セキュリティラウンドアップ

新旧手法を脅威拡散に利用する攻撃者：
不正広告の台頭とマクロ型の復活
TrendLabsSM 2015 年第 1 四半期セキュリティラウンドアップ
目次
日本セキュリティラウンドアップ
止まらないネットバンキング被害：検出台数は前年同期比 1.5 倍増……… 5
フィッシング詐欺は前年同期比 2.8 倍増：
9 割がネットショッピング、オンラインゲーム、Apple 関連に集中 ……… 9
ネットワーク共有を狙うランサムウェアの被害を日本でも確認 …………… 11
企業の持つ情報を執拗に狙う攻撃者：
発覚事例数は既に 2014 年 1 年間を上回る………………………………… 11
グローバルセキュリティラウンドアップ
ネット広告ビジネスがもたらすセキュリティリスク ………………………… 15
企業を標的にした「Crypto ランサムウェア」の急増 …………………… 21
マクロ型不正プログラム：効果的な旧来の手口 ………………………… 28
脆弱性管理の課題を浮き彫りにした「FREAK」………………………… 32
大規模情報漏えいに見舞われる医療サービス業界、
POS マルウェアに悩まされる小売・サービス業界 ……………………… 35
新たな戦略・技術・手法を携えて進化する標的型サイバー攻撃
…… 39
巧妙化が続くエクスプロイトキット ………………………………………… 41
2015 年第 1 四半期脅威概況 ……………………………………………… 44
2015 年第 1 四半期セキュリティラウンドアップ
総括
2015 年第 1 四半期の脅威は、2014 年を通じて確認された金銭利益に繋がる情報の侵害を継続しながら、より効果的
な脅威拡散を狙う攻撃手法拡大の段階に入っていたと言えます。サイバー犯罪者にとっては、既存の脅威に新たな工
夫や従来型手法のリバイバルを加えることで、目的達成のために十分な成果を得られている状況が窺えます。
特に脅威拡散の手法として活発だったのは「不正広告（マルバタイジング）
」です。この四半期に 2 件のゼロデイ脆弱
性が不正広告で使用されました。これまでゼロデイ脆弱性は最初に標的型サイバー攻撃など限られた対象で使用され
たあと、
一般利用者への攻撃が広まるものでした。まず不正広告でゼロデイ脆弱性が使用されたという事実は、
サイバー
犯罪者が新たに不正広告を主要な攻撃手法として選択したことを示していると言えます。
また、旧来手法の復活としてはマクロ型不正プログラムが挙げられます。マクロ型は 1996 年に初登場し 2003 年ころ
まで主要な不正プログラムの 1 つでしたが、利用者を騙す手口を加えることで 2014 年 11 月以降復活。海外を中心に
電子メールを使用した脅威拡散に使用される事例が確認されています。特に 2015 年第 1 四半期中に新たに確認され
たマクロ型不正プログラム数は 2011 ∼ 14 年の 4 年間の 1.4 倍となっており、検出台数も前年同期比 4.7 倍となって
います。
これらの手法により具体的に拡散される脅威としては、金銭利益を狙う不正プログラムが挙げられます。特に国内では、
ネットバンキングを狙う脅威が被害の拡大を継続し、海外ではランサムウェアが法人利用者へも被害を拡大させていま
す。日本でのオンライン銀行詐欺ツール検出台数は前年同期比 1.5 倍となっており、新たな攻撃手法が海外から流入し
てることも確認されています。ランサムウェアでは共有フォルダの暗号化など特に法人のネットワークで被害を拡大す
る活動が登場し、検出台数に占める法人利用者被害の割合は 42％と前四半期の 22% から大きく増加しています。
その他の傾向として、世界的に法人の持つ顧客情報や決済情報を狙う攻撃が後を絶ちません。海外では、医療業界で
の大規模情報漏えい事件が 2 件発覚し、合わせて 9000 万件以上の情報漏えいが確認されました。また、2014 年に
大きな被害を起こした POS マルウェア被害も継続しており、
「FighterPOS」などの新ファミリーの登場もあり、検出
台数は前年同期比の 1.7 倍となっています。日本でも「社内ネットワークへの侵入」もしくは「公開サーバへの攻撃」
による法人での情報侵害が合わせて 8 件発覚しています。これは 2014 年 1 年間で発覚した 6 件を既に上回るものです。
特に従業員数が 200 人以下の企業での公開サーバへの攻撃が、事業継続を脅かす大きな被害に繋がっています。
日本セキュリティラウンドアップ
止まらないネットバンキング被害
はじめに
サイバー犯罪者は、金銭的利益を最終目的とし、インターネット上の様々な金銭に繋がる情報を狙い続けており、彼
らの思惑は実際のセキュリティインシデントとして表面化します。 2015 年第 1 四半期（１∼３月）には、全般的に 2014
年 1 年間に現れた脅威が継続される傾向が見られました。しかし、サイバー犯罪者は同じ攻撃を繰り返すだけではなく、
さらなる被害の拡大を狙った変化が見られています。
今第 1 四半期に国内で広く一般のインターネット利用者に大きな被害を与えた攻撃として、
直接金銭的利益に繋がる
「ネッ
トバンキングを狙う脅威」が上げられます。 2012 年末から継続しているこの脅威は、標的とする金融機関の対象を拡
大しながら、海外からまた新たな攻撃手法が流入してきています。この結果、主要オンライン銀行詐欺ツールの検出
台数は前年同期比で 1.5 倍の増加を示すと共に、全国銀行協会が公表する個人口座からの不正送金被害額も継続して
増加しています。 1
また、企業においては、顧客情報、決済情報の窃取事例が、規模や業種を問わず発覚しています。この第 1 四半期に
公表された事例は既に 2014 年 1 年間の発覚数を超えており、攻撃手法は企業内のネットワークに侵入し情報を盗む手
法と公開サーバの攻撃から情報窃取を行う手法の 2 種に大別することができます。これらの攻撃では、遠隔操作によ
るネットワーク内部の探索など「標的型サイバー攻撃」と呼ばれていた攻撃手法が見られました。企業の持つ顧客情報
を狙う攻撃は、今後一層巧妙化、大規模化していくでしょう。
脅威の全体像として、2015 年第 1 四半期にトレンドマイクロのクラウド型セキュリティ技術基盤である SPN（Smart
Protection Network）2 で集計した日本での脅威ブロック数はおよそ 3 億 7 千万件となりました。これは 1 秒間におよ
そ 50 個の脅威から利用者を保護している計算になります。
2015 年第 1 四半期、日本国内での総脅威ブロック数
4億件
1億8千867万
不正サイト
スパムメール
3億件
不正プログラム
2億件
9千616万
註：本稿に掲載されるデータ等の数値は、特に明
1億件
記されていない場合、トレンドマイクロのクラ
7千721万
ウド型セキュリティ基盤「Trend Micro Smart
Protection Network」による統計データが出典
0
2015年第1四半期
1 修正履歴：2015 年 5 月 29 日個人口座からの不正送金被害に関する記述を修正
2 http://www.trendmicro.co.jp/jp/why-trendmicro/spn/index.html
となります。
TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
止まらないネットバンキング被害：検出台数は前年同期比 1.5 倍増
2012 年末から日本に流入したネットバンキングを狙う攻撃は、2015 年に入っても収束の気配を見せていません。トレンドマイク
ロのクラウド型セキュリティ技術基盤である SPN（Smart Protection Network）で集計した日本における主要オンライン銀行
詐欺ツールの検出台数は 8300 件であり、前年同期である 2014 年第 1 四半期の 5600 件と比べ、1.5 倍の増加となっていま
「マルバタイジング（不正広告）
」によ
す。これらのオンライン銀行詐欺ツールの侵入方法としては、マルウェアスパム 3 の他、
る ZBOT 拡散の事例を 3 月に確認しています。この事例ではアダルトサイト上で表示される広告コンテンツが改ざんされ、脆
弱性攻撃サイトへ誘導するスクリプトが設置されていました。ネット広告経由の攻撃はこれまでもネットバンキングを狙う脅威の
有力な侵入経路とされてきましたが、この第 1 四半期に確認した事例はこれを裏付ける事例と言えます。
オンラインバンキング詐欺ツールの頒布が確認されたアダルトサイト上での不正広告表示のイメージ図
アダルトサイト上に開かれた別ウインドウの広告内に設置されたスクリプトにより、気付かぬ間に脆弱性攻撃サイトへ誘導される
3 マルウェアスパム：スパムメールのうち、不正プログラムの頒布を目的としたもの
5 | 日本セキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
また、2014 年 12 月に国内で初めて確認されたオンライン銀行詐欺ツール
「WERDLOD」
は 2015 年 2 月にも大手オンラインショッ
ピングモールからの請求書を偽装するマルウェアスパムでの頒布が確認 4 されています。この偽装メールが確認された 2 月にお
ける WERDLOD の国内での検出台数は 220 件でした。偽装メールの攻撃が確認されていない 1 月、3 月の検出台数はそれぞ
れ 75、130 と 2 月よりも少なく、WERDLOD の拡散は偽装メールが中心であることが窺われます。
WERDLOD の頒布で使用された請求書偽装メールの例
ダブルクリックすることで感染
WERDLOD の検出台数推移
200件
100件
0
12月
2014年
1月
2015年
2月
2015年
3月
2015年
偽装メールが確認された 12 月と 2 月の検出台数はその他の月の約 2 倍であり、偽装メールが WERDLOD の主な頒布手段
であることがわかる
4 http://ichiba.faq.rakuten.co.jp/app/answers/detail/a_id/26504
6 | 日本セキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
WERDLOD の攻撃手法はこれまで主流だった ZBOT や VAWTRAK などのオンライン銀行詐欺ツールとは異なり、プロキシ設
定の改変により中間者攻撃（MitM=Man in the Middle）5 を行う攻撃手法です。 WERDLOD の中間者攻撃では、不正なルー
ト証明書を感染環境にインストールすることにより正規の SSL 通信が成立しているように見せかけるなど、これまでの ZBOT や
VAWTRAK が行う Web インジェクション攻撃 6 と比べても、より気付かれにくい巧妙なものと言えます。特に、WERDLOD 本
体の削除に関わらず、改変されたプロキシ設定が修正されるまで中間者攻撃が継続し続けることは対応の上でも注意すべき点
です。
WERDLOD が中間者攻撃のために使用するプロキシ設定変更のための設定ファイルの記述例
同時に認証情報詐取の標的となる金融機関に関しても範囲拡大の傾向が確認されています。情報詐取の標的となる金融機関の
Web サイトを個別に設定として持っています。これまでは 1 つの攻撃の中で５サイト程度が個別に標的となっていた地方銀行で
すが、昨年末以降、個別に標的となる数が 10 サイト前後に増加している傾向が確認されています。
特に WERDLOD や VAWTRAK では地方銀行や信用金庫で利用の多い金融業務自動化サービスの共同化システムサイトが標
的に入っていることが確認されており、これまで個別には狙われていなかった金融機関でも被害が発生する可能性が高まってい
ます。これらの金融業務自動化サービスサイトでは全国 500 以上の金融機関が利用しているものとしていますが、これは全国
銀行協会の正会員、準会員、特例会員合わせた 191 行 7 の 2.5 倍となり、被害を受ける可能性のある金融機関が大幅に増加し
ていることを示しています。
標的となる金融機関のサイトを指定する設定の例
大手金融機関 4 行の他、地方銀行 10 行と金融業務自動化サービスの共同化サイトが含まれている
5 中間者攻撃：通信の中継点に割り込んで二者間の通信内容を傍受したり、改変したりする攻撃
6 Web インジェクション攻撃：Web 通信を横取りし、ブラウザの表示前に内容の改ざんなどを行う攻撃。主に偽画面の表示により利用者から認証情報を詐取す
るために使用される。 MitB（Man in the Browser）攻撃とも呼ばれる
7 http://www.zenginkyo.or.jp/abstract/outline/organization/member-01/
7 | 日本セキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
ネットバンキングを狙う攻撃が日本に流入してから2年以上が経過し、攻撃手法としては既に常套手段化の段階に入っています
が、
まだまだ被害の拡大も継続している傾向が見て取れます。ネットバンキング関連の被害拡大を裏付けるデータとして、全国銀
行協会の公表では、2015年1∼3月における個人口座からの不正送金被害は2億7,900万円であり、2014年7∼9月の1億7,600
万から継続して増加しています。8この被害拡大の中で、中小金融機関への被害が広まっている傾向が見られます。これは大手と
比べ、ネットバンキングを狙う脅威への対策の取り組みが追い付いていないことが要因と考えられ、具体的にオンライン銀行詐欺
ツールの攻撃対象になっていない金融機関でも不正送金被害が確認されています。
また、攻撃者は同一の攻撃手法のみを続けているわけではなく、新たな攻撃手法が継続して確認されています。特に日本では海
外で既に確認されている攻撃手法が流入する傾向が強く見られており、日本を狙うサイバー犯罪者が攻撃成果の拡大のために、
既に確立した攻撃手法を新たに持ち込んでいる背景が垣間見えます。実際にWERDLODのプロキシ設定の変更による中間者攻
9で既に確認されていた手法です。
「エメンタル作戦」
撃の手法も、海外では2014年9月に発覚した
このような認証情報詐取目的の不正プログラムを使用した攻撃は、今後も攻撃手法の巧妙化と対象の拡大を続けて行くでしょう。
また、POSシステムへの攻撃などで現れているように、攻撃者がデータの集積場所を狙ってくる傾向と併せて考えると、今後は既
に海外では確認されている金融機関のシステム自体を侵害して不正送金を行うような標的型サイバー攻撃が、日本でも発生する
可能性に注意すべきでしょう。
89
8 修正履歴：2015 年 5 月 29 日個人口座からの不正送金被害に関する記述を修正
9 http://blog.trendmicro.co.jp/archives/9669
8 | 日本セキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
フィッシング詐欺は前年同期比 2.8 倍増：
9 割がネットショッピング、オンラインゲーム、Apple 関連に集中
2014 年に急増した日本を狙うフィッシング詐欺ですが、2015 年に入っても増加傾向が継続しています。トレンドマイクロ SPN
の統計によれば、2015 年第 1 四半期にフィッシングサイトへ誘導された日本国内の IP アドレス数は 767,000 件でした。これ
は前年同期である 2014 年第 1 四半期の 274,000 件と比べ、およそ 2.8 倍となる数字です。
日本におけるフィッシングサイトのアクセスブロック数推移
80万件
75万
76万
7千
第4四半期
2014年
第1四半期
2015年
61万
2千
40万件
27万
4千
13万
5千
0
第1四半期
2014年
第2四半期
2014年
第3四半期
2014年
トレンドマイクロではこれらの日本国内からフィッシング詐欺サイトへ誘導されたアクセスに関し、攻撃者がどのようなブランド
やサービスを標的としているかを調査しました。標的となったブランドやサービスが特定できたおよそ 9 万 5 千件のフィッシン
グ詐欺サイトのうち、44% がネットショッピング関連のフィッシング詐欺サイトでした。続いてオンラインゲーム関連が 29％、
Apple 関連が 12%、検索エンジン・ポータルが 11% でした。
日本からアクセスされたフィッシング詐欺サイトの種別割合
9 | 日本セキュリティラウンドアップネットショッピング
44%
オンラインゲーム
29%
Apple関連
12%
検索エンジン・ポータル
11%
ソーシャルメディア
2%
金融・信販
2%
TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
インターネットのオンラインサービスで使用される認証情報は、金銭に繋がる標的として狙われ続けています。攻撃者は広くイン
ターネット利用者を脅威へ誘導する攻撃を仕掛けていますが、その有力な誘導先の１つとしてフィッシング詐欺は攻撃増加の傾向
が継続しています。認証情報の詐取手法として既に古典的な攻撃手法であるフィッシング詐欺ですが、いまだ攻撃者にとって有効
な攻撃手段であることがこの傾向からわかります。特に日本については、ネットショッピングやオンラインゲームのフィッシング詐
欺サイトへ誘導される利用者の割合が多く、
インターネット利用者の行動や嗜好に合わせた攻撃が行われていることもわかりまし
た。このようなネット詐欺に関しては技術的な検知と同時に、その手口をよく周知して行くことが重要でしょう。
10 | 日本セキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
ネットワーク共有を狙うランサムウェアの被害を日本でも確認
2014 年末には日本国内の攻撃者によるものと推測されるランサムウェア「CRYPBIT」が初めて確認されました。しかしその後、
特に大きな検出数増加は確認されておらず、2015 年に入ってもまだ日本を標的としたランサムウェアの攻撃から大きな被害が
出ている状況では無いものと言えます。
これに対し、海外では特に「Crypto-Ransom」と呼ばれる暗号化型ランサムウェアの増加が確認されています。中でも 3 月に
確認された「CRYPFORT」に代表される、ネットワーク共有上のファイルを暗号化する活動を持つランサムウェアが注目されて
います。日本トレンドマイクロのサポートセンターでは、このようなネットワーク共有上のファイルが暗号化されるランサムウェア
被害に関する法人顧客からの問い合わせを 3 月中に 3 件受けており、既に被害が日本に流入していることを確認しています。こ
れまでも被害端末上にネットワークドライブの設定があったことから、結果的にネットワーク上のファイルが暗号化された事例は
ありましたが、故意にネットワーク共有上のファイルを狙って暗号化された被害の報告は初めてです。このように、感染した端末
内のファイルを暗号化する従来からの暗号化型ランサムウェアに対し、共有ネットワーク上のファイルが暗号化されることで特に
法人利用者で問題が大規模化しやすくなり、問題解決のための問い合わせに繋がっているものと考えられます。
海外ではランサムウェアの攻撃対象は個人から法人へ拡大しています。これらの法人を狙うランサムウェアについて、特に日本語
で脅迫を行うものは確認されていない段階にもかかわらず、既に日本へ流入し始めていることが確認されました。今後、日本語対
応したランサムウェアによる日本を標的とした攻撃が本格的に発生した場合、日本の法人利用者が受ける被害は深刻なものにな
ることが予想されます。法人利用者においては、
これまで以上にセキュリティの重要性や、
メールの添付ファイルやインターネット
上で頒布されるファイルを安易に開く軽率な行動が、自組織に重大な被害をもたらす可能性が高いことを、組織内の利用者に周
知徹底していく必要があるでしょう。また、サーバ上のデータを定期的にバックアップすることも被害を最小限に留める対策となり
ます。
企業の持つ情報を執拗に狙う攻撃者：
発覚事例数は既に 2014 年 1 年間を上回る
トレンドマイクロでは 2014 年を通じ、規模や業種を問わず企業の持つ顧客情報や決済情報を狙った攻撃が発生していること、
これまでは国家レベルの機密を狙う標的型攻撃でのみ見られた「標的型サイバー攻撃」の攻撃手法がより広い範囲で使用され
ていることを報告してまいりました。この傾向は 2015 年に入っても継続しているものと言えます。
企業の持つ情報を狙うサイバー攻撃は以下の２種に大別できます：
1. 社内ネットワークへの侵入：
「標的型サイバー攻撃」の手法を用い、外部からの遠隔操作を確立して標的組織ネットワーク
内を探索。情報の在処とアクセス権限を獲得して情報を盗み出す。
2. 公開サーバへの攻撃：インターネットからアクセス可能な Web サービスの公開サーバに侵入。サーバ内に保持された情報
を窃取したり、サーバ上で扱われる情報をシステム改変により外部へ転送したりすることで入手する。
これらのサイバー攻撃として報道・公表された事例は、この第 1 四半期の 3 か月間だけで 8 件を数えています。これは 2014
年 1 年間で報道・公表された事例数 6 件を既に超えていることになります。
11 | 日本セキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
2015 年第 1 四半期に公表された主な情報窃取サイバー攻撃事例
（公表データを元にトレンドマイクロが独自に整理）
発覚/
公表日時
1月
2015年
社内侵入
商社
4400人
標的型メールにより遠隔操作ツールが侵入し取引先担
当者情報が漏えい、その後も不正アクセスを受ける
取引先311社の担当
者情報約400名分
公開サーバ
1月9日
食品、小売
70人
1645件のクレジット
オンラインショップのシステム改ざんにより決済情報
が流出し、
オンラインショップ閉鎖
1月14日
カード情報・464件の
メールアドレス
社内侵入
1月16日
1月16日
新聞社
78,000人
社内PC17台に遠隔操作ツールが侵入し2か月にわたり
電子メールや社内文書が流出
未公表　公開サーバ
競技団体
不明
不正アクセスにより、関係者の個人情報が流出
2万件の写真データ
2月
公開サーバ
製造、小売
20人
Webサーバへの不正アクセスにより、決済情報が漏えい
最大6581件のクレ
ジットカード情報
公開サーバ
2月10日
オンラインセミナー
6人
Webサーバへの不正アクセスにより、利用者情報が漏
未公表
えい
2月18日
2月19日
公開サーバ
販売
230人
個人情報を保持するシステムへの不正アクセスによ
り、
個人情報にアクセスされた可能性
最大5万3千件の個
人情報
公開サーバ
2月26日
ドメイン取得代行
3月
2人
2048件の利用者情
管理者ツールのアクセス制限ミスから不正アクセスを
受け、
利用者情報が漏えい
業種・サービス
12 | 日本セキュリティラウンドアップ報・事業停止
従業員
（約人数）
TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
2014年から確認されている、顧客情報や決済情報というすべての企業が持っている情報を狙う攻撃で「標的型サイバー攻撃」の
攻撃手法が確認される傾向が継続しています。これは、業種や規模を問わず攻撃の標的となり被害に遭う可能性が高まっているこ
とを示しています。特に中小規模の企業が被害を受けた場合、サービスが再開できないなど、事業継続自体が脅かされてしまうケ
ースが今期も2件確認されています。今後、企業でのセキュリティ対策は、自社が持つ顧客情報や決済情報を棚卸し、守るべき情
報の優先度を決定すべきです。そして、社内ネットワークの侵入と公開サーバへの攻撃の可能性を考慮して、攻撃の発生にいかに
早く気付き被害を最小限にとどめることができるか、
という観点が重要になるでしょう。
13 | 日本セキュリティラウンドアップグローバルセキュリティラウンドアップ
新旧手法で脅威を拡散する攻撃者
はじめに
今四半期に確認された脅威は、警戒心だけで身を守ることは不十分だという現実を浮き彫りにしました。サイバー犯罪
者は、標的を狙う際、もはや新たな経路を作り出す必要はなく、既存の手口や手法を駆使するだけで十分だからです。
既存のセキュリティ対策と現実の脅威とのギャップも見過ごされがちです。「不正広告（マルバタイジング）
」は、新しい
脅威ではないと思われ、軽視されている傾向があります。しかし現実は、ユーザ側で最新のセキュリティ対策や各種対
策を講じても、
「ゼロデイ脆弱性を駆使した不正広告の脅威」を防ぐことか難しくなっています。 2015 年 2 月に発生し
た Adobe® Flash® Player の脆弱性を利用した事例は、こうした現実を示す好例です。
モバイル端末も例外ではありません。 2015 年 2 月に Google Play ™でも MDash 関連のアドウェアアプリが約 2,000
も確認され、その多くに公開停止という措置が講じられました。実際には、この公開停止措置の前にすでに何百万の
端末によってダウンロードされたとも言われています。
多くのユーザは「旧来のテクノロジーが深刻な脅威を及ぼす」という現実に注意を払って来なかったようです。マクロ型
不正プログラム感染数の急増、OpenSSL の脆弱性利用の増加など、こうした事例は、サイバー犯罪者が旧来の手口
や脆弱性の活用を重視している現状も示しています。
無防備なユーザの心理を突くという点でこの数ヶ月間に最大の影響を受けた業界は、小売業でしょう。 POS マルウェア
による攻撃が猛威を振るい続ける事実からも、この点は注意が必要です。ランサムウェアと同様、POS マルウェアも勢
いが衰えることなく、企業やその顧客の情報は、今後もこの脅威のリスクにさられることになるでしょう。
これらの脅威に対するセキュリティ対策は十分でしょうか。 2015 年の第 1 四半期に発生した主要な事例は、
「セキュリティ
に長けた個人ユーザや組織へも脅威が及ぶ」という現実を示しました。攻撃者は、目的達成のためにセキュリティ上の
あらゆる盲点を突いてきます。今日のセキュリティ対策では、これで十分だという過信は禁物であると言えるでしょう。
註：本稿に掲載されるデータ等の数値は、特に明記されていない場合、トレンドマイクロのクラウド型セキュリティ基盤
「Trend Micro Smart Protection Network」が出典となります。
TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
ネット広告ビジネスがもたらすセキュリティリスク
「閲覧者の意志に関係なく表示される」
という特徴に便乗し、
ネット広告の悪用が常とう手段化しています。その被害は、
ユー
ザおよびサイト管理者の双方に及んでいます。
不正広告（マルバタイジング）を駆使した最近の攻撃は、新たなゼロデイ脆弱性利用との組み合わせにより、一層深刻化して
います。 2015 年 2 月初旬に確認された不正広告の事例では、エクスプロイトキット「Angler exploit kit（Angler EK）
」によ
り Adobe Flash Player の脆弱性「CVE-2015-0313」が利用されました。この場合、利用される脆弱性はゼロデイであるため
に直ちに修正措置が施されません。不正広告とゼロデイ脆弱性利用という 2 つ手口が組み合わせられたため、
「信用のおけるサ
イトのみを閲覧する」や「最新の修正プログラムで更新されたアプリケーションのみを使用する」といったこれまで有効とされて
きた対処法の価値が大きく損なわれたともいえます。
アメリカ合衆国上院国土安全保障・政府問題委員会の報告書でも「ネット広告業界は、ビジネスモデルの複雑さから、広告を悪
用した不正プログラムの攻撃で被害が発生した場合、誰が責任を負うべきか簡単に判断を下せない状況にある」1 2 と、運営面で
の難しさを指摘しています。実際、不正広告による被害は、エンドユーザだけでなく、広告を表示するサイトの運営者にも及び
ます。不正広告がサイトの閲覧者に被害を与える可能性があるからです。
2015 年第 1 四半期の注目すべき脆弱性
CVE-2015-0310
CVE-2015-0311
Adobe Flash Player
Adobe Flash Player
16.0.0.0257以上のバージョンすべて
16.0.0.0287以上のバージョンすべて
●
「SWF_ANGZIA.A」
を介した脆弱性利用
●
「SWF_ANGZIA.B」
「
、SWF_ANGZIA.C」
（感染経路は未公開）
を介した脆弱性利用
もしくは
「SWF_ANGZIA.F」
●不正広告を介して感染
1月22日
1月22日
1月24日
1月27日
1月22日
1月22日
CVE-2015-0313
1月24日
2月2日
CVE-2015-0072
Adobe Flash Player
Microsoft™ Internet　16.0.0.296以上のバージョンすべて
Explorer® のバージョン9から11
●バックドア型不正プログラム
「BEDEP」
を介し
●不正リンクのWebインジェクションによる脆弱
性利用
た脆弱性利用
●不正広告を介して感染
2月2日
2月2日
共通の脆弱性のCVE ID
2月4日
2月10日
脆弱性が確認された日
2月5日
脆弱性利用の攻撃
が確認された日
2月5日
修正パッチによる
対応が施された日
3月10日
2月3日
Deep Securityのルール
がリリースされた日
2015 年第 1 四半期に確認された 4 つのゼロデイ脆弱性の内、2 つが不正広告を感染経路に利用していました。
1 http://www.hsgac.senate.gov/
2 http://blog.trendmicro.co.jp/archives/11147
15 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
不正広告の手口
通常のネット広告
不正広告
広告主が製品やサービスの販
サイバー犯罪者が広告主を装
促を希望する。
い、不正な広告を提出する。
広告配信ネットワークは、複数の
不正および正規の広告が混在す
広告主の広告をまとめて、複数
る。広告が提出された際の審査
の広告掲載サイトへ配信する。
が不十分である可能性が高い。
広告掲載サイトは、自前のコン
テンツと同時に、広告を任意の
形式で表示させる。
広告掲載サイトを閲覧したユー
ザは、それらの広告を目にする
ことになる。
16 | グローバルセキュリティラウンドアップ不正な広告が、広告掲載サイト
上で表示される。
不正な広告は、Webサイト上で
脆弱性を利用し、閲覧したユーザ
のPC上に不正プログラムを感染
さる。
TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
「BEDEP」および「ROZENA」の感染台数
2014 年第 4 四半期から 2015 年第 1 四半期に「不正広告」で拡散した不正プログラム
2014年第4四半期
合計: 2,503
4千件
2015年第1四半期
合計: 10,031
3,568
2,385
2,480
2千件
1,858
1
0
5
1,660
313
106
6
152
0
10月
2014
11月
BEDEP
合計: 7,719
12月
1月
2015
2月
3月
ROZENA
合計: 4,815
不正広告により、ユーザは、別の Web サイトへ誘導され、ユーザの PC はさまざまな不正プログラムに自動的に感染します。
「Adobe® Flash® Player に存在するゼロデイ脆弱性攻撃」と「不正広告」を組み合わせる手口により、不正プログラム「BEDEP」
が拡散しました。 3 何も知らずに「BEDEP」をダウンロードしたユーザは、詐欺被害や他の不正プログラムのダウンロードといっ
たリスクの他、気づかないうちに攻撃者が操作するボットネットの一部になるリスクにさらされます。 4
今四半期に確認された広告関連脅威では「Superfish」もあげられます。「Superfish」は、PC メーカ「Lenovo」が出荷した
一般消費者向け PC の一部のバージョンにプレインストールされたブラウザアドオンです。公表によれば、2014 年 9 月から 12
月の間に少なくとも 52 種類のラップトップモデルの PC にプレインストールされていました。 5 6「Superfish」は、出荷前にプ
レインストールされて大量のディスクスペースを消費することから、またユーザの閲覧履歴に基づいて画像を表示させるなど、
検索結果を変更させる機能を備えていることから、
「ブロートウェア」もしくは「不必要なソフトウェア」と分類されていました。 7
また、
「Superfish」が行う設定がサイバー犯罪者に悪用されることで、安全と見なされている暗号化通信が中間者攻撃を受け
る危険性も発生しています。
3
4
5
6
7
http://blog.trendmicro.co.jp/archives/10837
http://blog.trendmicro.co.jp/archives/10911
http://blog.trendmicro.co.jp/archives/10965
http://support.lenovo.com/jp/ja/product_security/superfish
http://www.webopedia.com/TERM/B/bloatware.html
17 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
Superfish の手口
Superfishは、Lenovoのノート
PCの特定モデルにプレインストー
ルされているため、ユーザは、
Superfishが何であり、何をする
かを知らない場合がある。
Superfishは、自身のルート認証
により、HTTPSを介しても機能す
る。このため、安全な通信上で傍受
が警告なしに行なわれる可能性が
Superfish Visual Searchは、ブラ
ある。
ウザアドオンであり、検索結果に関連
した広告関連画像を表示させること
が可能。
Superfishが認証に使用する秘密
鍵は、全てのノートPCで同一であ
り、暗号化やセキュリティの面で悪
用される可能性がある。
Superfish は、PC にプレインストールされ、アドウェアのような動作を示します。加えて、突破されやすい脆弱な認証機能
が使用されているため、安全な通信さえも大きなリスクにさらす可能性があります。
この種のアドウェアによる被害は PC ユーザだけでなくモバイル端末にも及びます。 MDash ソフトウェア開発キット（SDK）を用
（トレンドマイクロでは
「ANDROIDOS_
いた Google Play ™ 関連アプリも不正な広告を執拗に表示するからです。8 この MDash
ADMDASH.HRX」として検出）は、Google Play から削除されるまでの間、関連アプリに用いられて数百万ものモバイル端末
へ感染したと見られています。 Google Play では、同種の動作を示すアプリが 2,000 以上も確認されています。
8 http://blog.trendmicro.com/trendlabs-security-intelligence/the-fine-line-between-ad-and-adware-a-closer-look-at-the-mdash-sdk/
18 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
MDash 関連アプリ数：
Google Play 上からの削除前と後の比較
2015年２月３日
2月
2015年3月11日
MDashに関連した3つのア
トレンドマイクロの調査でも
プリがGoogleのアプリスト
2,377に及ぶアプリが確認さ
アから削除されたと報じら
れる。
れる。
3月
2015年3月26日
2015年3月31日
Googleにも現状が連絡さ
トレンドマイクロの調査によ
れ、さらなる調査が実施さ
り、さらに682のアプリが確
れる。
4月
認される。
2015年4月2日
2015年4月15日
MDashに関するブログ記事
トレンドマイクロの再調査に
が公開される。
より、さらに85のアプリが確
5月
認される。
2015 年 3 月、約 2,000 に及ぶ MDash 関連のアプリが、Google Play 上で確認されました。そのほとんどは、確認から 1 ヶ
月以内に削除されました。
今四半期に注目されたこれらの脅威は、ネット広告のプラットフォームを悪用してデータ関連のセキュリティを侵害したといえま
す。不正広告は、上述の Adobe Flash Player のゼロデイ攻撃でも明らかなとおり、効果的な手口となり得ることを示しました。
Superfish のような脅威も、安全と見なされた通信を攻撃者の手に明け渡してしまいます。モバイル端末も、MDash を利用し
たアプリや同種のアプリにより情報窃取の被害を及ぼし、こうした脅威から安全な端末は存在しないことが改めて示されたと言え
ます。
19 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
一般のユーザにとって不正広告は最も悪質な脅威の1つと言えます。正しい行いをしているユーザに被害を与えるという意
味では、他のいかなる脅威よりも悪質です。不正広告は、不用意にリンクをクリックしない慎重なユーザにも、
セキュリティ対
策の更新を正しく実行しているユーザにも、信頼のおけるサイトしか閲覧しないユーザにも、いずれのユーザにも影響を及
ぼします。つまり、
「どれだけ注意を払っていても、
不正広告の被害を受けるときは受けてしまう、誰にでも起こりうる問題で
ある」
ということです。
—Christopher Budd,
Threat Communications Manager
広告を悪用する傾向が今後も続く場合、
ブラウザソフトウェアの作成者は、広告ブロック機能を追加することになるでしょう。
今日、
こうした広告ブロック機能は、サードパーティ製のブラウザや追加機能でしか出回っていません。このような変化を回
避するための手段は、広告業界の競争を正しい方向へ導くということしかありません。例えば、広告会社において、
「広告内
容をチェックするサンドボックス機能」
や対象顧客向けの
「効果的な認証機能の追加」
などの導入を促すことです。
—Rik Ferguson,
Vice President of Security Research
20 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
企業を標的にした「Crypto ランサムウェア」の急増
「Crypto ランサムウェア」が標的の対象範囲を個人ユーザに加え企業や特定ユーザへと拡大
2015 年第 1 四半期に確認された全ランサムウェアのほぼ半数が、深刻な被害を及ぼす「Crypto ランサムウェア」でした。この
種のランサムウェアは、
「警察になりすましてユーザを脅す」
「PC をロックし使用不可にさせる」などの従来型ランサムウェアと
異なり、
「感染した PC 内のファイル暗号化して支払いを強要する」という手口を用いるため、ユーザへ大きなリスクをもたらし
ます。
「Crypto ランサムウェア」の亜種同士の比較
1
2
GulCrypt
TROJ_GULCRYPT.A
[email protected]
(Bandarchor)
TROJ_CRYPAURA.F
3 CryptoFortress
TROJ_CRYPFORT.A
パスワードロックのかかったRAR
旧来の手法を使用しているが、
新た
ファイルを使用。パスワードは、PGP
な亜種が頻繁にリリースされてい
ファイルの拡張子を検索するために
による暗号化
る。より多くのファイルタイプを標的
ワイルドカードを使用。ネットワーク
にしており、
脅迫状もロシア語から英
共有フォルダ内のファイルを暗号化
他のコンポーネントと共に
によりダ
「TROJ_CRYPTOP.KLS」
ウンロード
「TorrentLocker」
のUIを模倣し、
語へ変更
スパムメールと脆弱性利用により
エクスプロイトキット
「Nuclear
拡散
Exploit Kit」
に含まれる
5
4 TeslaCrypt
TROJ_CRYPAURA.F
VaultCrypt
BAT_CRYPVAULT.A
6
Troidesh
TROJ_CRYPSHED.A
「CryptoLocker」
に類似したUIを使
ファイルの暗号化にGnuPGを使用。
ブラ
ファイル名を "＜エンコードされた
用。文書ファイルの他、
ゲーム関連の
ウザに保存されたログイン情報を窃取す
ファイル名＞.xtbl" に変更し、IPアド
ファイルも暗号化
るハッキングツールをダウンロード。被害
レスを窃取
ユーザがバックアップからファイルを復元
エクスプロイトキット
「Angler
Exploit Kit」
に含まれる
するのを防ぐため、
sDeleteを16回使用。
主にロシアのユーザを標的にしている
JavaScript™ダウンローダとスパム
メールにより拡散
21 | グローバルセキュリティラウンドアップエクスプロイトキット
「Nuclear
Exploit Kit」
に含まれる
TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
1
特徴
GulCrypt
TROJ_GULCRYPT.A
2
3
[email protected](Bandarchor)
TROJ_CRYPAURA.F
CryptoFortress
TROJ_CRYPFORT.A
新規のファミリか？
Yes
Yes
Yes
窃取される情報
該当なし
コンピュータ名および端末の
該当なし
GUID
C&C 通信
No
脅迫状のファイル名
＜ユーザ名＞ _files
暗号化されたファイルの拡張子
.rar
Yes（ハードコード化された
C&C サーバ）
No
fud.bmp（壁紙用ファイルとし
READ IF YOU WANT YOUR
FILES BACK.html
.id- ＜ id# ＞ _fud@india.
com .frtrss
て）
• ＜ id# ＞は、復号作業の過程
で被害者となったユーザを特
定する番号を意味する
シャドウコピーは削除される
か？
No
No
標的となったファイル数
11
102（古い亜種の 39 から増加） 132+
要求された身代金の額
300 ユーロ
支払いサイト向けに使用され
た Deep Web
Mail2Tor（Tor の E メール
サービス）
No（E メールを介してのみ）
Tor
フリーミアムのサービスは含ま
れていたか？
Yes（E メールを介して）
No
Yes
22 | グローバルセキュリティラウンドアップ 500 米ドル相当の Bitcoin
（BTC）
Yes
1 BTC
TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
特徴
4
5
TeslaCrypt
TROJ_CRYPAURA.F
6
VaultCrypt
BAT_CRYPVAULT.A
Troidesh
TROJ_CRYPSHED.A
新規のファミリか？
Yes
Yes
Yes
窃取される情報
IP アドレス
ハッキングツール「Browser
IP アドレス
Password Dump by Security Xploded（「HKTL_BROWPASS」として検出対応）」を利
用しブラウザにキャッシュとし
て保存された重要情報を窃取
C&C 通信
Yes（Tor2web を介して）
Yes（Onion City - Tor2web） Yes（Tor を介して）
を介して
脅迫状のファイル名
HELP_TO_SAVE_YOUR_
FILES.txt;
HELP_TO_SAVE_YOUR_
FILES.bmp（壁紙用ファイル
VAULT.txt
暗号化されたファイルの拡張子
.ecc
.VAULT
" ＜エクスプロイト化されたファ
イル名＞ .xtbl" へファイル名
が改称される
シャドウコピーは削除される
か？
Yes
Yes
No
標的となったファイル数
185
15
342
要求された身代金の額
1.5 BTC PayPal で支払 247 米ドル相当の Bitcoin
（BTC）7 日後に増額される
う場合は 1000 米ドル
金額不明（ユーザは、まず攻
撃者にメールで連絡する必要
がある）
支払いサイト向けに使用され
た Deep Web
Tor
Tor
No（E メールを介してのみ）
フリーミアムのサービスは含ま
れていたか？
Yes
Yes
No
README ＜ 1 から 10 の数字
＞ .txt
として）
新たな主要 Crypto ランサムウェアとして 6 つのファミリが追加されました。これらは、被害者が要求される程度や巧妙さの
点でさまざまに異なっています。
23 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
ランサムウェアの感染台数
2万件
1万
3千
1万
2千
従来型ランサムウェア
9千
1万件
3千
0
8千
2千
6千
6千
3千
3千
8千
Cryptoランサムウェア
3千
第4四半期第1四半期第2四半期第3四半期第4四半期第1四半期
2013年
2014年
2015年
2014 年第 1 四半期から第 3 四半期までは、2013 年末のランサムウェアの拡散に利用されることで知られるエクスプロイト
キット「Blackhole Exploit Kit」作成者（Paunch）の逮捕もあり、ランサムウェアは減少傾向にありましたが 2014 年末
に再び増加に転じました。
2015 年第 1 四半期におけるランサムウェア感染台数の国別トップ 10
米国
34%
オーストラリア
6%
日本
6%
トルコ
5%
イタリア
5%
フランス
4%
ドイツ
3%
インド
3%
カナダ
2%
フィリピン
2%
その他
30%
ランサムウェアの感染被害の大部分が米国で占められています。これは、2015 年初旬に Crypto ランサムウェアの新しい亜
種「CTB-Locker」が、米国に住むユーザを標的にした登場したことに起因しています。
24 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
ランサムウェアのファミリ別トップ 10
CRYPCTB
25%
REVETON
20%
KOVTER
17%
CRYPWALL
11%
RANSOM
10%
CRILOCK
6%
CRYPTOPHP
5%
VIRLOCK
1%
MATSNU
1%
CRYPTWALL
1%
その他
3%
Cryptoランサムウェア
「CRYPCTB」
は、
「CTB-Locker」
の亜種のトレンドマイクロでの検出名で全体の 25% を占め、2015 年の最初の 2 ヶ月にユー
ザを大いに悩ませたランサムウェアといえます。
「CryptoLocker」に利用された「Blackhole Exploit Kit（BHEK）
」作成者とされる Paunch 容疑者の 2013 年の逮捕劇は、
ランサムウェアの感染数減少に貢献したようですが、この事例だけでは、他のサイバー犯罪者が凶悪な亜種を使用することへの
抑止にはならなかったようです。 9 今日、多くのユーザが、より一層深刻な被害をもたらすランサムウェアの亜種に悩まされてい
ます。
むしろ状況は悪化したと言え、ランサムウェアは、いまや個人ユーザではなく企業を標的にしています。「CryptoLocker」の模
倣とも言われる「CryptoFortress」
（トレンドマイクロでは「TROJ_CRYPFORT.A」として検出）は、共有フォルダ内のファイ
ルを暗号化します。 10 また「CRYPWEB」は、Web サーバの各種データベースを暗号化します。 11 企業は、ランサムウェアを
「自社のインフラや業務を脅かす深刻な脅威」と見なす必要があります。
9 http://blog.trendmicro.co.jp/archives/6689
10 http://about-threats.trendmicro.com/Malware.aspx?language=jp&name=TROJ_CRYPFORT.A
11 http://about-threats.trendmicro.com/malware.aspx?language=jp&name=PHP_CRYPWEB.A
25 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
ランサムウェアの感染台数におけるセグメントごとの分布
2015 年第 1 四半期と 2014 年第 4 四半期の比較
16,433件
15,532件
2014年第4四半期
2015年第1四半期
72%
個人ユーザ
52%
16%
大企業
28%
6%
中小・中堅企業
14%
6%
その他
6%
ランサムウェア感染台数の中でも企業が影響を受けた割合は、2015 年第 1 四半期にほぼ倍増しています。これは、一般ユー
ザではなく企業をターゲットにするランサムウェア数の増加に起因していると言えます。
企業の他、オンラインゲームのユーザも、Crypto ランサムウェアの標的になりました。「Teslacrypt」
（トレンドマイクロでは
「TROJ_CRYPTESLA.A」として検出）は、感染した PC 内でユーザのメディア関連のバックアップファイルと共に、オンラ
や関連のソフトウェアデータや文書を暗号化します。12 13 また、
オンラインゲームだけでなく、
マサチュー
インゲーム
「Steam®」
セッツ州では警察官が被害に遭い、
「暗号化されたファイルへのアクセスを回復させるために 500 米ドルを支払わされた」と
いう事例も報じられました。 14
オーストラリアやニュージーランドのユーザも、ランサムウェアによる攻撃の被害に遭いました。 2015 年 1 月に確認された
「TorrentLocker」の攻撃事例ですが、この事例からは、各市場へ少しずつ攻撃対象を拡大させている傾向も伺えます。
今四半期には、Crypto ランサムウェアの他の亜種における改良も確認されました。例えば、
「CRYPAURA」は、
元々 39 のファ
イルを暗号化して人質に取るところ、改良によりファイル数は 102 に増加しました。
12 http://blog.trendmicro.com/trendlabs-security-intelligence/crypto-ransomware-sightings-and-trends-for-1q-2015/
13 http://about-threats.trendmicro.com/malware.aspx?language=jp&name=TROJ_CRYPTESLA.A
14 http://www.cio-today.com/article/index.php?story_id=033001297WKR
26 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
ランサムウェアの手口は「PC やファイルへのアクセスを回復させるためにユーザを脅して支払いを強要する」という点で、かつ
ての FAKEAV の手口とも似ています。今後も、ランサムウェアが、かつての FAKEAV と同じく多くの問題を引き起こすかも
判明するでしょう。ただ、FAKEAV の場合は「ポップアップメッセージを無視すること」など、ユーザへの教育が大きな効果を
発揮し、ユーザの安全を確保できていましたが、ランサムウェアの場合は、その限りではありません。ランサムウェアに感染し
た場合、暗号化されたファイルを回復するための選択の余地はユーザにありません。唯一の対策は「PC 内のファイルは必ず安
全な場所にバックアップしておき、暗号化されても対処できるようにしておく」という点に尽きます。
「Cryptoランサムウェア」
は、金銭目的のサイバー犯罪者にとって非常に有効な手口となっています。実際、初期の亜種を
利用して、
わずか数ヶ月間に数百万米ドルを稼いだとも言われています。従来のランサムウェアに一定の暗号化モジュール
を作成できる点も、
この脅威が拡大した要因と言えます。暗号化には不可
を追加するだけで簡単に
「Cryptランサムウェア」
逆的なアルゴリズムが使用されているため、被害に遭ったユーザは、事前にバックアップしていない限りファイルを復元する
ことはできず、
身代金を支払ってもファイルを取り戻すことができる保証はありません。
—Anthony Melgarejo,
Threat Response Engineer
27 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
マクロ型不正プログラム：効果的な旧来の手口
今日、以前に Office のマクロ機能がどのように悪用されていたかを理解するユーザは非常に少ないはずです。マクロ型
不正プログラムの再来は、多くのユーザが旧来の手口について知識がなく無防備であることを突いた点で、典型的なサ
イバー犯罪者の手法といえます。
マクロ型不正プログラムの再来は、マクロ機能を有した添付ファイルのスパムメールや新たな亜種などの増加を通して 2014 年
後半から確認されていました。これらのマクロ型不正プログラムは、ユーザが頻繁に使用する語句や人気の検索ワード等を駆
使し、ユーザに対して添付ファイルの実行を促していました。 15 悪名高きオンライン銀行詐欺ツールの「VAWTRAK」も、感
染手法にマクロを悪用し始めていました。このケースでは、この不正プログラムで知られているこれまでの感染手法とは大き
く異なっていました。スパムメールを介して添付の Word ファイルを閲覧するためと称してユーザにマクロを有効化するように
促します。マクロを有効すると、マクロ型不正プログラム（
「W2KM_VLOAD.A」
）が実行され、さらに「VAWTRAK」の亜種
「DRIDEX」や「ROVNIX」などの頒布もあげられ
がダウンロードされることになります。 16 同様の手法を利用した事例では、
ます。 17 18
サイバー犯罪者は、マクロが何でありどのように機能するかをほとんどのユーザは知らないという現実をうまく利用しました。結
果的に「内容を表示させるためにマクロを有効にしてください」と促されることで、ユーザは、何の疑いもなく指示に従い、被
害に遭いました。
マクロは、サンドボックスによるセキュリティ対策を回避できる可能性がある点からも、攻撃者にとって格好の感染手法となりつ
つあります。マクロ型不正プログラムを実行させる場合には手動によるユーザの介入が必要となるため、自動実行中心の不正
プログラム検知を前提としたサンドボックス技術では、この種の脅威を阻止できない可能性があります。 E メールスキャンの技
術も、存在が見過ごされがちで難読化が容易なマクロ型不正プログラムの対策には効果的でない場合があります。
マクロ型不正プログラムの手口
スパムメールにより、ユーザは、ダウンロードや添付ファイルの開封等を促
されます。通常、開封されたファイルは、空欄であったり判読不可な内容が
含まれていたりします。
さらに受信者に対して
「内容を表示させるためにマクロを有効化
してください」
というメッセージと共にその手順が示されます。
マクロが有効化されると、最終的な不正活動が実行さ
れます。
最近のマクロ型不正プログラムの攻撃では、ソーシャルエンジニアリングが大きな役割を果たしています。ユーザは、添付ファ
イルを閲覧するためと称して、背後では不正な活動が実行されることも知らず、マクロを有効化するように促されます。
15
16
17
18
http://blog.trendmicro.co.jp/archives/11191
http://blog.trendmicro.co.jp/archives/10959
http://blog.trendmicro.co.jp/archives/10238
http://blog.trendmicro.com/trendlabs-security-intelligence/rovnix-infects-systems-with-password-protected-macros/
28 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
新たに確認されたマクロ型不正プログラム
500件
436
250件
180
79
29
0
2011年
2012年
19
2013年
2014年
2015年
マクロ型不正プログラムの再来は 2014 年から確認されていましたが、2015 年に入りより顕著になりました。
マクロ型不正プログラムの感染台数
9万3千
10万件
4万8千
5万件
3万2千
2万
0
第1四半期
2014年
2万2千
第2四半期
第3四半期
第4四半期
第1四半期
2015年
マクロ型不正プログラムの感染台数は、2014 年第 1 四半期から増加を続けていました。これは、新たな亜種の登場や不正
なマクロ機能を備えたファイルが添付されたスパムメールの増加などに起因しています。
29 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
マクロ型不正プログラムの感染台数：国別トップ 10
中国
22%
米国
14%
イギリス
12%
日本
7%
オーストラリア
5%
フランス
5%
イタリア
4%
台湾
3%
ドイツ
3%
インド
2%
その他
23%
2015 年第 1 四半期でマクロ型不正プログラムに最も多く感染した国は中国となっています。 Microsoft Office では、マク
ロ機能は初期設定で無効化されていますが、古いバージョンを使用しているユーザは、無効となっていない場合があり、感
染のリスクにさらされています。
マクロ型不正プログラム：亜種別トップ 10
W97M_MARKER.BO
8%
X97M_OLEMAL.A
5%
W2KM_DLOADR.JS
3%
X2KM_DLOADR.C
2%
W97M_SATELLITE
2%
W97M_DLOADR.XTRZ
2%
W2KM_DLOAD.NB
2%
W97M_DLOADER.GHV
2%
X2KM_DLOAD.A
2%
X97M_LAROUX.CO
2%
その他
30 | グローバルセキュリティラウンドアップ 70%
TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
不正なマクロとして悪用されたアプリケーション：トップ 3
Word
75%
Excel®
21%
PowerPoint®
1%
その他
3%
Microsoft Word による文書や Excel による表計算シートがサイバー犯罪者がマクロを悪用する上での格好のアプリケー
ションであることが示されました。
マクロ型不正プログラム：ファミリ別トップ 10
DLOADR
30%
DLOAD
10%
MARKER
8%
BARTALEX
8%
DLOADER
6%
DLOADE
5%
OLEMAL
4%
LAROUX
4%
BURSTED
3%
MDROP
2%
その他
20%
ダウンローダ活動
マクロ型不正プログラムは、脅威の拡散手法として好んで利用されているようです。ダウンローダ活動を持つファミリが上
位を占めていることがそれを示しています。
マクロは、MS Officeファイルに正規機能として組み込まれているため、いつでも悪用は可能な状況でした。マクロ型不正プ
ログラムの最近の成功は、
ソーシャルエンジニアリングの手口を上手く利用した点にあると言えます。また、難読化が容易で
あり、亜種が作成しやすい点もあげられます。また、
マクロは、バッチファイルやスクリプトファイルを介しても実行させるこ
とが可能であり、
この点も、
状況を悪化させている要因といえます。
—Anthony Melgarejo,
Threat Response Engineer
31 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
脆弱性管理の課題を浮き彫りにした「FREAK」
「FREAK」や「GHOST」は、脆弱性が存在する PC やアプリケーションを使用するユーザを動揺させました。定例外の
脆弱性対応をどうすべきかなど、多様なプラットフォームや端末の安全を確保すべき IT 管理者にとっての課題を明らかに
したからです。今後、プラットフォームや端末の枠を越えた多くの脆弱性利用の登場が懸念されます。
「Factoring RSA Export Keys (FREAK)」は、安全とされるサイトやアプリケーションに安易な暗号化を使用させる脆弱
性として、2015 年 3 月に発見されました。「OpenSSL」の 1.0.1k 以前にリリースされた全てのバージョン、さらに「Apple
Transport Layer Security (TLS)」や「Secure Sockets Layer (SSL)」のクライアントは、この脆弱性が利用されるこ
とで「Man-In-The-Middle（MitM、中間者）攻撃」の被害に遭う可能性があります。 19 また、この脆弱性の影響を受けた
Windows® のユーザも、機密情報を窃取される危険性があります。 20
現時点で脆弱性が存在する
割合
2015 年 3 月 3 日での割合か
らの変化
Alexa の上位 100 万のドメイン名内にある HTTPS サーバ
8.5%
9.6% から減少
ブラウザの信頼済み認証を得ている HTTPS サーバ
6.5%
36.7% から減少
すべての HTTPS サーバ
11.8%
26.3% から減少
この脆弱性「FREAK」の影響を受けたサーバの数は、脆弱性発見の 2015 年 3 月以降、減少傾向にあります。 21
「GHOST」は、Linux ™内のバッファーオーバーフローの脆弱性（
「glibc」や「GNU C Library」の 2.2 以前のバージョンに影響）
として 2015 年 1 月に確認されました。この脆弱性は、
「glibc」の特定機能を呼び出すことで任意のコードが実行可能になります。
幸い、この脆弱性利用は簡単ではないため、影響を受けたシステムも少数にとどまっています。 22
クライアントやサーバの脆弱性はもちろん、Web アプリケーションの脆弱性も、悪用される前に修正対応する必要があります。
これらはいずれも、脆弱性の可能性があるバックエンドのデータベースに業務関連のデータが保存される状況から、大きなリス
クを伴う危険性があります。
また、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network（SPN）
」に基づくサーバへ
のネットワーク攻撃のデータは、PHP サーバの脆弱性が企業で最も攻撃を受けていることを示しています。実際、サーバ関連
の脆弱性攻撃トップ 10 は、すべて PHP サーバ側のスクリプト言語で、Web 開発や一般的なプログラミング言語として使用さ
れたものです。しかも、これらの脆弱性の中で、
「高」や「深刻」として評価されたもののほとんどは、最近の PHP バージョン
で修正対応されたものです。
19
20
21
22
http://blog.trendmicro.co.jp/archives/11009
https://www.smacktls.com/#freak
https://freakattack.com/
http://blog.trendmicro.co.jp/archives/10818
32 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
2015 年第 1 四半期に確認されたサーバ脆弱性攻撃トップ 10
深刻度
CVE ID
影響を受
けたソフト
ウェア
詳細
対策
CVE-2012-2688
深刻
PHP
不特定
PHP 5.3.15 もしくは 5.4.5 以降の
バージョンへアップグレード
CVE-2012-2376
深刻
PHP
攻撃者による任意のコード実行が可
能になる。
今後リリースされる修正パッチによる
適応もしくは今後の更新さえるバー
ジョンへのアップグレード
CVE-2011-3268
深刻
PHP
攻撃者による任意のコード実行が可
能になる。影響を受けたアプリケー
ションをクラッシュさせることが可能
になる。
CVE-2014-9427
高
PHP
影響を受けたアプリケーションのク
ラッシュ hp-cgi プロセスメモリ
からの情報窃取予期しないコー
ドの実行
この欠陥を修正するため、アプリケー
ションベンダへの連絡
CVE-2013-1635
高
PHP
攻撃者は、制限されたアクセスを迂
回することが可能になる。
PHP 5.3.22 もしくは 5.4.13 以降の
バージョンへアップグレード
CVE-2011-1092
高
PHP
攻撃者は、影響を受けたアプリケー
ションをクラッシュさせることが可能
になる。
プグレード
CVE-2012-1823
高
PHP
攻撃者による任意のコード実行が可
能になる。
プグレード
CVE-2012-2311
高
PHP
攻撃者による任意のコード実行が可
能になる。
PHP 5.3.13 もしくは 5.4.3 以降の
バージョンへアップグレード
CVE-2012-2386
高
PHP
攻撃者は、影響を受けたアプリケー
ションをクラッシュさせることが可能
になる。
PHP 5.3.14 もしくは 5.4.4 以降の
バージョンへアップグレード
CVE-2011-1153
高
PHP
攻撃者による、機密情報の取得や
DoS 攻撃の実行が可能になる。
PHP 5.3.7 以降のバージョンへアップ
グレード
PHP 5.3.6 以降のバージョンへアッ
PHP 5.4.2 以降のバージョンへアッ
PHP 5.3.6 以降のバージョンへアッ
プグレード
PHP は、2015 年第 1 四半期に最も多く脆弱性の確認されたプラットフォームです。このスクリプト言語のさまざまバージョ
ンで脆弱性が発見されました。ユーザや IT 管理者は、最新の修正パッチで対応し、なおかつ最新バージョンへアップグレー
ドが必要です。このトップ 10 は Trend Micro のサーバ向けセキュリティ対策製品である「Deep Security」により、実際
にブロックされた脆弱性攻撃の集計に基づいています。
33 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
オープンソースのオペレーティングシステム（OS）やアプリケーションに存在する多くの脆弱性が明らかになってくると、IT 管
理者にとってそれらに付随するリスクへの対策は一層困難になってくるでしょう。基本的な問題は、脆弱性の公開やパッチ対応に
関する直接的な説明責任が欠如している点だといえます。
脆弱性
「FREAK」
を利用した攻撃は、
どれだけシステムやネットワークの安全を確保しても、常に新たな脆弱性が発見されて
しまう現実を浮き彫りにしたと言えます。いわゆるレガシーシステムは、できる限り最新のバージョンにアップデートしてお
くべきです。また企業では、
ベンダが開発してカスタマイズされたアプリケーションのソースコードも保持しておくべきです。
「Heartbleed 」
と同様、今回の
「FREAK」
も、
「OpenSSL 」
の脆さを改めて明らかにしました。これは、すでに旧式の技術と
も言え、優れた暗号機能を備えたライブラリに置き換えるべきです。オープンソースのソフトウェアやライブラリに依存して
いる企業は、
セキュリティポリシーを見直して、
より強固なものに改善すべきです。企業は、IPやドメインの評価の行い、情報
漏えい検知システムを介してネットワークトラフィックの監視し、既知や未知の脅威をブロックできる侵入防止措置を用いる
等、
各種のセキュリティ対策を講じる必要があります。
—Pawan Kinger,
Director of Deep Security Labs
34 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
大規模情報漏えいに見舞われる医療サービス業界、
POS マルウェアに悩まされる小売・サービス業界
医療サービス業者のネットワークでは大量の機密情報が保存されていますが、その状況にも関わらず、最善のセキュリティ
対策を講じていないことが、この業界が格好の標的とされる理由と言えます。
2015 年 3 月、大手医療サービス業者「Premera Blue Cross」や「Anthem」が大規模な情報漏えい被害に見舞われ、数
百万に及ぶ顧客情報や医療記録が漏えいしました。 23 Anthem での情報漏えい事例では、8000 万に及ぶ顧客情報や雇用者
情報が影響を受けたと報じられています。 24 一方、
「Premera Blue Cross」への攻撃は、2015 年 1 月に発覚し、1100 万に
及ぶ顧客情報が漏えいしたと言われています。双方の情報漏えい事例は、2011 年に発生し、大手医療サービス業者への攻撃と
しては最悪な事例と言われた 860 万に及ぶ記録が漏えいした「NHS」の事例をも上回りました。 25
医療サービス業者のネットワークでは大量の機密情報が保存されており、攻撃者の格好の標的となっています。また実際に発生
している被害の大きさは、必ずしも機密情報の量に見合った最適なセキュリティ対策が講じられていない実情を示しています。 26
2009 年から 2015 年にかけて発生した医療サービス業者関連の主要な情報漏えい事例
Virginia Department of Health | 米国
National Health Services | イギリス
患者の記録、処方せん
2009
漏えいした記録：830万人分
2010
Advocate Medical Group | 米国
氏名、住所、生年月日、社会保障番号
2011
暗号化されていない患者の記録
漏えいした記録：860万人分
Community Health Systems | 米国
5年分相当の氏名、住所、生年月日、
社会保障番号
漏えいした記録：400万人分
2012
Premera Blue | 米国
2013
Anthem | 米国
氏名、生年月日、
メンバーID番号、社
氏名、生年月日、
メールアドレス、住所、
2014
電話番号、社会保障番号、
メンバーID
会保障番号、住所、電話番号、
メール
アドレス、雇用情報
番号、銀行口座、請求情報、医療情報
漏えいした記録：1100万人分
漏えいした記録：450万人分
年
2015
漏えいした記録：8000万人分
2015 年初旬に発生した「Anthem」および「Premera Blue Cross」が見舞われた事例は、これまでで最悪の情報漏えい
事例と言われています。 27 それ以前に発生した同じタイプの情報事例は、2011 年の NHS が見舞われた事例で、この場合、
患者の記録が暗号化されないかたちでノート型 PC に保存された情報が窃取されました（ここで言及した情報漏えい事例は、
4,000 万以上の情報が窃取されたケースに限定しています）。
23
24
25
26
27
http://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/premera-blue-cross-data-breach-exposes-11m-patient-records
http://blog.trendmicro.com/what-you-need-to-know-about-the-anthem-hack/
http://www.zdnet.com/article/nhs-laptop-loss-could-put-millions-of-records-at-risk/
http://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/millions-affected-in-anthem-breach-healthcare-companies-prime-attack-targets
http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
35 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
2005 年から 2014 年にかけて発生した情報漏えい事例の内、医療関係の占める割合の変遷
10%
14%
14%
15%
2005年
2006年
2007年
2008年
14%
25%
24%
36%
2009年
2010年
2011年
2012年
44%
43%
2013年
2014年
医療関係の情報漏えい事例
医療サービス業者が被害を受けた情報漏えい事例数は、2005 年から 2014 年にかけて増加を続けています。特に 2012
年から 2014 年にかけてその数はビジネスや軍事や政府関係機関における被害数を上回っています。 28
小売業やサービス業では、POS マルウェア数が増加を続けています。攻撃者は POS システムの弱点を探し出し、POS マルウェ
アをネットワークへ侵入させています。POS マルウェアは、手っ取り早く大きな利益を得る手段を攻撃者にもたらしたと言えます。
新旧入り乱れてさまざまなタイプの POS マルウェアの亜種がユーザを悩ましています。 2015 年 2 月には「FighterPoS ( トレ
ンドマイクロでは「POSFIGHT」として検出 )」が登場し、悪名高い POS マルウェアリストに加わりました。他方、旧来からの
「BlackPOS ( トレンドマイクロでは「POCARDL」として検出 )」も、今でも企業を狙い続け、感染台数の合計数の大きな割
合を占めています。 29
28 http://www.idtheftcenter.org/ITRC-Surveys-Studies/2008-data-breaches.html
29 http://blog.trendmicro.com/trendlabs-security-intelligence/pwnpos-old-undetected-pos-malware-still-causing-havoc/
36 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
POS マルウェアの感染台数の変遷
120件
300件
259
60件
156
124
150件
123
73
0
0
1月
2015年
2月
3月
第1四半期第2四半期第3四半期第4四半期第1四半期
2014年
2015年
POS マルウェアの感染台数は、追跡を始めた 2014 年の間に倍増しています。これは、BlackPOS など、POS マルウェ
アの巧妙化に起因していると言えます。 30
2015 年第 1 四半期の POS マルウェア感染台数：国別トップ 10
米国
23%
オーストラリア
10%
台湾
8%
オーストリア
7%
イタリア
5%
ブラジル
4%
カナダ
4%
フィリピン
4%
フランス
3%
日本
2%
その他
30%
米国が POS マルウェアによる攻撃を最も多く受けた国となっており、大きな被害が生じる可能性があります。これは、米国
人口の 80% が現金ではなくカードで支払いを行っていることにも起因していると言えます。 31
30 http://blog.trendmicro.co.jp/archives/9783
31 http://www.consumercredit.com/financial-education/infographics/infographic-cash-vs-card.aspx
37 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
2015 年第 1 四半期の POS マルウェア：ファミリ別トップ 10
POCARDL
20%
DEXTR
14%
POSLOGR
11%
POSNEWT
7%
JACKPOS
7%
POCARDLER
6%
POSLUSY
6%
ALINAOS
5%
POSHOOK
5%
ALINA
5%
その他
14%
「POCARDL」は、2012 年 10 月に初めて確認され、決済カードの情報を窃取することで知られていますが、この POS マル
ウェアが 2015 年第 1 四半期もトップとなっています。 32
POSマルウェアは、スケアウェアやFAKEAVやランサムウェアと同様、今後はセキュリティ業界での大きな課題となるでしょ
う。
この傾向は、
現金よりもクレジットカードをよく利用する米国などの国々で特に顕著になると言えます。
—Jay Yaneza,
Cyberthreat Researcher
32 http://www.trendmicro.co.jp/cloud-content/jp/pdfs/security-intelligence/threat-report/pdf-2014q1-20140520.pdf?cm_sp=Corp-_-sr-_-2014Q1
38 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
新たな戦略・技術・手法を携えて進化する標的型サイバー攻撃
「Rocket Kitten」や「Pawn Storm 作戦」の攻撃者は、新たな標的に狙いを定めており、標的型サイバー攻撃が一貫
して進化を続けている状況を浮き彫りにしています。
「Pawn Storm 作戦」は、経済および政治的な諜報活動を目的とした標的型サイバー攻撃であり、標的のネットワークへ初期
潜入する際、iOS 向け端末の脆弱性を利用します。 33 むろん、標的型攻撃でモバイル関連の不正プログラムを使用するキャン
ペーン活動は今回が初めてではないですが、特に iOS を標的にしたという点では、Pawn Storm が最初だと言えます。この脅
威の背後の攻撃者は「XAgent」や「MadCap の偽バージョン」という２つの不正 iOS アプリを使用していました。トレンドマイ
クロ製品ではそれぞれ「IOS_XAGENT.A」および「IOS_ XAGENT.B」の検出名で対応しています。この２つの不正アプリは、
Windows の PC 対象の不正プログラムでは「SEDNIT」の亜種に相当します。
標的型攻撃の巧妙化が続く中、
「Rocket Kitten」も、自身の「戦略、技術、手法（Tactics, Techniques and Procedures、
TTP）」を強化させ 34、攻撃者は、キー操作情報を窃取する不正プログラム「WOOLERG」をホストするためにオンラインストレー
ジサービスの OneDrive® まで悪用していました。
2011 年以降に確認された主要なモバイル向け標的型攻撃
Pawn Storm
攻撃者集団の扇動による経済政治的な諜報活動であり、主に米国やその同盟国の軍事施設や大使館や防衛関連
の請負業者等を標的にします。標的のネットワークに初期侵入する際、特に iOS 向けの不正プログラムを使用し
ます。
2011 年
Luckycat
日本やインドのさまざまな業界やコミュニティを狙った 90 に及ぶ攻撃に関連し、Remote Access Tool（RAT）
の機能を備えた Android ™不正プログラムが使用することで、情報窃取や、端末へのファイルのアップロードや
端末からのファイルのダウンロードなどを行います。
Chuli
チベットや新疆ウイグル自治区の活動家を狙った攻撃。ソーシャルエンジニアリングの手口を駆使して、脆弱性
がある Windows や Mac OX の PC を利用します。
2012 年
2013 年
Xsser mRAT
中国語を話す攻撃者から中国の抗議団体に対して実行された攻撃のキャンペーン活動を考えられています。複数
（トレンドマイクロでは「ANDROIDOS_Code4HK.A」
のプラットフォーム対応の不正プログラム「Xsser mRAT」
として検出）を利用し、Android や iOS 端末に影響を与えます。この不正プログラムにより、被害を受けたユー
ザのテキスト、E メール、インスタントメッセージ、位置情報、ユーザ名、パスワード、通話ログ、コンタクトリ
スト等が情報漏えいのリスクにさらされます。
2014 年
Regin
さまざまな国々の政府系組織、金融機関、電子通信事業者、調査機関、その他の組織などを攻撃します。
Global System for Mobile Communications（GMS）の基地局制御装置を悪用します。これにより、中東の
GSM ネットワークの操作に必要な機密情報を収集します。
攻撃者がモバイル端末を狙う理由は、誰もがモバイル端末を使用しているからです。 BYOD の普及もあり、モバイル端末の
プライベートでの無防備な利用習慣がそのまま職場に持ち込まれる危険性もあります。
35
33 http://blog.trendmicro.co.jp/archives/10870
34 http://blog.trendmicro.com/trendlabs-security-intelligence/operation-woolen-goldfish-when-kittens-go-phishing/
35 http://www.trendmicro.com/vinfo/us/security/news/mobile-safety/pawn-storm-in-ios-apps-and-other-cases-of-mobile-links-in-targeted-attacks
39 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
企業のアプリストアのセキュリティ対策を回避する Pawn Storm の攻撃者の手法
攻撃者は、企業の認証情報を用いて不正プログラムを作成する。
攻撃者は、サービス上に不正プログラムをホストし、
「itms-services」
を
用いてインストール用リンクを生成させる。
標的にした個人へリンクが送付され、
ソーシャルエンジニアリングの手
口によりリンクをクリックさせるように促される。
リンクをクリックすると、不正プログラムがインストールされる。
不正プログラム「XAgent」をインストールさせる手法の詳細はまだ不明な部分はありますが、アプリが Apple の認証を受
けている場合、ジェイルブレイクされていない端末にもインストール可能であることがわかっています。
40 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
巧妙化が続くエクスプロイトキット
エクスプロイトキットは、脆弱性利用の機能を拡大し続け、あらゆる種類の攻撃者にとって魅力的なツールとなっています。
第 1 四半期に確認された不正広告関連も、こうした脆弱性利用がいかに有効であるかを示しています。
「Blackhole Exploit Kit」作者が 2013 年に逮捕されて以降、エクスプロイトキットの数自体は減少しているものの、巧妙化は
進んでいます。特に、より多くの脆弱性が利用可能になっており、感染報告が確認された 70 以上のエクスプロイトキットに利
用される脆弱性は 100 以上に達しています。 36
例えば、
「Hanjuan Exploit Kit」は、Adobe Flash Player に存在する新たなゼロデイ脆弱性を利用した攻撃で用いられました。
また、
「Nuclear Exploit Kit」は、2015 年の最初の 3 ヶ月で最も多く用いられたエクスプロイトキットです。
複数の不正広告関連の攻撃が日本人ユーザを標的にしていることからも、この種の脅威を悪用する攻撃者にとって日本が格好
の標的となっていることが分かります。 37
過去の事例と同様に現在も、最も頻繁に用いられているエクスプロイトキットは、膨大なユーザ数を狙える利点から、Adobe
Flash Player や Internet Explorer に存在する脆弱性を利用します。
エクスプロイトキットに利用される脆弱性
Nuclear
Internet
Explorer
CVE-2013-2551
Sweet
Orange
FlashPack
CVE-2013-2551 CVE-2013-2551 CVE-2013-2551
CVE-2014-0322 CVE-2013-3918
CVE-2014-6332 CVE-2014-0322
Microsoft CVE-2013-0074
Silverlight®
Adobe
Flash
Rig
Angler
Magnitude
Fiesta
Styx
CVE-2013-2551
CVE-2013-2551
CVE-2013-2551
CVE-2013-2551
CVE-2013-0074 CVE-2013-0074
CVE-2013-0074 CVE-2013-0074
CVE-2014-0515 CVE-2014-0515 CVE-2013-0634 CVE-2014-0569 CVE-2014-0515 CVE-2014-0515 CVE-2014-0497 CVE-2014-0515 CVE-2015-0313
CVE-2014-0569 CVE-2014-0569 CVE-2014-0497 CVE-2015-0311 CVE-2014-0569
CVE-2014-0569
CVE-2014-8439
CVE-2014-0515
CVE-2015-0311
CVE-2015-0311
CVE-2015-0311
CVE-2014-0569
CVE-2010-0188
Adobe
Acrobat®
Reader
Oracle
JavaTM
Hanjuan
CVE-2012-0507
CVE-2010-0188
CVE-2013-2460
CVE-2013-5471
XMLDOM CVE-2013-7331
ActiveX
CVE-2013-2465
CVE-2013-7331
CVE-2013-7331
CVE-2012-0507
CVE-2014-2465
CVE-2013-7331
Adobe Flash Player に存在した脆弱性は、2015 年第 1 四半期に確認された最も顕著な攻撃で用いられたすべてのエクスプロイ
トキットで悪用されました。
36 http://www.trendmicro.com/vinfo/us/security/news/vulnerabilities-and-exploits/exploit-kits-past-present-and-future
37 http://blog.trendmicro.co.jp/archives/11147
41 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
2014 年第 4 四半期から 2015 年第 1 四半期にエクスプロイトキットによる脆弱性攻撃サイトへのアクセス数
Sweet
Orange
2014 年
第４四半期
2015 年
第１四半期
増加率
Angler
Magnitude
Rig
Nuclear
Neutrino
Fiesta
Hanjuan
合計
1,077,223
363,982
155,816
140,604
14,671
26,943
25,133
データなし 1,804,372
264,897
590,063
255,593
42,424
740,037
321,712
61,952
103,924
-75.4%
62.1%
64.0%
-69.8%
4,944.2% 1,094%
146.5%
データなし 31.9%
2,380,602
2015 年第 1 四半期に最も多くアクセスされたエクスプロイトキット
Nuclear
31%
Angler
25%
Neutrino
13%
Sweet Orange
11%
Magnitude
11%
Hanjuan
4%
Fiesta
3%
Rig
2%
2015 年第 1 四半期に確認されたエクスプロイトキット関連の活動は、30% 増加しています。中でも「Nuclear Exploit
「Sweet
Kit」によるユーザへの攻撃数が最も多く、これは、同時期に確認された不正広告に関連していると言えます。一方、
Orange Kit」の攻撃数の減少は、この攻撃に利用されていた広告配信ネットワーク内の不正広告が駆除されたことに起因し
ていると言えます。
エクスプロイトキットを用いた攻撃で最も多く影響を受けた国：トップ 10
日本
52%
米国
31%
オーストラリア
5%
カナダ
1%
デンマーク
1%
フランス
1%
イギリス
1%
イタリア
1%
ブラジル
1%
スペイン
1%
その他
5%
今四半期、日本が最も影響を受けた国となっています。これは、年初に日本のユーザを狙ったエクスプロイトキット関連の不
正広告事例に起因していると言えます。
42 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
新たに登場したエクスプロイトキットという点では減少していますが、以前から活動を続けているエクスプロイトキットは、かなり
の数に上ります。
2015 年第 1 四半期に確認されたエクスプロイトキットの 3 ヶ月間の変動
5
10万
Nuclear
Angler
4
Neutrino
Sweet Orange
2
5万
Magnitude
Hanjuan
3
Fiesta
1
Rig
0
1月
2月
3月
註：グラフ中の番号は大幅な増減が発生したことを占めしており、以下の説明に対応します。
• AOL の不正広告対策により、「Sweet Orange Exploit Kit」のアクセスが減少（１）
（ 2 および 4 ）および「Hanjuan Exploit Kit」
（ 2 ）は、2015 年 1 月下旬から 2 月初旬にか
•「Angler Exploit Kit」
けて不正プログラム「BEDEP」のゼロデイ攻撃に利用されアクセス急増
（ 3 および 5 ）は、アダルトサイトを介した不正広告に利用されアクセス急増
•「Nuclear Exploit Kit」
攻撃者は、脆弱性の悪用に、改ざんされたサイトやスパムメールではなく、不正広告をより一層活用するようになってきてい
ます。広告のネットワーク
を悪用することで攻撃者の意図を巧妙に隠ぺいすることが可能になるからです。攻撃者は、
自分
たちのキャンペーン活動の効率化と拡大を図るためにも、
ツールや戦略を改良し続けています。今後ユーザはこの種の攻撃
にさらに多く遭遇することになるでしょう。
—Joseph C. Chen,
Engineer
43 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
2015 年第 1 四半期脅威概況
全体的な脅威概況は、2014 年第 4 四半期と比較的して量的には若干の減少傾向を示しています。ユーザがアクセスの際にブ
ロックした不正ドメイン数や、端末への感染を阻止した不正プログラム数が減少を示した一方、スパムメール数は急増しています。
これは、旧来のマクロ型不正プログラムと脆弱性利用による PC への攻撃など、スパムメールを感染経路として駆使する手口の
再来に起因していると言えます。
トレンドマイクロのクラウド型セキュリティ基盤「Trend
Micro Smart Protection Network（SPN）」に基づ
くブロックされた脅威の合計数
トレンドマイクロのクラウド型セキュリティ基盤「Trend
Micro Smart Protection Network（SPN）」に基
づく検出率（ブロックされた脅威数／秒）
2,000件/秒
60億件
1,931
52億
50億
1,858
1,595
39億
1,000件/秒
30億件
0
1月
2月
3月
2015 年第 1 四半期にブロックした脅威数は、月ごとの平均と
しては 47 億で、2014 年第 4 四半期に比べると、15 億の増
加が見られます。
44 | グローバルセキュリティラウンドアップ 0
1月
2月
3月
2015 年第 1 四半期の平均検出率は 1,800 で、2014
年第 4 四半期の 1,200 に比べて 600 の増加が見られ
ます。
TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
トレンドマイクロのクラウド型セキュリティ基盤「Trend
Micro Smart Protection Network（SPN）」に基
づくブロックされたスパム送信元 IP アドレス
トレンドマイクロのクラウド型セキュリティ基盤「Trend
Micro Smart Protection Network（SPN）」に基づ
くブロックされた不正 Web サイト数
3億
5千万件
50億
3億
1500万
46億
41億
33億
1億
7500万件
25億
0
0
1月
2月
3月
2億
3600万
1月
2億
5200万
2月
3月
2015 年第 1 四半期、ユーザが閲覧しようとした不正 Web サイ
ト数は、月ごとに増加し、合計で 8 億以上に達しています。
ユーザの受信ボックスに届く際にブロックしたスパムメー
ル送付元 IP からのメールの総数は、120 億に及びます。
トレンドマイクロのクラウド型セキュリティ基盤「Trend
Micro Smart Protection Network（SPN）」に基
づくブロックされた不正ファイル数
6億件
5億
2200万
3億件
0
3億
6100万
3億
5100万
1月
2月
3月
2015 年第 1 四半期、端末への感染を阻止した不正プログラム数は、10 億以上に及び、月ごとでは 2 月から 3 月にかけてそ
の数は約 1.5 倍に増加しています。
45 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
2015 年第 1 四半期、個人ユーザに影響を与える「KRYPTIK」ファミリがランクインしました。このファミリの亜種は、以前は「警
告のスクリーンを執拗に表示させてユーザを怖がらせる不正プログラム」として知られていましたが、今回は「既に感染した PC
から他の不正なファイルのダウンロードを試みる不正プログラム」として確認されています。しかしながら、
トップ 2 の「SALITY」
や「DOWNAD」の地位を脅かすには至っていないようです。
今四半期にブロックした上位ドメインの多くは、アドウェアに関連するものです。これは、同時に確認された不正広告の急増とも
関連していると言えます。なお、アドウェアは、モバイル関連の脅威でも上位を占めています。 Android 向けの脅威数は、既
に 500 万以上に達しており、これは、2015 年末に達する総数としてトレンドマイクロで予測している 800 万に迫る勢いです。
ホストされた不正 URL 数：国別トップ 10
米国
29%
オランダ
7%
中国
6%
ロシア
3%
コスタリカ
2%
ドイツ
1%
イギリス
1%
ポルトガル
1%
日本
1%
韓国
1%
その他
48%
不正 URL をホストしている国としては、米国が首位を保持しています。また、フランスやハンガリーと入れ替わって、コスタ
リカとポルトガルがトップ 10 入りしています。
不正な URL をクリックしたユーザ数：国別トップ 10
米国
33%
日本
24%
オーストラリア
5%
台湾
4%
インド
3%
中国
3%
フランス
3%
ドイツ
2%
カナダ
2%
イタリア
2%
その他
19%
米国は、不正 URL のホスト国としてトップを維持しつつ、同時にその不正 URL をクリックするユーザ数でもトップとなってい
ます。
46 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
スパムメール言語：トップ 10
英語
84.49%
中国語
1.86%
ドイツ語
1.27%
日本語
1.15%
ロシア語
0.70%
ポルトガル語
0.61%
スペイン語
0.54%
ポーランド語
0.43%
フランス語
0.38%
イタリア語
0.09%
その他
8.48%
今四半期も英語が最も多く使用された言語となっています。
スパムメールの送信元：国別トップ 10
米国
16%
ロシア
5%
中国
5%
日本
5%
ベトナム
5%
イタリア
4%
スペイン
4%
アルゼンチン
4%
イラン
3%
ドイツ
3%
その他
46%
英語がスパムメール使用言語のトップであることから、ここでも米国がトップとなっています。また、前回のウクライナに替わっ
て今四半期は、イランがトップ 10 入りしています。
47 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
2015 年第 1 四半期不正プログラムファミリ：トップ 10
検出名
数
SALITY
8万6千
DOWNAD
8万3千
KRYPTIK
2015 年第 1 四半期セグメント別不正プログラムファミ
リ：トップ 3
セグメント
検出名
数
DOWNAD
6万2千
SALITY
3万5千
7万1千
DUNIHI
2万9千
BROWSEVIEW
6万9千
DOWNAD
1万2千
GAMARUE
6万5千
DLOADR
1万1千
DUNIHI
4万9千
UPATRE
1万
VIRUX
4万2千
KRYPTIK
6万1千
UPATRE
4万1千
GAMARUE
3万8千
FORUCON
3万9千
SALITY
3万6千
RAMNIT
2万9千
大企業
中小・中堅企業
中小・中堅企業
今四半期、
「KRYPTIK」が素早く上位に登場しましたが、それでも、常連の「SALITY」や「DOWNAD」を凌駕するほど
には及んでいません。
2015 年第 1 四半期アドウェアファミリ：トップ 10
検出名
数
2015 年第 1 四半期セグメント別アドウェアファミリ：トップ 3
セグメント
検出名
数
OPENCANDY
6万8千
DEALPLY
4万6千
18 万 3 千
TOMOS
1万8千
MYPCBaACKUP
14 万 2 千
OPENCANDY
2万9千
PULSOFT
12 万 2 千
DEALPLY
2万3千
TOMOS
11 万 3 千
MYPCBACKUP
8千
MULTIPLUG
10 万 9 千
OPENCANDY
34 万 6 千
INSTALLCORE
10 万 2 千
MYPCBACKUP
15 万 6 千
ELEX
9万
DEALPLY
13 万 5 千
SPROTECT
6万7千
OPENCANDY
45 万 4 千
DEALPLY
22 万 4 千
MYPCBACKUP
大企業
中小・中堅企業
中小・中堅企業
端末に感染するアドウェアとしては、
「OPENCANDY」がいずれのセグメントでも一貫してトップ 1 を維持しています。
48 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
2015 年第 1 四半期 Android 向け不正プログラムファミリ：トップ 10
Danpay
14%
Inoco
12%
Youm
6%
Agent
6%
AdultPlayer
4%
Jxt
4%
Gexin
2%
Guidead
2%
AppInst
1%
FakeApp
1%
その他
48%
今四半期、
「Danpay」が最も多く確認された Android 向け不正プログラムファミリでした。この不正プログラムファミリは、
C&C サーバにアクセスして不正コマンドを待機しながら、感染した端末には他のアプリも密かにダウンロードします。
2015 年第 1 四半期 Android 向けアドウェアファミリ：トップ 10
AdLeak
8%
Igexin
7%
AdFeiwo
6%
Noiconads
5%
FeiwoDown
5%
Appquanta
4%
Arpush
4%
RevMob
4%
SnailCut
3%
GoYear
3%
その他
51%
「AdLeak」は、ユーザのプライバシーをリスクにさらすアプリのトレンドマイクロのジェネリック検出名ですが、このアドウェ
アが今四半期のトップとなっています。
49 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
Android 端末向け不正プログラムを脅威タイプ別に分類
50%
48%
25%
18%
14%
14%
4%
0
アドウェア
情報窃取
ペイウェア
2%
プレミアム不正プログラム
サービス悪用のダウンロード
その他
相変わらずアドウェアが Android 向け端末へ脅威タイプのトップとなっています。ペイウェアとは、不正な使用料や手数料
へ支払いをするように合意を促すように操作する PUA のことです。 PUA 自体は不正ではありませんが、この機能を悪用す
ることで、ユーザの情報セキュリティを侵害したり、モバイル端末の操作を妨害したりすることが可能になります。
2015 年第 1 四半期の時点での Android 関連脅威の累計総数
540万
600万件
380万
410万
430万
460万
490万
300万件
0
10月
2014
11月
12月
1月
2015
2月
今四半期に検知した Android 関連脅威の大多数は PUA です。
50 | グローバルセキュリティラウンドアップ 3月
TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
最も多く C&C サーバが設置場所：国別トップ 10
米国
29%
ウクライナ
9%
ドイツ
7%
ロシア
7%
フランス
4%
イギリス
4%
オランダ
4%
中国
3%
韓国
3%
ポルトガル
2%
その他
28%
C&C サーバは、米国やウクライナ、ドイツといった国々で広く普及しています。なお、C&C サーバは遠隔操作が可能である
ため、攻撃者がこれらの国々に居住しているわけでは必ずしもありません。これらの国々のほとんどは、不正な URL をホス
トしている国の上位とも一致しており、これらの国々においてホスティングサービスやインフラストラクチャが悪用されている
可能性を示しています。
C&C サーバからの接続されたエンドポイント数：トップ 10
米国
51%
日本
9%
オーストラリア
5%
台湾
4%
ドイツ
4%
インド
4%
カナダ
2%
フランス
2%
マレーシア
2%
イタリア
1%
その他
16%
C&C サーバからの接続されたエンドポイント数が最も多い国は、米国となっています。また、不正 URL をクリックするユー
ザ数が最も多い国も米国であることと合わせて、不正な URL へのクリックのほとんどがボットネット関連である可能性があり
ます。
51 | グローバルセキュリティラウンドアップ TREND MICRO | 2015年第1四半期セキュリティラウンドアップ
C&C サーバに関連した不正プログラムファミリ：トップ 5
1万5千件
1,316
7千500件
0
745
CRILOCK
DUNIHI
385
379
TROJAN
GOZEUS
348
ZEUS
ランサムウェアの亜種である「CRILOCK」は、今四半期に最も多く C&C サーバへアクセスした不正プログラムファミリです。
最も多くの感染被害を及ぼした不正プログラムファミリ
35万件
34万
9千
379
17万
5千件
0
POWELIKS
3万6千
3万1千
PUSHDO/
WIGON
CLACK
1万8千
BADUR
今四半期、
「POWELIKS」が最も多くの感染被害を及ぼした不正プログラムファミリとなっています。これは、このファミリ
の不正プログラムが備えた隠ぺい機能により、感染した PC 内に長く潜むことが可能であったことに起因していると言えます。
52 | グローバルセキュリティラウンドアップ制作
The Global Technical Support & R&D Center of TREND MICRO
TREND MICRO ™
本書に関する著作権は、トレンドマイクロ株式会社へ独占的に帰属
します。
トレンドマイクロ株式会社が書面により事前に承諾している場合を
除き、形態および手段を問わず本書またはその一部を複製するこ
とは禁じられています。本書の作成にあたっては細心の注意を払っ
ていますが、本書の記述に誤りや欠落があってもトレンドマイクロ
株式会社はいかなる責任も負わないものとします。本書およびそ
の記述内容は予告なしに変更される場合があります。
本書に記載されている各社の社名、製品名、およびサービス名は、
各社の商標または登録商標です。
〒 151-0053
東京都渋谷区代々木 2-1-1 新宿マインズタワー
大代表 TEL：03-5334-3600 FAX：03-5334-4008
http://www.trendmicro.co.jp

Download Report