含む Word 文書を使用したマルウェアスパムの例
図 21:不正 JavaScript ファイルを含む圧縮ファイルを添付したマルウェアスパムの例
19
日本セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
情報漏えいに繋がる公開サーバへの攻撃
6 月以降に発覚が集中した標的型サイバー攻撃事例同様、公開サーバからの情報漏えい事例の発覚が
2015 年第 3 四半期に集中しました。年間で見た場合、2015 年は前年比 1.3 倍となる 58 件の公開サー
バからの情報漏えい事例が発覚、公表されていますが、そのうちの 7 割を占める 40 件が第 3 四半期に集
中しています。
図 22:公開サーバへの攻撃による情報漏えい被害公表数推移(公表内容を独自に整理)
これらの被害の原因は多くが詳細不明ですが、判明しているものとしては全体の 23%が脆弱性や設定不
備を利用した攻撃、15%がアカウントリスト攻撃による不正ログイン、5%がメールアカウントの乗っ取
りとなっています。
図 23:公開サーバへの攻撃種別内訳(トレンドマイクロが独自に整理)
20
日本セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
被害の発覚のきっかけとしては、66%が外部からの指摘となっており、自身では被害発生に気づけない
傾向がここでもうかがえます。加えて 19%は内部的なシステム異常の確認からの発覚であり、不審な通
信の調査のように外部からの攻撃の兆候を捉えて被害に気づいたケースはたった 7%にすぎませんでした。
図 24:被害発覚理由種別内訳(トレンドマイクロが独自に整理)
セキュリティエキスパートの見解
公開サーバはインターネットから直接アクセスできる、つまり直接攻撃を受ける可能性がある環境であり、
セキュリティ的には最も注意すべきポイントと言えます。2015 年に発覚した被害事例のうち、企業の運
営する EC サイトや顧客サービス、有料クラウドサービスなど、ビジネスに直結する重要なサイトでの被
害が 58 件中 38 件と 6 割以上を占めています。このようなビジネス上の重要サイトであるにもかかわら
ず、被害事例の 9 割で、外部からの攻撃の兆候を捉えられていなかった状況が明らかになっており、十
分な対策が行われていなかったと考えられます。逆の見方をすれば、攻撃の発生を早期に可視化するよう
な対策を行っていない「対策が不十分なサイト」が被害に遭っている、ということもできるでしょう。ビ
ジネス上重要な公開サイトに関しては、脆弱性の対策はもちろん、管理用アカウントの管理強化、通信の
アクセス元やアクセス回数などの条件から不審な通信の発生を警告できるような体制を強化するなど、セ
キュリティの見直しをもう一度行うことをお勧めします。
21
日本セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
グローバル セキュリティラウンドアップ
新たな展開へ向かう脅威:将来のセキュリティ戦略を促す脅威動向
はじめに
2015 年には新たな技術や攻撃手法が登場し、2016 年はより広範囲かつ深刻な脅威に直面する可能があ
ります。その意味で 2015 年は、サイバーセキュリティのこれからを考えるための土台が築かれた年であ
ったとも言えます。
サイバー攻撃者の手口が変化し、セキュリティの課題も複雑化してきました。例えば、情報漏えいでは、
単なる機密情報の窃取や流出にとどまらず、窃取された情報が悪質な手口で利用される事態を招きました。
ゼロデイ脆弱性もエクスプロイトキットに取り込まれ、「Pawn Storm 作戦」のような標的型サイバー攻
撃キャンペーンに用いられています。
サイバー犯罪も世界中でさまざまなアンダーグラウンド市場が広く深く繁栄を続け、クライムウェアの提
供、ポータルサイトの設置、サイバー犯罪トレーニング等、各地域や国のニーズに応じて進化していまし
た。Darknets や Deep Web などが駆使され、成熟期を迎えたアンダーグラウンド市場と同時に新興アン
ダーグラウンド市場も登場しました。
2015 年は攻撃対象も拡大しました。理由の1つとして「モノのインターネット(Internet of Things、
IoT)」の普及があげられます。IoT を駆使したスマートデバイスは、過去数ヶ月ハッキングの成功事例
が報告される中、企業や組織にとってセキュリティの懸案になってきました。サイバー犯罪者や攻撃者が
これらのウィークポイントを狙って大規模な攻撃を仕掛けてくるのも時間の問題です。
新たな脅威が展開する舞台は用意されました。新しい攻撃手法が駆使される中、特に今後数年の重要なセ
キュリティ戦略を策定するにあたっては、データと資産を守るのに使われてきた従来のセキュリティ対策
は見直す必要性があるでしょう。
22
グローバル セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
漏えい情報を悪用したサイバー攻撃やネット恐喝が発生
2015 年も重要情報漏えいにより顧客や社員がリスクにさらされ、複数の大手企業が深刻な被害に見舞わ
れました。大手企業の情報漏えいは日常的なものとなりましたが、2015 年は窃取された情報がオンライ
ン恐喝やサイバー攻撃に積極的に悪用されたという点が特筆されます。
例えば、既婚者向け出会い系サイト「Ashley Madison」の情報漏えい被害では、窃取された個人情報を
利用した脅迫メール25が送信され、「氏名を暴露しない代わりに金銭を要求する」という恐喝行為が発生
しました。こうしたオンライン脅迫は、当該サイト 3 千万の会員情報が窃取されてからわずか数日後に発
生しました。26, 27
イタリア企業「Hacking Team」も大規模な情報漏えい被害に見舞われ、企業の E メールや文書など 400
ギガバイトに及ぶ情報がオンライン上に流出28しました。流出した情報の中に多数の脆弱性情報やエクス
プロイト情報が含まれていたことをトレンドマイクロでも確認しました。これらの情報は攻撃者に利用さ
れ、韓国や日本の組織や機関が攻撃されたり、台湾や香港の多数の Web サイトが改ざんされたりする被
害が発生しました。29
2015 年 は 医 療 業 界 を 狙 った 情 報 漏 え い 被 害 も 休 ま る こ と が あ り ま せ ん で し た 。 米 大 手 保 険 会 社
「Anthem」は、氏名、住所、生年月日、所得、社会保障番号などを含む、顧客 8 千万人分の医療情報
(Protected Health Information、PHI)が窃取されました。その 1 ヶ月後、米医療保険会社「Premera
Blue Cross」30も大規模な情報漏えい被害に遭い、銀行の口座番号や患者の診療記録など 1100 万人分の
顧客情報が漏えいしました。
情報漏えい被害は米国の連邦政府レベルでも確認されました。米連邦政府の人事管理局(U.S. Office of
Personal Management、OPM)では、相互に関連する 2 件の情報漏えい事例により 2150 万件31に及ぶ
情報が窃取されました。窃取された情報には、560 万人に及ぶ職員32の職歴、住所、診療履歴、収支情報、
指紋までが含まれていました。
こうした大規模情報漏えいの状況は、弊社が実施した調査結果とも合致しています。弊社のリサーチペー
パー「Follow the Data: Dissecting Data Breaches and Debunking the Myths」(英語)33では「最
も情報漏えいの被害を受けやすい業界」として医療や官公庁自治体を指摘し、さらに教育、小売、金融な
どの業界もあげています。
http://blog.trendmicro.co.jp/archives/12178
http://www.trendmicro.com/vinfo/us/security/news/online-privacy/ashley-madison-breach-isnt-just-about-infidelity
27 http://blog.trendmicro.com/impact-team-to-ashley-madison-shut-down-or-else/
28 http://blog.trendmicro.com/hacking-team-adobe-flash-zero-day/
29 http://blog.trendmicro.co.jp/archives/11884
30 http://blog.trendmicro.com/premera-databreach/
31 http://blog.trendmicro.com/the-latest-on-the-opm-hack-21-million-affected/
32 https://www.opm.gov/cybersecurity/cybersecurity-incidents/
33 http://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/follow-the-data
25
26
23
グローバル セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
2015 年に発生した大規模情報漏えい事例
24
グローバル セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
情報漏えいの影響を最も受けた業界は「医療」
米国で発生した情報漏えい被害の約 41%の原因がデバイスの紛失です。こうした紛失に備えた対策とし
ては、リモートデバイスワイプ、ハードディスク暗号化、仮想インフラ、厳格なポリシーの施行等が有効
です。ただし、不正プログラムやハッキング等が原因の場合は、侵害検知やネットワーク監視等の導入が
必要です。
システム管理者やセキュリティ部門のマネージャーは、攻撃を事前に阻止するためにも、ネットワーク上
のすべての通信を監視してあらゆる異常を検知し、攻撃を防御できる対策の導入が必要です。さらに、カ
スタマイズ可能なサンドボックスを利用すれば、ネットワーク内の不正プログラムを特定して C&C サー
バを識別し、どのような攻撃が実施されているかを突き止めることも可能になります。
25
グローバル セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
サイバー攻撃やモバイルへの脅威に悪用される脆弱性
弊社では、長期に渡って活動している標的型サイバー攻撃キャンペーン「Pawn Storm 作戦」34を監視す
る中、ゼロデイエクスプロイトを駆使して有名機関を狙ったケースを確認しました。2015 年 7 月、米国
防関連機関や「北大西洋条約機構(NATO)」の軍事機関に向けて E メールが送信され、メール内には、
2 年前に初めて確認された Java のエクスプロイト35をホスティングした URL が含まれていました。さら
に同年 10 月、「Pawn Storm 作戦」の背後に潜む攻撃者は、Adobe Flash ゼロデイエクスプロイトを用
いた標的型メールを世界中の外交関連機関へ送信しました。36
イタリア企業「Hacking Team」の情報漏えいが発生してしばらくの間、注目すべきゼロデイ攻撃が複数
確認されました。弊社では Internet Explorer(IE)の新たなゼロデイ脆弱性「CVE-2015-2425」37や
Flash Player に存在した2つのゼロデイ脆弱性「CVE-2015-5122」38と「CVE-2015-5123」39が悪用
された攻撃を確認しました。また、日本と韓国での攻撃に限定して悪用された Flash のゼロデイ脆弱性
「CVE-2015-5119」40も確認しており、この脆弱性は「Angler EK」や「Nuclear Exploit Pack」のエ
クスプロイトキットにも取り込まれていました。
ゼロデイ脆弱性はあらゆる標的への攻撃に利用可能です。弊社では、個人や組織を狙った標的型メールを
駆使する攻撃キャンペーンの中で、そうした脆弱性の利用を確認してきました。これらの脆弱性は、エク
スプロイトキットに追加されることで広範囲のユーザに対して悪用が可能になります。脆弱性が修正され
ないまま放置されると、ほぼ間違いなくこうした脅威の被害に遭うでしょう。社内ネットワークや重要な
情報をこれらの脅威から守るべき企業や組織は、暫定的措置としての仮想パッチ活用が不可欠です。仮想
パッチは、公式の修正パッチがリリースされていない脆弱性が存在するシステムの防御に有効です。特に
ベンダからのサポートが終了したオペレーティングシステム(OS)やアプリケーションの防御に効果を
発揮します。
脆弱性を悪用するサイバー犯罪者にとってモバイル端末は依然として格好の標的です。2015 年、
Android コンポーネント「MediaServer」の脆弱性が多数狙われました。このコンポーネントの脆弱性が
悪用されると、任意のコード実行による攻撃が可能になり、モバイル端末を無限に再起動させたり、バッ
テリーを消耗させたりすることが41, 42可能です。Android 端末をサイレントモードにしたり、スクリーン
http://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/operation-pawn-storm-fast-facts
http://blog.trendmicro.co.jp/archives/12135
36 http://blog.trendmicro.co.jp/archives/12354
37 http://blog.trendmicro.co.jp/archives/11950
38 http://blog.trendmicro.co.jp/archives/11905
39 http://blog.trendmicro.co.jp/archives/11903
40 http://blog.trendmicro.co.jp/archives/11877
41 http://blog.trendmicro.co.jp/archives/12116
42 http://blog.trendmicro.co.jp/archives/12072
34
35
26
グローバル セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
を応答不可43にして通話を阻害することもでき、Android 端末のマニフェストファイルの脆弱性を悪用す
れば、無限再起動により端末を使用不可能にできます。44
同年6月には Android のデバッガ「Debuggerd」の脆弱性45など、複数の脆弱性が弊社により確認され
ました。「Debuggerd」の脆弱性が悪用されると、Android 端末内のメモリ内容を暴露させることがで
きます。Android OS の脆弱性「Android Installer Hijacking」46が悪用された場合、攻撃者は、正規ア
プリを不正なバージョンに置き換えて端末から情報を窃取することができます。
Samsung の端末にプリインストールされている SwiftKey 製キーボードの脆弱性「CVE-2015-4640」47
および「CVE-2015-4641」48を悪用すると、追加の言語パックになりすまして不正コードを事前に読み
込ませることができます。この脆弱性により 6 億台以上の Samsung Galaxy シリーズの端末がリスクに
さらされました。また弊社では、オープンソースモバイル開発フレームワーク「Apache Cordova」に存
在する脆弱性49も確認しました。この脆弱性が悪用されると、攻撃コードを含んだ Web ページを被害者
に閲覧させるだけでアプリ動作を改変することができます。
セキュリティに関しては、アプリ導入に厳密な事前審査を実施する Apple の方が Android より比較的安
全とは言えますが、2015 年はそうした Apple の「安全区域」にも脅威が及びました。「iOS Quicksand」
や「AirDrop」の脆弱性事例は、iOS のユーザも脆弱性を利用したエクスプロイトの被害に遭う危険性が
あることを浮き彫りにしました。なお、脆弱性事例ではありませんが、中国と米国のユーザに影響を与え
た不正コード「XcodeGhost」50も 2015 年の脅威事例として特筆すべきと言えます。
企業でモバイル端末が多用され始める中、重要な情報をモバイル端末に保存しないことが重要ですが、社
外で活動する社員にとってこれは非現実的です。重要な情報を社内サーバだけに保存しておきたい企業は、
仮想モバイルインフラの導入が有効です。これにより社員は、個人端末に物理的に保存することなく、社
内のファイルや記録などの重要な情報へ個人端末からアクセスすることが可能になります。
43
http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-discovers-vulnerability-that-renders-android-devices-silent/
44
http://blog.trendmicro.com/trendlabs-security-intelligence/malformed-androidmanifest-xml-in-apps-can-crash-mobile-devices/
45 http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-discovers-android-vulnerability-that-can-lead-to-exposure-of-device-memory-content/
46 http://blog.trendmicro.com/trendlabs-security-intelligence/android-installer-hijacking-bug-used-as-lure-for-malware/
47 http://blog.trendmicro.com/trendlabs-security-intelligence/the-samsung-swiftkey-vulnerability-what-you-need-to-know-and-how-to-protect-yourself/
48 http://www.trendmicro.com/vinfo/us/threat-encyclopedia/vulnerability/8652/samsung-swiftkey-vulnerability-cve20154641
49
50
http://blog.trendmicro.co.jp/archives/11622
http://blog.trendmicro.co.jp/archives/12251
27
グローバル セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
各地域で進化を続けるサイバー犯罪アンダーグラウンド
闇市場 Web サイト「Silk Road」の創設者で巨額の闇市場取引を率いていた Ross Ulbricht の逮捕と判決
に伴い51、一般のサーチエンジンの巡回で自動情報収集が行えない Web サイト「Deep Web」、特に
「Darknets」が大きく注目されました。Deep Web 上のサイトは、本来はユーザの匿名性を保持し、特
定地域に限定した自由な情報交換を目的に設計されたものですが、いくつかがサイバー犯罪に流用されま
した。こうして 2015 年、弊社は、Deep Web 内にも活動を広げたサイバー犯罪市場を確認することに
なりました。
サイバー犯罪アンダーグラウンド市場は、2015 年も中国がその革新性で主導的地位を保持しました。中
国のサイバー犯罪者は、クレジットカード情報窃取のため、読み取り用の携帯スキマーや、POS や ATM
に感染する不正プログラム等を開発してきました。これら犯罪目的のクライムウェア提供は、該当する地
域や国の小売業での支払いが現金からクレジットカードへ移行している状況を反映しています。中国のサ
イバー犯罪アンダーグラウンド市場では、窃取された情報を検索する検索エンジンまで提供されていまし
た。これを利用すれば、窃取されてアンダーグラウンドで出回っている情報からどのような情報が入手可
能かを調べる52ことも可能です。その他、高度に発達したサイバー犯罪アンダーグラウンド市場としては
ロシアがあげられます。ここでは販売取引のオートメーション化が充実していました。攻撃者はこれによ
り、窃取された情報の中から自分たちが必要なものを簡単に見つけ出すことができます。53
2015 年は、新興のサイバー犯罪アンダーグラウンド市場が台頭してきた年でもあります。この理由とし
ては、これらの地域でサイバー犯罪を取り締まる法律が厳格化されていないこと、サイバー犯罪向けのソ
フトウェア開発やコーディングへの関心の高まりなどがあげられます。例えば、ブラジルのサイバー犯罪
アンダーグラウンドでは、サイバー犯罪者に憧れるユーザ向けの各種トレーニング54まで提供され始めて
いました。ボットネット設定方法やクレジットカード情報窃取方法などのチュートリアルのサービスまで
含まれていました。しかも、法執行機関の監視を大胆に無視するかのようにソーシャルメディアを介した
広告まで打たれていました。一方、日本のサイバー犯罪アンダーグラウンド市場は逆の傾向を示しており、
ブラジルのサイバー犯罪者がその大胆さで繁栄したのと対照的に、日本のサイバー犯罪者は日本語対応で
スクリーニング55して排他的に繁栄していました。日本のサイバー犯罪アンダーグラウンド市場では、同
国の厳格な取締法にもかかわらず、ドラッグ、児童ポルノ、高機能の銃器など、非合法の密輸品や道具類
の取引が活発化していました。
http://blog.trendmicro.co.jp/archives/7951
http://blog.trendmicro.com/trendlabs-security-intelligence/prototype-nation-emerging-innovations-in-cybercriminal-china/
53 http://blog.trendmicro.com/trendlabs-security-intelligence/the-russian-underground-revamped/
51
52
54
http://blog.trendmicro.com/trendlabs-security-intelligence/think-learn-act-training-for-aspiring-cyber-criminals-in-the-brazilian-underground/
55
http://blog.trendmicro.co.jp/archives/12349
28
グローバル セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
ロシア
日本
最も成熟したサイバー犯罪市場の 1 つであり、最適化さ
タブーとなっている活動や報復目的の活動が特徴的な新
れたクライムウェアやツールやパートナシップの提供な
興市場であり、日本語に特化して構築された電子掲示板
ど、サイバー犯罪ビジネスを始めたい者にとって広かれ
によってユーザを選別する排他的な環境でやり取りが行
た市場と言えます。
われています。
中国
ドイツ
携帯 POS スキマーや窃取された情報の検索エンジンなど
欧州連合の中で最も急速に発展しており、この地域のユ
の革新的なハードウェアやチャンネルが提供され、これ
ーザを標的にして開発されたローカルなクライムウェア
らがこの地域のサイバー犯罪を牽引しています。
等が提供されています。
米国
ブラジル
米国のアンダーグラウンドサイトは、一般的な Web 検索
法律など気にしない大胆な個人や若者から人気を誇って
でも容易に見つけることができ、サイバー犯罪者と法執
います。Facebook の人気ソーシャルメディアや、その他
行機関の双方が確認できます。これによる競合性がアン
のフォーラムやアプリなども利用され、非合法活動が大
ダーグラウンド市場の価格低下につながり、新たなサイ
っぴらに喧伝・誇示されています。
バー犯罪者にとっても有益となっています。
カナダ
他の国や地域のアンダーグラウンドと比べて小規模で未
成熟ですが、偽装や窃取された文書や機密情報の販売を
主な目的として活動しています。
29
グローバル セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
他の国や地域に比べて小規模であるものの、ドイツのサイバー犯罪アンダーグラウンドは成熟した市場と
言えます。取引に第三者を介する制度の確立に加え、ドイツのサイバー犯罪者の多くは「Packstations」
などの配達サービス56を利用していました。これにより国中のあらゆる場所で簡単に取引することができ
ます。北米地域もアンダーグラウンド市場は成長を続けており、ランサムウェア、麻薬、暗殺請負サービ
スまでこれらのすべてが、サイバー犯罪者やその顧客だけでなく法執行機関からも一般的な Web 検索で
閲覧可能です。57
各地域のサイバー犯罪アンダーグラウンドは、地域の現実社会に合わせて発生しています。これらの市場
で提供されるものは、それぞれの地域で台頭しつつある脅威や、すでに発生している脅威などを反映して
います。例えば、中国のクレジットカードのスキミング装置は、同国の中小企業にとって大きな問題です。
業務の必要性から POS システムを導入した中小企業経営者は、こうしたスキミング装置により深刻な損
害を被ります。こういった傾向を把握することは、各地域の法執行機関にとって市民を被害から守る上で
有効です。法執行機関はセキュリティリサーチャーと連携することで、サイバー犯罪アンダーグラウンド
や Deep Web での非合法取引等に関する脅威情報や知見を得ることができます。
56
57
http://blog.trendmicro.com/trendlabs-security-intelligence/the-german-underground-buying-and-selling-goods-via-droppers/
http://blog.trendmicro.co.jp/archives/12717
30
グローバル セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
実証された IoT のインシデントリスク
2015 年は「Internet of Things(IoT)デバイス」へのハッキング事例が示され、IoT のインシデントに
関する可能性の議論に終止符が打たれた年でもあります。幼児の様子を伺うベビーモニタ 58やスマート冷
蔵庫59など、IoT デバイスへのセキュリティ侵害はこれまでも報告されてきましたが、2015 年は、リサ
ーチャーにより初めてスマート自動車をリアルタイムで侵害できることが実証されました。
Škoda 社の自動車「Fabia III」に搭載された「SmartGate System」への調査 60 から、この自動車が
Wi-Fi ネットワークの範囲内であれば、攻撃者は当該システムを改ざんできることが証明されました。こ
のシステムの脆弱性を利用すれば、攻撃者はドライバーの位置情報を追跡し、ドライバーからシステムへ
のアクセスも阻止することができます。
他の調査でも同様の結果が確認されました。2010 年製の Ford 社の「Escape」や Toyota 社の「Prius」
61
も同様に脆弱性が確認され、これらを利用すると、攻撃者は無線で自動車のステアリング操作やブレー
キの無効化ができることが示されました。さらに別の実証実験では、時速 70 マイル(時速 113 キロ)で
高速道路を走る Jeep 社の「Cherokee」62の遠隔操作に成功しました。もしこれが実際の攻撃であれば、
深刻な事故につながっていたでしょう。
企業で利用される IoT デバイスはハッキング被害に遭いやすく、その観点から弊社のリサーチャーは
「GasPot」という実験63を行いました。この実験では「GasPot」と呼ばれるカスタマイズ化されたハニ
ーポットを作成し、他のリサーチャーやガソリンスタンド経営者が仮想監視システムを使って、ガソリン
スタンドの管理システムや自動タンク計測器(ATG)へのハッキングの試み等の痕跡を確認することがで
きます。このハニーポット実験の結果、世界規模で米国のガソリンスタンドが攻撃者にとっての格好の標
的であることが判明しました。これらがハニーポットではなく、実際のガソリンスタンドへの攻撃であっ
た場合、攻撃者は、さらに DDoS 攻撃を仕掛け、ガソリンスタンドの業務に深刻な支障をきたすところで
した。攻撃者がガスタンクの計測値を遠隔操作してガソリンがあふれ出すような操作をした場合、大規模
な事故や爆発が引き起こされることになっていたでしょう。
http://fusion.net/story/192189/internet-connected-baby-monitors-trivial-to-hack/
http://thehackernews.com/2014/01/100000-refrigerators-and-other-home.html
60 http://blog.trendmicro.com/trendlabs-security-intelligence/is-your-car-broadcasting-too-much-information/
58
59
61
http://www.forbes.com/sites/andygreenberg/2013/07/24/hackers-reveal-nasty-new-car-attacks-with-me-behind-the-wheel-video/#49e68fe05bf2
62
http://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/
http://blog.trendmicro.com/trendlabs-security-intelligence/the-gaspot-experiment-hackers-target-gas-tanks/
63
31
グローバル セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
「GasPot」で確認された攻撃の国別の割合
弊社の「2016 年脅威予測」64でも指摘しましたが、今後、致命的な被害を引き起こす可能性のある IoT
デバイス向けハッキング事例の増加が見込まれており、セキュリティ上の課題の 1 つとなっています。こ
うした事例が実証される中、これまでフィクションと考えられていた脅威が現実化してくることになりま
す。IoT デバイスの安全性を検証してセキュリティを確保することが強く求められており、こうしたデバ
イスの製造側も、顧客のプライバシーと物理的な安全面で積極的な取り組みが期待されています。
インターネットに接続された IoT デバイスは、情報漏えいやその他のセキュリティ被害を受ける可能性が
あります。IoT デバイスのほとんどは機能優先で設計されており、セキュリティは二の次にされがちです。
これらのデバイスを攻撃から守るためにも開発者は、攻撃に利用される可能性のある脆弱性の更新や修正
プログラムの適用を積極的に推し進める必要があります。この問題は、Android 端末が初めて職場に紹介
された際に指摘された状況とよく似ています。ただし、IoT デバイスの場合、Android 端末と異なり、単
一のオペレーティングシステム(OS)上だけで実行されるわけではないため、このことが修正プログラ
ムの適用を複雑化させ、セキュリティ侵害のリスクが放置される可能性があります。現在、IoT デバイス
に特化したソリューションがないため、企業側では、こうしたリスクに対してもセキュリティ対策を始め
る必要があります。
64
https://app.trendmicro.co.jp/doc_dl/select.asp?type=1&cid=182
32
グローバル セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
Angler EK がエクスプロイトキットの増加を牽引
2015 年、エクスプロイトキット「Angler EK」が大きな注目を集めました。脆弱性利用の便宜さから、
2015 年に最も利用されたエクスプロイトキットとなりました。
2015 年 2 月、弊社では、このエクスプロイトキットと一連の不正広告キャンペーン65との関連を確認し
ました。サイバー犯罪者は、標的のユーザに不正広告をクリックさせてランサムウェアを感染させていま
した。同年 12 月には英大手新聞インデペンデント紙のメディアサイト「The Independent」のブログが
被害に遭いました。ここでもサイバー犯罪者は、不正広告を表示したユーザにランサムウェア
「CrypTesla」を感染させるために「Angler EK」を使用していました。66
2015 年 9 月には日本が標的となり、合計 3 件の不正広告キャンペーンが日本のユーザを狙って実行され
ました。これにより約 3000 もの著名サイトが影響を受け、50 万人のユーザが Web サイトに仕掛けられ
た不正広告にさらされたと言われています。67
2015 年 7 月、「Anlger EK」が更新され、「Hacking Team」の情報漏えい事例68で流出した Flash ゼ
ロデイ脆弱性が利用可能になりました。また、同年 11 月には攻撃キャンペーン「Pawn Storm 作戦」69
に利用された Flash 脆弱性も利用可能となりました。
2015 年末の時点で「Angler EK」の URL アクセス数は 160 万に及び、
「Nuclear」や「Magnitude」など他のエクスプロイトキットと比べても圧倒的に多くなっています。
65
http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-discovers-new-adobe-flash-zero-day-exploit-used-in-malvertisements/
http://blog.trendmicro.co.jp/archives/12649
http://blog.trendmicro.co.jp/archives/12293
68 http://blog.trendmicro.co.jp/archives/11877
69 http://blog.trendmicro.co.jp/archives/12535
66
67
33
グローバル セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
2015 年は「Angler EK」をホストしている URL へのアクセス数が最多となり、
「SweetOrange」や「Hanjuan」、「Fiesta」、「Sundown」などはほとんど更新が確認されませんでした。
日本、米国、オーストラリアが 2015 年に最も「Angler EK」の影響を受けた国となっています。
日本の場合、第 3 四半期と第 4 四半期に発生した 2 件の大規模な不正広告キャンペーンが要因となっています。
34
グローバル セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
2015 年の脆弱性を活用する点でも「Angler EK」が最も活発であったと言えます。
活用された脆弱性には、ゼロデイ脆弱性も含まれていました。
サンドボックス搭載のセキュリティ対策を利用すれば、システム管理者は隔離された特殊な環境でプログ
ラムを実行することができ、不正プログラムの脅威とそれらがどのような検出回避法を用いているかを確
認できます。それによって、企業や組織を狙った脅威や難読化されたエクスプロイトが検知・分析ができ
ます。サンドボックスのようなソリューションを導入することで、ゼロデイ脆弱性やエクスプロイトの対
処すべき箇所を明らかにして迅速な処置を施すことができるようになるでしょう。
35
グローバル セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
世界的にランサムウェアの法人被害が拡大
2015 年を通して弊社では、ランサムウェアはコードや構造だけでなく、用いられる手法と標的の観点か
ら進化したと考えています。こうした傾向から従来型ランサムウェアよりも、大量のデータを強固な暗号
化で人質にしてしまう暗号化型ランサムウェア70が好んで用いられるようになってきました。事実、暗号
化型ランサムウェアの検出数増加からもこうした傾向が伺えます。
2014 年と比べて 2015 年は、暗号化型ランサムウェアが増加し続けた年でもあり、
暗号化型ランサムウェアの割合が従来型ランサムウェアを上回りました。
2015 年は「Cryptowall」71など、暗号化型ランサムウェアの亜種による事例が多く確認されました。こ
の亜種は、E メールや不正なダウンロードを介して PC に侵入してファイルを暗号化します。すべてのフ
ァイルが暗号化されると、サイバー犯罪者は、ファイルの復号化と引き換えに身代金を要求します。
2015 年、この亜種の三代目と称される「Cryptowall 3.0」も登場しました。この亜種は C&C サーバを
利用し、感染経路にスパムメールやスパイウェア、改ざんされた Web サイトなどを駆使します。72
「Cryptowall」は、2015 年に登場した中で最も大きな影響を及ぼしたランサムウェアファミリと言われ
ています。第 2 位は「Ransomnote」というランサムウェアファミリです。多くの亜種がファイルレスで
感染をする中、この暗号化型ランサムウェア「Ransomnote」は、感染した PC 上に身代金を要求するメ
モを痕跡として残す点が特徴的です。
70
71
72
http://blog.trendmicro.com/crypto-ransomware-attacks-the-new-form-of-kidnapping/
http://blog.trendmicro.co.jp/archives/11149
http://blog.trendmicro.com/trendlabs-security-intelligence/businesses-held-for-ransom-torrentlocker-and-cryptowall-change-tactics/
36
グローバル セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
2015 年に登場したランサムウェアファミリ:トップ 10
ランサムウェアファミリ「Chimera」73はファイルを暗号化するだけでなく、「窃取した情報をインター
ネットに公開する」などとユーザを脅して金銭の支払いを強要します。挙句にはこのランサムウェア作成
者から「アフィリエイトプログラムに参加しないか」などと被害者に向けた勧誘までなされます。こうし
たやり取りを通して「サービスとしてのランサムウェア(Ransomware as a service、RaaS)」の提供
まで喧伝しています。
通常、ランサムウェアは、米国のアンダーグラウンド市場において 10 米ドル74で売られています。ブラ
ジルのような地域では、サイバー犯罪者が狙う複数プラットフォーム対応のランサムウェアを無制限に使
用できるサービスとして1週間 3000 米ドルもしくは 9 ビットコイン75で売られています。サイバー犯罪
者は大きな利益が得られるため、この金額は低い価格設定と言えます。身代金として要求する金額は、通
常 200 米ドルから 1 万米ドルとされており、米国連邦捜査局(FBI)の関連機関「Internet Crime
Complaint Center(IC3)」76の報告では、2014 年 4 月から 2015 年 6 月までに「Cryptowall」の被害
で発生した損失額は合計 1800 万米ドルに及ぶことが明らかにされています。暗号化型ランサムウェアに
情報が暗号化されてしまうと、情報を取り戻せる保証は全くありません。暗号化される情報の種類によっ
ては、リスクやダメージも極めて深刻になります。
あらゆるタイプのランサムウェアへの最善な対処法は、暗号化型ランサムウェア向けの多層防御を実施す
ることです。ランサムウェアが利用するあらゆる感染経路を防御しておくことが極めて重要だからです。
頻繁に利用される感染経路はスパムメールや不正な URL であることから、個人ユーザも企業も、E メー
ルや Web のレピュテーション技術やフィルタリング機能が有効です。企業や組織の場合、特に大企業は、
社内ネットワークの大規模感染という万一に備え、機密情報のバックアップが不可欠です。
http://blog.trendmicro.co.jp/archives/12643
http://blog.trendmicro.co.jp/archives/12717
75 http://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/brazilian-cybercriminal-underground-2015
76 https://www.ic3.gov/media/2015/150623.aspx
73
74
37
グローバル セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
全世界の法人でのランサムウェア検出台数と法人の割合
ランサムウェア検出台数のタイプ別割合推移
38
グローバル セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
ランサムウェアの変遷
39
グローバル セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
テイクダウン後に再出現した「DRIDEX」が急増
2015 年 10 月、米国連邦捜査局(FBI)およびイギリスの重大組織犯罪局(National Crime Agency、
NCA)は、悪名高いボットネット「DRIDEX」に利用されていた複数の C&C サーバのテイクダウン77に
成功しました。「DRIDEX」はユーザのネットバンキング情報を狙う高度な情報窃取型不正プログラム 78
です。この不正プログラムは、マクロ機能を利用する不正ファイルが添付されたスパムメールを介して拡
散します。79
2015 年第 4 四半期におけるマクロ型不正プログラムの急増は「DRIDEX」に関連した
スパムメールの活動に起因しています。
このテイクダウン後、米国での「DRIDEX」の検出台数は一時大幅に減少しましたが、他の国々での勢い
80
は衰えることはありませんでした。これは、多数の「DRIDEX」関連の C&C サーバが上述の法執行機
関の影響が及ばない地域にも設置されているからだと考えられます。
http://blog.trendmicro.co.jp/archives/12366
http://about-threats.trendmicro.com/RelatedThreats.aspx?language=jp&name=Dealing+with+the+Mess+of+DRIDEX
79 http://blog.trendmicro.co.jp/archives/10238
80 http://blog.trendmicro.co.jp/archives/12564
77
78
40
グローバル セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
2015 年第 4 四半期、他のオンライン銀行詐欺ツールと比べ「DRIDEX」が急激に増加しました。
テイクダウンからわずか 1 ヶ月後、米国でも 2015 年 11 月に「DRIDEX」の再来が確認されました。そ
れに伴い弊社でも、不正なマクロ機能が仕込まれた「Microsoft Excel®」や「Word®」のファイルが添付
ファイルされ、請求書や金融関連の資料に偽装された「DRIDEX」関連のスパムメール活動81を確認しま
した。このシナリオは Bulletproof Hosting Service Providers(BPHS)82にホストされた C&C サーバ
のインフラがもたらす課題であり、このタイプのホスティングサービスを利用しているボットネットを根
絶することは極めて困難であると言えます。
「DRIDEX」のような脅威を阻止するために企業や組織は、レピュテーション技術によるセキュリティ対
策を導入する必要があります。「DRIDEX」はスパムメールで拡散され、C&C サーバとの通信に依存して
いるため、E メールや URL のレピュテーションを監視することが重要です。「DRIDEX」のマクロ型不正
プログラムに対しては、従来型ウイルス対策で感染を阻止するのは不十分です。サンドボックスによるフ
ァイル解析が可能なセキュリティ対策であれば、システムのメモリに常駐する不正プログラムも阻止する
ことも可能です。
81
82
http://blog.trendmicro.co.jp/archives/12607
http://blog.trendmicro.co.jp/archives/11998
41
グローバル セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
オンライン銀行詐欺ツールの検出台数推移
42
グローバル セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
2015 年の脅威概況
トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」
によりブロックされた脅威の総数は、2015 年は 520 億であり、2014 年に比べて 25%減少しています。
こうした減少傾向は 2012 年から続いていますが、これはサイバー攻撃者が標的をより絞って攻撃を行っ
ており、攻撃者が利用する手法も標的に適したものへ移行しているからでしょう。
トレンドマイクロのクラウド型セキュリティ基盤
「Trend Micro Smart Protection Network(SPN)」に基づく
ブロックされた脅威の合計数
トレンドマイクロのクラウド型セキュリティ基盤
「Trend Micro Smart Protection Network(SPN)」に基づく
検出率(ブロックされた脅威数/秒)
43
グローバル セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
トレンドマイクロのクラウド型セキュリティ基盤
「Trend Micro Smart Protection Network(SPN)」に基づく
ブロックされたスパム送信元 IP アドレス
スパムメールに使用された言語:トップ 10(2015 年)
2015 年も英語が最も多く使用された言語でした。
44
グローバル セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
スパムメールの送信元:国別トップ 10(2015 年)
2015 年、米国のスパムメールは倍増し、中国やロシアが順位を上げ、日本がトップ 10 入りしました。
トレンドマイクロのクラウド型セキュリティ基盤
「Trend Micro Smart Protection Network(SPN)」に基づく
ブロックされた不正 な Web サイトへのアクセス数
45
グローバル セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
ホストされた不正 URL 数:国別トップ 10(2015 年)
2015 年も米国が引き続きホストされた不正 URL 数のトップに君臨し、
中国とロシアがそれぞれ第 2 位・第 3 位となっています。
不正な URL をクリックしたユーザ数:国別トップ 10(2015 年)
不正な URL をクリックしたユーザ数の国別トップ 10 に関して順位に大きな変化は見られませんでした。
46
グローバル セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
トレンドマイクロのクラウド型セキュリティ基盤
「Trend Micro Smart Protection Network(SPN)」に基づく
ブロックされた不正ファイルの数(2015 年)
2015 年、弊社では 52 億もの不正ファイルが端末に感染するのをブロックしました。
膨大な数ではありますが、2014 年(109 億 6 千万)の半分になっています。
2014 年第 3 四半期にも述べましたが、この減少傾向はグローバルの脅威状況の変化を反映していると言えます。
この中にはファイルレス感染やエクスプロイトキットのような不正プログラムに依存しない脅威も含まれています。
不正プログラムファミリ:トップ 3(2015 年)
検出名
数
SALITY
32 万 5 千
DOWNAD
29 万 8 千
GAMARUE
20 万 7 千
セグメント別不正プログラムファミリ:トップ 3(2015 年)
セグメント
大企業
中小・中堅企業
個人ユーザ
検出名
数
DOWNAD
23 万 1 千
SALITY
13 万 2 千
DUNIHI
11 万 1 千
DOWNAD
3万7千2百
DLOADR
3万6千1百
DRIDEX
3万5千6百
SALITY
12 万 3 千
GAMARUE
11 万 2 千
VIRUX
7万4千
2015 年も「DOWNAD」、「SALITY」、「GAMARUE」が引き続き上位でした。
47
グローバル セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
オンライン銀行詐欺ツールファミリ:トップ 10(2015 年)
「RAMNIT」が 2015 年第 1 四半期から第 3 四半期までトップを占めていましたが、第 4 四半期に「DRIDEX」に
トップの座を譲りました。これは、2015 年 10 月に「DRIDEX」のボットネットがテイクダウンされた後にもかかわらず
、その後も活動している「DRIDEX」のボットネットによるものでしょう。
マクロ型不正プログラム:アプリケーション別の検出割合(2015)
2015 年、「Microsoft Word®」がマクロ型不正プログラムに最も多く利用されました。
48
グローバル セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
アドウェアファミリ:トップ 3(2015)
検出名
数
OPENCANDY
190 万
MYPCBACKUP
50 万 4 千
DEALPLY
40 万 7 千
セグメント別アドウェアファミリ:トップ 3(2015 年)
セグメント
大企業
中小・中堅企業
個人ユーザ
検出名
数
OPENCANDY
22 万 3 千
DEALPLY
7万6千
TOMOS
4万5千
OPENCANDY
8万1千
DEALPLY
3万4千
VPAYD
2万5千
OPENCANDY
150 万
FAKEGOOG
38 万 6 千
MYPCBACKUP
26 万 4 千
2015 年は「OPENCANDY」がすべてのセグメントでトップ 1 となっていました。
Android 向け不正プログラムファミリの累積総数(2015)
2014 年のデータと比較すると、Android 向け不正プログラムの累積数は 2015 年末までの期間で倍増しています。
49
グローバル セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
最も多く C&C サーバが設置された場所:国別トップ 10(2015 年)
最も多く C&C サーバが設置された国は、2015 年も米国、ウクライナ、ロシアがトップ3でした。
C&C サーバに接続されたエンドポイント数:トップ 10(2015 年)
C&C サーバに接続されたエンドポイント数は、2015 年も米国がトップでした。
50
グローバル セキュリティラウンドアップ
TREND MICRO | 2015 年 年間 セキュリティラウンドアップ
TREND MICRO™
本書に関する著作権は、トレンドマイクロ株式会社へ独占的に帰属します。
トレンドマイクロ株式会社が書面により事前に承諾している場合を除き、形態および手段を問わず本書またはその一部
を複製することは禁じられています。本書の作成にあたっては細心の注意を払っていますが、本書の記述に誤りや欠落
があってもトレンドマイクロ株式会社はいかなる責任も負わないものとします。本書およびその記述内容は予告なしに
変更される場合があります。
本書に記載されている各社の社名、製品名、およびサービス名は、各社の商標または登録商標です。
〒151-0053
東京都渋谷区代々木 2-1-1 新宿マインズタワー
大代表 TEL:03-5334-3600 FAX:03-5334-4008
http://www.trendmicro.co.jp
TRENDLABSSM
フィリピン・米国に本部を置き、日本・台湾・ドイツ・アイルランド・中国・フランス・イギリス・ブラジルの 10 カ
国 12 ヵ所の各国拠点と連携してソリューションを提供しています。
数カ月におよぶ厳しいトレーニングを経て最終合格率約 1%の難関を突破した、選びぬかれた 1,000 名以上の専門ス
タッフが、脅威の解析やソリューションへの反映など、24 時間 365 日体制でインターネットの脅威動向を常時監視・
分析しています。
世界中から収集した脅威情報を、各種レピュテーションデータベースや不正プログラム、迷惑メールなどの各種パター
ンファイルなど、グローバル共通のソリューションに随時反映しています。
サポートセンターの役割も兼ねる研究所として、お客様に満足いただけるサポート体制を整備し、より多くの脅威に迅
速に対応しています。
©2016 by Trend Micro, Incorporated. All rights reserved. Trend Micro and the Trend Micro t-ball logo
are trademarks or registered trademarks of Trend Micro, Incorporated. All other product or company
names may be trademarks or registered trademarks of their owners.
51
グローバル セキュリティラウンドアップ