McAfee Labs 脅威レポート

レポート
McAfee Labs
脅威レポート
2016年3月
サイバー脅威インテ
リジェンスを共有して
いる97%は、その有
効性を認めています。
McAfee Labsについて
McAfee Labsは、世界各地に配備した数百万台のセンサーか
らデータを収集し、
ファイル、Web、
メール、ネットワークなど
に対する脅威を研究・調査し、脆弱性の報告を行っています。
McAfee Labsは、
リアルタイムで脅威情報、重要な分析結果、専
門的な情報を提供し、保護対策の向上とリスクの軽減に貢献し
ています。
マカフィーはIntel Securityとなりました。
www.mcafee.com/jp/mcafee-labs.aspx
McAfee Labsのリンク
はじめに
寒さが厳しい冬の時期でも攻撃者の動きは止まりません。
昨年の11月に公開した『McAfee Labs 2016年の脅威予測』は多
くの方にお読みいただきました。
また、The Wall Street Journal、
Good Morning America、Silicon Valley Business Journal、CXO
Todayなどのメディアでも採り上げられました。
このレポートで
は、翌年の脅威予測だけでなく、長期的な視点でサイバーセキュ
リティの将来を予測しました。
まだお読みいただいてない方はぜ
ひご一読ください。
さて、冬の嵐が遠ざかり、
『McAfee Labs脅威レポート: 2016年3
月』が公開されました。今回のレポートでは、次の2つのトピック
を採り上げています。
■
■
Intel Securityでは、約500人のセキュリティ担当者に
インタビューを行い、サイバー脅威インテリジェンス
の共有に対する考えと期待について調査しました。
サイバー脅威インテリジェンスの共有に対する認知
度は非常に高く、実際に共有している回答者の97%
はその有効性を認めています。
McAfee Labsに送信されるAdwind .jarファイルのサ
ンプルが急増しています。JavaベースのAdwindバッ
クドア型トロイの木馬が巧妙なスパムでシステムに
侵入する方法を調査しました。
McAfee Labs脅威レポート 2016年3月 | 2
この2つのキートピックの後に、通常通り、四半期ごとの統計情
報をまとめています。
さらに...
このレポートが公開される頃には、RSA Conference 2016が終
了しているでしょう。
カンファレンスでは、Intel Securityグルー
プのゼネラルマネージャーであるChris YoungがIntel Security
の基調講演を行っています。Youngはここでサイバーセキュリ
ティの課題を2つ指摘しました。1つは脅威情報を共有するアラ
イアンスとモデルが存在しないこと。
もう1つは人材の不足で
す。
この事実を踏まえて、サイバーセキュリティの新しいモデル
を提案し、実際に行われている試みを紹介しました。
カンファレ
ンスに参加できなかった方は、ぜひこちらでご覧ください。
前回の脅威レポートでも触れたように、McAfee LabsはIntel
Security製品のコアとなる技術を数多く開発しています。第4
四半期は、個人ユーザー向けのMcAfee Cloud AV - Limited
Release製品用にReal Protect機能をリリースしました。
この機
能は、2015年のMcAfee® Stinger™マルウェア駆除ユーティリ
ティにも組み込まれています。Real Protectは、エンドポイント
で不審なアクティビティを監視するリアルタイムの動作検出技
術です。Real Protectは、
クラウド上で学習機能と動作ベースの
自動分類を行い、ゼロデイマルウェアをリアルアイムで検出し
ます。Real Protectの詳細については、
こちらをご覧ください。
四半期ごとに、McAfee Global Threat Intelligenceに送信され
る利用統計情報から新たな事実が見つかっています。弊社で
はMcAfee GTI Cloudのダッシュボードで攻撃パターンを確認
し、顧客の保護対策の改善に利用しています。
この情報を見る
と、顧客が受けている攻撃の実情が分かります。第4四半期の
状況は次のとおりです。
■
■
■
■
■
McAfee GTIが1日に受信したクエリー:
平均475億件
メール、
ブラウザーの検索などによる危険なURL
への誘導: 1日に1億5,700万回以上
顧客のネットワークで確認された感染ファイル:
1日に3億5,300万個以上
不審なプログラムのインストールまたは起動:
1日に7,100万回以上
危険なIPアドレスや顧客のネットワークに接続を
試みるIPアドレスに顧客がアクセスした回数:
1日に5,500万回
弊社では、脅威レポートに関するアンケートを実施しています。
皆様からの貴重なご意見は今後の参考とさせていただきます。
この脅威レポートに関するご意見をお寄せください。5分程度
で終わりますので、
ここをクリックしてアンケートにご協力くだ
さい。
− Vincent Weafer、
シニアバイスプレジデント/McAfee Labs
このレポートを共有
McAfee Labs脅威レポート 2016年3月 | 3
目次
McAfee Labs脅威レポート
2016年3月
執筆者:
Diwakar Dinkar
Paula Greve
Kent Landﬁeld
François Paget
Eric Peterson
Craig Schmugar
Rakesh Sharma
Rick Simon
Bruce Snell
Dan Sommer
Bing Sun
エグゼクティブサマリー
5
キートピック
6
サイバー脅威インテリジェンスの共有
JavaベースのAdwindマルウェア
統計情報
7
18
33
エグゼクティブサマリー
サイバー脅威インテリジェンスの共有
Intel Securityでは、約500人のセキュ
リティ担当者にインタビューを行い、
サイバー脅威インテリジェンスの共
有に対する考えと期待について調査
しました。サイバー脅威インテリジェ
ンスの共有に対する認知度は非常に
高く、実際に共有している回答者の
97%はその有効性を認めています。
セキュリティ業界では、サイバー脅威インテリジェンスの共有でシステムとネットワー
クのセキュリティが大幅に向上すると期待を寄せています。
しかし、セキュリティ担当者
はサイバー脅威インテリジェンスの共有が有効な手段だと感じているのでしょうか。
も
うそうだとすると、
どのような情報を共有すべきだと考えているのでしょうか。2015年、
Intel Securityは様々な業界と地域のセキュリティ担当者500人に聞き取り調査を行い
ました。サイバー脅威インテリジェンスの共有に対する認知度は非常に高く、実際に共
有している回答者の97%はその有効性を認めています。
このキートピックでは、サイ
バー脅威インテリジェンスの共有について実施した調査の結果とメリットについて詳
しく解説します。
JavaベースのAdwindマルウェア
2015年第1四半期にMcAfee Labs
に送信されたAdwind .jar ファイルは
1,388件でしたが、同年の第4四半期
は7,295件となり、426%も増加して
います。
Adwindリモート管理ツール（RAT）はJavaベースのバックドア型トロイの木馬で、Java
ファイルをサポートしている様々なプラットフォームを標的とします。通常、Adwindは
スパムメールの添付ファイル、Webページ、
ドライブバイダウンロードによって拡散
します。
このスパムメールは短時間で配信され、件名も頻繁に変更されています。
ま
た、非常に巧妙な添付ファイルが使用されているため、簡単に阻止できる攻撃ではあ
りません。
このため、McAfee Labsに送信されるAdwind .jarファイルが急増しています。
2015年第1四半期のサンプル数は1,388件でしたが、同年第4四半期は7,295件とな
り、426%も増加しています。
このレポートを共有
McAfee Labs脅威レポート 2016年3月 | 5
キートピック
サイバー脅威インテリジェンスの共有
JavaベースのAdwindマルウェア
フィードバックを共有
キートピック
サイバー脅威インテリジェンスの共有
̶Bruce Snell、Kent Landﬁeld
セキュリティ担当者は複雑さを増す脅威から環境を保護しなければなりません。
これ
まではシグネチャベースや動作分析ベースの保護対策で脅威を阻止してきました。
こ
れらの対策は、パターンマッチングで脅威をブロックするか、不審な動作かどうかに基
づいて攻撃を阻止しています。いずれも効果的で、大半の攻撃はこの方法で撃退でき
ます。
しかし、非常に複雑な脅威や未知の脅威も阻止できるのでしょうか。検出を回避
するゼロデイ攻撃はどうでしょうか。
このような脅威を阻止するには、サイバー脅威イ
ンテリジェンスの活用が重要になります。
ここでいうサイバー脅威インテリジェンス
（CTI）
という概念は、単にレピュテーションス
コアの低いIPアドレスのリストや、不審なファイルのハッシュを意味しているわけでは
ありません。CTIは、新たな脅威（あるいは既存の脅威）に関するエビデンス情報で、
こ
れにより、十分な情報を利用して対処方法を判断することができます。CTIは、脅威の特
定のビットやバイトに関する情報ではなく、攻撃が発生したコンテキスト情報を提供し
ます。攻撃の兆候（IoA）や侵害の兆候（IoC）、攻撃者の身元や動機なども提供します。
CTIを使用することで脅威対策を強化したり、信頼された環境に存在する脅威を検出
できます。
CTIを組織のインフラと運用体制に統合することでシステムとネットワークのセキュリ
ティが大幅に向上すると期待されています。脅威を対象からできる限り遠ざけることが
セキュリティのベストプラクティスです。CTIを使用することで、セキュリティチームは発
生した個々の攻撃を阻止するだけでなく、攻撃者、攻撃の手口、標的に関してより詳し
い情報を入手し、現状を正確に把握することができます。CTIはサイバー脅威の状況を
把握する上で重要な要素となります。
サイバー脅威インテリジェンス
確認している
アクティビティ
観測
この脅威が発生
している場所
ネットワークと
システムで検出
する脅威と理由
指標
攻撃の内容
インシデント
この脅威が利用
した弱点
TTP
攻撃の理由
攻撃対象
キャンペーン
実行すべき対策
この脅威の実行者
脅威の主体
一連の行動
このレポートを共有
McAfee Labs脅威レポート 2016年3月 | 7
キートピック
調査結果
CTI、特にCTIの共有に関する記事をよく見ますが、実際のところ、セキュリティ担当者
はこのような情報の共有が有効であると考えているのでしょうか。
もうそうだとすると、
どのような情報を共有すべきだと考えているのでしょうか。
2015年、Intel Securityは様々な業界と地域のセキュリティ担当者500人に聞き取り
調査を行いました。調査対象はIntel Securityの顧客に限定せず、顧客以外にもインタ
ビューを行いました。調査結果は次のとおりです。
サイバー脅威インテリジェンスの共有に対するイニシアチブを知っていますか？
21%
知っている
39%
聞いたことはあるが、
詳しくは知らない
知らない
40%
出典: Intel Securityの調査（2015年）
この質問に対しては、肯定的な回答が多数を占めました。10人中8人は知っていると
答えているので、CTIの共有はかなり認知されていると言えるでしょう。
次に、CTIの共有を認識しているグループを絞り込むため、組織がCTI交換のイニシア
ティブに参加しているかどうかを聞きました。参加していると答えた回答者は42%で、
23%は不明という回答でした。残りの35%はCTI交換に参加していません。
次に、CTIの交換を始めている組織にCTI共有の有効性を尋ねました。
このレポートを共有
McAfee Labs脅威レポート 2016年3月 | 8
キートピック
サイバー脅威インテリジェンスの共有は御社にとって有益ですか？
2% 1%
非常に有益
どちらかと言うと有益
38%
59%
どちらとも言えない
それほど有益ではない
出典: Intel Securityの調査（2015年）
CTIを交換している組織の大半は、有効なデータを受信していると答えています。
共有されるCTIのほとんどは業界に依存しない情報で、業種に関係なく、すべての組
織でデータが共有されています。
では、金融、医療など、
自分の業種と直接関係のある
CTIが必要だと考えている組織はどのくらいあるのでしょうか。
業界に関連するサイバー脅威インテリジェンスは必要ですか？
1%
8%
必要
どちらかというと必要
37%
54%
どちらとも言えない
必要ない
出典: Intel Securityの調査（2015年）
このレポートを共有
McAfee Labs脅威レポート 2016年3月 | 9
キートピック
インタビューの結果、91%の回答者が業界固有のCTIが必要だと回答しました。銀行
などでは、同じマルウェアが類似した手口で複数の金融機関に攻撃を仕掛けることが
多いため、
このような意見が出るのも当然でしょう。重要インフラも同様です。
これまで
に、重要インフラでしか使用されていない特殊なデバイスを狙うマルウェアが確認さ
れているため、業界固有の情報を交換することは有効な手段といえます。
全体として、CTIの共有と使用については86%が組織の保護に役立っていると答えて
います。
脅威データを受信するだけでは、CTIを有効に活用することはできません。
コミュニ
ティでデータを有効に利用するにはデータの共有が必要です。
しかし、
コミュニティと
情報を共有する可能性になると状況が異なります。
「非常に高い」あるいは「可能性は
ある」
と答えた回答者は全体の63%でした。
御社が安全なプライベートプラットフォームでサイバー脅威インテリジェンスの
レピュテーションデータを共有する可能性はありますか？
4% 2%
24%
非常に高い
可能性はある
31%
どちらとも言えない
分からない
あまりない
39%
まったくない
出典: Intel Securityの調査（2015年）
では、
どのようなデータを共有したいと考えているのでしょうか。最も多かった答えは
「マルウェアの動作」
で、次が「URLレピュテーション」
でした。
「ファイルレピュテー
ション」が最下位だったのは意外でした。
この点については、今後も調査を続けます。
このレポートを共有
McAfee Labs脅威レポート 2016年3月 | 10
キートピック
レピュテーションデータを共有する場合、
どのレピュテーションデータを共有しますか？
80%
70%
60%
50%
40%
30%
20%
10%
0
マルウェアの
動作
URL
レピュテーション
外部IPアドレスの
レピュテーション
証明書の
レピュテーション
ファイル
レピュテーション
出典: Intel Securityの調査（2015年）
次に、データを共有したくないと答えた回答者にその理由を聞きました。最も多かった
回答は「会社の規則で禁じられている」
で、他の理由を大きく引き離しています。
レピュテーション情報を共有しない理由は何ですか？
60%
50%
40%
30%
20%
10%
0
会社の規則で
禁じられている
業界の規制で
禁じられている
概念は興味
深いが、詳しい
情報が必要
個人情報や
会社の情報が
漏えいする
可能性がある
自社の情報が
他の企業に
有効だとは
思わない
出典: Intel Securityの調査（2015年）
このレポートを共有
McAfee Labs脅威レポート 2016年3月 | 11
キートピック
企業がサイバー脅威インテリジェンスを共有しない理由
ポリシー
情報共有分析センター、CERT、ベンダー、
アライアンス、信頼できるパートナー、パブ
リック/プライベートイニシアチブでCTIを交換するメリットがあるにも関わらず、組織
が情報共有に躊躇する理由は何でしょうか。今回の調査で、最も共有したくないデータ
となったのが「ファイルレピュテーション」
で、共有しない理由で最も多かったのが「会
社の規則」
でした。
Intel Securityは長年にわたり業界関係者とCTIの共有について協議してきました。大
半の組織はCTI共有の有効性を認めていますが、
ファイルレピュテーションデータの
共有については否定的な意見が大半を占めています。おそらく、共有される情報につ
いて誤解があるのでしょう。
ファイルレピュテーションを共有すると、問題のファイルを
表すハッシュ値が作成されます。
このハッシュ値がファイルの識別に使用される固有
の番号となります。
この値はファイルに固有のものですが、ハッシュからファイル自体
を再現することはできません。社内のファイルや個人情報（PII）が外部に送信されるこ
とはありません。
しかし、組織でCTIを共有しようとすると、機密データやPIIの外部への
送信を禁止するルールに阻まれます。
このポリシー自体は正しいものですが、共有さ
れるコンテンツの内容を認識しないため、阻害要因となっています。
攻撃者の追跡
現在進行中の調査の妨げになる可能性があるため、
レピュテーションデータを共有
したくないと考えている組織もあります。政府機関、軍、知的財産を保有している業界
リーダーなどは、ネットワークに侵入を試みた攻撃者の特定を行っています。
これらの
組織では、攻撃の背後にいる人物や攻撃の狙いを特定し、今後の攻撃を回避するた
め、ある程度の攻撃を容認することも少なくありません。脅威データを共有するコミュ
ニティに攻撃者が参加しないとも限りません。その場合、
こちらの情報が攻撃者に筒抜
けになり、新たな手口で検出を回避されてしまう可能性があります。
まさしく
「知らぬ神
より馴染みの鬼」
という状況がこれに相当します。
法的問題についての懸念
共有を阻んでいるのは、技術的な課題というよりも法的な理由のほうが大きいようで
す。サイバー脅威インテリジェンスを共有するための法的な枠組みはまだ確立してい
ません。
リスク回避を優先する顧問弁護士は共有を認めないか、共有を厳しく制限す
るポリシーを作成しようとするでしょう。ほとんどの場合、情報を共有する前にパート
ナーとNDAやMOUなどの契約を締結するため、両者が合意に達するまでに時間がか
かります。
また、2社間でイベントの発生時に情報を共有するための法的根拠が十分で
ないことも少なくありません。
私たちのセキュリティ製品は特定のドメインをスパムの生成元と指定したり、
プログラ
ムやアドオンをスパイウェアとして定義していますが、法的な影響を懸念して、不正な
レピュテーションのURLまたはIPアドレスを指摘することに躊躇する組織もあります。
これはCTIの共有でも同様です。
このレポートを共有
McAfee Labs脅威レポート 2016年3月 | 12
キートピック
プライバシーについての懸念
プライバシーも大きな問題です。各国の法規制が足かせとなり、共有は非常に難しい
課題となっています。規制の厳しい業界の組織は法令を遵守し、顧客や患者などの機
密データを厳しく管理しなければなりません。個人情報の共有に関する法規制が必ず
しも理解されているとは限りません。違反や罰則を避けるため、業務に必要な場合を
除いて外部とのデータ共有を行わない組織も少なくありません。
情報交換の規格
CTIの交換を効率的に行うには、情報を共有するための技術標準を確立する必要があ
ります。サイバー脅威インテリジェンスを共有するための単一フォーマットを策定する
試みが行われてきましたが、その大半はインシデント対応などの特定の領域を対象に
したものでした。2010年に米国土安全保障省の指導と支援の下、MITREがサイバー
脅威の指標を自動的に表現できる脅威情報アーキテクチャの開発を開始しました。
こ
れは、サイバー脅威のライフサイクル、関連するメッセージフォーマット、交換プロトコ
ルを自動的かつ構造的に表す最初の試みとなりました。
この取り組みで次の3つの仕
様が定義されています。
■
TAXII™（Trusted Automated eXchange of Indicator Information）
■
STIX™（Structured Threat Information eXpression）
■
CybOX™（Cyber Observable eXpression）
サイバー脅威インテリジェンスを共有するための3つの標準規格
出典: oasis-open.org.
McAfee Labs脅威レポート 2016年3月 | 13
キートピック
この仕様を国際的に認知された標準規格にするため、DHSは仕様の開発と所有権を
OASIS（Organization for the Advancement of Structured Information Standards）に
移管しました。OASISは、OASISサイバー脅威インテリジェンス（CTI）技術委員会（TC）
を設立し、
さらに各仕様と相互運用の小委員会を設立しました。STIX、TAXII、CybOXの
開発、保守、新しいバージョンのリリースは今後OASISが行っていきます。
TAXIIは一連のサービスとメッセージ交換を定義する仕様です。実装すると、組織だけ
でなく、製品/サービス間でサイバー脅威インテリジェンスを自動的かつ安全に共有す
ることができます。TAXIIでサイバー脅威インテリジェンスを交換する場合、STIXがCTI
交換の推奨フォーマットになります。
STIXは、特定のサイバー脅威インテリジェンスの転送に使用される構造化形式です。
STIXは、サイバー脅威ライフサイクル全体に対応し、一貫した機械可読形式を提供す
るために開発されました。STIXを使用すると、一貫した意味論で情報を自動的に表現
し、高度な分析機能を使用できます。
これにより、個々の脅威ライフサイクルコンポー
ネント間の関係を記述することができます。
STIXは、CybOXという言語を使用して、攻撃で発生するサイバー事象をコード化しま
す。CybOXは、サイバー領域（ネットワークとホスト）
で発生する事象を標準化された方
法で記述します。サイバー事象とは、
レジストリキーやキー値、
ファイルの削除、
ファイ
ルハッシュ、HTTPリクエスト、ネットワークサブネットなどの要素です。サイバー事象
は、サイバー領域で測定可能なイベントまたはステートフルなプロパティとなります。
McAfee Labs脅威レポート 2016年3月 | 14
キートピック
サイバー脅威インテリジェンスの取得、公開、交換用のフォーマットとして60以上のベ
ンダーがSTIXを使用しています。DHSは、米国政府関連のサイバー脅威データの交換
をSTIXとTAXIIで標準化しました。セキュリティ業界は、
これらの仕様に基づくツールと
インフラを積極的に開発し、配布しています。
情報共有の標準規格とベストプラクティス
セキュリティ業界は現在、情報共有分析機関（ISAO）向けの標準規格とベストプラク
ティスの策定に取り組んでいます。サイバー脅威インテリジェンスのデータフィードや
サービスを提供する組織（企業、非営利団体）は数多く存在しますが、情報に統一性を
持たせることは難しいようです。大半のデータフォーマットは専用のもので、標準的な
インターフェースを使用するサービスもありません。情報の共有は顧客やメンバーに
対して限定的に行われていますが、標準規格がないため、データを活用するために多
大な時間とリソースを費やさなければなりません。規格の策定と維持にも多大なコス
トがかかります。
DHSは、米大統領令13691号に従い、ISAOの標準化組織として機能する非政府機関
を資金的に支援しました。ISAO標準化組織は、サイバー脅威インテリジェンスの作成
規格と分析組織の運用ガイドラインを定義するために創設されました。
この組織は、
現在の業種別（金融、医療、エネルギーなど）の情報共有分析センターのモデルを拡張
し、相互運用可能な標準インターフェースとデータフォーマットを使用して脅威情報を
共有できるようにすることを目指しています。サイバー脅威イベントデータを強化する
プロセスは、
これからサイバー脅威状況を共有する組織にも影響を及ぼします。
この
取り組みはまだ始まったばかりですが、
このガイドラインは今後のサイバー脅威イン
テリジェンスの共有や分析エコシステムの基盤となるでしょう。
サイバー脅威インテリジェンスの今後
CTIを共有するためのポリシーと標準が定義された後は、
どのような展開になるでしょ
うか。
法制度
法的な面で最も大きな懸念は、CTIを共有した場合に被る法的責任です。特定の組織
間でのみ情報を共有した場合、独占禁止法に抵触しないとも限りません。部分的とは
いえ、2015年の米サイバーセキュリティ法は、政府と民間企業または民間企業間で情
報を共有するための法的根拠となります。
この法律に従い、DHSおよび米司法省は米
国の政府機関が個人情報を含むCTIを受信、保存、使用、配布する場合のガイドライン
を作成しています。
また、
この法律により、民間企業も所定の方法でシステムを監視し、
脅威の兆候を共有・受信することができます。CTIまたは防止方法の共有、受信したCTI
や防止方法に基づく警告・行為に対する特別の規定はありません。不参加に対する罰
則もありません。
また、サイバー保護を目的として複数の民間組織間で脅威情報を共
有することは独占禁止法違反にはなりません。
米国政府と他の組織間での情報共有、独占禁止法、損害賠償に関する規定があるた
め、制定前と比べると、サイバー脅威データを積極的に活用することができます。
この
法律は各国の情報共有法のモデルになるでしょう。
また、法的責任の救済も規定され
ているので、共有に対する不安を払しょくし、顧問弁護士が望んでいたガイドラインを
用意することができます。
このレポートを共有
McAfee Labs脅威レポート 2016年3月 | 15
キートピック
Intel Securityの環境にCTIを統合す
る方法については、
『ソリューション概
要: 脅威情報を効果的に利用する方
法をご覧ください。
コミュニティで共有される情報の増加
以前と比べると、共有される脅威データが増えていますが、本当に重要な情報を取得
できているのでしょうか。場当たり的な攻撃を検出しているだけで、事業を脅かす真の
脅威は見逃しているかもしれません。
これまで、脅威情報のフィードや共有で業界標
準のフォーマットは使用されていませんでした。セキュリティ製品も同様です。独自の
データフォーマットが使用されているため、情報を関連付けて高度な分析を行うこと
ができず、検出すべき脅威を識別できませんでした。標準的なフォーマットで脅威デー
タを表すことで、不正なイベント、攻撃、ツールを識別し、状況に応じて柔軟に調査す
ることが可能になります。
これは、民間企業だけでなく、非営利団体やオープンソース
団体にもメリットがあります。
自動化と統合
CTIの交換を効率的に行うには、CTIの作成、インポート、エクスポートを自動的に行う
必要があります。CTIで環境内の脅威を手動で探すこともできますが、攻撃を即時また
はほぼリアルタイムに阻止するには自動化ツールとプロセスが必要になります。状況
に応じた対応を行い、CTIから有益な情報を引き出すため、セキュリティ関連製品は取
得したCTIに対して自動的に操作を実行する必要があります。以前は、マルウェアに感
染しているシステムを検出すれば済みましたが、現在では、
この情報を組織全体で共
有し、適切な対応を行う必要があります。たとえば、エンドポイントで不正なファイル
が見つかった場合、組織内のマルウェアを検出できるように、企業のセキュリティイン
フラ全体で通知を共有する必要があります。
また、不正なファイルとハッシュが一致し
ている場合、添付ファイルを境界でブロックしなければなりません。セキュリティベン
ダーがCTIの標準インターフェースを利用し、共通のデータフォーマットを使用すれ
ば、インテリジェントな対応が可能になります。
この標準化により、CTIから有益な情報
を取得し、セキュリティ運用のコストを削減できます。人材不足がボトルネックになっ
たり、適切な配置ができなくなることもありません。
CTI組織とサービスの向上
新しいセキュリティ情報サービスが次々と登場しています。サイバー脅威の兆候を識
別し、事象を共有するためにCTIの共有が推進され、
「脅威情報の交換」
と検索すると
数百件の結果が戻されます。
この中には有益な脅威兆候が含まれていますが、統一性
や品質、種類が問題となります。交換された複数の脅威情報を見ると、提供されるコン
テンツに統一性はありません。同じ脅威に対して、
ファイルハッシュとIPレピュテーショ
ンを提供するものもあれば、
レジストリキーとドメイン名のレピュテーションが含まれ
ている場合もあります。今後は標準化されたCTIが提供されるでしょう。
このレポートを共有
McAfee Labs脅威レポート 2016年3月 | 16
キートピック
このタイプのデータは重要ですが、脅威ライフサイクル全体に対する取り組みは始
まったばかりです。1つの脅威に対する情報が増えれば、関連するCTIも充実し、情報の
価値が高まります。顧客が状況を的確に把握し、脅威を迅速に回避できるように、個々
の脅威についてより多くのデータを収集する必要があります。
Intel Securityが創設メンバーであるCyber Threat Alliance（CTA）
でもCTIの共有を推
進しています。CTAは様々な業界を対象にしたセキュリティイニシアチブで、参加メン
バー間で脅威情報を共有し、
メンバーの顧客を保護するために高度脅威に対する対
策を強化しています。
また、脅威ライフサイクルの重要な要素（脆弱性、エクスプロイ
ト、新しいマルウェアのサンプル、ボットネットの指令インフラなど）を共有し、
自社の
セキュリティ製品の機能強化に利用しています。CTAのメンバーは、共同で研究するこ
とで特定の脅威を詳しく分析し、
ライフサイクル全体を把握して脅威の防止・回避に有
効な対策を検討しています。
まとめ
CTIは高度脅威対策を牽引する要素となります。Intel Securityの調査の結果、CTIに対
する認知度や期待が高いことが分かりました。
しかし、多くの企業は、
コミュニティと脅
威データを共有することに躊躇しています。
これらの組織が感じている懸念の一部は
解消されています。CTIの共有により、構造化された豊富なデータを利用して脅威の状
況を正確に把握し、迅速な対応が可能になります。CTIの活用は組織の防御対策で重
要な要素となります。
Intel Securityの環境にCTIを統合する方法については、
『ソリューション概要: 脅威情報
を効果的に利用する方法』をご覧ください。
McAfee Labs脅威レポート 2016年3月 | 17
キートピック
JavaベースのAdwindマルウェア
̶Diwakar Dinkar、Rakesh Sharma
Adwindリモート管理ツール（RAT）はJavaベースのバックドア型トロイの木馬で、Java
ファイルをサポートしている様々なプラットフォームを標的とします。Adwindは脆弱
性を悪用しません。通常、
メールに添付された.jarファイルをダブルクリックしたり、感
染したMicrosoft Word文書を開いてマルウェアを実行しない限り、感染することはあ
りません。感染するのは、Java Runtime Environmentがインストールされている場合
だけです。攻撃先のシステムで不正な.jarファイルが実行されると、マルウェアはユー
ザーに気づかれずに自身をインストールし、事前に設定されたポートを介してリモー
トサーバーに接続します。接続後、
リモートの攻撃者から命令を受信し、
さらなる攻撃
を実行します。2015年第1四半期にMcAfee Labsが受信したAdwind .jar ファイルは
1,388件でしたが、同年の第4四半期は7,295件で、426%も増加しています。
Adwindの標準的な攻撃方法
JRE環境か？
スパムキャンペーン
.jarファイルまたは.jarファイル
が埋め込まれたWordファイル
いいえ
停止
はい
レジストリキーを追加
（再起動後にバックドア型
トロイの木馬を実行）
制御サーバー
ドロッパーをインストール
バックドア型トロイの木馬を
インストール
不正なペイロードを
ダウンロードして実行
略歴
AdwindはFrutas RATから進化しました。Frutasは2013年の初めに見つかったJava
ベースのRATで、
ヨーロッパやアジアの大手通信会社、金融機関、政府機関などを
狙ったフィッシング詐欺メールでよく利用されました。Frutasを使用すると、バックド
ア機能付きの.jarファイルが作成できます。
システムへの侵入に成功すると、Frutasは
埋め込みの設定ファイルを解析し、
自身の指令サーバーに接続します。2013年の夏
になると、
このマルウェアはAdwindという名前に変わり、2013年11月にはUNRECOM
（UNiversal REmote COntrol Multiplatform）
という名前で販売されました。
このレポートを共有
McAfee Labs脅威レポート 2016年3月 | 18
キートピック
McAfee Labsでは、2015年第3四半期以降、Adwindとして識別される.jarファイルのサ
ンプル数が急増しています。
この状況は次のグラフを見れば明らかです。
McAfee Labsに送信されたAdwind .jarファイル
8,000
7,000
6,000
5,000
4,000
3,000
2,000
1,000
0
2015年
第1四半期
2015年
第2四半期
2015年
第3四半期
2015年
第4四半期
出典: McAfee Labs, 2016
感染の連鎖
通常、Adwindはスパムメールの添付ファイル、Webページ、
ドライブバイダウンロー
ドによって拡散します。配布方法も変化しています。以前のスパムキャンペーンでは、
件名や添付ファイルの名前が同じスパムメールを数日から数週間送信していました。
このため、セキュリティベンダーもAdwindを迅速に検出し、脅威を回避できました。
現在ではスパムの配信は短期間で終了し、
メールの件名も頻繁に変更されています。
Adwindの検出を回避するため、非常に巧妙な添付ファイが作成されています。以下で
はスパムメールの例を2つ紹介します。
例1: 不正な.jarファイルがWord .docに埋め込まれています。
この文書ファイルを開く
と、
システムにバックドアがドロップされ、実行されます。
Western Unionを装うフィッシング詐
欺を見分ける方法については、
ここを
クリックしてください。
このレポートを共有
感染したWordファイルが添付されたメール
McAfee Labs脅威レポート 2016年3月 | 19
キートピック
不正な.jarファイルが埋め込まれたWordファイル
例2: メールに添付されている不正な.jarファイルは1つとは限りません。
不正な.jarファイルが添付されたメール
ソーシャルエンジニアリングを駆使して巧妙な内容のメールが作成されています。次
のような件名が使用されています（括弧内は件名の内容）。
■
***SPAM*** Re:Payment/TR COPY-Urgent（至急の支払いを要求）
■
Credit note for outstanding payment of Invoice（未払い金額の通知）
■
Fwd://Top Urgent// COPY DOCS（重要文書の転送）
Re:Re:Re:Re:Re TT copy & PIs with Amendments very urgent...
（修正案の確認を依頼する緊急メール）
■
このレポートを共有
■
PO#939423（発注書）
■
Western Union Transaction（取引明細）
McAfee Labs脅威レポート 2016年3月 | 20
キートピック
.jarファイルの名前も巧妙で、不正なものには見えません。
■
Shipment_copies (2).jar − 船積書類
■
FUD FIle.jar − FUDファイル
■
PO 8324979(1).jar − 発注書
■
Shipping Documents.jar − 船積書類
■
Telex Copy.jar ーテレックス
■
INSTRUCTIONCZ121.jar − 指示書
■
Order939423.jar − 注文書
■
Payment TT COPY.jar − 支払い
■
SCAN_DRAFT COPY BL,PL,CI.jar − 草案のスキャン
■
Enquiries&Sample Catalog CME-Trade.jar − カタログサンプル
■
Transaction reciept for reconﬁrmation.xslx.jar − 領収書
■
P-ORD-C-10156-124658.jar − 発注書
■
Proforma Invoice...jar − 請求書
■
TT APPLICATION COPY FORM.jar − 申請書
■
Dec..PO.jar − 発注書
■
Credit_Status_0964093_docx.jar − 信用状態
警戒心の低いユーザーがメールを読んで添付ファイルを開いてしまうような巧妙な件
名と.jarファイル名が使用されています。
Adwindの亜種の分析
Adwindにはいくつかの亜種があり、.jarファイルのコンテンツも様々です。
McAfee Labs脅威レポート 2016年3月 | 21
キートピック
しかし、次のように内部ファイルの構成の一部は類似しています。
Adwindの亜種1: manifest.mf
Adwindの亜種2: manifest.mf
このレポートを共有
McAfee Labs脅威レポート 2016年3月 | 22
キートピック
Adwindの亜種3: manifest.mf
実行されると、Adwindは自身を%AppData%\[ランダムなフォルダー名]\[ランダムなファイル
名].jarにコピーする
Adwindの亜種によっては、%AppData%フォルダーにコピーされるJavaアーカイブ
に.jar以外の拡張子が付いています。
例: %AppData%\[ランダムなフォルダー名]\[ランダムなファイル名].[ランダムな拡張
子]
トロイの木馬がフォルダーとファイルの属性をシステム、隠し、読み取り専用に変更する
Adwindがランダムに作成するフォルダー
このレポートを共有
McAfee Labs脅威レポート 2016年3月 | 23
キートピック
最後に、Adwindは%AppData%フォルダーにある自身のコピーを実行し、
システム起
動時にJavaバックドア型トロイの木馬がシステム起動時に実行されるように次のレジ
ストリキーを追加します。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[ランダムな値名 = [JREのディレクトリ]\javaw.exe – jar %AppData%\[ラン
ダムなフォルダー名]\[ランダムなファイル名].jar
Adwindのレジストリキー
名前がランダムに割り当てられるAdwindのレジストリキー
Adwindは、不正な意図を隠すため難読化されています。ペイロードと設定ファイル（イ
ンストールファイルとして機能）はDES、RC4またはRC6で暗号化されています。使用さ
れる暗号化スイートは亜種によって異なります。Adwindバックドアは実行中に自身を
復号します。
■
亜種1
meta-inf/manifest.mfファイルの内容。最初に実行されるクラスはAdwind.class。
このレポートを共有
McAfee Labs脅威レポート 2016年3月 | 24
キートピック
亜種1のmanifest.mf
亜種1のAdwind.class
ファイルIDが読み込まれ、先頭行が変数passに文字列として格納されます。次に、
ClassLoaderModが変数pass、文字列Principalと一緒に読み込まれます。
IDファイルから取得された変数passのコンテンツ（8文字）
このレポートを共有
McAfee Labs脅威レポート 2016年3月 | 25
キートピック
ClassLoaderMod
ClassLoaderModクラスが文字列Principalを一連の文字に追加し、新しい文字列
Principal.adwindを作成します。
これはJavaアーカイブにある別のリソースファイルに
なります。ただし、
このファイルは暗号化されているようです。
暗号化されたPrincipal.adwind
このレポートを共有
McAfee Labs脅威レポート 2016年3月 | 26
キートピック
次に、
ファイルIDから取得された8文字の文字列とPrincipal.adwindがファイル
Constante.classにあるメソッドConstantinoに渡されます。
このメソッドがPrincipal.
adwindリソースファイルの圧縮（GZIPを使用）
とDESによる復号を行います。
Principal.adwind.の圧縮と復号を行うconstante.classメソッド
復号されると、Principal.adwindが別のクラスファイルになります。
このクラスファイル
は次のようになります。
クラスファイルを装うPrincipal.adwind
McAfee Labs脅威レポート 2016年3月 | 27
キートピック
このファイルにはキーawenubisskqiが直接記述されています。
このキーによって
conﬁg.xmlが復号されます（DESを再度使用）。復号されたconﬁg.xmlはバックドア型イ
ンストーラーとして機能します。
暗号化されたconfig.xml
復号後のconfig.xmlの内容
conﬁg.xmlのコンテンツはサンプルによって異なります。
このコンテンツが解析され、
更なる攻撃の設定と実行に使用されます。Javaアーカイブ内で.adwindで終わる他の
すべてのファイルも同様に実行時に復号されます。バックドアの機能は、使用するプ
ラグイン（追加のクラスファイル）によって異なります。たとえば、感染先のシステムで
スクリーンショットを取得したり、別のファイルをダウンロードして実行します。一部の
ファイルを変更または削除したり、キー入力を記録する場合もあります。
また、Webカ
メラ、マウス、キーボードを操作したり、
自身を更新する可能性もあります。
このレポートを共有
McAfee Labs脅威レポート 2016年3月 | 28
キートピック
他の亜種は別の方法で復号されます。
■
亜種2
亜種2ではmanifest.mfのメインはstart.class
XORで暗号化されたconfig.perl（テキストファイル）
このレポートを共有
McAfee Labs脅威レポート 2016年3月 | 29
キートピック
config.perlから復号されたコンテンツ
このコードには、暗号化して埋め込まれた不正な.jarファイルのパスとファイル名がラ
ンダムに記述されています。
また、復号に使用されるRC6キーの半分が記述されてい
ます。RC6キーの残りの半分は使用可能な他のクラスファイルから取得されます。前の
コードでは、QL1sv1aEoがRC6で暗号化された不正な.jarファイルで、
この中にAdwind
バックドアが含まれています。
暗号化された.jarファイルを復号すると、Adwindバックドアのクラスファイルとリソー
スを確認できます。
config.jsonがバックドアの設定ファイル（テキスト）。ポート番号、サーバー、インストールパスな
どが定義されている。
このレポートを共有
McAfee Labs脅威レポート 2016年3月 | 30
キートピック
■
亜種3
manifest.mfのmainはstart.classです。暗号化されていないPassword.txtに、埋め込ま
れた不正な.jarファイルの復号に使用するRC6キーの半分が含まれています。RC6キー
の残りの半分は使用可能な他のクラスファイルから取得されます。Server.dllはRC6で
暗号化された不正な.jarファイルで、
この中にAdwindバックドアが含まれています。
Adwindの亜種3で暗号化されていないpassword.txt
再起動のメカニズム
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[ランダムな値名 = [JREのディレクトリ]\jawaw.exe – jar %AppData%\[ラン
ダムなフォルダー名]\[ランダムなファイル名].jar
このレジストリエントリを見ると、バックドア型トロイの木馬はWindowsの起動時に毎回実行さ
れる。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[ランダムな値名 = [JREのディレクトリ]\jawaw.exe – jar %AppData%\[ラン
ダムなフォルダー名]\[ランダムなファイル名].[ランダムな拡張子]
このレジストリエントリには、任意のJavaアーカイブファイルの拡張子を使用して新しい亜種が
格納される。
感染後の攻撃
システムへの侵入に成功すると、Adwindはキーストロークの記録、
ファイルの改ざん
と削除、別のマルウェアのダウンロードと実行、
スクリーンショットの取得、
システムカ
メラへのアクセス、マウスとキーボードの操作、
自身の更新などを実行します。
このレポートを共有
McAfee Labs脅威レポート 2016年3月 | 31
キートピック
検出と防止
Intel Securityの製品がAdwindなど
の不正なリモート管理ツールを阻止
する方法については、
『ソリューション
概要: バックドア型トロイの木馬を阻
止する』
をご覧ください。
次の侵害兆候を使用すると、Adwindに感染したシステムを自動的に検出できます。
%AppData%\[ランダムなフォルダー名]\[ランダムなファイル名].jar
管理者のアプリケーションデータフォルダーにドロップされるファイル
HKCU\Software\Microsoft\Windows\CurrentVersion\Run] [ランダムな値
名 = [JREのディレクトリ]\javaw.exe – jar %AppData%\[ランダムなフォル
ダー名]\[ランダムなファイル名].jar
レジストリのキーを実行
Adwindなどの.jarマルウェアを阻止するため、次の対策を行いましょう。
■
■
■
■
■
■
■
■
最新のセキュリティ技術、パッチ、マルウェア対策の定義ファイルを適用
し、
システムを最新の状態に保つ。
オペレーティングシステムの自動更新を有効にするか、更新を定期的に
ダウンロードし、オペレーティングシステムにパッチを適用して既知の脆
弱性を解決する。
メールやインスタントメッセージの添付ファイルを自動的にスキャンする
ように、マルウェア対策ソフトウェアを設定する。
メールプログラムで添付ファイルを自動的に開いたり、画像を自動的に
表示しないように設定し、
プレビューウィンドウを非表示にする。
ブラウザーのセキュリティ設定を「中」以上に設定する。
添付ファイルを開くときは十分に注意する。特に、.jar、.pdf、.doc、.xlsファイ
ルを開く場合には警戒が必要です。
未請求メールや予期しない添付ファイルは絶対に開かない。知人からの
メールも例外ではありません。
スパムを利用したフィッシング詐欺に注意する。
メールやインスタント
メッセージにあるリンクをクリックしないでください。
Intel Securityの製品がAdwindなどの不正なリモート管理ツールを阻止する方法につ
いては、
『ソリューション概要: バックドア型トロイの木馬を阻止する』をご覧ください。
このレポートを共有
McAfee Labs脅威レポート 2016年3月 | 32
統計情報
マルウェア
Web脅威
ネットワーク攻撃
フィードバックを共有
統計情報
マルウェア
新しいマルウェア
新しいマルウェア
60,000,000
この脅威レポートでは、
より正確な
データを提供するため、マルウェアサ
ンプルの計算方法を調整しています。
この調整は、新しいマルウェアとマル
ウェアの合計のグラフに表示されてい
るすべての四半期に反映されていま
す。
新しいマルウェアのサンプル数は3期
連続で減少していましたが、第4四半
期は増加傾向に戻り、4,200万件の新
しい不正なハッシュが見つかってい
ます。第3四半期と比べると10%増加
し、過去2番目に多い結果となりまし
た。第4四半期に増加した要因の一つ
は新しいモバイル脅威です。第4四半
期に確認された件数は230万件で、
第3四半期より100万件も増えていま
す。
50,000,000
40,000,000
30,000,000
20,000,000
10,000,000
0
第1
四半期
第2
四半期
第3
四半期
第4
四半期
第1
四半期
第2
四半期
2014年
第3
四半期
第4
四半期
2015年
出典: McAfee Labs, 2016
マルウェアの合計
マルウェアの合計
500,000,000
450,000,000
400,000,000
350,000,000
300,000,000
250,000,000
200,000,000
150,000,000
100,000,000
0
第1
四半期
第2
四半期
第3
四半期
2014年
第4
四半期
第1
四半期
第2
四半期
第3
四半期
第4
四半期
2015年
出典: McAfee Labs, 2016
このレポートを共有
McAfee Labs脅威レポート 2016年3月 | 34
統計情報
新しいモバイル
マルウェア
新しいモバイルマルウェア
2,500,000
この四半期はモバイル端末を狙う
マルウェアが72%増加しました。
Googleは2015年8月、Androidモバ
イルオペレーティングシステの更新
を毎月リリースすると発表しました。
オペレーティングシステムに対するセ
キュリティの強化が毎月リリースされ
るため、マルウェアの作成者は以前よ
りも速いペースで新しいマルウェアを
作成しています。新たに作成され、検
知されたモバイルマルウェアは第4
四半期の統計情報に反映されていま
す。
2,000,000
1,500,000
1,000,000
500,000
0
第1
四半期
第2
四半期
第3
四半期
第4
四半期
第1
四半期
第2
四半期
2014年
第3
四半期
第4
四半期
2015年
出典: McAfee Labs, 2016
モバイル
モバイルマルウェアの合計
マルウェアの合計
13,000,000
12,000,000
11,000,000
10,000,000
9,000,000
8,000,000
7,000,000
6,000,000
5,000,000
4,000,000
3,000,000
2,000,000
1,000,000
0
第1
四半期
第2
四半期
第3
四半期
2014年
第4
四半期
第1
四半期
第2
四半期
第3
四半期
第4
四半期
2015年
出典: McAfee Labs, 2016
このレポートを共有
McAfee Labs脅威レポート 2016年3月 | 35
統計情報
地域別のモバイルマルウェアの感染率（2015年第4四半期）
地域別のモバイルマルウェアの感染率（2015年第4四半期）
（検出を報告したモバイルユーザーの割合)
（検出を報告したモバイルユーザーの割合)
14%
12%
10%
8%
6%
4%
2%
0%
アフリカ
アジア
オーストラリア
ヨーロッパ
北米
南米
出典: McAfee Labs, 2016
世界のモバイルマルウェアの感染率
マルウェアの感染率
世界のモバイル
（検出を報告したモバイル
ユーザーの割合)
（検出を報告したモバイルユーザーの割合)
22%
20%
18%
16%
14%
12%
10%
8%
6%
4%
2%
0%
第1
四半期
第2
四半期
第3
四半期
2014年
第4
四半期
第1
四半期
第2
四半期
第3
四半期
第4
四半期
2015年
出典: McAfee Labs, 2016
このレポートを共有
McAfee Labs脅威レポート 2016年3月 | 36
統計情報
Mac
MacOSを攻撃する新しいマルウェア
OSを攻撃する新しいマルウェア
35,000
Mac OSを狙う新しいマルウェアサン
プルは比較的少なく、活発に活動して
いるのは2、3のマルウェアファミリー
だけです。
30,000
25,000
20,000
15,000
10,000
5,000
0
第1
四半期
第2
四半期
第3
四半期
2014年
第4
四半期
第1
四半期
第2
四半期
2015年
第3
四半期
第4
四半期
出典: McAfee Labs, 2016
Mac
MacOSを攻撃するマルウェアの合計
OSを攻撃するマルウェアの合計
80,000
70,000
60,000
50,000
40,000
30,000
20,000
10,000
0
第1
四半期
第2
四半期
第3
四半期
2014年
第4
四半期
第1
四半期
第2
四半期
第3
四半期
第4
四半期
2015年
出典: McAfee Labs, 2016
このレポートを共有
McAfee Labs脅威レポート 2016年3月 | 37
統計情報
新しいルートキッ
トマルウェア
マルウェア
新しいルートキット
100,000
第4四半期は、新しいルートキットマ
ルウェアのサンプル数が大幅に減少
しました。
このタイプの攻撃は長期的
に減少傾向にあります。2011年第3
四半期から始まったこの傾向は、64
ビットのIntelプロセッサーと64ビット
版のMicrosoft Windowsを使用する
顧客が増えたことが原因と考えられ
ます。
カーネルパッチ保護、
セキュア
ボートなどの技術がルートキットマ
ルウェアの阻止にも役立っています。
今後もルートキットマルウェアが大幅
に増加する可能性は低いため、ルー
トキットマルウェアのサンプルデータ
を報告するのは今回が最後になりま
す。McAfee Labsでは、引き続きルー
トキットマルウェアの監視を行ってい
きます。大きな変化があった場合に
は、報告を再開します。
90,000
80,000
70,000
60,000
50,000
40,000
30,000
20,000
10,000
0
第1
四半期
第2
四半期
第3
四半期
第4
四半期
第1
四半期
第2
四半期
第3
四半期
第4
四半期
2015年
2014年
出典: McAfee Labs, 2016
ルートキッ
マルウェアの合計
ルートキット
トマルウェアの合計
1,800,000
1,600,000
1,400,000
1,200,000
1,000,000
800,000
600,000
400,000
200,000
0
第1
四半期
第2
四半期
第3
四半期
2014年
第4
四半期
第1
四半期
第2
四半期
第3
四半期
第4
四半期
2015年
出典: McAfee Labs, 2016
このレポートを共有
McAfee Labs脅威レポート 2016年3月 | 38
統計情報
新しいランサムウェア
新しいランサムウェア
1,400,000
2015年第4四半期に新たに確認され
たランサムウェアのサンプルは26%
増加しています。
オープンソースのラ
ンサムウェアコード
（Hidden Tear、
EDA2など）
とサービスとしてのランサ
ムウェア
（Ransom32、Encryptor）に
より簡単に攻撃できるようになったこ
とが原因と思われます。TeslaCrypt
とCryptoWall 3の勢いも衰えていま
せん。
『McAfee Labs脅威レポート:
2015年5月』
で報告したように、
ラン
サムウェアによる攻撃は金銭的な魅
力があり、捕まるリスクも低いため、
こ
の手口による攻撃が増えています。
1,200,000
1,000,000
800,000
600,000
400,000
200,000
0
第1
四半期
第2
四半期
第3
四半期
第4
四半期
第1
四半期
第2
四半期
2014年
第3
四半期
第4
四半期
2015年
出典: McAfee Labs, 2016
ランサムウェアの合計
ランサムウェアの合計
6,500,000
6,000,000
5,500,000
5,000,000
4,500,000
4,000,000
3,500,000
3,000,000
2,500,000
2,000,000
1,500,000
1,000,000
500,000
0
第1
四半期
第2
四半期
第3
四半期
2014年
このレポートを共有
第4
四半期
第1
四半期
第2
四半期
第3
四半期
第4
四半期
2015年
出典: McAfee Labs, 2016
McAfee Labs脅威レポート 2016年3月 | 39
統計情報
署名付きの新しい不正なバイナリ
署名付きの新しい不正なバイナリ
2,500,000
署名付きの新しい不正なバイナリの
数は四半期ごとに減少しています。
2015年第4四半期は、2013年第2四
半期以降で最も低い数字となってい
ます。闇市場では古い証明書が大量
に出回っていますが、
より強力なハッ
シュ機能を導入する企業が増えたた
め、
これらの証明書が失効したり、期
限切れになっている可能性がありま
す。SmartScreen（Microsoft Internet
Explorerの機能。現在ではWindows
の他の部分でも使用されている）など
の技術により信頼性の検証が強化さ
れたため、不正なバイナリに署名を
付けることにメリットがなくなっている
のかもしれません。
2,000,000
1,500,000
1,000,000
500,000
0
第1
四半期
第2
四半期
第3
四半期
第4
四半期
第1
四半期
第2
四半期
2014年
第3
四半期
第4
四半期
2015年
出典: McAfee Labs, 2016
署名付きの不正なバイナリの合計
署名付きの不正なバイナリの合計
22,000,000
20,000,000
18,000,000
16,000,000
14,000,000
12,000,000
10,000,000
8,000,000
6,000,000
4,000,000
2,000,000
0
第1
四半期
第2
四半期
第3
四半期
2014年
第4
四半期
第1
四半期
第2
四半期
第3
四半期
第4
四半期
2015年
出典: McAfee Labs, 2016
このレポートを共有
McAfee Labs脅威レポート 2016年3月 | 40
統計情報
新しいマクロ
ウイルス
新しいマクロウイルス
60,000
50,000
40,000
30,000
20,000
10,000
0
第1
四半期
第2
四半期
第3
四半期
第4
四半期
第1
四半期
第2
四半期
2014年
第3
四半期
第4
四半期
2015年
出典: McAfee Labs, 2016
マクロ
マクロウイルスの合計
ウイルスの合計
450,000
400,000
350,000
300,000
250,000
200,000
150,000
100,000
50,000
0
第1
四半期
第2
四半期
第3
四半期
2014年
第4
四半期
第1
四半期
第2
四半期
第3
四半期
第4
四半期
2015年
出典: McAfee Labs, 2016
このレポートを共有
McAfee Labs脅威レポート 2016年3月 | 41
統計情報
Web脅威
新しい不審なURL
新しい不審なURL
35,000,000
30,000,000
25,000,000
20,000,000
15,000,000
10,000,000
5,000,000
0
第1
四半期
第2
四半期
第3
四半期
第4
四半期
第1
四半期
第2
四半期
2014年
第3
四半期
第4
四半期
2015年
関連ドメイン
URL
出典: McAfee Labs, 2016
新しいフィッシング詐欺URL
新しいフィッシング詐欺URL
2,500,000
2,000,000
1,500,000
1,000,000
500,000
0
第1
四半期
第2
四半期
第3
四半期
2014年
URL
第4
四半期
第1
四半期
第2
四半期
第3
四半期
第4
四半期
2015年
関連ドメイン
出典: McAfee Labs, 2016
このレポートを共有
McAfee Labs脅威レポート 2016年3月 | 42
統計情報
新しいスパムURL
新しいスパムURL
2,500,000
2,000,000
1,500,000
1,000,000
500,000
0
第1
四半期
第2
四半期
第3
四半期
第4
四半期
第1
四半期
第2
四半期
2014年
第3
四半期
第4
四半期
2015年
関連ドメイン
URL
出典: McAfee Labs, 2016
世界で発生したスパムとメールの量
（1兆通単位）
世界で発生したスパムとメールの量
11
10
9
8
7
6
5
4
3
2
1
0
第1
四半期
第2
四半期
第3
四半期
2014年
スパム
第4
四半期
第1
四半期
第2
四半期
第3
四半期
第4
四半期
2015年
正規のメール
出典: McAfee Labs, 2016
このレポートを共有
McAfee Labs脅威レポート 2016年3月 | 43
統計情報
スパムメールを送信するボットネットの上位10
（100万通単位）
スパムメールを送信するボッ
トネットの上位10
1,400
第4四半期のトップはKelihosボット
ネットですが、件数は第3四半期の
95%でした。薬局を装うスパムで有
名なKelihosですが、
この四半期は中
国語の受信者に対して求人情報のス
パムを送信しています。第4四半期は
Lethicボットネットが60%増加してい
ます。
このボットネットは主に、偽ブラ
ンドの腕時計を勧めるスパムを送信
しています。
1,200
1,000
800
600
400
200
0
第2
四半期
第1
四半期
第3
四半期
第4
四半期
第1
四半期
2014年
第2
四半期
第3
四半期
第4
四半期
2015年
Kelihos
Gamut
Asprox
Cutwail
その他
Sendsafe
Slenfbot
Darkmailer
Lethic
Stealrat
出典: McAfee Labs, 2016
世界のボットネットの分布
世界のボットネットの分布
Wapomi
Muieblackcat
18%
3%
Sality
34%
Darkness
4%
Ramnit
5%
China Chopper Webshell
6%
8%
14%
9%
Maazben
H-Worm
その他
出典: McAfee Labs, 2016
このレポートを共有
McAfee Labs脅威レポート 2016年3月 | 44
統計情報
ボットネット指令サーバーが最も多く存在する国
ボットネット指令サーバーが最も多く存在する国
米国
ドイツ
ロシア
32%
37%
オランダ
フランス
韓国
8%
4%
5%
5%
ウクライナ
3%
3%
英国
その他
3%
出典: McAfee Labs, 2016
ネットワーク攻撃
ネットワーク攻撃の上位
ネットワーク攻撃の上位
3%
ブラウザー
3%
9%
3%
総当り攻撃
36%
サービス拒否
SSL
11%
スキャン
DNS
16%
19%
バックドア
その他
出典: McAfee Labs, 2016
このレポートを共有
McAfee Labs脅威レポート 2016年3月 | 45
Intel Securityについて
フィードバックをお願いします。今後
の参考にするため、皆様からのフィー
ドバックをお待ちしています。5分程
度で終わりますので、
ここをクリック
して脅威レポートに関するアンケー
トにご協力ください。
マカフィーはIntel Securityとなりました。Intel Securityは、Security Connected戦略、セ
キュリティにハードウェアを活用した革新的なアプロ―チ、
また独自のGlobal Threat
Intelligenceにより、世界中のシステム、ネットワーク、モバイルデバイスを守るプロア
クティブで定評あるセキュリティソリューションやサービスを提供しています。Intel
Securityは、マカフィーの優れたセキュリティ技術とインテルの革新性と信頼性の融合
により、すべてのアーキテクチャとコンピューティングプラットフォームにセキュリティ
を統合します。Intel Securityは、すべてのユーザーが日々の生活でも職場でも、デジタ
ル世界を安心して利用できるようにすることを目指しています。
www.intelsecurity.com
McAfee Labsのリンク
McAfee. Part of Intel Security.
マカフィー株式会社
東京本社
〒 150-0043 東京都渋谷区道玄坂 1- 12- 1
渋谷マークシティウェスト 20F
TEL 03-5428-1100（代）FAX 03-5428-1480
〒 530- 0003 大阪府大阪市北区堂島 2-2-2
近鉄堂島ビル 18F
TEL 06-6344-1511（代）FAX 06-6344-1517
名古屋営業所〒 450-0002 愛知県名古屋市中村区名駅 4-6-17
名古屋ビルディング 13F
TEL 052-551-6233（代）FAX 052-551-6236
福岡営業所
〒 810- 0801 福岡県福岡市博多区中洲 5-3-8
アクア博多 5F
TEL 092-287-9674（代）
西日本支店
www.intelsecurity.com
本資料は弊社の顧客に対する情報提供を目的としています。本資料の内容は予告なしに変更される場合があります。本資料は
「現状のまま」提供するものであり、特定の状況あるいは環境に対する正確性および適合性を保証するものではありません。
Intel、Intelのロゴ、McAfeeのロゴは、米国法人Intel Corporation、McAfee, Inc.もしくは米国またはその他の国の関係会社におけ
る商標です。その他すべての登録商標および商標はそれぞれの所有者に帰属します。
Copyright © 2016 Intel Corporation. 62289rpt_qtr-q1_0316

Download Report