標的型メールによる 「気づけない攻撃」が 多数発覚 TrendLabsSM 2015 年 第 2 四半期 セキュリティラウンドアップ 目 次 日本セキュリティラウンドアップ 標的型メールによる「気づけない攻撃」が多数発覚 ……………………… 5 法人でのランサムウェア被害が深刻化傾向、今後の本格流入を懸念 …… 9 ネットバンキングを狙うフィッシング詐欺が拡大 …………………………… 12 モバイルにも矛先を向けるネット詐欺 ……………………………………… 14 グローバルセキュリティラウンドアップ 人々の生活に悪影響を与えるサイバー攻撃………………………………… 19 より確実な強奪手段に出る POS マルウェアとランサムウェア …………… 21 政府がセキュリティ対策を優先し、成果を上げる法執行機関 ………… 28 国家的・政治的な被害の可能性も: 米国連邦人事管理局での大規模情報漏えい ……………………………… 31 政府機関を狙う標的型攻撃 ……………………………………………… 33 広く利用される Web サイトやモバイル端末の脆弱性が標的に ……… 37 短期間で悪用される脆弱性、被害も拡大 ……………………………… 39 2015 年第 2 四半期脅威概況 …………………………………………… 43 2015 年 第 2 四半期 セキュリティラウンドアップ 総括 2015 年第 2 四半期(4~ 6月)、日本では特に、標的型メールを発端とした標的型サイバー攻撃の手法による 個人情報窃取の被害発覚が顕著でした。被害発覚は特に 6 月に集中し、この 1 か月間だけで 2014 年 1 年間 に発覚した被害事例の 5 倍の事例が確認されました。また、この確認された事例の 9 割以上で、外部から不 審な通信の発生を指摘されたことを発端に被害が発覚しています。これは被害を受けた組織自身では攻撃の 発生自体を認識できなかったということを示しており、まさに「気づけない攻撃」となっていました。 2014 年 以降、本セキュリティラウンドアップレポートでは、法人の持つ情報を狙う攻撃で、標的型サイバー攻撃の手 法が拡大している傾向について繰り返し報じてまいりました。その傾向がこのように顕著に示されたのは今四 半期が初めてと言えます。 より広い範囲を狙うサイバー犯罪の分野では、攻撃拡散の手口として脆弱性の利用が、世界的に顕著です。 脆弱性を攻撃するためのツールであるエクスプロイトキットによる攻撃は、前四半期のおよそ 1.7 倍に増加し ています。攻撃者は自身にとって重要な攻撃手段となったエクスプロイトキットの強化に余念がなく、新たな 脆弱性を次々と攻撃対象にしています。この第 2 四半期に確認された主な Adobe Flash Player の脆弱性 は発覚から 8 日間以内に攻撃コードがエクスプロイトキットに収録されています。 実際にサイバー犯罪で使用される不正プログラム、特にオンライン銀行詐欺ツールとランサムウェアに関して は、世界的に検出台数の増加がひと段落を迎えており、特に日本を狙うオンライン銀行詐欺ツールの検出台 数は前四半期比 48% 減となりました。しかし、これを以て脅威が収束に向かっているとは言い切れません。 ランサムウェアに関しては、より悪質な暗号化型ランサムウェアが検出台数全体の 72% を占め、世界的に増 加を示しています。特に日本では、暗号化型ランサムウェアによるネットワーク共有上のファイル暗号化によ り法人で被害が深刻化しています。また、オンラインで認証情報を詐取するフィッシング詐欺に関し、特に日 本では銀行を中心とした金融、信販系を狙うフィッシング詐欺が急増しました。金融系フィッシングサイトへの アクセス者数は前四半期比 4.5 倍となっており、国内のネットバンキングを狙うサイバー犯罪者の狙いはフィッ シング詐欺に集まったと言えそうです。 日本セキュリティラウンドアップ 標的型メールによる「気づけない攻撃」が多数発覚 はじめに 日本セキュリティラウンドアップは、2015 年第 2 四半期 (4 月∼ 6 月) の日本における脅威動向をまとめたレポー トです。 2015 年 6 月の日本年金機構での大規模情報漏えい事件発覚以降、 「気づけない攻撃」の被害が一 気に顕在化しました。 6 月以降発覚した 15 件の事例のうち、9 割以上において外部からの指摘により初めて 攻撃が発覚しており、 攻撃を受けた組織自身では攻撃を受けていたこと自体に気づけていませんでした。また、 全体の 8 割で標的型メールが攻撃の発端であったことも確認されています。トレンドマイクロではこれまで標 的型サイバー攻撃で行われる攻撃隠蔽の手法について報告しておりますが、2015 年に確認した標的型メール のうち、8 割近くは送信者を実在の組織からのものに偽装するなど、受信者を騙す巧妙な手法がわかってい ます。 このような気づけない隠ぺいを中心とした標的型サイバー攻撃の手法が、組織の持つ個人情報を狙う攻撃に 拡大している傾向は、2014 年を通じて垣間見られていました。トレンドマイクロでネットワークの監視を行っ た組織のうち、 「気づけない攻撃」で使用される遠隔操作ツールの外部への通信が発見された事例の割合は 2014 年も 2015 年もおよそ 4 件に 1 件と変わっていません。この第 2 四半期に表面化した事例は、大きな 被害事例の発覚をきっかけにこれまで気づけていなかった攻撃が表面化しただけ、とも言えるでしょう。 また、広く一般を狙うサイバー犯罪の分野では、ランサムウェアの被害が日本国内でも法人に拡大しています。 トレンドマイクロサポートセンターが受けた法人からのランサムウェア感染被害報告件数は、2015 年第 2 四 半期の 3 か月間だけで、昨年 1 年間の 5.7 倍となっています。この法人からの報告数増加の背景には、被害 内容の深刻化があります。報告の約半数でネットワーク共有上のファイルが暗号化された被害を確認しており、 感染 PC 内のみに留まらないランサムウェアの活動が法人利用者に看過できない深刻な被害を起こしていると 言えます。 3億 不正サイト 脅威の全体像として、トレンドマイクロのクラウド型セキュリ スパムメール ティ技術基盤である SPN(Smart Protection Network)1 で集計した、2015 年第 2 四半期における日本での総脅威 ブロック数は、およそ 2 億 4 千万件となり前四半期比 34% 1億400万 2億 減です。これは 1 時間におよそ 11 万件の脅威から利用者を 保護している計算になります。 2015 年第 2 四半期、日本国内での脅威ブロック数と 5千300万 1億 その内訳 註:本稿に掲載されるデータ等の数値は、特に明記されてい ない場合、 トレンドマイクロのクラウド型セキュリティ基盤 による統 「Trend Micro Smart Protection Network」 計データが出典となります。 1 http://www.trendmicro.co.jp/jp/why-trendmicro/spn/index.html 8千200万 0 2015年第2四半期 不正プログラム TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ 標的型メールによる「気づけない攻撃」が多数発覚 2015 年第 2 四半期に国内で明らかになった最も大きなセキュリティ事故と言えば、日本年金機構からの個人情報漏えい 事例 2 でしょう。この事例をきっかけに、これまで表面化してこなかった組織の持つ情報を狙う攻撃が一気に顕在化しました。 6 月以降確認された情報漏えい被害が断定 / 推測されたサイバー攻撃事例は 15 件に上ります。これは 2014 年 1 年間で公 表された同様のサイバー攻撃事例 5 件の 3 倍となる数字です。 2015 年第 2 四半期に公表された主な情報窃取サイバー攻撃事例とその内容(トレンドマイクロが独自に整理) 6月 発覚/公表 6月1日 101万件の個人情報 年金事業 外部からの指摘 6月9日 業界団体 6月10日 5 商工会議所 6月13日 医療保険事業 6月16日 地方自治体 10 6月16日 海外協力事業 6月17日 医療保険事業 6月17日 15 施設管理事業 6月17日 公共施設 6月17日 海外協力事業 20 6月19日 医療機関 6月19日 宿泊施設 6月19日 25 医療機関 6月22日 教育機関 6月25日 官公庁 7月 2 http://blog.trendmicro.co.jp/archives/11682 5 | 日本セキュリティラウンドアップ 発覚原因 侵入経路 標的型メール 2万7千件の個人情報 外部からの指摘 標的型メール 1万2139件の個人情報 外部からの指摘 標的型メール 情報流出被害不明 外部からの指摘 不明 情報流出被害不明 外部からの指摘 標的型メール 情報流出被害不明 外部からの指摘 標的型メール 個人情報 (規模不明) 外部からの指摘 不明 情報流出被害不明 外部からの指摘 標的型メール 情報流出被害不明 外部からの指摘 標的型メール 個人情報 (規模不明) 不明 標的型メール 最大250件の個人情報 外部からの指摘 標的型メール 個人情報 (規模不明) 外部からの指摘 標的型メール 情報流出被害不明 外部からの指摘 標的型メール 3308件の個人情報 外部からの指摘 標的型メール 情報流出被害不明 外部からの指摘 不明 TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ この 2015 年第 2 四半期に確認されたサイバー攻撃事例 15 件の特徴として、以下の 3 つのポイントが上げられます。 : 15 件中 14 件で外部からの指摘や指示により調査を行った結果、被害が発覚したと公表しており、 1.「気づけない攻撃」 被害組織自身ではそもそも攻撃に遭ったこと自体に気づけなかった。 :15 件中 12 件で侵入経路は標的型メールであると公表されている 2. 侵入方法は「標的型メール」 :15 件中 8 件で流出した情報が特定されており、そのすべてで個人情報の被害が公表されて 3. 主な被害は「個人情報」 いる これらの特徴からは、これまで限られた対象にのみ行われていると考えられてきた「標的型サイバー攻撃」の攻撃手法が、 組織が持つ個人情報を狙う攻撃において、これまでよりも広い範囲に行われている実態が垣間見えます。標的型サイバー攻 撃の攻撃手法とはつまり、標的型メールなどの巧妙な攻撃手法により組織内部に侵入した RAT3 がインターネット上の C&C サーバ 4 と通信を行い、外部からの遠隔操作を可能にし、最終的に目的とする情報を窃取していく攻撃です。 また、 これらの確認された事例のほぼすべてで「外部からの指摘」が被害発覚のきっかけとなっています。特に組織ネットワー ク外への不審な通信の発生を指摘されている事例が 14 件であり、全体の 9 割以上となっています。これは不正プログラム の検出など、既存のセキュリティ対策だけで攻撃の発生に気づくことは困難であることを示していると言えます。 これらの 6 月以降に発覚した「気づけない攻撃」の事例に関連する RAT の 1 つとして、 「EMDIVI」ファミリーの使用が推 定されています。 昨年 4 月に登場した EMDIVI の検出数は、月に最大でも 10 件となっています。これは数百、数千という 単位で検出される、広く一般を狙った攻撃と比較すると、非常に少ない数字と言えます。しかしこの検出数は、限定された 範囲でのみ行われ、表面化しにくい標的型サイバー攻撃の特徴を示しています。標的に特化して使用される RAT はその形 を毎回変化させるため、従来型のウイルス検出対策だけでは気づけない攻撃となっており、そもそも多くの検出が確認され るものではありません。 日本国内での EMDIVI 検出数推移 10 10件 9 8 8件 6件 4 4件 3 2 2件 1 0 4月 5月 2014年 6月 7月 8月 9月 10月 11月 12月 1月 2月 2015年 3月 4月 5月 6月 3 RAT:攻撃者が外部からの遠隔操作を実現するために使用するツールの総称。 Ramote Access Trojan(もしくは Tool)、遠隔操作ツール 4 C&C サーバ:攻撃者が RAT に遠隔操作の指令を送るために使用するサーバ。 C2 サーバ 6 | 日本セキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ その少ない検出の中でも 2014 年 10 月以降、2015 年 2 月以降、2015 年 6 月に検出が集中していることが見て取れます。 この検出が集中している時期には「医療費通知」メールに代表される EMDIVI の侵入を狙った標的型メール攻撃の発生が 確認 5 されています。このことからも、EMDIVI を使った標的型メールは、ある程度広い対象に攻撃を行っているものと言え ます。 2014 年 10 月以降に確認されている標的型メール「医療費通知」の例 6 月に集中して表面化した情報漏えい事例には、数か月前から侵入を受けていたことを報じられている事例もあることを合わ せて考えると、 「気づけない攻撃」がこれまで認識されてきたよりも広い範囲に対し行われていること、また、標的型メール による侵入自体に気づけていないケースがまだあり得ることを示していると言えます。 5 http://blog.trendmicro.co.jp/archives/10251 7 | 日本セキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ 2015 年第 2 四半期に明らかになった「気づけない攻撃」の傾向は、昨年 2014 年を通じて見られてきましたが、ここまで多く の事例を通じて顕著になったことは、 これまで例がありません。ただし、 トレンドマイクロが行ったネットワーク監視対応においても、 RAT による不審な通信が確認された事例は、2014 年 6 でも 2015 年に入っても、およそ 4 件に 1 件と大きな変化はなく、単に これまで気づけていなかった攻撃が、大きな被害事例の発覚により表面化しやすくなったものと言えます。 また、これらの「気づけない攻撃」の発端として確認されている標的型メールですが、トレンドマイクロで特に調査を行った標的 型メールのうち、8 割以上で受信者とその業務内容を特定したと判定できる具体的な件名と本文が使用されていました。このよ うな受信者を特定したメール内容は、広く一般を狙うスパム型の攻撃メールとは大きく異なっており、利用者が簡単に気づける 攻撃ではないことを示しています。 これらの「気づけない攻撃」における攻撃者の最終的な狙いまでは断定できませんが、被害の内容は主に組織の持つ個人情報 に集中しています。顧客や職員の個人情報はどのような法人組織でも必ず持っています。また、今後のマイナンバー制の施行 により、組織の持つ個人情報の重要性はこれまでよりも高まっていきます。これらを考え合わせると、 「気づけない攻撃」への対 策は、すべての法人組織において自分事として捉え、取り組んでいくべき課題になったものと言えます。 今後の組織でのセキュリティ対策は、このような「気づけない攻撃」に対処していくために、侵入を前提としてネットワーク内外 への通信監視を行うことが必要になっていくでしょう。従来型の入口での防御は大前提として、それだけでは「気づけない攻撃」 の侵入をいち早く可視化し、迅速な対応を行うことが最終的な被害を防ぐ手法と言えます。また、対策の前提として自組織が持 つ情報資産を棚卸し、守るべき情報の優先度を決定すること、また、侵入が発覚した場合どのような対応を行うべきかといった 事前準備が重要です。 6 6「国内標的型サイバー攻撃分析レポート・2015 年版」 http://www.go-tm.jp/apt2015 8 | 日本セキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ 法人でのランサムウェア被害が深刻化傾向、今後の本格流入を懸念 前回のレポート「2015 年第 1 四半期セキュリティラウンドアップ」7 では、海外を中心にランサムウェアの被害が法人へ拡大 していることをお伝えしました。この傾向は 2015 年第 2 四半期に入り、日本でも顕著になっています。 2015 年第 2 四半 期に、法人からの調査依頼により入手した検体におけるランサムウェアの数は前年同期比 4.2 倍となっており、法人での被 害が増加し続けていることがわかります。 法人からの調査検体におけるランサムウェアの数推移 40件 38 30件 29 20件 13 10件 15 9 4 0 第1四半期 第2四半期 2014年 第3四半期 第4四半期 第1四半期 第2四半期 2015年 また、同様にトレンドマイクロのサポートセンターに入った日本国内の法人ユーザからの問い合わせにおいて、ランサムウェ アの感染被害を訴える報告は、過去 1 年間にわたり 3 か月に 1 件のみだったものが、この第 2 四半期だけで 17 件と急増し ています。これは 2014 年 1 年間の報告数の 5.7 倍 となっており、 ランサムウェアの被害が深刻化し、無視できないものとなっ ていることを示しています。 法人利用者からの問い合わせにおけるランサムウェア感染被害報告数推移 20件 17 15件 10件 5件 1 0 0 第1四半期 2014年 第2四半期 7 http://www.go-tm.jp/sr2015q1 9 | 日本セキュリティラウンドアップ 1 1 1 第3四半期 第4四半期 第1四半期 第2四半期 2015年 TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ この報告急増の背景には、 「Crypto ランサムウェア」と呼ばれる「暗号化型ランサムウェア」による、 ネットワーク共有上のファ イルを暗号化する活動が、法人での被害を深刻化させていることがあります。これまでは感染 PC 内に留まっていたファイ ル暗号化の被害が、ネットワーク上のサーバや PC 内のファイルにまで及ぶことで問題が大規模化しやすくなり、問題解決の ための問い合わせに繋がっているものです。実際、2015 年第 2 四半期に受けたランサムウェア感染被害報告 14 件のうち、 8 件でネットワーク共有上のファイル暗号化被害を確認しています。 また、日本を狙うランサムウェアという観点では、表示するメッセージの日本語対応が進んだ事例を 4 月に確認 8 しています。 4 月中旬に確認された暗号化型ランサムウェア の一種である「TROJ_CRYPWALL.XXQQ」は、感染環境の言語設定が日 本語だった場合、日本語の身代金要求メッセージを表示させます。 「TROJ_CRYPWALL.XXQQ」の表示する日本語の金銭要求メッセージ 8 http://blog.trendmicro.co.jp/archives/11378 10 | 日本セキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ ランサムウェアの被害が徐々に日本の法人利用者へ広がっています。ランサムウェアの流入経路としては、改ざんサイトや不正 広告を利用して、脆弱性攻撃ツールであるエクスプロイトキットを設置した不正サイトへ、インターネット利用者を誘導する攻撃 が確認されています。トレンドマイクロでは日本国内からエクスプロイトキット設置サイトへのアクセスを 2015 年第 2 四半期だ けでおよそ 200 万回確認しており、これはトレンドマイクロが確認したエクスプロイトキット設置サイトへのアクセス数のおよそ 半分にあたります。 また、ランサムウェアの作成ツールは、 「Tor」などの匿名化ネットワーク内のアンダーグラウンドサイトなどで流通しており、特 にツール作成者と攻撃者で利益を分割するような「アフィリエイトプログラム」の存在も確認されています。これらの事実は、 ある程度の知識さえあれば誰でもランサムウェアによる金銭要求を目的とした攻撃を始められることを示しています。実際、昨 年 12 月以降、国内の 17 歳の少年がランサムウェア作成ツールを使用して日本語対応のランサムウェアを限定的な範囲内に頒布 していた事例 9 も明らかになっています。 今後、日本語対応したランサムウェアによる日本を標的とした攻撃が本格的に発生した場合、より広い範囲の利用者が深刻な被 害を受けることが予想されます。これらの攻撃被害を防ぐためには、脆弱性の悪用が中心的な攻撃手法となっているため、脆弱 性対策がもっとも重要かつ効果的であると言えます。また、特に法人利用者においては、サーバ上のデータを定期的にバックアッ プする対応も被害を最小限に留める対策として、これまで以上に重要になるでしょう。 9 ランサムウェア「TorrentLocker」の販売サイト例 9 http://www.sankei.com/affairs/news/150701/afr1507010014-n1.html 11 | 日本セキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ ネットバンキングを狙うフィッシング詐欺が拡大 昨年から被害の急増が確認されてきた日本を狙うフィッシング詐欺ですが、2015 年第 2 四半期には前四半期比 44% 減と なりました。昨年から続いてきた増加傾向は一段落を迎えたと言えますが、前年同期比ではおよそ 3.2 倍となっており、全 体としては未だ高止まり状態と言えます。 日本におけるフィッシングサイトのアクセスブロック数推移 80万件 75万 76万7千 61万2千 60万件 42万8千 40万件 20万件 0 13万5千 第2四半期 2014年 第3四半期 第4四半期 第1四半期 第2四半期 2015年 このフィッシング詐欺全体の高止まり状態の中、2015 年第 1 四半期にはいったん下火になっていたネットバンキングの認証 情報を狙うフィッシング詐欺攻撃が復活しています。標的となったブランドやサービスが特定できたおよそ 4 万件のフィッシ ング詐欺サイトへの誘導例のうち、約 1/4 が金融・信販、特にネットバンキングの認証情報を狙うものでした。銀行のフィッ シング詐欺サイトへの誘導は、実数でもおよそ 2100 件から 9300 件と前四半期比で 4.4 倍になっており、全体の誘導数 が減少する中、唯一急増が確認されました。 日本から誘導されたフィッシング詐欺の種別割合 12 | 日本セキュリティラウンドアップ ネットショッピング 29% 金融・信販 24% Apple関連 17% 検索エンジン・ポータル 13% オンラインゲーム 11% ソーシャルメディア 6% TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ また、新たな攻撃手法として、モバイルの SMS(テキストメッセージ )を使用したフィッシングメール拡散(スミッシング) も確認 10 されており、攻撃者の狙いが銀行関連のフィッシング詐欺に向かっていることは明らかです。フィッシング対策協議 会が 4 月以降に公開した緊急情報 11 でも、8 件すべてが金融・信販関連、うち 7 件が銀行関連となっており、上記の傾向を 裏付けています。 SMS を利用したフィッシングメール例 サイバー犯罪としてフィッシング詐欺が登場した時から、銀行や信販会社の認証情報は直接金銭に繋がる情報として、中心的に 狙われてきました。その意味ではこの第 2 四半期の傾向は単に元の姿に戻っただけと言えるかもしれません。フィッシング詐欺 のように常套化した攻撃手法は全体数の増減を繰り返しながらも、攻撃自体は継続していきます。また、銀行を狙うフィッシング 詐欺の急増を国内のオンラインバンキングを狙う攻撃全体として考えた場合、これまで猛威を奮ってきた日本を攻撃対象とした オンライン銀行詐欺ツールの検出数が 2015 年第 1 四半期の 8300 件から 4300 件と 48% 減になっているのは興味深いとこ ろです。サイバー犯罪者は、金銭的利益を最終目的とし、インターネット上の様々な金銭に繋がる情報を狙い続けており、彼ら の思惑は実際のセキュリティインシデントとして表面化します。金銭を狙う攻撃者は1つの攻撃手法が停滞しても別の攻撃手法に より目的を達成しようとします。このような常套化した攻撃手法の変化を注視することも、今後の対策を考える上で重要です。 10 http://blog.trendmicro.co.jp/archives/11599 11 https://www.antiphishing.jp/news/alert/ 13 | 日本セキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ モバイルにも矛先を向けるネット詐欺 トレンドマイクロではこの 2015 年第 2 四半期に、日本を狙うネット詐欺が特にモバイル利用者を標的にしていることを示す 事例を複数確認しています。 その一つである、 6 月中に確認した「当選詐欺」メッセージの事例 12 では、 Facebook 上での投稿や LINE メッセージなどからネット詐欺サイトへの Facebook から当選詐欺サイトへ誘導する ための Facebook 上での投稿例 誘導が行われます。 この当選詐欺への誘導の際には、アクセス元の環境を判定しモバイル環 境かどうかによって、また使用 OS によっても表示するメッセージを使い 分ける仕組みがあったことを確認しています。これらの攻撃では、最初 に誘導した URL から中継サイトを複数回経て、詐欺サイト本体が表示さ れます。その中継サイトの中にデバイスを判定するスクリプトにより詐欺 サイトの表示を変更していることを確認しています。このような仕組みの 存在は、攻撃者が明確にモバイル環境を攻撃対象とし、それぞれの環境 に特化した攻撃を指向していることを示しています。 ネット詐欺サイトへの転送途中で使用されていたデバイスを判定するためのスクリプト例 12 http://blog.trendmicro.co.jp/archives/11932 14 | 日本セキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ iOS からアクセスした場合の表示例:当選詐欺サイトへの誘導メッセージ Android からアクセスした場合の表示例:偽のウイルス警告メッセージ 15 | 日本セキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ 同様の事例として、5 月末から確認されているワンクリッ 同時にこのワンクリック詐欺サイトでは iOS 端末の場合、 ク詐欺サイトでは、アクセス元環境の判定により、これ ワンクリウェアの感染がなかったとしても、Safari ブラウ までも確認されている Android に加え、iPhone などの ザのキャッシュをクリアしない限りワンクリック詐欺サイト iOS 端末に対してもワンクリックウェア(ワンクリウェア) の表示を消すことができないなど、より悪質な手法が確 の配布を行っていた事が初めて確認されています。この 認されています。 事例では、iOS 用正規アプリマーケットである AppStore を経由せずに不正アプリをインストールさせるために、プ ロビジョニングプロファイルの仕組み 13 が悪用されていま した。 iOS でプロビジョニングプロファイルの悪 用しワンクリウェアをインストールさせる 時に表示されるメッセージ例 13 http://www.apple.com/jp/iphone/business/docs/iOS_8.3_Security_Guide_J.pdf 16 | 日本セキュリティラウンドアップ iOS で Safari ブラウザキャッシュのクリア を行わなければ消えないワンクリック詐欺 サイトの表示例 TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ また、ネットバンキングの認証情報を狙うフィッシング詐欺の攻撃がモバイル利用者を対象に拡大していることを示す事例と して、SMS を利用したフィッシング詐欺サイトへの誘導が 5 月中旬より確認 14 されています。 SMS は携帯電話、スマート フォンなどで使用されているメッセージ形式であり、明確にモバイル利用者を標的にしたものと断定できます。この事例で も誘導先のフィッシング詐欺サイトではアクセス元の環境を判定し、PC 環境とモバイルデバイスで表示を変更するスクリプ トの存在を確認しています。 SMS から誘導されるフィッシング詐欺サイト上で使用されていたデバイスを判定するためのスクリプト例 15 オンライン上の表示で利用者を騙すネット詐欺は OS やデバイスなどのプラットホームを問わない脅威であり、これまでもモバイ ル利用者への攻撃拡大が指摘されてきました。しかし、アクセス元環境の確認によりモバイル環境を判定する、モバイル環境に 特化したメッセージ方法である SMS を利用するなど、モバイル環境を狙う確実な証拠を示す攻撃が、これだけ短期間に集中し て国内で確認されたのは初めてと言えます。トレンドマイクロが 6 月末に行った調査では、アクセス元環境を確認するためのス クリプトを含む不審な中継サイトと見られるサイトをおよそ 300 サイト確認しており、このようなモバイル利用者を狙う攻撃は今 後も継続していきそうです。 また、これまで不正アプリの脅威をあまり意識する必要がないと思われていた iOS 利用者においても、不正アプリに遭遇する危 険性が拡大しています。トレンドマイクロでは昨年 11 月以降、プロビジョニングプロファイルの悪用により AppStore を迂回した 不正アプリ頒布が行われる危険性をお伝えしてきました 15。今回 iOS 端末に対する AppStore を経由しないワンクリウェア配布 が継続していることを確認しており、もはや iOS でも不正アプリの危険性を無視できない状況になってきていると言えます。プ ロビジョニングプロファイルの悪用による不正アプリインストール時には必ず確認メッセージが表示されます。 AppStore 利用時 以外でのインストール表示は承認しないように注意すべきです。 14 http://blog.trendmicro.co.jp/archives/11599 15 http://blog.trendmicro.co.jp/archives/10497 http://blog.trendmicro.co.jp/archives/10258 17 | 日本セキュリティラウンドアップ グローバルセキュリティラウンドアップ 人々の生活に悪影響を与えるサイバー攻撃 はじめに 民間航空会社への攻撃、家庭用ルータの乗っ取り、テレビ放送の中断――これらはフィクションではなく、現 実の事例です。 2015 年第 2 四半期に発生したこれらのセキュリティインシデントは、既存の技術への侵入や 悪用のため、攻撃がより巧妙な手口を駆使し始めた事実を浮き彫りにしました。同様の攻撃は過去にも確認 されていますが、今回の事故による被害はこれまで以上に深刻なものです。サイバー犯罪者にとってデータ や金銭の窃取が主な活動である中、攻撃者は、大きな利益を得るため、大手企業や組織を標的にしてきました。 そして一般の人々が使うあらゆるテクノロジーがインターネット接続を前提として開発される中、こうした傾向 は、ますます顕著になってきたと言えます。 攻撃者は、新たな手口を駆使し、日常に浸透してセキュリティが見過ごされがちな技術を標的にし始めてい ます。ルータを操作する手法により、ユーザのプライバシーが危険にさらされています。 POS マルウェアも 巧妙さを増し、より多くの企業が利益損失の危険にさらされています。脆弱性を悪用可能なアプリケーション の追及も続いています。例えば、交通機関のセキュリティに関する調査では、攻撃者によるハッキング行為は、 恒常的かつ物理的な被害を伴う傾向を示しています。航空会社へのハッキングが成功すれば、 「空の上」でも 深刻な脅威にさらされます。さらに今後、日常生活に浸透した各種スマートデバイスやスマート自動車が標的 にされた場合、より深刻な被害が懸念されます。 もちろんこの傾向は、 「サイバー犯罪者が従来の活動を放棄した」という意味ではありません。従来型不正プ ログラムの活用はいまだ健在であり、事実、世界中の地域で頻繁に確認されています。また、不正プログラ ムを活用するための基本的なコンポーネントやツールは、今やどこでも入手可能となり簡単に利用できること から、 「新米のサイバー犯罪者が自分たちの不正活動に活用する」という事態も引き起こしています。 法執行機関も決して手を拱いているわけではありません。「Silk Road」事例の主犯とされる Ross Ulbrict 容疑者への告訴はその一例ですが、取り組むべき課題は山積しています。テクノロジーの進歩が続く中、セ キュリティ対策の課題も新たな局面を迎えています。これらのテクノロジーのほとんどが一般の人が普通に利 用可能なものであることを考えると、セキュリティ対策の影響は、ユーザにとってますます身近なものとなっ てきています。 註:本稿に掲載されるデータ等の数値は、特に明記されていない場合、トレンドマイクロのクラウド型セキュ リティ基盤「Trend Micro Smart Protection Network」が出典となります。 TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ 人々の生活に悪影響を与えるサイバー攻撃 「家庭用ルータのハッキング」 、 「主要テレビ局への大規模なハクティビズム攻撃」 、さらには「民間航空機への攻撃」 ――第2四半期に発生したこれらの事例から「人々の生活に悪影響を与えるサイバー攻撃の脅威」という局面が浮き 彫りにされました。 2015 年 5 月、航空機のセキュリティ研究者、Chris Roberts 容疑者による機内エンターテイメントシステムへのハッキング 事例が大きな話題となりました。米国連邦捜査局(FBI)によると、Roberts 容疑者のハッキングにより「飛行中にエンジ ンの片側 1 つが急上昇し、側面飛行や水平移動が発生した」と報じています。 1 2 Roberts 容疑者は、航空機のセキュリティ 上の脆弱性に関して無断でツイートしたことで、同年 4 月にユナイテッド航空のフライトから強制退去させられていました。 こうした事実から、今回の機内ネットワークへのアクセスやハッキング行為について同容疑者の関与が調査されています。 3 その他、同年 6 月には、LOT ポーランド航空のネットワークへの攻撃も報じられました。この攻撃では、同社の航空機十数 機が数時間の地上待機を余儀なくされ、1400 人以上の乗客が影響を受けました。 4 トレンドマイクロの調査でも、それなりのツールや技能を用いれば自動運転システムのセキュリティ侵害が簡単に実行可 能であることを確認しています。 2014 年第 4 四半期、船舶等を自動識別する装置「自動船舶識別装置(Automatic Identification System、AIS)」に存在する問題点を指摘した弊社の報告でも、攻撃者がいかにして航路を改ざんし、パニッ クや惨事を引き起こすことが可能かを検証しました。いわゆるスマート自動車に関する弊社の調査でも、自家用車などの個 人用移動手段への攻撃が可能であることも確認しています。 2015 年第 2 四半期、弊社では、家庭用ルータを標的にした攻撃も確認しました。「Domain Name System(DNS)」を利 用した攻撃は新しい手口ではありませんが、 「DNS 設定の変更を行なうトロイの木馬型不正プログラム(DNS チェンジャー) 」 を利用した攻撃が、今回は家庭用ルータを標的にして再登場しました。サイバー犯罪者は、ルータを経由する端末から情報 を盗むことを目的に、ルータの悪用を目論んでいました。 5 この攻撃で利用される不正プログラム(DNS チェンジャー)は、ルータに感染して DNS 設定を改ざんします。これにより、 サイバー犯罪者は、ユーザを不正な Web サイトへ誘導するなどの不正活動を実行できます。誘導先の不正サイトは、フィッ シングサイトや、不正プログラム拡散のために作成された偽サイトなどです。 実際、弊社では、DNS チェンジャーの検出数増加を特にブラジルにおいて確認しました。 6 これらの DNS チェンジャーは、 DNS 設定を変更することでルータの操作権限を取得しようとしていました。 1 2 3 4 5 6 http://edition.cnn.com/2015/05/17/us/fbi-hacker-flight-computer-systems/ http://blog.trendmicro.com/trendlabs-security-intelligence/mile-high-hacking-should-you-worry http://www.wired.com/2015/05/feds-say-banned-researcher-commandeered-plane/ http://www.bbc.com/news/world-europe-33219276 http://blog.trendmicro.co.jp/archives/11502 http://blog.trendmicro.co.jp/archives/11564 19 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ DNS チェンジャー検出数の割合(2015 年第 1 四半期および第 2 四半期) 第1四半期 第2四半期 第1 四半期 第2 四半期 ブラジル 14% 81% 米国 17% 2% スペイン 29% 1% その他 40% 16% 2015年第2四半期、全世界におけるDNSチェンジャー検出数が占めるブラジルの割合は81%に達しており、第1四半期の14%か ら急増しています。 ルータ関連の攻撃増加には注意が必要です。家庭用ルータは、家庭内ネットワークで重要な役割を果たしているからです。 家庭内のインターネット利用機器が全て家庭用ルータに接続されるため、ルータ自体が格好の標的になります。脆弱性が存 在するルータを掌握することで、攻撃者は、そこに接続されるあらゆる機器やそこを流れる情報の監視が可能になります。 弊社では過去にも、DNS チェンジャーによる検索結果の改ざんやルータ設定の変更などによる不正 Web ページへの誘導事 例を確認しています。感染したルータに接続された端末の数が多いほど、こうした被害のリスクも高くなります。 いわゆる「水面下での実行」という従来型サイバー犯罪者活動や攻撃と異なり、2015 年第 2 四半期に確認されたハッキン グ事例は、より明白に「白日の下にさらされる」傾向を示しています。フランスのテレビ局「TV5MONDE」が見舞われた 被害がその一例で、ほぼ 4 時間に渡って放送が妨害され、社内ネットワークも閉鎖に追い込まれました。 7 むろん、同社の 関連サイトやソーシャルメディアアカウントにも被害が及びました。 他のあらゆるシステムと同様、航空会社のシステムにも脆弱性は存在します。人の手によるシステムで 100% エラーが無いとい うことは有り得ないでしょう。こうしたシステムの事業者に対しては、安易なセキュリティ対策に満足せず、既存システムの安全 性を証明し、 潜在的な脆弱性への対策も怠らない体制が必要です。これが実現できるかは、一重に政府や監視機関の責任にかかっ ていると言えるでしょう。設置済みシステムのセキュリティ対策が万全であるかどうかは、専門家以外は誰も分からないわけです から。 —Martin Rösler Senior Director, Threat Research 7 http://blog.trendmicro.com/the-tv5monde-attack-four-hours-that-changed-the-world/ 20 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ より確実な強奪手段に出る POS マルウェアとランサムウェア 2015 年第 2 四半期、弊社では、単独犯のサイバー犯罪者が「FighterPOS」などの不正プログラムを駆使して破壊 活動を展開する状況を確認しました。ブラジルを拠点にする「Lordfenix」と名乗るサイバー犯罪者もその 1 人です。 カナダからは、 「Frapstar」と名乗る単独犯のサイバー犯罪者が、自身で収集した情報を売りさばくなどして金儲けし ていました。 サイバー犯罪者は、既存の不正プログラムのコードを更新して活動していますが、第 2 四半期も例外ではありませんでした。 既存の不正プログラム変更による利用が、攻撃行使に際して最も手っ取り早い方法だからです。そして基本的なツールやノ ウハウを備えた人物であれば誰でも、単独犯であっても、攻撃を成功させることが可能です。 キー操作情報を盗むキーロガー「HawkEye」による攻撃 2 件も、そうした単独犯の事例でした。いずれも、ごく平凡な不 正プログラムを活用して標的の業務取引を乗っ取り、中小・中堅企業から情報を窃取しました。 8 これらの攻撃では、既存 の不正プログラム、ツールキット、技術等を再利用し、インド、エジプト、イラン、パキスタン、台湾、米国、その他の国々 の中小・中堅企業を標的にしていました。 HawkEye の被害が確認された国々(2015 年第 2 四半期) インド 16% エジプト 11% イラン 11% パキスタン 7% 台湾 7% 米国 7% 香港 5% ロシア 5% フランス 2% ドイツ 2% その他 27% 8 http://blog.trendmicro.com/trendlabs-security-intelligence/change-of-supplier-fraud-how-cybercriminals-earned-millions-using-a-35-malware/ 21 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ HawkEye の被害が確認された業界(2015 年第 2 四半期) 産業機械 18% 運送 16% 製造 8% 医療機器 6% 鉱山 6% 建設 4% 重機 4% ホテル 4% 広告・宣伝 2% 建築 2% その他 30% 「HawkEye」 の被害は、中小・中堅企業を中心にさまざまな業界に及んでいます。 シンプルなキーロガーなど、従来型の不正プログラムは、目的のターゲットに応じて絶えず変更が施されています。一方、 拡散の手口は、実行犯が拠点とする地域に直接関係しています。 カナダを拠点とする単独犯 Frapstar は、自身が収集した情報を売りさばくことで荒稼ぎをしていました。 9 同じく自身で作 成したオンライン銀行詐欺ツールを売りさばいて金儲けをしている Lordfenix は、ブラジル在住の若干 20 歳の大学生 です。 10 弊社の調査でも、この Lordfenix は、2013 年 4 月以降、100 以上ものオンライン銀行詐欺ツールを作成し、1 つあたり約 1000 レアル(約 3 万 5 千円)で売りさばいていたことが判明しています。一方、Frapstar は、個人情報の売 買で知られるサイバー犯罪者・ハッカー向けフォーラムに活発に出入りしていました。 2015 年 4 月には、「FighterPOS」という POS マルウェアが登場しました。こちらも、単独のサイバー犯罪者によるもの で、ブラジルを中心に(全体の 96%)さまざまな国々の POS 端末 100 以上に「FighterPOS」を感染させ、2 万 2000 に及ぶクレジットカード番号を窃取しました。 11「FighterPOS」にいる背後の単独犯は、 クレジットカードや支払い関連の詐欺、 不正プログラムの作成等に長く携わっていた人物のようです。 2015 年 6 月には、新たに確認された POS マルウェア「MalumPoS」が、米国を中心に 33 万に及ぶ飲食店や小売店をユー ザにもつ Oracle 社「MICROS」の POS システムを標的にしていることが判明しました。 多くの POS マルウェアの亜種が今後も登場してくる中、そのソースコードがサイバー犯罪者たちに悪用されるのも時間の問 題といえます。 9 http://blog.trendmicro.co.jp/archives/11529 10 http://blog.trendmicro.co.jp/archives/11820 11 http://blog.trendmicro.co.jp/archives/11301 22 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ 確認されたサイバー犯罪活動や実行犯(2015 年第 2 四半期) サイバー犯罪活動・実行犯 影響を受けた国 HawkEye インド、エジプト、イラン、パキスタン、台湾、米国、香港、ロシア、フランス、ド イツ Lordfenix ブラジル Frapstar 米国、カナダ ( 註 ) 10 代の中国人開発者 モバイル向けランサムウェア 中国 TorrentLocker オーストラリア、スペイン、ドイツ、フランス、イギリス、トルコ、ポーランド、米国、 イタリア、台湾、ニュージーランド、オランダ CryptoWall 3.0 米国、カナダ、インド、イギリス、フランス、日本、台湾、韓国、オーストラリア 註:Frapstar は、米国やカナダ以外でも情報を売りさばいている可能性があります。 POS マルウェア検出台数(2014 年第 1 四半期∼ 2015 年第 2 四半期) 300件 259 150件 183 156 124 123 第3四半期 第4四半期 73 0 第1四半期 2014年 第2四半期 第1四半期 2015年 第2四半期 POSマルウェアは、2015年第1四半期から第2四半期にかけて若干減少しているようですが、これは、この脅威が一定の飽和点に 「最後の抵抗」 と見なすことがで 達したことに起因している可能性があります。その意味で2015年上半期の全体数増加は、いわば きるかもしれません。 23 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ ランサムウェアの検出数は、四半期ごとに減少傾向にあるように見えますが、一方でより深い調査によると、影響を受けた 国は、米国、カナダ、インド、イギリス、フランス、日本、台湾、オーストラリア、シンガポールと広がっており、 「無くなっ ていく」のではなく、地域化の傾向が見えています。 ランサムウェア検出台数の推移(2014 年第 1 四半期∼ 2015 年第 2 四半期) 2万件 1万 6千 1万件 1万 6千 1万 3千 1万 1千 9千 9千 第2四半期 第3四半期 0 第1四半期 2014年 第4四半期 第1四半期 2015年 第2四半期 ランサムウェアの検出台数は、2015年第1四半期から減少傾向を示しています。 ランサムウェアが招くリスクは、別の角度からも検討する必要があり、コンピュータへの感染能力自体は「脅威全体の一部」 ととらえるべきでしょう。その点から 2015 年 6 月、弊社では、 「CryptoWall」および「TorrentLocker」のランサムウェ アの亜種 2 つを詳しく監視してきました。 「CryptoWall 3.0」は、Crypto ランサムウェアの最新の亜種であり、スパムメールを介して拡散し、 「FAREIT」と連携して 侵入することも確認しました。 12 「CryptoWall」関連 URL のセグメントごとの割合 中小・中堅企業 66% 大企業 16% 個人ユーザ 11% 未定 7% 「CryptoWall」 の影響を受けていることが分か 2015年6月に収集したデータに基づくと、中小・中堅企業のセグメントが最も多く ります。 12 http://blog.trendmicro.co.jp/archives/11701 24 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ 「CryptoWall」の被害を受けた国:トップ 10(2015 年 6 月) 米国 79% カナダ 8% インド 2% イギリス 2% フランス 2% 日本 1% 台湾 1% 韓国 1% オーストラリア 1% ドイツ 1% その他 2% 「CryptoWall」 による被害の大多数は米国で発生しており、全体のほぼ80%を占めています。 「TorrentLocker」関連 URL へは、2015 年 6 月だけで 1 万以上のアクセス数が確認されました。 6 月 23 日および 25 日 には、アクセス数が 4000 以上に達しました。これは、それだけの数のユーザが、メール内に挿入されたリンクをクリックし たことを示し、ランサムウェアのセキュリティ対策における多層的なアプローチの重要性を示唆していると言えます。 「TorrentLocker」を拡散している URL へのユーザクリック数(2015 年 6 月) 6千件 5,964 4,630 3千件 0 1 6月 2 3 4 5 10 15 16 17 22 23 24 25 26 29 30日 2015年6月だけでも、弊社でブロックした「TorrentLocker」関連URLのユーザクリック数は1万以上に達しています。また、6月 23日および25日において関連URLへアクセスしたユーザ数が突出しているのが分かります。 25 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ 各地域で猛威を振るうランサムウェア(2015 年 6 月) 6月 日 月 火 水 木 金 土 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 米国 スペイン オーストラリア 韓国 フランス イタリア イギリス トルコ カナダ ドイツ ポーランド 上記のカレンダーから、 ランサムウェアを感染させる際、特定の国々を標的にしようとしていることが分かります。これらのランサ や 「CryptoWall」 の亜種も含まれています。 ムウェアには、 「TorrentLocker」 2015 年第 2 四半期、多数の「TorrentLocker」関連メールが、特定の国々、とりわけイギリスとトルコのユーザに送信 、 「Correo」 、 「Turkcell」など良く知られた宅 されていたようです。 13 これらのメールでは「SDA Express」や「Pozcta」 配便や電気通信会社に偽装するソーシャルエンジニアリングの手口が使用されていました。なお、これまでの亜種と異なり、 最近の活動では、不正プログラムを保存するストレージサイトも変更され、 「SendSpace」や「Mediafire」などの代わりに、 「Yandex Disk」や「Google Drive ™」が使用されているようです。 13 http://blog.trendmicro.com/trendlabs-security-intelligence/torrentlocker-surges-in-the-uk-more-social-engineering-lures-seen/ 26 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ モバイル端末を狙ったランサムウェアも中国のユーザを悩ましており、しかも、これまでとは異なったグループによる犯行の ようです。弊社によるアンダーグラウンドへの調査では、Android 向けランサムウェアは、すでに 1000 以上の亜種が存在 していることが判明しています。また、これらの亜種を詳しく調べると、いずれも、アンダーグラウンドのフォーラムで広く 共有されている同一のソースコードから作成されていることも分かりました。このコードは、16 歳から 21 歳の「新しい世代 のサイバー犯罪者」により作成されたものです。 14 彼らは、大胆不敵にも、不正コード作成と合わせてインターネット上に自 分たちの痕跡を残すことも気にしていないようです。さらには、サイバー犯罪者になりたい希望者向けにアンダーグラウンド で教育サービスまで提供していました。経験豊富なサイバー犯罪者と異なり、支払いに関しても「Alipay」や「WeChat」 や通常の銀行送金を好んでいます。これは不正活動を隠ぺいするために仮想通貨を利用するという現在の傾向とも異なって います。 現状の先には、 「同一目的の下で新旧の脅威が協働する」という事態が待ち受けているかもしれません。このため、防御する側 は、新たに登場する脅威を考慮しながらも、従来の脅威への注意を怠らず、潜在的な標的型攻撃に備えることが必要になり、脅 威へ立ち向かうための明確な戦略も必要になってきます。ホスト内のさまざまな特定事例に注意しながら、同時にネットワーク上 でのそれらの相関関係をしっかりと把握することが求められます。 —Jay Yaneza Threats Analyst 14http://blog.trendmicro.co.jp/archives/11638 27 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ 政府がセキュリティ対策を優先し、成果を上げる法執行機関 2015 年第 2 四半期、ボットネット閉鎖やサイバー犯罪者の逮捕等、法執行機関の組織的な取り組みも、目に見える かたちで成果を上げてきました。これらは、 サイバー犯罪活動を取り締まることで得られる実際的な成果を如実に物語っ ていると言えるでしょう。 法執行機関との連携です。弊社では、 「SIMDA 」や「Beebone」など、大規模なサイバー 弊社として特筆すべき進展の 1 つが、 犯罪活動で悪名高いボットネットの閉鎖に際して法執行機関へ協力しました。 トレンドマイクロ、米国連邦捜査局(FBI) 、欧州刑事警察機構(ユーロポール) 、アメリカ合衆国国土安全保障省(DHS) 、 さらに他のセキュリティベンダが、2015 年 4 月、官民のパートナーシップで協働し、長らく活動を続けてきたボットネット 「VOBFUS」の亜種として 「Beebone」の閉鎖を実現しました。 15 16 ボットネット「Beebone」関連の不正プログラムは、 検出対応しています。この不正プログラムは、自身の暗号化を駆使するポリモーフィック型の不正プログラムであり、他の 不正プログラムをダウンロードするなどの不正活動を行ないます。 17 同じく 2015 年 4 月、トレンドマイクロ、国際刑事警察機構(インターポール) 、マイクロソフト、カスペルスキー、サイバー ディフェンス研究所(CDI)の協働により、ボットネット「SIMDA」の閉鎖を実現しました。 18 ボットネット「SIMDA」は、世 界規模で活動しており、14 の国々のサーバでリダイレクトを行ない、少なくとも 62 の国々で被害が発生していると考えら れています。 19 Deep Web の深層に迫る 2015 年 2 月、米国連邦地検は、「Silk Road」の主犯とされる Ross Ulbricht 容疑者(31)を正式に告訴し、 20 数ヶ月後 の 2015 年 5 月、同容疑者に執行猶予なしの終身刑が言い渡されました。 21「Silk Road」は、最大の Dark Web 闇市場で、 ユーザのプライバシーや匿名性の確保し、不正薬物等の取引を行なっていました。 Ulbricht 容疑者への実刑判決は、「Deep Web(ディープ Web)」という神秘化されがちな領域を一連の不正活動と共に白 日の下にさらしたと言えるでしょう。これまで 2 年間に渡り、弊社の Forward-Looking Threat Research(FTR)チームは、 ディープ Web やその現実世界への影響を徹底的に調査してきました。 22 調査の結果、ディープ Web 上で販売されている 人気商品や薬物等の実態も明らかになっています。ディープ Web は、 サイバー犯罪の実行犯たちが仮想通貨「Bitcoin(ビッ トコイン) 」やマネーロンダリングサービス等を利用する場所にもなっていたようです。 Ulbricht 容疑者への実刑判決は、同様の不正活動を目論んでいる予備軍たちへの警告ともなるでしょう。この点からも引 き続き、サイバー犯罪アンダーグラウンドの大きな変化を注視していく必要があります。ただし今回明らかにされた状況は、 法執行機関にとって大きな課題を示したとも言えます。 Ulbricht 容疑者のようなサイバー犯罪者は、現在もディープ Web 内で活動しており、今後も、ディープ Web 内のネットワークへの捜査など、取り組むべき課題が山積しているからです。 15 16 17 18 19 20 21 22 http://about-threats.trendmicro.com/RelatedThreats.aspx?language=jp&name=Beebone+Botnet+Takedown%3a+Trend+Micro+Solutions https://www.europol.europa.eu/content/international-police-operation-targets-polymorphic-beebone-botnet https://www.us-cert.gov/ncas/alerts/TA15-098A http://www.interpol.int/News-and-media/News/2015/N2015-038 http://blog.trendmicro.co.jp/archives/11288 http://www.wired.com/2015/02/silk-road-ross-ulbricht-verdict/ http://www.theguardian.com/technology/2015/may/29/silk-road-ross-ulbricht-sentenced http://blog.trendmicro.com/trendlabs-security-intelligence/digging-into-the-deep-web/ 28 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ ディープ Web 内で確認された商品やサービスの価格一覧(2015 年第 2 四半期) 項目 価格 残高が少なくとも 500 米ドル残っているドイツの PayPal アカウント 250 米ドル 未検証の PayPal アカウント 100 件 100 米ドル 未検証の eBay アカウント 100 件 100 米ドル Card Verification Value(CVV2)コード付き 未検証クレジットカード 100 件 150 米ドル 欧州向けの偽造パスポート 500‒750 ユーロ 米国向け偽造パスポート 800 ユーロ 米国のクレジットカード(2000 米ドルの残高を含む) 90 米ドル 欧州のクレジットカード(5000 ユーロの残高を含む) 210 米ドル 出典: http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp_below_the_surface.pdf プライバシーとセキュリティとのバランスに挑む 2015 年第 2 四半期のボットネット閉鎖やサイバー犯罪者逮捕は、米国政府にとってセキュリティ対策が優先事項であること を示したと言えます。 2015 年 6 月、米国において新たな「USA Freedom Act(情報公開法) 」が公布されました。この 法令は、プライバシーを重視し、米国の情報・諜報機関による情報収集を制限させ、米国人が自由に通信技術を利用でき ることを目指しています。 23 一方、セキュリティの面でも大胆な施策が決定しました。米国連邦関連のあらゆる Web サイ トへ HTTPS 使用を義務付け、すべての閲覧者のセキュリティを保護する試みです。 24 むろん、この試みだけでオンライン 上の脅威を一掃することは不可能ですが、問題解決に向けた大きな一歩であることは確かです。 同じく 2015 年 6 月、欧州連合理事会の加盟国においても、欧州のデータ保護に関する新たな法案合意がなされました。 この合意により、欧州地域全体を統括する厳格な規制の新たな制定が期待できます。 25 サイバー犯罪関連の法整備における大きな問題の 1 つが「サイバー犯罪のスピードに法整備が追いついていない」という点 です。ほとんどの法案は、可決されるまでに 3 年から 5 年を費やします。しかも、最も関連性がある一般法令の制定に長 い時間が費やされます。米国では、組織的な犯罪や密売買等の検挙で成果を上げていますが、これらに行使される法令は、 サイバー関連に特化したものではなく、サイバー犯罪にもかろうじて適用しているという状態です。まず大枠でなされるべき 取り組みは、各国に共通して行使可能な法の整備です。 23 http://www.trendmicro.com/vinfo/us/security/news/online-privacy/patriot-act-revision-underway-what-does-it-mean-to-you 24 http://blog.trendmicro.co.jp/archives/11715 25 http://www.computerweekly.com/news/4500248164/EU-Data-Protection-Regulation-to-be-finalised-by-end-of-2015 29 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ インターネットはグローバル規模で展開しているため、サイバー犯罪も同じような状況になります。したがって、サーバのハッキ ング行為を取り締まる際、例えば、ドイツでもアイルランドやフランスでも同一の法律を行使して容疑者を起訴できれば、対処 が容易となり、想定されるさまざまな困難を回避できます。そしてむろん、最も重要な点は、官民のパートナーシップにおける コミュニケーションの改善です。官民のコミュニケーションが容易であれば、法執行機関とセキュリティ専門家との間における情 報共有も、効率よく行うことができます。 —Robert McArdle Senior Threat Research Manager 30 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ 国家的・政治的な被害の可能性も: 米国連邦人事管理局での大規模情報漏えい 米当局は、2015 年 6 月下旬、連邦人事管理局(OPM: US Office of Personnel Management)のシステムで発 生した大規模情報漏えいに関して調査中であることを明らかにしました。 26 OPM は、すべての州職員に関する身元 調査を実施している機関であり、今回の事例では、過去の不採用者も含め、元職員および現職員双方の 2100 万に 及ぶ個人情報が流出したと見られています。 27 今回のように人事関係の組織が標的にされるのは、新しいことではありません。実際、最初に人事部門を標的にし、そこで 収集した情報を駆使して他の部門を狙うことは、よく知られた手口です。 28 収集された情報は、量的にも極めて深刻ですが、 それ以上に広範囲な情報内容という点からも、その影響は無視できません。攻撃者は、数万件の「SF-86」 (セキュリティク リアランスに必要な各種情報が記載されている文書 )にもアクセスできたようです。この文書には、社会保障番号、配属部 門、家族構成や交友関係、その他の身元情報も含まれています。また、漏えいした情報には、連邦政府の職員や契約社員 のセキュリティ調査に関連する情報も含まれていたと報じられています。これらの情報は、さらなる情報漏えい、恐喝行為、 フィッシング詐欺等に悪用される可能性もあります。むろん、最も深刻な懸念は、収集された情報が悪用され、国家の安全 保障自体が脅かされることです。 29 米国内国歳入庁(IRS: Internal Revenue Service)も、情報漏えい被害に見舞われました。 2015 年 5 月、攻撃者は、 文書入手のための同庁オンラインサービス「Get Transcript」を悪用してデータ収集を試みたようです。この事例では、 10 万以上に及ぶ納税者記録、社会保障の関連情報、生年月日、住所等へ、攻撃者からのアクセスが可能であったようです。3031 2015 年 6 月には、日本年金機構も、情報漏えい被害に見舞われました。この事例では、不正なファイルが添付されたメー ルを職員が開封したことで被害が発生したようです。 32 26 http://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/us-opm-hack-exposes-data-of-4-million-federal-employees 27 http://www.washingtonpost.com/blogs/federal-eye/wp/2015/07/09/hack-of-security-clearance-system-affected-21-5-millionpeople-federal-authorities-say/ 28 http://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/utilizing-island-hopping-in-targeted-attacks 29 http://www.scmagazine.com/opm-repercussions-might-never-be-fully-understood-says-former-white-house-cybersecurityadvisor/article/426140/ 30 http://blog.trendmicro.com/the-irs-hack-what-it-means-and-what-it-means-for-you/ 31 http://www.irs.gov/uac/Newsroom/IRS-Statement-on-the-Get-Transcript-Application 32 http://www.nenkin.go.jp/n/data/service/0000150601ndjIleouIi.pdf 31 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ 報じられた主要な情報漏えい事例(2015 年第 2 四半期) 2015年5月20日 2015年5月26日 CareFirst BlueCross BlueShield 米国内国歳入庁 (ワシントンD.C.) 4月 (メリーランド州、バルチモア) 110万人分の個人情報 10万人分の個人情報 5月 2015年6月1日 2015年6月4日 日本年金機構 (東京) 米国連邦人事管理局 (ワシントンD.C.) 6月 100万人分の個人情報(基礎 年金番号、氏名、生年月日、 住所) 保険医療 2150万人分の個人情報(社 会保障番号) 7月 政府 年金保険 2015年第2四半期、政府系組織が主な標的となっていました。米国連邦人事管理局での情報漏えい事例は、過去最大規模であ り、2000万人分以上の記録が流出しました。 出典: https://www.privacyrights.org/data-breach 個人情報の場合、いわゆる身元情報が漏えいした場合の方が危険だと言えるでしょう。クレジットカードの情報ならば変更は可能 ですが、住所情報は、引っ越しでもしない限り、変更することは不可能です。生年月日の情報に至っては、もとより変更不可能です。 問題は、個人情報が、身元特定に悪用されるだけでなく、そのいくつかは変更することも極めて難しいという点にあります。 —Raimund Genes Chief Technology Officer 32 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ 政府機関を狙う標的型攻撃 弊社では、標的型攻撃の作戦活動(キャンペーン) 「Pawn Storm」の攻撃者が、ホワイトハウスや北大西洋条約機構 「ESILE」 (もし (NATO:North Atlantic Treaty Organization)加盟国を標的にしたことを確認しました。また、 )や「Tropic Trooper」といった攻撃キャンペーンは、東南アジア諸国の政府機関に狙いを くは「Lotus Blossom」 」のデータによると、 定めていたようです。弊社のクラウド型セキュリティ基盤「Smart Protection Network(SPN) 政治的動機による攻撃キャンペーンのほとんどで攻撃者が、マクロ型不正プログラムをより利用している状況も確認し ています。 2015 年第 2 四半期の攻撃キャンペーン: 「Pawn Storm」 、 「ESILE/Lotus Blossom」 、 「Tropic Trooper」 、 「Duqu 2.0」 2015 年 4 月、弊社のリサーチャーは、「Pawn Storm 作戦」が新たな攻撃キャンペーンに関連して NATO 加盟国やホワイ トハウスを標的にしていたことを確認しました。「Pawn Storm」の攻撃者は、メール内の不正なリンクをクリックさせるよう に特別に細工したメールを標的に送信していたようです。また、正規の政府関連 Web サイト脆弱性利用のエクスプロイトを 組み込み、新たなコマンド&コントロール(C&C)サーバを立ち上げ、NATO 加盟国や欧州、アジア、中東地域の政府機 関も標的にしていました。 33 2015 年 5 月には、台湾およびフィリピンの政府機関を狙った「Tropic Trooper 作戦」という標的型攻撃キャンペーンも 確認されました。攻撃が狙った両国の地理的状況から「Tropic」の名称で呼ばれています。 34 この攻撃キャンペーンでは、 (情報を他の情報の中に埋め込んで存在を隠ぺいする手口) Windows で一般的に知られた 2 つの脆弱性や、ステガノグラフィ の基本な手法、効果の見込めるソーシャルエンジニアリングの手口など、 「初期潜入」の攻撃段階において従来型の手口が 駆使されていました。 35 2015 年 6 月、さらに別の攻撃キャンペーンが話題となりました。「ESILE」もしくは「Lotus Blossom」の異名をもつこの 攻撃キャンペーンは、3 年以上に渡り、東南アジアの軍事組織に対して 50 回以上の攻撃を実行したと報じられています。 36 弊社の調査によると、この攻撃キャンペーンに使用された不正プログラムは、セキュリティ専門家を混乱させるため、プロパ ティへ細工を施したファイルの作成機能を備えていました。 37 2011 年 10 月、「Duqu」は、コードの類似性をセキュリティ専門家が確認したことから「STUXNET」の後継として話題にな りました。 38 そして 2015 年 6 月、新たに「Duqu 2.0」が登場し、弊社で特定の標的を狙うために複数のゼロデイ脆弱性 を利用したことを確認しました。 39 セキュリティ専門家の間では、 「Duqu 2.0」は、イスラエルが関与し、イラン核開発関 連の諜報活動を目的にしていると考えられています。 40 33 34 35 36 37 38 39 40 http://blog.trendmicro.co.jp/archives/11331 http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-operation-tropic-trooper.pdf http://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/operation-tropic-trooper-infiltrates-secret-keepers http://www.scmagazine.com/researchers-discover-50-cyber-attacks-in-lotus-blossom-campaign/article/421279/ http://blog.trendmicro.co.jp/archives/11821 http://blog.trendmicro.co.jp/archives/4550 http://blog.trendmicro.co.jp/archives/11710 http://www.theguardian.com/technology/2015/jun/11/duqu-20-computer-virus-with-traces-of-israeli-code-was-used-to-hack-iran-talks 33 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ 標的型攻撃に使用されるマクロ型不正プログラム マクロ型不正プログラムは、以前は「典型的な攻撃手法」としてサイバー犯罪者に使用されてきましたが、現在は、さらに 巧妙化され、標的型攻撃キャンペーンにも活用されるようになりました。「Woolen-Goldfish 作戦」などの攻撃キャンペー ンがその一例であり、この場合、不正マクロが仕込まれた Microsoft ™ Excel® が標的型メールに添付される手法が用いら れていました。 4142 こうした攻撃の存在から、 標的型攻撃へのセキュリティ対策強化は、 これまで以上に重要事項となってきました。とりわけ E メー ルが攻撃経路として利用されることから、こうした部分への多層的な防衛が必要になってきます。 マクロ型不正プログラムの検出台数(2012 年∼ 2015 年上半期) 2012年~2015年上半期 2014年第1四半期~2015年第1四半期 20万件 20万件 19万 1千 12万 2千 10万件 10万件 9万 3千 7万 4千 4万 3千 2万 0 0 2012年 2013年 2014年 2015年 第1四半期 2万 2千 3万 2千 9万 8千 4万 8千 第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 2014年 2015年 第2四半期 マクロ型不正プログラムの検出台数は、四半期ごとに若干の増加傾向にあります。攻撃に際してマクロ型不正プログラムをダウン ロードさせる不正広告 (マルバタイズメント) が、 この増加に起因していると言えます。 41 http://blog.trendmicro.co.jp/archives/11417 42 http://blog.trendmicro.co.jp/archives/11439 34 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ マクロ型不正プログラムの検出台数:国別トップ 10(2015 年第 2 四半期) 中国 23% 米国 19% イギリス 9% 日本 8% フランス 5% オーストラリア 4% 台湾 3% イタリア 2% インド 2% ドイツ 2% その他 23% 2015年第1四半期でトップ4を占めていた国が、同様に第2四半期もランクインしています。 マクロ型不正プログラム:アプリケーション別の割合(2015 年第 2 四半期) Microsoft Word 85% Microsoft Excel 12% Microsoft PowerPointなど 3% 2015年第2四半期、ほとんどのマクロ型不正プログラムは、Microsoft Word®の機能を悪用して侵入してきました。 35 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ 企業を狙った場合も、政治的な組織を狙った場合も、標的型攻撃の手法自体は、同じようなものだと言えます。だだし、その動 機や結果において若干の違いも存在しています。政治的な攻撃の場合、従来の攻撃手法と共にゼロデイ攻撃が多用される傾向 にあるようです。一方、企業を狙った攻撃は、従来よりほとんどの場合、最も脆弱な部分とされる「人間の心理を突いた手法」 が用いられています。 —Kyle Wilhoit Senior Threat Researcher 標的型攻撃における「二次感染」の被害は、次の 3 つの要因によって頻繁化していると言えます。第 1 は、より多くの攻撃者が、 組織間の情報サプライチェーンに着目し、標的にした企業や組織だけなく、その関連会社や組織にも狙いを定めてきている点で す。第 2 は、セキュリティ侵害後、ステガノグラフィ等の手法を駆使することで、侵入したシステム内で別の C&C チャンネルを 構築し、被害者側のインシデントレスポンスの対応を効果的に回避している点です。そして第 3 には、サイバー犯罪者が標的か ら知的財産や個人情報等を窃取した後、企業のブランド情報などを活用し、水飲み場攻撃などを介してその企業の顧客への攻 撃を試みている点です。 2015 年上半期の急増は、こうした要因によると言えるでしょう。 —Tom Kellermann Chief Cybersecurity Officer 36 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ 広く利用される Web サイトやモバイル端末の脆弱性が標的に 2015 年第 2 四半期は、Web アプリの脆弱性も、利用規模の大きい他のソフトウェアと同様に危険であることが浮き 彫りにされました。 セキュリティ専門家は、 銀行関連情報を扱う Web アプリ「Magento」に脆弱性が存在することを発見しました。 43 このプラッ トフォームを使用する約2万の Web サイトに脆弱性が存在し、不正コードを用いることでクレジットカード情報が窃取される 可能性があると報告されました。「Magento」は、約1億 5700 万の購買者が活用する人気の EC サービスプロバイダであ る eBay を含め、世界中で 24 万以上の Web サイトで利用されています。なお、eBay では、今回の脆弱性に関する件は 対応済みとなっています。 44 2015 年 4 月、オープンソースのブログソフトウェア「WordPress」のコンテンツマネージメントシステム(CMS)が、攻 撃者により、管理者用ブラウザ画面に不正 Java スクリプトが挿入される脆弱性攻撃を受けました。 45 この事例は、フィン ランドを拠点にするセキュリティ専門家の Jouko Pynnönen 氏により確認され、インターネット上の 4 分の 1 を占めるとも 言われる WordPress 利用のサイトに対し、そのフォーラム上のコメントボックスを介したクロスサイトスクリプティング手法 による攻撃が可能なことが明らかにされました。 Web アプリやソフトウェアで確認された脆弱性は、もちろんモバイル端末も例外ではありませんでした。例えば、セキュリティ 専門家は、Samsung 社のモバイル端末 6 億台以上にキーボード関連の脆弱性が存在することを明らかにしました。 46 弊 社の調査によると、Samsung 社の SwiftKey キーボードに存在する脆弱性(CVE-2015-4640 および CVE-2015-4641) を利用することにより、これらの脆弱性が存在する同社のモバイル端末に対して、攻撃者は中間者(MitM=Man in the Middle)攻撃が実行可能であることが確認されています。 474849 修正パッチはリリースされたものの、その配布方法が大き な課題となっています。モバイル端末や関連キャリアの違い等で、すべてのユーザに修正パッチが行き渡るかどうかが疑問 として残っているからです。 50 2015 年 5 月には、オープンソースモバイル開発フレームワーク「Apache Cordova」に存在する脆弱性も明らかにされま した。この脆弱性利用により、攻撃者は、誤った URL をクリックした際のアプリ動作に変更を加えることが可能になります。 51 深刻度の高いこの脆弱性は、 「Apache Cordova」を基盤にしたアプリの大半に影響しており、その数は、Google Play ™ 上の全アプリの 5% 以上に及ぶと言われています。この脆弱性は、 「CVE-2015-1835」の識別番号が付与されており、影 響を受けた端末をクラッシュさせる可能性があります。 52 43 http://www.trendmicro.com/vinfo/us/security/news/vulnerabilities-and-exploits/ebay-magento-ecommerce-platform-hit-bypayment-card-stealers 44 http://www.zdnet.com/article/ebay-patches-input-xss-csrf-vulnerabilities-in-magento-e-commerce-platform/ 45 http://blog.trendmicro.co.jp/archives/11404 46 https://www.nowsecure.com/keyboard-vulnerability/ 47 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4640 48 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4641 49 http://blog.trendmicro.com/trendlabs-security-intelligence/the-samsung-swiftkey-vulnerability-what-you-need-to-know-andhow-to-protect-yourself/ 50 http://blog.trendmicro.com/unpatchable-android/ 51 http://blog.trendmicro.co.jp/archives/11622 52 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1835 37 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ 2015 年 6 月には、Mac OS X の脆弱性が、iOS 端末のユーザにも及びました。この脆弱性は、外部からのプログラムを 保護された領域で動作させることで双方のプラットフォームを保護するはずのサンドボックス内で確認されました。攻撃者は、 この脆弱性を利用することで、 「キーチェーン」や「1Password」のコンテンツを窃取するアプリを作成することが可能にな ります。 53 攻撃者は、侵入経路を求めて、すべてのプラットフォームの弱点や脆弱性を狙ってきます。企業は、自社で使用しているプラグ インや中枢となるソフトウェアに関して、それらの脆弱性に細心の注意を払う必要があります。環境設定の診断ツールと共に、 脆弱性診断ツールを導入する必要があります。「Flash」や「Java」や「Internet Explorer®」などの標準的なソフトウェアに 存在する脆弱性は、脅威状況を把握する指針として利用されますが、その他のカスタマイズされたアプリケーション(主に Web アプリ)に存在する脆弱性への注意も怠るべきではありません。これらは数も多く、その多くは、CVE の識別番号が付与され ていない場合もあるからです。カスタマイズされたアプリケーションには、カスタマイズされた診断が必要となります。適切な ペネトレーションテストの実施は、こうしたカスタマイズされたアプリケーションの診断には有効と言えます。 —Pawan Kinger Director, Deep Security Labs 53 http://arstechnica.com/security/2015/06/serious-os-x-and-ios-flaws-let-hackers-steal-keychain-1password-contents/ 38 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ 短期間で悪用される脆弱性、被害も拡大 エクスプロイトキット関連サイトへのアクセス数が、今四半期、前四半期と比較して 67% 増加しました。とりわけ 「Angler EK」は、作成者が「Adobe® Flash®」に存在する脆弱性への対応を積極的に試みる中、その数は 3 倍に 達しました。 「Magnitude」や「Nuclear」も、 「Adobe Flash」の脆弱性を利用した攻撃へ積極的に利用されて 「Angler EK」と同様、 います。 エクスプロイトキットをホストしている URL 数(2015 年第 2 四半期) 12万件 Angler Magnitude Nuclear Neutrino 6万件 Sweet Orange Rig Sundown Fiesta 0 4月 5月 6月 「Angler EK」 をホストしているURLへアクセスするユーザ数の急増を確認。さらに同じく第2 2015年5月から6月初旬にかけて、 をダウン 四半期、不正広告表示を行う改ざんサイトやアダルトサイトの増加も確認されました。これらのサイトから 「Angler EK」 ロードするサイトへ誘導されます。 エクスプロイトキット関連 URL アクセス数の割合 Angler 45% Magnitude 18% Nuclear 17% Neutrino 11% Sweet Orange 5% Rig 3% Sundown 1% 「Angler EK」 が、前四半期に第1位であった 「Nuclear Exploit Kit」 の 2015年第2四半期、関連URLへのユーザアクセス数では、 順位を奪いました。 39 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ 主なエクスプロイトキットの影響を受けた国:トップ 10(2015 年第 2 四半期) 日本 49% 米国 22% オーストラリア 6% カナダ 3% タイ 2% フランス 2% デンマーク 2% イギリス 2% 台湾 2% イタリア 1% その他 9% 「Angler EK」 関連の活動は、日本での急増が確認されました。実際、関連URLへのユーザアクセス数でも、日本が最も多く影響 を受けた国となりました。 40 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ 「Angler EK」の開発者は、他の複数のエクスプロイトキットの作成もあわせて、最も多産で生産性が高いことが明らかにな りました。「Angler EK」に加えられた 11 件の脆弱性のうち、10 件が「Adobe Flash」の脆弱性に関連し、Adobe Flash で動画のようなコンテンツが読み込まれる全てのサイトがリスクにさらされました。「Angler」および「Magnitude」の双方 のエクスプロイトキットは、いずれも、Silverlight® の脆弱性「CVE-2015-1671」にも対応していました。 9 8 Magnitude Neutrino CVE-2015-1671 CVE-2015-5122 CVE-2015-5119 CVE-2015-3113 CVE-2015-3105 CVE-2015-3090 CVE-2015-0359 CVE-2015-0336 CVE-2015-0311 CVE-2015-5122 CVE-2015-5119 CVE-2015-3113 CVE-2015-3090 CVE-2015-0359 CVE-2015-0336 CVE-2015-0313 CVE-2015-0311 3 Fiesta CVE-2015-0359 CVE-2015-0313 CVE-2015-0311 9 HanJuan CVE-2015-5119 CVE-2015-0313 Angler CVE-2015-1671 CVE-2015-5122 CVE-2015-5119 CVE-2015-3113 CVE-2015-3090 CVE-2015-0359 CVE-2015-3104 CVE-2015-0336 CVE-2015-0313 CVE-2015-0311 CVE-2015-0310 2 Sundown 6 Rig CVE-2015-5122 CVE-2015-5119 CVE-2015-3113 CVE-2015-3090 CVE-2015-0359 CVE-2015-0311 54 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1671 41 | グローバルセキュリティラウンドアップ 2 11 Nuclear CVE-2015-5122 CVE-2015-5119 CVE-2015-3113 CVE-2015-3104 CVE-2015-3090 CVE-2015-0359 CVE-2015-0336 CVE-2015-0313 CVE-2015-0311 54 CVE-2015-0313 CVE-2015-0311 TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ 2015 年当初より「Adobe Flash」に存在する脆弱性は、より多くのエクスプロイトキット(とりわけ「Angler EK」)により 脆弱性が悪用されるようになってきています。「Angler EK」は、2015 年 4 月、5 月、6 月と更新が続きました。 「Adobe Flash」に存在する脆弱性に対応したエクスプロイトキットの推移(2015 年上半期) CVE-2015-0310 CVE-2015-0313 CVE-2015-0359 CVE-2015-3105 CVE-2015-3113 Angler HanJuan Angler Magnitude Magnitude 15 CVE-2015-0311 CVE-2015-0336 CVE-2015-3090 CVE-2015-3104 Angler Nuclear Angler Angler 21 27 22 1月 2 19 2 2月 報告された日 18 12 12 3月 26 16 14 4月 修正パッチのリリース日 17 9 5月 27 9 23 6月 ゼロデイ攻撃 「Adobe Flash」 に存在する脆弱性は、複数のエクスプロイトキット (とりわけ 「Angler EK」 ) により脆弱性が悪 2015年当初より、 用されています。 「Angler EK」の開発者は、 非常に積極的かつアグレッシブに「Adobe Flash」の脆弱性の悪用に注力しています。「Magnitude」 や「Nuclear」の開発者も、その点では同様です。お客様へより良い対策を提供するためには、弊社もそれ以上の迅速さでこ れらエクスプロイトキットの調査と監視を続けていく必要があります。 —Joseph C. Chen Threats Analyst 42 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ 2015 年第 2 四半期脅威概況 2012 年以降、トレンドマイクロのクラウド型セキュリティ基盤「TrendMicro Smart Protection Network(SPN)」 による脅威のブロック数は、減少傾向にあります。これは、サイバー犯罪者や攻撃者の間で、これまでの「見境なく 攻撃する」という量への依存から脱却しつつあり、代わりに、的確に標的を絞り込み、より高い費用対効果を期待した アプローチに注力している状況を反映しているとも言えます。 トレンドマイクロのクラウド型セキュリティ基盤「TrendMicro Smart Protection Network(SPN) 」に基づく ブロックされた脅威の合計数(2012 年上半期∼ 2015 年) 800億 800億件 740億 650億 400億件 270億 0 2012年 2013年 2014年 2015年 第1四半期 トレンドマイクロのクラウド型セキュリティ基盤「TrendMicro Smart Protection Network(SPN) 」に基づく ブロックされた脅威の合計数(2015 年第 2 四半期) 50億件 48億 42億 38億 25億件 0 4月 5月 6月 2015 年第四半期に弊社がブロックした脅威の合計数は、平均 42 億であり、前四半期の平均 47 億より減少しています。 43 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ トレンドマイクロのクラウド型セキュリティ基 盤「TrendMicro Smart Protection Network (SPN) 」に基づく検出率(ブロックされた脅威数/秒) (2015 年第 2 四半期) 2千件 トレンドマイクロのクラウド型セキュリティ基 盤「Trend Micro Smart Protection Network (SPN) 」に基づくブロックされたスパム送信元 IP アドレス(2015 年第 2 四半期) 40億件 39億 1,840 1,572 34億 31億 1,455 1千件 20億件 0 0 4月 5月 4月 6月 2015年第2四半期に弊社がブロックした検出率(ブロック された脅威数/秒) は、平均1622であり、前四半期の平均 1800より減少しています。 トレンドマイクロのクラウド型セキュリティ基盤 「Trend Micro Smart Protection Network (SPN) 」に基づくブロックされた不正 Web サイト数 (2015 年第 2 四半期) 5月 6月 ユーザの受信ボックスに届く際にブロックしたスパムメール 送付元 IP からのメールの総数は、105 億に及んでいます。 しかし、前四半期の120億と比べて減少傾向にあります。こ の減少には、スパムメール送信者が、 メール送信だけでなく 別の手口にも依存し始めていることも理由の1つとして考え られます。 トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」に基 づくブロックされた不正ファイル数(2015 年第 2 四 半期) 6億 3億件 2億 8400 5億 4700万 万 2億 2800 万 5億 7400万 2億 3300 3億 9700万 万 3億 1億 5000万件 0 0 4月 5月 6月 2015年第2四半期に弊社がブロックした不正Webサイト数 は、7億4500万以上となっています。4月から5月にかけて 減少しましたが、6月に若干の増加傾向を示しています。 44 | グローバルセキュリティラウンドアップ 4月 5月 6月 2015年に弊社がブロックして端末への感染を防いだ不正 ファイル数は、10億以上となっています。不正プログラム数 は、5月から6月にかけて2億8700減少しています。 TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ ホストされた不正 URL 数:国別トップ 10(2015 年第 2 四半期) 米国 28% 中国 6% ロシア 3% ポルトガル 3% オランダ 2% ドイツ 2% イギリス 2% 韓国 1% フランス 1% 日本 1% その他 51% 米国が相変わらずトップを示している中、中国とロシアが トップ3にランクインしています。 不正な URL をクリックしたユーザ数:国別トップ 10(2015 年第 2 四半期) 米国 32% 日本 21% 台湾 4% インド 4% オーストラリア 4% ドイツ 3% 中国 3% カナダ 3% フランス 2% イタリア 2% その他 22% 不正な URL をクリックしたユーザ所在の国に関しては、前四半期と比べて大きな変化は確認されていません。 45 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ スパムメール言語:トップ 10(2015 年第 2 四半期) 英語 76.9% 中国語 3.7% ドイツ語 3.3% 日本語 1.4% ポーランド語 1.0% スペイン語 0.9% ロシア語 0.8% ポルトガル語 0.5% オランダ語 0.2% フランス語 0.2% その他 11.1% 相変わらず英語が最も多く使用される言語の地位を保持しています。一方、前四半期と比べて、中国語とドイツ語の割合に増加 傾向が見られます。 スパムメールの送信元:国別トップ 10(2015 年第 2 四半期) 米国 17% ロシア 13% 中国 9% ベトナム 5% 日本 4% ウクライナ 3% インド 3% スペイン 3% 韓国 2% ブラジル 2% その他 39% トップ3は、毎四半期もほぼ同じ国々が占めています。 46 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ 不正プログラムファミリ:トップ 10(2015 年第 2 四半期) 検出名 数 SALITY 8万8千 DOWNAD 7万7千 GAMARUE 5万8千 BROWSEVIEW 5万7千 DUNIHI 4万7千 UPATRE 4万 DLOADR 4万 RAMNIT 3万9千 VIRUX 3万6千 ANDROM 2万9千 セグメント別不正プログラムファミリ:トップ 3(2015 年第 2 四半期) セグメント 大企業 中小・中堅企業 個人ユーザ 検出名 数 DOWNAD 5万8千 SALITY 3万3千 DUNIHI 2万8千 UPATRE 1万2千 DLOADR 1万2千 DOWNAD 1万1千 GAMARUE 3万2千 SALITY 3万1千 VIRUX 1万7千 「VIRUX」 2015年第2四半期、ファイル感染型の「VIRUX」が、個人ユーザのセグメントで新たにトップ3にランクインしましたた。 は、 リムーバブルドライブやネットワーク共有フォルダを介して拡散します。 47 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ 旧来型のオンライン銀行詐欺ツールである「EMOTET」は、2015 年第 1 四半期から、地域化の活動を続けてきています。 そして四半期ごとにその数を増加させ、宅配便「DHL」の通知メールに偽装して本文内のリンクをクリックさせる手口で、ド イツのユーザに被害を及ぼしています。 55 オンライン銀行詐欺ツールファミリ:トップ 10(2015 年第 1 四半期、第 2 四半期) 第1四半期 第2四半期 RAMNIT 24% RAMNIT 35% ZBOT 14% DORKBOT 13% QAKBOT 13% ZBOT 13% DORKBOT 12% EMOTET 10% DYRE 7% DYRE 7% QBOTCONF 5% QAKBOT 3% EMOTET 4% DRIDEX 2% BANKER 3% BANKER 2% VAWTRAK 2% FAREIT 2% URSNIF 2% BANLOAD 2% その他 14% その他 11% オンライン銀行詐欺ツール 「RAMNIT,」 は、FTP認証情報やブラウザのクッキー情報を含む、重要情報を窃取します。もともと HTMLファイルにも感染するファイル感染型不正プログラムであり、四半期ごとに増加してきています。 55 http://www.trendmicro.com/vinfo/us/threat-encyclopedia/spam/3561/dhl-spam-arrives-with-emotet 48 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ アドウェアファミリ:トップ 10(2015 年第 2 四半期) 検出名 割合 OPENCANDY 42 万 3 千 FAKEGOOG 20 万 8 千 MYPCBACKUP 16 万 1 千 ELEX 11 万 8 千 CROSSRIDER 10 万 DEALPLY 9万 SPROTECT 8万3千 MULTIPLUG 8万2千 TOMOS 7万8千 ADVSYSTEMPROTECTOR 7万6千 セグメント別アドウェアファミリ:トップ 3(2015 年第 2 四半期) セグメント 大企業 中小・中堅企業 個人ユーザ 検出名 数 OPENCANDY 5万 FAKEGOOG 1万6千 CROSSRIDER 1万5千 OPENCANDY 2万 DEALPLY 7千 FAKEGOOG 7千 OPENCANDY 32 万 4 千 FAKEGOOG 16 万 1 千 MYPCBACKUP 12 万 2 千 および 「MYPCBACKUP」 は、 ツールバーやその他のフリーウェアにバンドルされてPCに侵入します。これらに 「OPENCANDY」 よるポップアップ広告は、ユーザにとって迷惑となります。 49 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ Android 向け不正プログラムファミリ:トップ 10(2015 年第 2 四半期) GUIDEAD 24% SYSSERVICE 10% SPTVT 10% FICTUS 5% SMFORW 4% SMSREG 3% FAKEINST 3% DROPPER 2% OPFAKE 2% SYSNOTIFY 1% その他 35% 「GUIDEAD」 の亜種は、グラフィカルユーザインタフェース (GUI) やアイコンを有しておらず、 インストール後、バックグラウンド でユーザに気付かれずに実行されます。 Android 向けアドウェアファミリ:トップ 10(2015 年第 2 四半期) ADLEAK 13% ARPUSH 8% AGENT 7% IGEXIN 3% DOWGIN 3% FLEXLEAK 3% REVMOB 3% YOUM 3% WAPSX 2% ADS 2% その他 54% 前四半期と同様、 ジェネリック検出の 「ADLEAK」 が、ユーザへプライバシーのリスクをもたらすアドウェアとしてトップにランク インしています。 50 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ Android 端末向け不正プログラムを脅威タイプ別に分類(2015 年第 2 四半期) 50% 50% 27% 22% 25% 11% 7% 3% 0 ペイウェア アドウェア 不正プログラム リスクウェア SMS送信 ダウンローダ 2015年第2四半期に確認されたAndroid向け脅威の半分は、ペイウェアで占められています。ペイウェアは、不正な使用料や手数 料へ支払いをするように合意を促すように操作され、それ自体は不正ではありませんが、 この機能を悪用することで、ユーザの情 報セキュリティを侵害したり、モバイル端末の操作を妨害したりすることが可能になります。 リスクウェアとは、不正な目的に利用可 能な機能を有したアプリのことです。 註: 1つのAndroid 向けアドウェアファミリ内に複数の脅威タイプが含まれている場合もあります。 最も多く C&C サーバが設置された場所:国別トップ 10(2015 年第 2 四半期) 米国 29% ウクライナ 10% ロシア 7% ドイツ 5% フランス 4% イギリス 4% オランダ 3% 中国 3% 韓国 3% ポーランド 2% その他 30% 2015年第2四半期、コマンド&コントロール(C&C)サーバは、米国、ウクライナ、ロシアなど、多くの国々に広く分布していました。 なお、C&C サーバは遠隔操作が可能であるため、攻撃者がこれらの国々に居住しているわけでは必ずしもありません。これらの これらの国々においてホスティングサービスやイン 国々のほとんどは、不正な URL をホストしている国の上位とも一致しており、 フラストラクチャが悪用されている可能性を示しています。 51 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年 第2四半期 セキュリティラウンドアップ C&C サーバに接続されたエンドポイント数:トップ 10(2015 年第 2 四半期) 米国 38% インド 12% 日本 7% トルコ 5% ドイツ 4% オーストラリア 4% 台湾 2% フランス 2% ベトナム 2% マレーシア 2% その他 22% 2015年第2四半期も米国がトップを占めていました。 52 | グローバルセキュリティラウンドアップ 制作 The Global Technical Support & R&D Center of TREND MICRO TREND MICRO ™ 本書に関する著作権は、トレンドマイクロ株式会社へ独占的に帰属 します。 トレンドマイクロ株式会社が書面により事前に承諾している場合を 除き、形態および手段を問わず本書またはその一部を複製するこ とは禁じられています。本書の作成にあたっては細心の注意を払っ ていますが、本書の記述に誤りや欠落があってもトレンドマイクロ 株式会社はいかなる責任も負わないものとします。本書およびそ の記述内容は予告なしに変更される場合があります。 〒 151-0053 東京都渋谷区代々木 2-1-1 新宿マインズタワー 大代表 TEL:03-5334-3600 FAX:03-5334-4008 http://www.trendmicro.co.jp 本書に記載されている各社の社名、製品名、およびサービス名は、各社の商標または登録商標です。
© Copyright 2024 ExpyDoc
