脅威の現状 - Palo Alto Networks

脅威の傾向
レポート作成 :
脅威の現状
レポートの概要
+ グローバルなマルウェアの調査結果
+ KULUOZ に対する防御策
パロアルトネットワークス | 〒102-0094 | 千代田区紀尾井町4番3号泉館紀尾井町3F
www.paloaltonetworks.jp
目次
エグゼクティブサマリー3
はじめに4
グローバルな調査結果6
基幹インフラストラクチャ 8
金融 9
行政機関 10
医療業界 11
ハイテク 12
高等教育機関 13
サービス業 14
製造業 15
専門サービス 16
小売・卸売 17
注目の脅威:Kuluoz18
エグゼクティブサマリー
管理、統制から使用、実践にいたるまで、情報セキュリティに従事する立場にある
すべての担当者は、絶えず進化する脅威の現状について、その傾向や配布パターン、
被るリスクの最新情報を把握しておくことが不可欠です。
本レポートで使用されているデータは、Palo Alto Networks® WildFire ™によって入手
したものです。WildFire は、幅広い種類のアプリケーションについて、それらを仮想
環境で実行し動作を観察することによって、マルウェアによる脅威を自動的に識別
します。このデータは、82カ国で稼働する2,363社に属する、ネットワーク上の実働
システムから収集されました。現在、WildFire を使用してネットワークを防御してい
る組織は4,000社を超えていますが、本レポートデータは、主要な10業種の組織に特
化してまとめています。
• 基幹インフラストラクチャ
• 高等教育機関
• 金融
• サービス業
• 行政機関
• 製造業
• 医療業界
• 専門サービス
• ハイテク
• 小売・卸売
本レポートの主要な調査結果 :
• 世界中で、弊社のプラットフォームにより検出されたマルウェアは、50種類
以上の様々なアプリケーションで配信されていました。これらのマルウェアは、
87%がSMTPを介して配信されています。また、Webブラウジング(HTTP)によっ
て配信されたものは11.8% を占めています。残りの1.2% は、他のアプリケーショ
ンで配信されています。
• 業種を問わず、マルウェアの配信に使用された主要な経路は SMTP と HTTP で
すが、業種によって占める割合は大きく異なります。小売・卸売業の組織の
場合、Web 経由で配信されるマルウェアが28% を占めていますが、サービス
業の組織の場合、Web 経由で配信されるマルウェアが占める割合は2% 未満です。
• また、ユニークのマルウェアサンプルについて見てみると、90% 以上が1、2
回のセッションで配信されており、10,000回以上にわたる攻撃で配信された
マルウェアは少数でした。
• あらゆる業種で、依然としてトップを占めるコールバックロケーションは米
国ですが、業種によってコールバックロケーションとなっている国の構成比
率が異なることが分析で明らかになっています。
• 10月に記録された攻撃セッション総数の約80% を、Kuluoz や Asprox など、1
つのマルウェアが占めています。このマルウェアは、自分自身のコピーを電
子メール経由で世界中のユーザーに迅速に送信してから、追加マルウェアの
ダウンロードを試みます。影響を受けた組織の数は1,933件に上ります。
パロアルトネットワークス + 脅威の傾向
3
はじめに
パロアルトネットワークスの WildFire プラットフォームは、毎日50万件を超えるファ
イルを分析し、自動的に脅威を識別して、迅速に組織を攻撃から保護します。この
システムは、最新の攻撃から防御するためのセキュリティープラットフォームを構
築する上で非常に重要な役割を担う脅威インテリジェンスクラウドのコンポーネン
トです。本資料の目的は、このデータのサブセットを分析し、さまざまな業種の組
織がマルウェアの標的になっている現状について理解を深めることです。
本報告で使用した分析は、弊社の「Enterprise Risk Report」で入手できます。マルウェ
アの攻撃という観点から、組織のネットワークが同業種の他の組織と比較してどの
ような状況にあるのかを判別する上で役立ちます。
悪意のある可能性があるファイルが弊社の次世代ファイアウォールを通過するとき、
そのファイルを WildFire に渡して、サンドボックス環境で実行して分析することがで
きます。この環境で、WildFire はファイルの動作を追跡し、悪意のあるファイルかど
うかを判断してから、その判断結果を発信元のファイアウォールに返します。それ
ぞれのファイルの提出は「セッション」としてシステムによって追跡されます。ま
た、提出された固有ファイルは「サンプル」として追跡されます。1つのサンプルは、
配信される方法によって、単一セッションに含まれている場合もあれば、多数のセッ
ションに含まれている場合もあります。サンプルには以下の種類のファイルがあり、
弊社のプラットフォームで検出された1,924件を超えるアプリケーションのいずれか
によって配信されています。
• Windows 実行可能ファイル
• Microsoft Office ドキュメント
• リッチテキスト形式 (RTF) ファイル
• Java JAR ファイル
• Android APK
• Adobe Flash アプレット
• PDF( ポータブルドキュメントフォーマット ) ファイル
• JavaScript ファイル
本資料の作成にあたり、弊社のチームは、2014年10月に記録された610万件の悪意の
あるセッションを分析しました。特に、82カ国、主要10業種にわたり2,363社のセッショ
ンを分析しました。このデータには、WildFire によって、配信されたファイルが悪意
のあるファイルと判断されたセッションのみが含まれています。
対象の10業種 :
• 医療業界 : 病院、診療所、その他の医療、保健サービス関連の組織
• 金融 : 銀行、保険、信用金庫、投資顧問会社
• ハイテク : ソフトウェアの開発、新しいハードウェアの設計に携わる組織
• サービス業 : ホテル、宿泊施設、エンターテイメント、民間のコミュニティ
組織
• 製造業 : 機械、器具の生産、製造に携わる組織
パロアルトネットワークス + 脅威の傾向
4
• 基幹インフラストラクチャ : エネルギー、水道・ガス、電力の生成と流通
に携わる組織 (SCADA など )
• 高等教育機関 : 高等学校以上の教育機関
• 行政機関 : 地方自治体から国家レベルまで行政に携わる組織
• 小売・卸売 : 製品の卸売、小売、顧客への販売
• 専門サービス : 法的な支援、事業の支援を提供する組織
以下のセクションでは、攻撃で使用されたアプリケーションやファイルのタイプに
基づいて、これらの各業種が標的にされた状況について比較分析を行います。また、
2014年に極めて行動が活発だった Kuluoz という1つのマルウェアに特化した調査結
果についても説明します。
パロアルトネットワークス + 脅威の傾向
5
グローバルな調査結果
このデータセットにおいて WildFire が検出した悪意のあるセッションは610万件あり、
ユニークなマルウェアサンプルとして識別したのは360,409件でした。平均すると、
ユニークなサンプルは約17セッションごとに配信されていますが、データをより詳
細に分析すると、非常に幅広いセッション回数に分布していることがわかります。
図1でわかるように、サンプルの90% 以上が配信されたセッションは2回以下であり、
Fig1
1,000回以上のセッションで配信されたサンプルはわずか1% 未満です。
悪意のあるセッションの合計数
1,000,000
図1: ユニークサ
ンプルの合計
セッション数
6,109,904
162,975
171,359
100,000
23,095
10,000
2,362
1,000
540
2,363
77
100
企業の合計数
10
1
1
>=100,000 >=10,000
>=1,000
>=100
>=10
>=2
1
今回のデータで最も配信されたサンプルのセッション数は、125,288回であり、本レポー
トの主要10業種全体にわたり、186の組織に対して配信されていました。問題のこの
マルウェアは、ダウンロード型のトロイの木馬で、システム上に別のマルウェアを
ダウンロードし、インストールして、クリック詐欺を実行します。
このマルウェアは今回最も使用されていたマルウェアですが、すべての業種を均等
に標的にしていたわけではありません。このマルウェアサンプルで追跡されたセッショ
ンの80% 以上を、高等教育分野とハイテク分野の組織が占めています。これらの業
種は、他業種と比較して、全体的にマルウェアセッションの数が多くなっています。
実際に、10月に識別された悪意のあるセッションの半数以上を、高等教育、ハイテク、
Fig2
医療分野が占めています。平均すると、図2に示すように、1日当たりの悪意のあるセッ
ションが最も多かったのは高等教育分野の組織でした。
82
10
国の合計数
業種の合計数
200
180
160
140
120
360,409
100
固有のSHA256の数
80
60
40
20
関
機
育
教
高
等
療
業
界
ク
医
関
テ
イ
ハ
機
政
業
ビ
ス
行
融
ー
金
サ
ス
ー
ビ
サ
業
製
造
門
・
法
的
ャ
ク
チ
ラ
ス
ト
専
イ
ン
フ
ラ
小
売
・
卸
売
0
図2: 各業種における1顧客に対する1日当たりの悪意のあるセッションの平均回数
パロアルトネットワークス + 脅威の傾向
6
WildFire は、弊社のプラットフォームが識別した、あらゆるアプリケーションからファ
イルを受け取ることができますが、マルウェアの大半は、次の2つのチャネル経由で
配信されています。SMTP(Simple Mail Transfer Protocol) と Web ブラウジングです。
SMTP は、電子メールをある場所から別の場所に送信するために使用されるプロトコ
ルです。また、Web ブラウジングは、特定のカテゴリー (Facebook や Gmail など ) に
弊社が分類していない Web(HTTP) トラフィックを指す幅広いカテゴリーです。全体
を見ると、マルウェアの配信には、50種類以上のアプリケーションが使用されてい
ますが、図3が示すように、これらのアプリケーションは、マルウェアの配信におい
てはわずかな割合しか占めていません。
また、サンプルデータで検出されたマルウェアの大半は、
Windows 実行可能ファイル (EXE ファイルまたは DLL ファ
イル ) の形式であり、Microsoft Office のドキュメント形
式で配信されたマルウェアが占める割合は0.8% であり、
その他のファイル形式は0.1% に過ぎません。
図3: マルウェア
Web
ブラウジング
11.8%
SMTP
87%
ファイルがマルウェアかどうかを判断するプロセスで、
WildFire は各サンプルをサンドボックス環境で実行し、
コマンドアンドコントロール (C2) の活動やその他の悪
意のある活動がないか監視します。このデー
タを使用して、各サンプルが使用する IP アド
レスを特定し、位置情報に基づいて、それら
の IP アドレスがある国を判別できます。
Web
ブラウジング
このデータに基づくと、分析したサンプルに
11.8%
SMTP
その他
よる接続の合計数で、米国、イタリア、ドイ
87%
1.2%
ツが使用された上位3カ国でした。以下の色分
け地図は、今回の分析に含まれている360,409
件のサンプルによる潜在的な C2活動の相対分
布を示しています。
電子メール
96%
最小
DLL 4.9%
EXE
94.3%
その他
1.2%
を配信するセッ
ションで各アプ
EXE
94.3%
リケーションが
占める割合
図4: マルウェア
を配信するセッ
ションで各ファ
Office 0.8%
電子メール
その他 0.1% イルタイプが占
96%
める割合
Web
ブラウジング
4%
FTP
0.02%
Web
ブラウジング
4%
FTP
0.02%
最大
図5: マルウェアサンプルが使用したと想定されるコールバックロケーション
本レポートの2,363件の組織から収集したデータは、業種をまたがり広範な傾向を識
別する上で役立ちますが、すべての業種が同じ傾向を示しているわけではありません。
組織によって脅威のプロファイルとユーザー環境はさまざまであり、すべての組織
を標的にしている攻撃もあれば、特定の標的を狙う攻撃もあります。以下のセクショ
ンでは、集約データと10業種を比較して、それぞれの業種の他と異なる傾向につい
て説明します。
パロアルトネットワークス + 脅威の傾向
7
基幹インフラストラクチャ
本セクションのデータは、エネルギー、水道・ガス、電力の生成と流通に携わる組織から収集しています。
図6: 基幹インフラストラクチャの組織で
検出された悪意のあるファイルのタイプ
図7: 基幹インフラストラクチャの組織で検出された
すべての
ファイルのうち
99.2%が
EXEファイル
0.35%
DLL
0.34%
DOC
PDF
XLSX
ファイルタイプの全体との比較
0.05%
0.02%
すべての組織
EXE
94.28%
業種平均
図8: 基幹インフラストラクチャの組織にマルウェア
を配信するために使用されたアプリケーション
SMTP
すべての組織
業種平均
WEB ブラウジング
すべての組織
業種平均
86.98%
84.68%
11.83%
14.97%
HTTP プロキシ
すべての組織
業種平均
すべての組織
業種平均
IMAP
すべての組織
業種平均
DOC
0.75%
業種平均
0.34%
DLL
すべての組織
業種平均
すべての組織
0.04%
0.09%
POP3
すべての組織
99.18%
業種平均
4.89%
0.35%
RTF
0.003%
0.02%
0.79%
0.09%
PDF
すべての組織
0.08%
0.04%
業種平均
0.02%
0.05%
0 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8
パーセント
最小
最大
図9: 基幹インフラストラクチャの組織に配信されたマルウェアサンプルが使用したと想定されるコールバッ
クロケーション
パロアルトネットワークス + 脅威の傾向
8
金融
本セクションのデータは、銀行、保険、信用金庫、投資顧問会社から収集しています。
図10: 金融機関で検出された悪意のある
ファイルのタイプ
図11: 金融機関で検出されたファイルタイプの
すべての
ファイルのうち
95.68%が
EXEファイル
3.95%
DOC
DLL
全体との比較
0.22%
APK
0.06%
PDF
0.06%
すべての組織
EXE
94.28%
業種平均
図12: 金融機関にマルウェアを配信する
すべての組織
ために使用されたアプリケーション
95.68%
DOC
0.75%
業種平均
3.95%
SMTP
すべての組織
業種平均
WEB ブラウジング
すべての組織
業種平均
86.98%
96.28%
11.83%
3.56%
HTTP プロキシ
すべての組織
業種平均
4.89%
0.22%
APK
POP3
すべての組織
業種平均
DLL
すべての組織
業種平均
0.06%
0.79%
すべての組織
業種平均
0.04%
0.04%
0.02%
0.06%
PDF
0 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8
パーセント
最小
すべての組織
業種平均
0.02%
0.06%
最大
図13: 金融機関に配信されたマルウェアサンプルが使用したと想定されるコールバックロケーション
パロアルトネットワークス + 脅威の傾向
9
行政機関
本セクションのデータは、地方自治体から国家レベルまで行政に携わる組織から収集しています。
図14: 行政機関で検出された悪意のある
ファイルのタイプ
図15: 行政機関で検出されたファイルタイプの
すべての
ファイルのうち
98.51%が
EXEファイル
DOC
全体との比較
1.29%
DLL
0.17%
PDF 0.006%
JAR 0.004%
すべての組織
EXE
94.28%
業種平均
図16: 行政機関にマルウェアを配信する
すべての組織
ために使用されたアプリケーション
98.51%
DLL
4.89%
業種平均
1.29%
SMTP
すべての組織
業種平均
WEB ブラウジング
すべての組織
業種平均
POP3
すべての組織
業種平均
HTTP プロキシ
すべての組織
業種平均
86.98%
94.92%
11.83%
4.83%
DOC
すべての組織
業種平均
.75%
0.17%
PDF
0.79%
0.13%
0.04%
0.03%
すべての組織
0.02%
業種平均 0.006%
JAR
0 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8
パーセント
最小
すべての組織 0.01%
業種平均 0.004%
最大
図17: 行政機関に配信されたマルウェアサンプルが使用したと想定されるコールバックロケーション
パロアルトネットワークス + 脅威の傾向
10
医療業界
本セクションのデータは、病院、診療所、その他の医療、保健サービス関連の組織から収集しています。
図18: 医療機関で検出された悪意のある
ファイルのタイプ
図19: 医療機関で検出されたファイルタイプの
すべての
ファイルのうち
97.26%が
EXEファイル
2.54%
DLL
DOC
0.16%
PDF
0.13%
APK 0.01%
全体との比較
すべての組織
EXE
94.28%
業種平均
図20: 医療機関にマルウェアを配信する
すべての組織
ために使用されたアプリケーション
業種平均
97.26%
DLL
4.89%
0.16%
SMTP
すべての組織
業種平均
WEB ブラウジング
すべての組織
業種平均
POP3
すべての組織
業種平均
86.98%
95.20%
11.83%
4.15%
0.13%
0.08%
0.06%
2.53%
すべての組織
0.02%
業種平均 0.01%
APK
GOOGLE-PLAY
すべての組織
業種平均
0.75%
PDF
0.79%
IMAP
すべての組織
業種平均
DOC
すべての組織
業種平均
すべての組織 0.02%
業種平均 0.01%
0.02%
0.04%
0 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8
パーセント
最小
最大
図21: 医療機関に配信されたマルウェアサンプルが使用したと想定されるコールバックロケーション
パロアルトネットワークス + 脅威の傾向
11
ハイテク
本セクションのデータは、ソフトウェアの開発、新しいハードウェアの設計に携わる組織から収集しています。
図22: ハイテク企業で検出された悪意のある
ファイルのタイプ
図23: ハイテク企業で検出されたファイルタイプ
すべての
ファイルのうち
94.90%が
EXEファイル
3.76%
DLL
1.23%
DOC
APK
の全体との比較
0.05%
PDF 0.03%
すべての組織
EXE
94.28%
業種平均
図24: ハイテク企業にマルウェアを配信
すべての組織
するために使用されたアプリケーション
SMTP
すべての組織
業種平均
86.98%
84.33%
11.83%
13.13%
0.79%
1.74%
すべての組織
業種平均
IMAP
すべての組織
業種平均
4.89%
3.75%
DOC
すべての組織
業種平均
0.75%
1.23%
APK
POP3
すべての組織
業種平均
FTP
DLL
業種平均
すべての組織
業種平均
WEB ブラウジング
94.90%
すべての組織 0.02%
業種平均 0.05%
0.16%
0.43%
PDF
すべての組織 0.02%
業種平均 0.03%
0.08%
0.15%
0.0
0.5
1.0
1.5
パーセント
最小
2.0
最大
図25: ハイテク企業に配信されたマルウェアサンプルが使用したと想定されるコールバックロケーション
パロアルトネットワークス + 脅威の傾向
12
高等教育機関
本セクションのデータは、高等学校以上の教育機関から収集しています。
図26: 高等教育機関で検出された悪意のある
ファイルのタイプ
図27: 高等教育機関で検出されたファイルタイプ
すべての
ファイルのうち
91.17%が
EXEファイル
8.57%
DLL
DOC
の全体との比較
0.2%
APK 0.02%
JAR 0.02%
すべての組織
EXE
94.28%
業種平均
図28: 高等教育機関にマルウェアを配信する
ために使用されたアプリケーション
すべての組織
91.17%
DLL
4.89%
業種平均
8.57%
SMTP
すべての組織
業種平均
WEB ブラウジング
すべての組織
業種平均
POP3
すべての組織
業種平均
IMAP
すべての組織
業種平均
FTP
すべての組織
業種平均
86.98%
82.38%
11.83%
17.19%
0.23%
0.79%
0.08%
0.06%
DOC
すべての組織
業種平均
すべての組織
業種平均
0.75%
0.19%
APK
0.02%
0.02%
JAR
すべての組織 0.01%
業種平均 0.02%
0.16%
0.05%
0 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8
パーセント
最小
最大
図29: 高等教育機関に配信されたマルウェアサンプルが使用したと想定されるコールバックロケーション
パロアルトネットワークス + 脅威の傾向
13
サービス業
本セクションのデータは、ホテル、宿泊施設、エンターテイメント、民間のコミュニティ組織から収集し
ています。
図30: サービス業の組織で検出された悪意の
あるファイルのタイプ
図31: サービス業の組織で検出されたファイル
すべての
ファイルのうち
99.61%が
EXEファイル
DLL
DOC
タイプの全体との比較
0.19%
0.16%
XLS 0.008%
EXE
DOCX 0.006%
すべての組織
業種平均
図32: サービス業の組織にマルウェアを配信
すべての組織
するために使用されたアプリケーション
94.28%
99.61%
D0C
0.75%
業種平均
0.19%
SMTP
すべての組織
業種平均
WEB ブラウジング
すべての組織
業種平均
POP3
すべての組織
業種平均
IMAP
すべての組織
業種平均
FTP
すべての組織
業種平均
86.98%
11.83%
1.98%
97.88%
DLL
すべての組織
業種平均
4.89%
0.16%
XLS
0.79%
0.04%
すべての組織 0.001%
業種平均
0.008%
0.08%
0.03%
すべての組織 0.003%
業種平均 0.006%
0.16%
0.01%
0 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8
パーセント
最小
最大
図33: サービス業の組織に配信されたマルウェアサンプルが使用したと想定されるコールバックロケー
ション
パロアルトネットワークス + 脅威の傾向
14
製造業
本セクションのデータは、機械、器具の生産、製造に携わる組織から収集しています。
図34: 製造業の企業で検出された悪意のある
ファイルのタイプ
図35: 製造業の企業で検出されたファイルタイプ
すべての
ファイルのうち
89.10%が
EXEファイル
DLL
DOC
の全体との比較
10.69%
0.15%
JAR 0.01%
PDF 0.01%
すべての組織
EXE
94.28%
業種平均
図36: 製造業の企業にマルウェアを配信する
ために使用されたアプリケーション
すべての組織
業種平均
89.10%
DLL
4.89%
10.69%
SMTP
すべての組織
業種平均
WEB ブラウジング
すべての組織
業種平均
86.98%
84.10%
11.83%
14.72%
すべての組織
業種平均
IMAP
すべての組織
業種平均
0.75%
0.15%
JAR
POP3
すべての組織
業種平均
FTP
DOC
すべての組織
業種平均
0.79%
0.75%
0.16%
0.14%
すべての組織 0.01%
業種平均 0.01%
PDF
すべての組織 0.02%
業種平均 0.01%
0.08%
0.13%
0 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8
パーセント
最小
最大
図37: 製造業の企業に配信されたマルウェアサンプルが使用したと想定されるコールバックロケーション
パロアルトネットワークス + 脅威の傾向
15
専門サービス
本セクションのデータは、法的な支援、事業の支援を提供する組織から収集しています。
図38: 専門サービスの組織で検出された悪意
のあるファイルのタイプ
図39: 専門サービスの組織で検出されたファイル
すべての
ファイルのうち
95.70%が
EXEファイル
3.93%
DLL
DOC
タイプの全体との比較
0.32%
PDF 0.01%
SWF 0.01%
すべての組織
EXE
94.28%
業種平均
図40: 専門サービスの組織にマルウェアを配
すべての組織
信するために使用されたアプリケーション
95.70%
DLL
4.89%
業種平均
3.93%
SMTP
すべての組織
業種平均
WEB ブラウジング
すべての組織
業種平均
86.98%
91.11%
11.83%
7.88%
すべての組織
業種平均
IMAP
すべての組織
業種平均
0.75%
0.32%
PDF
POP3
すべての組織
業種平均
FTP
DOC
すべての組織
業種平均
0.79%
0.70%
0.08%
0.06%
すべての組織 0.02%
業種平均 0.01%
SWF
すべての組織 0.001%
業種平均 0.01%
0.04%
0.05%
0 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8
パーセント
最小
最大
図41: 専門サービスの組織に配信されたマルウェアサンプルが使用したと想定されるコールバックロケーション
パロアルトネットワークス + 脅威の傾向
16
小売・卸売
本セクションのデータは、製品の卸売、小売、末端顧客への販売組織から収集しています。
図42: 小売・卸売の企業で検出された悪意の
あるファイルのタイプ
図43: 小売・卸売の企業で検出されたファイル
すべての
ファイルのうち
84.60%が
EXEファイル
12.15%
DLL
タイプの全体との比較
3.00%
DOC
DOCX 0.08%
PDF 0.04%
すべての組織
EXE
94.28%
業種平均
図44: 小売・卸売の企業にマルウェアを配信
すべての組織
するために使用されたアプリケーション
WEB ブラウジング
すべての組織
業種平均
86.98%
すべての組織
業種平均
3.29%
0.16%
0.59%
0.0
3.00%
0.5
1.0
すべての組織 0.004%
業種平均 0.08%
PDF
0.08%
0.22%
IMAP
すべての組織
業種平均
0.75%
DOCX
0.79%
すべての組織
業種平均
12.15%
27.92%
POP3
FTP
4.89%
DOC
すべての組織
業種平均
67.46%
11.83%
DLL
業種平均
SMTP
すべての組織
業種平均
84.60%
1.5
2.0
2.5
パーセント
3.0
最小
3.5
すべての組織 0.02%
業種平均 0.04%
最大
図45: 小売・卸売の企業に配信されたマルウェアサンプルが使用したと想定されるコールバックロケーション
パロアルトネットワークス + 脅威の傾向
17
注目の脅威 : Kuluoz
サンプルデータの中でも突出して普及している、特定のマルウェアが Kuluoz です
(Asprox としても知られています )。2014年10月には、この1つのマルウェアだけで
490万件もの悪意のあるセッションが記録されており、10業種すべてにわたる1,933
社が影響を受けています。WildFire は、合計268,084件のユニークなサンプルを
Kuluoz と判断しており、そのうち82.4% は分析時点では VirusTotal で検出されません
でした。
Kuluoz の統計
影響を受けた企業の割合 (%)
81.8
固有マルウェアの割合 (%)
74.4
悪意のあるセッションの割合 (%)
80.0
Asprox の最初のバージョンは2007年に登場しており、ASP(Active Server Pages) ベー
スの Web サイトへの攻撃を頻繁に試みることから、研究者によって Asprox という名
前が付けられました。当時このマルウェアは、今は閉鎖されている McColo Corp ISP
が運用する、コマンドアンドコントロールのインフラストラクチャを使用していま
した。McColo が閉鎖された後、Asprox やその他のスパムボットネットがなくなっ
たことから、世界的にスパムの数が一時的に激減しましたが、すぐに復活しました。
2013年までに、Asprox の主要コンポーネントは、Kuluoz という名前の新しいマルウェ
アに取って代わりました。Asprox が「オールインワン」型のマルウェアであったの
に対して、Kuluoz はモジュラー設計されているため、より巧みに検出を回避でき、
柔軟な攻撃を可能としています。5月には、Kuluoz を配布する新たな活動が確認され
ており、1時間当たり30,000件を超える WildFire セッションが生成されました。以来、
Kuluoz は、世界全体に広く普及し、10月の収集データでもこのパターンが続いてい
ることが確認されました。
絶えず進化し続ける Kuluoz の現時点の特徴は以下のとおりです。
• 位置情報に関連付けられたスパムメールテンプレートを介した、大量の拡散
• メールの添付ファイル、Web リンクを使用した、文書やメディアファイルへ
のなりすまし
• モジュラー設計により高められた拡張性
• ボットネットのノードによって異なる役割
• スパムジェネレータによるボットネットの拡散
• 追加マルウェアのダウンローダー
• 生成された営利目的のスパムの配布
• ユーザーエージェントの検出に基づく、プラットフォーム固有のマルウェア
の配信
Kuluoz 拡散スパム用の電子メールのテーマは、多岐にわたっており、通常断続的な
攻撃を繰り返します。例えば、法的な通知 ( 裁判所の命令など )、宅配便のメッセー
ジ (FedEx、UPS、DHL)、ボイスメールサービス通知 (WhatsApp など )、最新の出来
事 (2014年の極渦など )、オンラインセールス ( ピザハットの無料ピザのお知らせなど )
等がありますが、これらはほんの一部に過ぎません。
パロアルトネットワークス + 脅威の傾向
18
Kuluoz が成功した理由として主に挙げられるのが、自己拡散機能と、標的のソーシャ
ルエンジニアリングを狙った電子メールテーマを選択していることです。Kuluoz は
システムに感染するとすぐに、別のコンポーネントのダウンロードを開始します。
このコンポーネントは以下のようなアクションを実行します。
• 攻撃者から最新のスパムテンプレートと電子メールアドレスのリストを取得し、
提供されたテンプレートを使用してそれらのアドレスに自分自身のコピーをメー
ルで送信します。
• 攻撃者に金銭的な利益をもたらす追加マルウェアをダウンロードし、インストー
ルします (AdWare、RansomWare、バンキング型トロイの木馬など )。
• 既知の脆弱性を使用して Web サイトへの感染を試みます。
• 感染したシステムから、電子メール、FTP、Web ブラウザの資格情報を盗もう
とします。
2014年10月に確認された Kuluoz セッションの合計数は膨大でしたが、図46に示すよ
うに日次ベースでこのデータを見てみると、あるパターンが明確になります。毎週
Kuluoz Daily Impact
末になると Kuluoz セッションの合計数が減少しゼロに近くなります。これは、大量
のスパムを送信するシステムがスパムの送信を停止したことを示しており、攻撃者
の指示によるものか、またはシステムが完全に停止したためと考えられます。
300,000
Axis Title
250,000
200,000
150,000
100,000
50,000
10
/0
1/
10 201
/0
4
3/
10 201
/0
4
5/
10 201
/0
4
7/
10 201
/0
4
9/
10 201
/1
4
1/
10 201
/1
4
3/
10 201
/1
4
5/
10 201
/1
4
7/
10 201
/1
4
9/
10 201
/2
4
1/
10 201
/2
4
3/
10 201
/2
4
5/
10 201
/2
4
7/
10 201
/2
4
9/
10 201
/3
4
1/
20
14
0
図46: WildFire による Kuluoz の検出 (1日当たりの合計セッション数 )
月全体を通して検出された固有の kuluoz サンプルの合計数についても、同様のパター
Kuluoz Daily Impact
ンが明確に現れています。Kuluoz の攻撃者は、定期的にマルウェアを再生成するこ
とによってアンチウイルスソフトの先手をとります。そのため、機能は同じでも、
頻繁に形を変えます。
18,000
16,000
14,000
12,000
10,000
8,000
6,000
4,000
2,000
10
/0
1/
10 201
/0
4
3/
10 201
/0
4
5/
10 201
/0
4
7/
10 201
/0
4
9/
10 201
/1
4
1/
10 201
/1
4
3/
10 201
/1
4
5/
10 201
/1
4
7/
10 201
/1
4
9/
10 201
/2
4
1/
10 201
/2
4
3/
10 201
/2
4
5/
10 201
/2
4
7/
10 201
/2
4
9/
10 201
/3
4
1/
20
14
0
図47: WildFire による Kuluoz の検出 (1日当たりの固有サンプル )
パロアルトネットワークス + 脅威の傾向
19
11.8%
その他
1.2%
DLL 4.9%
EXE
94.3%
Office 0.8%
その他 0.1%
Kuluoz は、一般的には電子メールの実行可能な添付ファイルとして配信されます
が、実行可能ファイルが ZIP アーカイブファイルに含まれている場合もあります。
WildFire セッションデータを見ると、10月には、主要な電子メールプロトコル (SMTP、
POP3、IMAP) がサンプルの96% を配信しており、Web ブラウジングと Web アプリケー
ションが残りの4% を占めています。FTP が確認されたのは、セッションの1% 未満で
した。
Web
ブラウジング図48: Kuluoz を配信するセッ
4%
電子メール
96%
ションで各アプリケーション
が占める割合
FTP
0.02%
Fig 40
本レポートで分析対象のすべての業種において、10月全体で大量の Kuluoz トラフィッ
クが確認されています。高等教育機関、医療機関、ハイテク分野が、影響を受けた
業種の上位3業種でした。
180
154
160
140
120
105
100
85
80
68
66
60
40
38
27
23
22
16
20
関
等
教
育
機
界
業
高
医
療
ク
テ
イ
ハ
関
機
政
行
業
ビ
ス
融
サ
ー
金
ャ
ラ
ク
チ
ス
ト
イ
ン
フ
ラ
法
・
門
専
ス
的
サ
ー
ビ
業
造
製
売
・
卸
売
0
小
SMTP
87%
図49: 各業種における1顧客に対する1日当たりの Kuluoz セッションの平均回数
本レポートに含まれている企業の8割以上が、10月に少なくとも1回は Kuluoz の攻撃
を受けているため、このボットネットの全体的な影響を過小評価することはできま
せん。Kuluoz がいかに高性能であるか、またいかに長い間アンチウイルスソフトの
検出を回避してきたかを十分に示す結果となっています。
パロアルトネットワークス + 脅威の傾向
20
Kuluoz に対する防御策
情報セキュリティの専門家や防御策を講じる側は、自社、自社の属する業種に固有
の脅威を認識し、この分野を対象とした最新の脅威インテリジェンスで絶えず武装
しておくことが重要です。以下の推奨事項により、防御側は万全の準備を整えるこ
とができます。
• ユーザーの認識向上 : ユーザーの認識を高めてトレーニングしておくことで、
電子メールによるフィッシング型の攻撃による影響を最小限の抑えることが
できます。多数ある Kuluoz の亜種には、ユーザーによる実行が必要なステッ
プがあります (ZIP アーカイブファイルを開いて、悪意のあるバイナリファイ
ルを実行するなど )。想定していない電子メールや迷惑メールに十分注意する
ようにユーザーの意識を高めます。特に何らかの強引な手法を用いたり、前
述したテーマを利用するメールには要注意です。
• プロトコルのモニタリングとコントロール : 応答アクションを構造化して明確
に定義することで ( アクションの大半は自動化可能であり、その必要がありま
す )、マルウェアが使用するコマンドアンドコントロール用のプロトコル (HTTP、
SMTP、IMAP、FTP) を可視化します。これにより、被る影響を完全に防ぐか、
最小限に抑えることができます。パロアルトネットワークスの次世代ファイ
アウォールは、このレベルのきめ細かなアプリケーションのモニタリングと
コントロールを可能とします。
• 分析の自動化 : 未知のサンプルの静的・動的分析を自動化することで、脅威の
亜種の開発とシグネチャベースのテクノロジによる対応の間に生まれるギャッ
プを解消します。アンチウイルス、その他のセキュリティ制御関連のシグネチャ
だけでは不十分です。パロアルトネットワークスの WildFire などのソリューショ
ンにより、企業は絶えず台頭する、他のセキュリティ制御の環境では未知の
ままである新しい脅威を識別することができます。
• インテリジェンスの融合 : 実用的なインテリジェンスの活用は、コンピュータ
ネットワーク防御 (CND) 運用に不可欠です。Kuluoz などの脅威は、ボットネッ
ト内での役割を最大限発揮するために、最初から組み込み済みのコマンドア
ンドコントロール (C2) 通信機能に大きく依存しています。悪意のあるドメイ
ン、IP、ファイルシグネチャ、ハッシュに関する最新のフィードとインテリ
ジェンスの統合を、環境の自動化ソリューションから得ることで、ネットワー
クを強力に防護する堅牢なセキュリティソリューションを実現できます。
〒102-0094
千代田区紀尾井町4番3号
泉館紀尾井町3F
電話番号 : 03-3511-4050
www.paloaltonetworks.jp
Copyright ©2014, Palo Alto Networks, Inc. All rights reserved. Palo Alto Networks、
Palo Alto Networks ロゴ、PAN-OS、App-ID、および Panorama は、Palo Alto
Networks, Inc.の商標です。製品の仕様は予告なく変更となる場合があります。
パロアルトネットワークスは、本書のいかなる不正確な記述について一切責
任を負わず、また本書の情報を更新する義務も一切負いません。パロアルトネッ
トワークスは予告なく本書の変更、修正、移譲、改訂を行う権利を保有します。
PAN_U42TT_TLR_120914
パロアルトネットワークス + 脅威の傾向
21

Download Report