レポート McAfee Labs 脅威レポート 2016年3月 サイバー脅威インテ リジェンスを共有して いる97%は、その有 効性を認めています。 McAfee Labsについて McAfee Labsは、世界各地に配備した数百万台のセンサーか らデータを収集し、 ファイル、Web、 メール、ネットワークなど に対する脅威を研究・調査し、脆弱性の報告を行っています。 McAfee Labsは、 リアルタイムで脅威情報、重要な分析結果、専 門的な情報を提供し、保護対策の向上とリスクの軽減に貢献し ています。 マカフィーはIntel Securityとなりました。 www.mcafee.com/jp/mcafee-labs.aspx McAfee Labsのリンク はじめに 寒さが厳しい冬の時期でも攻撃者の動きは止まりません。 昨年の11月に公開した『McAfee Labs 2016年の脅威予測』は多 くの方にお読みいただきました。 また、The Wall Street Journal、 Good Morning America、Silicon Valley Business Journal、CXO Todayなどのメディアでも採り上げられました。 このレポートで は、翌年の脅威予測だけでなく、長期的な視点でサイバー セキュ リティの将来を予測しました。 まだお読みいただいてない方はぜ ひご一読ください。 さて、冬の嵐が遠ざかり、 『McAfee Labs脅威レポート: 2016年3 月』が公開されました。今回のレポートでは、次の2つのトピック を採り上げています。 ■ ■ Intel Securityでは、約500人のセキュリティ担当者に インタビューを行い、サイバー脅威インテリジェンス の共有に対する考えと期待について調査しました。 サイバー脅威インテリジェンスの共有に対する認知 度は非常に高く、実際に共有している回答者の97% はその有効性を認めています。 McAfee Labsに送信されるAdwind .jarファイルのサ ンプルが急増しています。JavaベースのAdwindバッ クドア型トロイの木馬が巧妙なスパムでシステムに 侵入する方法を調査しました。 McAfee Labs脅威レポート 2016年3月 | 2 この2つのキートピックの後に、通常通り、四半期ごとの統計情 報をまとめています。 さらに... このレポートが公開される頃には、RSA Conference 2016が終 了しているでしょう。 カンファレンスでは、Intel Securityグルー プのゼネラル マネージャーであるChris YoungがIntel Security の基調講演を行っています。Youngはここでサイバーセキュリ ティの課題を2つ指摘しました。1つは脅威情報を共有するアラ イアンスとモデルが存在しないこと。 もう1つは人材の不足で す。 この事実を踏まえて、サイバーセキュリティの新しいモデル を提案し、実際に行われている試みを紹介しました。 カンファレ ンスに参加できなかった方は、ぜひこちらでご覧ください。 前回の脅威レポートでも触れたように、McAfee LabsはIntel Security製品のコアとなる技術を数多く開発しています。第4 四半期は、個人ユーザー向けのMcAfee Cloud AV - Limited Release製品用にReal Protect機能をリリースしました。 この機 能は、2015年のMcAfee® Stinger™マルウェア駆除ユーティリ ティにも組み込まれています。Real Protectは、エンドポイント で不審なアクティビティを監視するリアルタイムの動作検出技 術です。Real Protectは、 クラウド上で学習機能と動作ベースの 自動分類を行い、ゼロデイ マルウェアをリアルアイムで検出し ます。Real Protectの詳細については、 こちらをご覧ください。 四半期ごとに、McAfee Global Threat Intelligenceに送信され る利用統計情報から新たな事実が見つかっています。弊社で はMcAfee GTI Cloudのダッシュボードで攻撃パターンを確認 し、顧客の保護対策の改善に利用しています。 この情報を見る と、顧客が受けている攻撃の実情が分かります。第4四半期の 状況は次のとおりです。 ■ ■ ■ ■ ■ McAfee GTIが1日に受信したクエリー: 平均475億件 メール、 ブラウザーの検索などによる危険なURL への誘導: 1日に1億5,700万回以上 顧客のネットワークで確認された感染ファイル: 1日に3億5,300万個以上 不審なプログラムのインストールまたは起動: 1日に7,100万回以上 危険なIPアドレスや顧客のネットワークに接続を 試みるIPアドレスに顧客がアクセスした回数: 1日に5,500万回 弊社では、脅威レポートに関するアンケートを実施しています。 皆様からの貴重なご意見は今後の参考とさせていただきます。 この脅威レポートに関するご意見をお寄せください。5分程度 で終わりますので、 ここをクリックしてアンケートにご協力くだ さい。 − Vincent Weafer、 シニア バイスプレジデント/McAfee Labs このレポートを共有 McAfee Labs脅威レポート 2016年3月 | 3 目次 McAfee Labs脅威レポート 2016年3月 執筆者: Diwakar Dinkar Paula Greve Kent Landfield François Paget Eric Peterson Craig Schmugar Rakesh Sharma Rick Simon Bruce Snell Dan Sommer Bing Sun エグゼクティブ サマリー 5 キートピック 6 サイバー脅威インテリジェンスの共有 JavaベースのAdwindマルウェア 統計情報 7 18 33 エグゼクティブ サマリー サイバー脅威インテリジェンスの共有 Intel Securityでは、約500人のセキュ リティ担当者にインタビューを行い、 サイバー脅威インテリジェンスの共 有に対する考えと期待について調査 しました。サイバー脅威インテリジェ ンスの共有に対する認知度は非常に 高く、実際に共有している回答者の 97%はその有効性を認めています。 セキュリティ業界では、サイバー脅威インテリジェンスの共有でシステムとネットワー クのセキュリティが大幅に向上すると期待を寄せています。 しかし、セキュリティ担当者 はサイバー脅威インテリジェンスの共有が有効な手段だと感じているのでしょうか。 も うそうだとすると、 どのような情報を共有すべきだと考えているのでしょうか。2015年、 Intel Securityは様々な業界と地域のセキュリティ担当者500人に聞き取り調査を行い ました。サイバー脅威インテリジェンスの共有に対する認知度は非常に高く、実際に共 有している回答者の97%はその有効性を認めています。 このキートピックでは、サイ バー脅威インテリジェンスの共有について実施した調査の結果とメリットについて詳 しく解説します。 JavaベースのAdwindマルウェア 2015年第1四半期にMcAfee Labs に送信されたAdwind .jar ファイルは 1,388件でしたが、同年の第4四半期 は7,295件となり、426%も増加して います。 Adwindリモート管理ツール(RAT)はJavaベースのバックドア型トロイの木馬で、Java ファイルをサポートしている様々なプラットフォームを標的とします。通常、Adwindは スパム メールの添付ファイル、Webページ、 ドライブバイ ダウンロードによって拡散 します。 このスパム メールは短時間で配信され、件名も頻繁に変更されています。 ま た、非常に巧妙な添付ファイルが使用されているため、簡単に阻止できる攻撃ではあ りません。 このため、McAfee Labsに送信されるAdwind .jarファイルが急増しています。 2015年第1四半期のサンプル数は1,388件でしたが、同年第4四半期は7,295件とな り、426%も増加しています。 このレポートを共有 McAfee Labs脅威レポート 2016年3月 | 5 キートピック サイバー脅威インテリジェンスの共有 JavaベースのAdwindマルウェア フィードバックを共有 キートピック サイバー脅威インテリジェンスの共有 ̶Bruce Snell、Kent Landfield セキュリティ担当者は複雑さを増す脅威から環境を保護しなければなりません。 これ まではシグネチャベースや動作分析ベースの保護対策で脅威を阻止してきました。 こ れらの対策は、パターン マッチングで脅威をブロックするか、不審な動作かどうかに基 づいて攻撃を阻止しています。いずれも効果的で、大半の攻撃はこの方法で撃退でき ます。 しかし、非常に複雑な脅威や未知の脅威も阻止できるのでしょうか。検出を回避 するゼロデイ攻撃はどうでしょうか。 このような脅威を阻止するには、サイバー脅威イ ンテリジェンスの活用が重要になります。 ここでいうサイバー脅威インテリジェンス (CTI) という概念は、単にレピュテーション ス コアの低いIPアドレスのリストや、不審なファイルのハッシュを意味しているわけでは ありません。CTIは、新たな脅威(あるいは既存の脅威)に関するエビデンス情報で、 こ れにより、十分な情報を利用して対処方法を判断することができます。CTIは、脅威の特 定のビットやバイトに関する情報ではなく、攻撃が発生したコンテキスト情報を提供し ます。攻撃の兆候(IoA)や侵害の兆候(IoC)、攻撃者の身元や動機なども提供します。 CTIを使用することで脅威対策を強化したり、信頼された環境に存在する脅威を検出 できます。 CTIを組織のインフラと運用体制に統合することでシステムとネットワークのセキュリ ティが大幅に向上すると期待されています。脅威を対象からできる限り遠ざけることが セキュリティのベストプラクティスです。CTIを使用することで、セキュリティ チームは発 生した個々の攻撃を阻止するだけでなく、攻撃者、攻撃の手口、標的に関してより詳し い情報を入手し、現状を正確に把握することができます。CTIはサイバー脅威の状況を 把握する上で重要な要素となります。 サイバー脅威インテリジェンス 確認している アクティビティ 観測 この脅威が発生 している場所 ネットワークと システムで検出 する脅威と理由 指標 攻撃の内容 インシデント この脅威が利用 した弱点 TTP 攻撃の理由 攻撃対象 キャンペーン 実行すべき対策 この脅威の実行者 脅威の主体 一連の行動 このレポートを共有 McAfee Labs脅威レポート 2016年3月 | 7 キートピック 調査結果 CTI、特にCTIの共有に関する記事をよく見ますが、実際のところ、セキュリティ担当者 はこのような情報の共有が有効であると考えているのでしょうか。 もうそうだとすると、 どのような情報を共有すべきだと考えているのでしょうか。 2015年、Intel Securityは様々な業界と地域のセキュリティ担当者500人に聞き取り 調査を行いました。調査対象はIntel Securityの顧客に限定せず、顧客以外にもインタ ビューを行いました。調査結果は次のとおりです。 サイバー脅威インテリジェンスの共有に対するイニシアチブを知っていますか? 21% 知っている 39% 聞いたことはあるが、 詳しくは知らない 知らない 40% 出典: Intel Securityの調査(2015年) この質問に対しては、肯定的な回答が多数を占めました。10人中8人は知っていると 答えているので、CTIの共有はかなり認知されていると言えるでしょう。 次に、CTIの共有を認識しているグループを絞り込むため、組織がCTI交換のイニシア ティブに参加しているかどうかを聞きました。参加していると答えた回答者は42%で、 23%は不明という回答でした。残りの35%はCTI交換に参加していません。 次に、CTIの交換を始めている組織にCTI共有の有効性を尋ねました。 このレポートを共有 McAfee Labs脅威レポート 2016年3月 | 8 キートピック サイバー脅威インテリジェンスの共有は御社にとって有益ですか? 2% 1% 非常に有益 どちらかと言うと有益 38% 59% どちらとも言えない それほど有益ではない 出典: Intel Securityの調査(2015年) CTIを交換している組織の大半は、有効なデータを受信していると答えています。 共有されるCTIのほとんどは業界に依存しない情報で、業種に関係なく、すべての組 織でデータが共有されています。 では、金融、医療など、 自分の業種と直接関係のある CTIが必要だと考えている組織はどのくらいあるのでしょうか。 業界に関連するサイバー脅威インテリジェンスは必要ですか? 1% 8% 必要 どちらかというと必要 37% 54% どちらとも言えない 必要ない 出典: Intel Securityの調査(2015年) このレポートを共有 McAfee Labs脅威レポート 2016年3月 | 9 キートピック インタビューの結果、91%の回答者が業界固有のCTIが必要だと回答しました。銀行 などでは、同じマルウェアが類似した手口で複数の金融機関に攻撃を仕掛けることが 多いため、 このような意見が出るのも当然でしょう。重要インフラも同様です。 これまで に、重要インフラでしか使用されていない特殊なデバイスを狙うマルウェアが確認さ れているため、業界固有の情報を交換することは有効な手段といえます。 全体として、CTIの共有と使用については86%が組織の保護に役立っていると答えて います。 脅威データを受信するだけでは、CTIを有効に活用することはできません。 コミュニ ティでデータを有効に利用するにはデータの共有が必要です。 しかし、 コミュニティと 情報を共有する可能性になると状況が異なります。 「非常に高い」あるいは「可能性は ある」 と答えた回答者は全体の63%でした。 御社が安全なプライベート プラットフォームでサイバー脅威インテリジェンスの レピュテーション データを共有する可能性はありますか? 4% 2% 24% 非常に高い 可能性はある 31% どちらとも言えない 分からない あまりない 39% まったくない 出典: Intel Securityの調査(2015年) では、 どのようなデータを共有したいと考えているのでしょうか。最も多かった答えは 「マルウェアの動作」 で、次が「URLレピュテーション」 でした。 「ファイル レピュテー ション」が最下位だったのは意外でした。 この点については、今後も調査を続けます。 このレポートを共有 McAfee Labs脅威レポート 2016年3月 | 10 キートピック レピュテーション データを共有する場合、 どのレピュテーション データを共有しますか? 80% 70% 60% 50% 40% 30% 20% 10% 0 マルウェアの 動作 URL レピュテーション 外部IPアドレスの レピュテーション 証明書の レピュテーション ファイル レピュテーション 出典: Intel Securityの調査(2015年) 次に、データを共有したくないと答えた回答者にその理由を聞きました。最も多かった 回答は「会社の規則で禁じられている」 で、他の理由を大きく引き離しています。 レピュテーション情報を共有しない理由は何ですか? 60% 50% 40% 30% 20% 10% 0 会社の規則で 禁じられている 業界の規制で 禁じられている 概念は興味 深いが、詳しい 情報が必要 個人情報や 会社の情報が 漏えいする 可能性がある 自社の情報が 他の企業に 有効だとは 思わない 出典: Intel Securityの調査(2015年) このレポートを共有 McAfee Labs脅威レポート 2016年3月 | 11 キートピック 企業がサイバー脅威インテリジェンスを共有しない理由 ポリシー 情報共有分析センター、CERT、ベンダー、 アライアンス、信頼できるパートナー、パブ リック/プライベート イニシアチブでCTIを交換するメリットがあるにも関わらず、組織 が情報共有に躊躇する理由は何でしょうか。今回の調査で、最も共有したくないデータ となったのが「ファイル レピュテーション」 で、共有しない理由で最も多かったのが「会 社の規則」 でした。 Intel Securityは長年にわたり業界関係者とCTIの共有について協議してきました。大 半の組織はCTI共有の有効性を認めていますが、 ファイル レピュテーション データの 共有については否定的な意見が大半を占めています。おそらく、共有される情報につ いて誤解があるのでしょう。 ファイル レピュテーションを共有すると、問題のファイルを 表すハッシュ値が作成されます。 このハッシュ値がファイルの識別に使用される固有 の番号となります。 この値はファイルに固有のものですが、ハッシュからファイル自体 を再現することはできません。社内のファイルや個人情報(PII)が外部に送信されるこ とはありません。 しかし、組織でCTIを共有しようとすると、機密データやPIIの外部への 送信を禁止するルールに阻まれます。 このポリシー自体は正しいものですが、共有さ れるコンテンツの内容を認識しないため、阻害要因となっています。 攻撃者の追跡 現在進行中の調査の妨げになる可能性があるため、 レピュテーション データを共有 したくないと考えている組織もあります。政府機関、軍、知的財産を保有している業界 リーダーなどは、ネットワークに侵入を試みた攻撃者の特定を行っています。 これらの 組織では、攻撃の背後にいる人物や攻撃の狙いを特定し、今後の攻撃を回避するた め、ある程度の攻撃を容認することも少なくありません。脅威データを共有するコミュ ニティに攻撃者が参加しないとも限りません。その場合、 こちらの情報が攻撃者に筒抜 けになり、新たな手口で検出を回避されてしまう可能性があります。 まさしく 「知らぬ神 より馴染みの鬼」 という状況がこれに相当します。 法的問題についての懸念 共有を阻んでいるのは、技術的な課題というよりも法的な理由のほうが大きいようで す。サイバー脅威インテリジェンスを共有するための法的な枠組みはまだ確立してい ません。 リスク回避を優先する顧問弁護士は共有を認めないか、共有を厳しく制限す るポリシーを作成しようとするでしょう。ほとんどの場合、情報を共有する前にパート ナーとNDAやMOUなどの契約を締結するため、両者が合意に達するまでに時間がか かります。 また、2社間でイベントの発生時に情報を共有するための法的根拠が十分で ないことも少なくありません。 私たちのセキュリティ製品は特定のドメインをスパムの生成元と指定したり、 プログラ ムやアドオンをスパイウェアとして定義していますが、法的な影響を懸念して、不正な レピュテーションのURLまたはIPアドレスを指摘することに躊躇する組織もあります。 これはCTIの共有でも同様です。 このレポートを共有 McAfee Labs脅威レポート 2016年3月 | 12 キートピック プライバシーについての懸念 プライバシーも大きな問題です。各国の法規制が足かせとなり、共有は非常に難しい 課題となっています。規制の厳しい業界の組織は法令を遵守し、顧客や患者などの機 密データを厳しく管理しなければなりません。個人情報の共有に関する法規制が必ず しも理解されているとは限りません。違反や罰則を避けるため、業務に必要な場合を 除いて外部とのデータ共有を行わない組織も少なくありません。 情報交換の規格 CTIの交換を効率的に行うには、情報を共有するための技術標準を確立する必要があ ります。サイバー脅威インテリジェンスを共有するための単一フォーマットを策定する 試みが行われてきましたが、その大半はインシデント対応などの特定の領域を対象に したものでした。2010年に米国土安全保障省の指導と支援の下、MITREがサイバー 脅威の指標を自動的に表現できる脅威情報アーキテクチャの開発を開始しました。 こ れは、サイバー脅威のライフサイクル、関連するメッセージ フォーマット、交換プロトコ ルを自動的かつ構造的に表す最初の試みとなりました。 この取り組みで次の3つの仕 様が定義されています。 ■ TAXII™(Trusted Automated eXchange of Indicator Information) ■ STIX™(Structured Threat Information eXpression) ■ CybOX™(Cyber Observable eXpression) サイバー脅威インテリジェンスを共有するための3つの標準規格 出典: oasis-open.org. McAfee Labs脅威レポート 2016年3月 | 13 キートピック この仕様を国際的に認知された標準規格にするため、DHSは仕様の開発と所有権を OASIS(Organization for the Advancement of Structured Information Standards)に 移管しました。OASISは、OASISサイバー脅威インテリジェンス(CTI)技術委員会(TC) を設立し、 さらに各仕様と相互運用の小委員会を設立しました。STIX、TAXII、CybOXの 開発、保守、新しいバージョンのリリースは今後OASISが行っていきます。 TAXIIは一連のサービスとメッセージ交換を定義する仕様です。実装すると、組織だけ でなく、製品/サービス間でサイバー脅威インテリジェンスを自動的かつ安全に共有す ることができます。TAXIIでサイバー脅威インテリジェンスを交換する場合、STIXがCTI 交換の推奨フォーマットになります。 STIXは、特定のサイバー脅威インテリジェンスの転送に使用される構造化形式です。 STIXは、サイバー脅威ライフサイクル全体に対応し、一貫した機械可読形式を提供す るために開発されました。STIXを使用すると、一貫した意味論で情報を自動的に表現 し、高度な分析機能を使用できます。 これにより、個々の脅威ライフサイクル コンポー ネント間の関係を記述することができます。 STIXは、CybOXという言語を使用して、攻撃で発生するサイバー事象をコード化しま す。CybOXは、サイバー領域(ネットワークとホスト) で発生する事象を標準化された方 法で記述します。サイバー事象とは、 レジストリ キーやキー値、 ファイルの削除、 ファイ ル ハッシュ、HTTPリクエスト、ネットワーク サブネットなどの要素です。サイバー事象 は、サイバー領域で測定可能なイベントまたはステートフルなプロパティとなります。 McAfee Labs脅威レポート 2016年3月 | 14 キートピック サイバー脅威インテリジェンスの取得、公開、交換用のフォーマットとして60以上のベ ンダーがSTIXを使用しています。DHSは、米国政府関連のサイバー脅威データの交換 をSTIXとTAXIIで標準化しました。セキュリティ業界は、 これらの仕様に基づくツールと インフラを積極的に開発し、配布しています。 情報共有の標準規格とベストプラクティス セキュリティ業界は現在、情報共有分析機関(ISAO)向けの標準規格とベストプラク ティスの策定に取り組んでいます。サイバー脅威インテリジェンスのデータ フィードや サービスを提供する組織(企業、非営利団体)は数多く存在しますが、情報に統一性を 持たせることは難しいようです。大半のデータ フォーマットは専用のもので、標準的な インターフェースを使用するサービスもありません。情報の共有は顧客やメンバーに 対して限定的に行われていますが、標準規格がないため、データを活用するために多 大な時間とリソースを費やさなければなりません。規格の策定と維持にも多大なコス トがかかります。 DHSは、米大統領令13691号に従い、ISAOの標準化組織として機能する非政府機関 を資金的に支援しました。ISAO標準化組織は、サイバー脅威インテリジェンスの作成 規格と分析組織の運用ガイドラインを定義するために創設されました。 この組織は、 現在の業種別(金融、医療、エネルギーなど)の情報共有分析センターのモデルを拡張 し、相互運用可能な標準インターフェースとデータフォーマットを使用して脅威情報を 共有できるようにすることを目指しています。サイバー脅威イベント データを強化する プロセスは、 これからサイバー脅威状況を共有する組織にも影響を及ぼします。 この 取り組みはまだ始まったばかりですが、 このガイドラインは今後のサイバー脅威イン テリジェンスの共有や分析エコシステムの基盤となるでしょう。 サイバー脅威インテリジェンスの今後 CTIを共有するためのポリシーと標準が定義された後は、 どのような展開になるでしょ うか。 法制度 法的な面で最も大きな懸念は、CTIを共有した場合に被る法的責任です。特定の組織 間でのみ情報を共有した場合、独占禁止法に抵触しないとも限りません。部分的とは いえ、2015年の米サイバーセキュリティ法は、政府と民間企業または民間企業間で情 報を共有するための法的根拠となります。 この法律に従い、DHSおよび米司法省は米 国の政府機関が個人情報を含むCTIを受信、保存、使用、配布する場合のガイドライン を作成しています。 また、 この法律により、民間企業も所定の方法でシステムを監視し、 脅威の兆候を共有・受信することができます。CTIまたは防止方法の共有、受信したCTI や防止方法に基づく警告・行為に対する特別の規定はありません。不参加に対する罰 則もありません。 また、サイバー保護を目的として複数の民間組織間で脅威情報を共 有することは独占禁止法違反にはなりません。 米国政府と他の組織間での情報共有、独占禁止法、損害賠償に関する規定があるた め、制定前と比べると、サイバー脅威データを積極的に活用することができます。 この 法律は各国の情報共有法のモデルになるでしょう。 また、法的責任の救済も規定され ているので、共有に対する不安を払しょくし、顧問弁護士が望んでいたガイドラインを 用意することができます。 このレポートを共有 McAfee Labs脅威レポート 2016年3月 | 15 キートピック Intel Securityの環境にCTIを統合す る方法については、 『ソリューション概 要: 脅威情報を効果的に利用する方 法をご覧ください。 コミュニティで共有される情報の増加 以前と比べると、共有される脅威データが増えていますが、本当に重要な情報を取得 できているのでしょうか。場当たり的な攻撃を検出しているだけで、事業を脅かす真の 脅威は見逃しているかもしれません。 これまで、脅威情報のフィードや共有で業界標 準のフォーマットは使用されていませんでした。セキュリティ製品も同様です。独自の データ フォーマットが使用されているため、情報を関連付けて高度な分析を行うこと ができず、検出すべき脅威を識別できませんでした。標準的なフォーマットで脅威デー タを表すことで、不正なイベント、攻撃、ツールを識別し、状況に応じて柔軟に調査す ることが可能になります。 これは、民間企業だけでなく、非営利団体やオープンソース 団体にもメリットがあります。 自動化と統合 CTIの交換を効率的に行うには、CTIの作成、インポート、エクスポートを自動的に行う 必要があります。CTIで環境内の脅威を手動で探すこともできますが、攻撃を即時また はほぼリアルタイムに阻止するには自動化ツールとプロセスが必要になります。状況 に応じた対応を行い、CTIから有益な情報を引き出すため、セキュリティ関連製品は取 得したCTIに対して自動的に操作を実行する必要があります。以前は、マルウェアに感 染しているシステムを検出すれば済みましたが、現在では、 この情報を組織全体で共 有し、適切な対応を行う必要があります。たとえば、エンドポイントで不正なファイル が見つかった場合、組織内のマルウェアを検出できるように、企業のセキュリティ イン フラ全体で通知を共有する必要があります。 また、不正なファイルとハッシュが一致し ている場合、添付ファイルを境界でブロックしなければなりません。セキュリティ ベン ダーがCTIの標準インターフェースを利用し、共通のデータ フォーマットを使用すれ ば、インテリジェントな対応が可能になります。 この標準化により、CTIから有益な情報 を取得し、セキュリティ運用のコストを削減できます。人材不足がボトルネックになっ たり、適切な配置ができなくなることもありません。 CTI組織とサービスの向上 新しいセキュリティ情報サービスが次々と登場しています。サイバー脅威の兆候を識 別し、事象を共有するためにCTIの共有が推進され、 「脅威情報の交換」 と検索すると 数百件の結果が戻されます。 この中には有益な脅威兆候が含まれていますが、統一性 や品質、種類が問題となります。交換された複数の脅威情報を見ると、提供されるコン テンツに統一性はありません。同じ脅威に対して、 ファイル ハッシュとIPレピュテーショ ンを提供するものもあれば、 レジストリ キーとドメイン名のレピュテーションが含まれ ている場合もあります。今後は標準化されたCTIが提供されるでしょう。 このレポートを共有 McAfee Labs脅威レポート 2016年3月 | 16 キートピック このタイプのデータは重要ですが、脅威ライフサイクル全体に対する取り組みは始 まったばかりです。1つの脅威に対する情報が増えれば、関連するCTIも充実し、情報の 価値が高まります。顧客が状況を的確に把握し、脅威を迅速に回避できるように、個々 の脅威についてより多くのデータを収集する必要があります。 Intel Securityが創設メンバーであるCyber Threat Alliance(CTA) でもCTIの共有を推 進しています。CTAは様々な業界を対象にしたセキュリティ イニシアチブで、参加メン バー間で脅威情報を共有し、 メンバーの顧客を保護するために高度脅威に対する対 策を強化しています。 また、脅威ライフサイクルの重要な要素(脆弱性、エクスプロイ ト、新しいマルウェアのサンプル、ボットネットの指令インフラなど)を共有し、 自社の セキュリティ製品の機能強化に利用しています。CTAのメンバーは、共同で研究するこ とで特定の脅威を詳しく分析し、 ライフサイクル全体を把握して脅威の防止・回避に有 効な対策を検討しています。 まとめ CTIは高度脅威対策を牽引する要素となります。Intel Securityの調査の結果、CTIに対 する認知度や期待が高いことが分かりました。 しかし、多くの企業は、 コミュニティと脅 威データを共有することに躊躇しています。 これらの組織が感じている懸念の一部は 解消されています。CTIの共有により、構造化された豊富なデータを利用して脅威の状 況を正確に把握し、迅速な対応が可能になります。CTIの活用は組織の防御対策で重 要な要素となります。 Intel Securityの環境にCTIを統合する方法については、 『ソリューション概要: 脅威情報 を効果的に利用する方法』をご覧ください。 McAfee Labs脅威レポート 2016年3月 | 17 キートピック JavaベースのAdwindマルウェア ̶Diwakar Dinkar、Rakesh Sharma Adwindリモート管理ツール(RAT)はJavaベースのバックドア型トロイの木馬で、Java ファイルをサポートしている様々なプラットフォームを標的とします。Adwindは脆弱 性を悪用しません。通常、 メールに添付された.jarファイルをダブルクリックしたり、感 染したMicrosoft Word文書を開いてマルウェアを実行しない限り、感染することはあ りません。感染するのは、Java Runtime Environmentがインストールされている場合 だけです。攻撃先のシステムで不正な.jarファイルが実行されると、マルウェアはユー ザーに気づかれずに自身をインストールし、事前に設定されたポートを介してリモー ト サーバーに接続します。接続後、 リモートの攻撃者から命令を受信し、 さらなる攻撃 を実行します。2015年第1四半期にMcAfee Labsが受信したAdwind .jar ファイルは 1,388件でしたが、同年の第4四半期は7,295件で、426%も増加しています。 Adwindの標準的な攻撃方法 JRE環境か? スパム キャンペーン .jarファイルまたは.jarファイル が埋め込まれたWordファイル いいえ 停止 はい レジストリ キーを追加 (再起動後にバックドア型 トロイの木馬を実行) 制御サーバー ドロッパーをインストール バックドア型トロイの木馬を インストール 不正なペイロードを ダウンロードして実行 略歴 AdwindはFrutas RATから進化しました。Frutasは2013年の初めに見つかったJava ベースのRATで、 ヨーロッパやアジアの大手通信会社、金融機関、政府機関などを 狙ったフィッシング詐欺メールでよく利用されました。Frutasを使用すると、バックド ア機能付きの.jarファイルが作成できます。 システムへの侵入に成功すると、Frutasは 埋め込みの設定ファイルを解析し、 自身の指令サーバーに接続します。2013年の夏 になると、 このマルウェアはAdwindという名前に変わり、2013年11月にはUNRECOM (UNiversal REmote COntrol Multiplatform) という名前で販売されました。 このレポートを共有 McAfee Labs脅威レポート 2016年3月 | 18 キートピック McAfee Labsでは、2015年第3四半期以降、Adwindとして識別される.jarファイルのサ ンプル数が急増しています。 この状況は次のグラフを見れば明らかです。 McAfee Labsに送信されたAdwind .jarファイル 8,000 7,000 6,000 5,000 4,000 3,000 2,000 1,000 0 2015年 第1四半期 2015年 第2四半期 2015年 第3四半期 2015年 第4四半期 出典: McAfee Labs, 2016 感染の連鎖 通常、Adwindはスパム メールの添付ファイル、Webページ、 ドライブバイ ダウンロー ドによって拡散します。配布方法も変化しています。以前のスパム キャンペーンでは、 件名や添付ファイルの名前が同じスパム メールを数日から数週間送信していました。 このため、セキュリティ ベンダーもAdwindを迅速に検出し、脅威を回避できました。 現在ではスパムの配信は短期間で終了し、 メールの件名も頻繁に変更されています。 Adwindの検出を回避するため、非常に巧妙な添付ファイが作成されています。以下で はスパム メールの例を2つ紹介します。 例1: 不正な.jarファイルがWord .docに埋め込まれています。 この文書ファイルを開く と、 システムにバックドアがドロップされ、実行されます。 Western Unionを装うフィッシング詐 欺を見分ける方法については、 ここを クリックしてください。 このレポートを共有 感染したWordファイルが添付されたメール McAfee Labs脅威レポート 2016年3月 | 19 キートピック 不正な.jarファイルが埋め込まれたWordファイル 例2: メールに添付されている不正な.jarファイルは1つとは限りません。 不正な.jarファイルが添付されたメール ソーシャル エンジニアリングを駆使して巧妙な内容のメールが作成されています。次 のような件名が使用されています(括弧内は件名の内容)。 ■ ***SPAM*** Re:Payment/TR COPY-Urgent(至急の支払いを要求) ■ Credit note for outstanding payment of Invoice(未払い金額の通知) ■ Fwd://Top Urgent// COPY DOCS(重要文書の転送) Re:Re:Re:Re:Re TT copy & PIs with Amendments very urgent... (修正案の確認を依頼する緊急メール) ■ このレポートを共有 ■ PO#939423(発注書) ■ Western Union Transaction(取引明細) McAfee Labs脅威レポート 2016年3月 | 20 キートピック .jarファイルの名前も巧妙で、不正なものには見えません。 ■ Shipment_copies (2).jar − 船積書類 ■ FUD FIle.jar − FUDファイル ■ PO 8324979(1).jar − 発注書 ■ Shipping Documents.jar − 船積書類 ■ Telex Copy.jar ー テレックス ■ INSTRUCTIONCZ121.jar − 指示書 ■ Order939423.jar − 注文書 ■ Payment TT COPY.jar − 支払い ■ SCAN_DRAFT COPY BL,PL,CI.jar − 草案のスキャン ■ Enquiries&Sample Catalog CME-Trade.jar − カタログ サンプル ■ Transaction reciept for reconfirmation.xslx.jar − 領収書 ■ P-ORD-C-10156-124658.jar − 発注書 ■ Proforma Invoice...jar − 請求書 ■ TT APPLICATION COPY FORM.jar − 申請書 ■ Dec..PO.jar − 発注書 ■ Credit_Status_0964093_docx.jar − 信用状態 警戒心の低いユーザーがメールを読んで添付ファイルを開いてしまうような巧妙な件 名と.jarファイル名が使用されています。 Adwindの亜種の分析 Adwindにはいくつかの亜種があり、.jarファイルのコンテンツも様々です。 McAfee Labs脅威レポート 2016年3月 | 21 キートピック しかし、次のように内部ファイルの構成の一部は類似しています。 Adwindの亜種1: manifest.mf Adwindの亜種2: manifest.mf このレポートを共有 McAfee Labs脅威レポート 2016年3月 | 22 キートピック Adwindの亜種3: manifest.mf 実行されると、Adwindは自身を%AppData%\[ランダムなフォルダー名]\[ランダムなファイル 名].jarにコピーする Adwindの亜種によっては、%AppData%フォルダーにコピーされるJavaアーカイブ に.jar以外の拡張子が付いています。 例: %AppData%\[ランダムなフォルダー名]\[ランダムなファイル名].[ランダムな拡張 子] トロイの木馬がフォルダーとファイルの属性をシステム、隠し、読み取り専用に変更する Adwindがランダムに作成するフォルダー このレポートを共有 McAfee Labs脅威レポート 2016年3月 | 23 キートピック 最後に、Adwindは%AppData%フォルダーにある自身のコピーを実行し、 システム起 動時にJavaバックドア型トロイの木馬がシステム起動時に実行されるように次のレジ ストリ キーを追加します。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] [ランダムな値名 = [JREのディレクトリ]\javaw.exe – jar %AppData%\[ラン ダムなフォルダー名]\[ランダムなファイル名].jar Adwindのレジストリ キー 名前がランダムに割り当てられるAdwindのレジストリ キー Adwindは、不正な意図を隠すため難読化されています。ペイロードと設定ファイル(イ ンストール ファイルとして機能)はDES、RC4またはRC6で暗号化されています。使用さ れる暗号化スイートは亜種によって異なります。Adwindバックドアは実行中に自身を 復号します。 ■ 亜種1 meta-inf/manifest.mfファイルの内容。最初に実行されるクラスはAdwind.class。 このレポートを共有 McAfee Labs脅威レポート 2016年3月 | 24 キートピック 亜種1のmanifest.mf 亜種1のAdwind.class ファイルIDが読み込まれ、先頭行が変数passに文字列として格納されます。次に、 ClassLoaderModが変数pass、文字列Principalと一緒に読み込まれます。 IDファイルから取得された変数passのコンテンツ(8文字) このレポートを共有 McAfee Labs脅威レポート 2016年3月 | 25 キートピック ClassLoaderMod ClassLoaderModクラスが文字列Principalを一連の文字に追加し、新しい文字列 Principal.adwindを作成します。 これはJavaアーカイブにある別のリソース ファイルに なります。ただし、 このファイルは暗号化されているようです。 暗号化されたPrincipal.adwind このレポートを共有 McAfee Labs脅威レポート 2016年3月 | 26 キートピック 次に、 ファイルIDから取得された8文字の文字列とPrincipal.adwindがファイル Constante.classにあるメソッドConstantinoに渡されます。 このメソッドがPrincipal. adwindリソース ファイルの圧縮(GZIPを使用) とDESによる復号を行います。 Principal.adwind.の圧縮と復号を行うconstante.classメソッド 復号されると、Principal.adwindが別のクラス ファイルになります。 このクラス ファイル は次のようになります。 クラス ファイルを装うPrincipal.adwind McAfee Labs脅威レポート 2016年3月 | 27 キートピック このファイルにはキーawenubisskqiが直接記述されています。 このキーによって config.xmlが復号されます(DESを再度使用)。復号されたconfig.xmlはバックドア型イ ンストーラーとして機能します。 暗号化されたconfig.xml 復号後のconfig.xmlの内容 config.xmlのコンテンツはサンプルによって異なります。 このコンテンツが解析され、 更なる攻撃の設定と実行に使用されます。Javaアーカイブ内で.adwindで終わる他の すべてのファイルも同様に実行時に復号されます。バックドアの機能は、使用するプ ラグイン(追加のクラス ファイル)によって異なります。たとえば、感染先のシステムで スクリーンショットを取得したり、別のファイルをダウンロードして実行します。一部の ファイルを変更または削除したり、キー入力を記録する場合もあります。 また、Webカ メラ、マウス、キーボードを操作したり、 自身を更新する可能性もあります。 このレポートを共有 McAfee Labs脅威レポート 2016年3月 | 28 キートピック 他の亜種は別の方法で復号されます。 ■ 亜種2 亜種2ではmanifest.mfのメインはstart.class XORで暗号化されたconfig.perl(テキスト ファイル) このレポートを共有 McAfee Labs脅威レポート 2016年3月 | 29 キートピック config.perlから復号されたコンテンツ このコードには、暗号化して埋め込まれた不正な.jarファイルのパスとファイル名がラ ンダムに記述されています。 また、復号に使用されるRC6キーの半分が記述されてい ます。RC6キーの残りの半分は使用可能な他のクラス ファイルから取得されます。前の コードでは、QL1sv1aEoがRC6で暗号化された不正な.jarファイルで、 この中にAdwind バックドアが含まれています。 暗号化された.jarファイルを復号すると、Adwindバックドアのクラス ファイルとリソー スを確認できます。 config.jsonがバックドアの設定ファイル(テキスト)。ポート番号、サーバー、インストール パスな どが定義されている。 このレポートを共有 McAfee Labs脅威レポート 2016年3月 | 30 キートピック ■ 亜種3 manifest.mfのmainはstart.classです。暗号化されていないPassword.txtに、埋め込ま れた不正な.jarファイルの復号に使用するRC6キーの半分が含まれています。RC6キー の残りの半分は使用可能な他のクラス ファイルから取得されます。Server.dllはRC6で 暗号化された不正な.jarファイルで、 この中にAdwindバックドアが含まれています。 Adwindの亜種3で暗号化されていないpassword.txt 再起動のメカニズム HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] [ランダムな値名 = [JREのディレクトリ]\jawaw.exe – jar %AppData%\[ラン ダムなフォルダー名]\[ランダムなファイル名].jar このレジストリ エントリを見ると、バックドア型トロイの木馬はWindowsの起動時に毎回実行さ れる。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] [ランダムな値名 = [JREのディレクトリ]\jawaw.exe – jar %AppData%\[ラン ダムなフォルダー名]\[ランダムなファイル名].[ランダムな拡張子] このレジストリ エントリには、任意のJavaアーカイブ ファイルの拡張子を使用して新しい亜種が 格納される。 感染後の攻撃 システムへの侵入に成功すると、Adwindはキーストロークの記録、 ファイルの改ざん と削除、別のマルウェアのダウンロードと実行、 スクリーンショットの取得、 システム カ メラへのアクセス、マウスとキーボードの操作、 自身の更新などを実行します。 このレポートを共有 McAfee Labs脅威レポート 2016年3月 | 31 キートピック 検出と防止 Intel Securityの製品がAdwindなど の不正なリモート管理ツールを阻止 する方法については、 『ソリューション 概要: バックドア型トロイの木馬を阻 止する』 をご覧ください。 次の侵害兆候を使用すると、Adwindに感染したシステムを自動的に検出できます。 %AppData%\[ランダムなフォルダー名]\[ランダムなファイル名].jar 管理者のアプリケーション データ フォルダーにドロップされるファイル HKCU\Software\Microsoft\Windows\CurrentVersion\Run] [ランダムな値 名 = [JREのディレクトリ]\javaw.exe – jar %AppData%\[ランダムなフォル ダー名]\[ランダムなファイル名].jar レジストリのキーを実行 Adwindなどの.jarマルウェアを阻止するため、次の対策を行いましょう。 ■ ■ ■ ■ ■ ■ ■ ■ 最新のセキュリティ技術、パッチ、マルウェア対策の定義ファイルを適用 し、 システムを最新の状態に保つ。 オペレーティング システムの自動更新を有効にするか、更新を定期的に ダウンロードし、オペレーティング システムにパッチを適用して既知の脆 弱性を解決する。 メールやインスタント メッセージの添付ファイルを自動的にスキャンする ように、マルウェア対策ソフトウェアを設定する。 メール プログラムで添付ファイルを自動的に開いたり、画像を自動的に 表示しないように設定し、 プレビュー ウィンドウを非表示にする。 ブラウザーのセキュリティ設定を「中」以上に設定する。 添付ファイルを開くときは十分に注意する。特に、.jar、.pdf、.doc、.xlsファイ ルを開く場合には警戒が必要です。 未請求メールや予期しない添付ファイルは絶対に開かない。知人からの メールも例外ではありません。 スパムを利用したフィッシング詐欺に注意する。 メールやインスタント メッセージにあるリンクをクリックしないでください。 Intel Securityの製品がAdwindなどの不正なリモート管理ツールを阻止する方法につ いては、 『ソリューション概要: バックドア型トロイの木馬を阻止する』をご覧ください。 このレポートを共有 McAfee Labs脅威レポート 2016年3月 | 32 統計情報 マルウェア Web脅威 ネットワーク攻撃 フィードバックを共有 統計情報 マルウェア 新しいマルウェア 新しいマルウェア 60,000,000 この脅威レポートでは、 より正確な データを提供するため、マルウェア サ ンプルの計算方法を調整しています。 この調整は、新しいマルウェアとマル ウェアの合計のグラフに表示されてい るすべての四半期に反映されていま す。 新しいマルウェアのサンプル数は3期 連続で減少していましたが、第4四半 期は増加傾向に戻り、4,200万件の新 しい不正なハッシュが見つかってい ます。第3四半期と比べると10%増加 し、過去2番目に多い結果となりまし た。第4四半期に増加した要因の一つ は新しいモバイル脅威です。第4四半 期に確認された件数は230万件で、 第3四半期より100万件も増えていま す。 50,000,000 40,000,000 30,000,000 20,000,000 10,000,000 0 第1 四半期 第2 四半期 第3 四半期 第4 四半期 第1 四半期 第2 四半期 2014年 第3 四半期 第4 四半期 2015年 出典: McAfee Labs, 2016 マルウェアの合計 マルウェアの合計 500,000,000 450,000,000 400,000,000 350,000,000 300,000,000 250,000,000 200,000,000 150,000,000 100,000,000 0 第1 四半期 第2 四半期 第3 四半期 2014年 第4 四半期 第1 四半期 第2 四半期 第3 四半期 第4 四半期 2015年 出典: McAfee Labs, 2016 このレポートを共有 McAfee Labs脅威レポート 2016年3月 | 34 統計情報 新しいモバイル マルウェア 新しいモバイル マルウェア 2,500,000 この四半期はモバイル端末を狙う マルウェアが72%増加しました。 Googleは2015年8月、Androidモバ イル オペレーティング システの更新 を毎月リリースすると発表しました。 オペレーティング システムに対するセ キュリティの強化が毎月リリースされ るため、マルウェアの作成者は以前よ りも速いペースで新しいマルウェアを 作成しています。新たに作成され、検 知されたモバイル マルウェアは第4 四半期の統計情報に反映されていま す。 2,000,000 1,500,000 1,000,000 500,000 0 第1 四半期 第2 四半期 第3 四半期 第4 四半期 第1 四半期 第2 四半期 2014年 第3 四半期 第4 四半期 2015年 出典: McAfee Labs, 2016 モバイル モバイル マルウェアの合計 マルウェアの合計 13,000,000 12,000,000 11,000,000 10,000,000 9,000,000 8,000,000 7,000,000 6,000,000 5,000,000 4,000,000 3,000,000 2,000,000 1,000,000 0 第1 四半期 第2 四半期 第3 四半期 2014年 第4 四半期 第1 四半期 第2 四半期 第3 四半期 第4 四半期 2015年 出典: McAfee Labs, 2016 このレポートを共有 McAfee Labs脅威レポート 2016年3月 | 35 統計情報 地域別のモバイル マルウェアの感染率(2015年第4四半期) 地域別のモバイル マルウェアの感染率(2015年第4四半期) (検出を報告したモバイル ユーザーの割合) (検出を報告したモバイル ユーザーの割合) 14% 12% 10% 8% 6% 4% 2% 0% アフリカ アジア オーストラリア ヨーロッパ 北米 南米 出典: McAfee Labs, 2016 世界のモバイルマルウェアの感染率 マルウェアの感染率 世界のモバイル (検出を報告したモバイル ユーザーの割合) (検出を報告したモバイル ユーザーの割合) 22% 20% 18% 16% 14% 12% 10% 8% 6% 4% 2% 0% 第1 四半期 第2 四半期 第3 四半期 2014年 第4 四半期 第1 四半期 第2 四半期 第3 四半期 第4 四半期 2015年 出典: McAfee Labs, 2016 このレポートを共有 McAfee Labs脅威レポート 2016年3月 | 36 統計情報 Mac MacOSを攻撃する新しいマルウェア OSを攻撃する新しいマルウェア 35,000 Mac OSを狙う新しいマルウェア サン プルは比較的少なく、活発に活動して いるのは2、3のマルウェア ファミリー だけです。 30,000 25,000 20,000 15,000 10,000 5,000 0 第1 四半期 第2 四半期 第3 四半期 2014年 第4 四半期 第1 四半期 第2 四半期 2015年 第3 四半期 第4 四半期 出典: McAfee Labs, 2016 Mac MacOSを攻撃するマルウェアの合計 OSを攻撃するマルウェアの合計 80,000 70,000 60,000 50,000 40,000 30,000 20,000 10,000 0 第1 四半期 第2 四半期 第3 四半期 2014年 第4 四半期 第1 四半期 第2 四半期 第3 四半期 第4 四半期 2015年 出典: McAfee Labs, 2016 このレポートを共有 McAfee Labs脅威レポート 2016年3月 | 37 統計情報 新しいルートキッ トマルウェア マルウェア 新しいルートキット 100,000 第4四半期は、新しいルートキット マ ルウェアのサンプル数が大幅に減少 しました。 このタイプの攻撃は長期的 に減少傾向にあります。2011年第3 四半期から始まったこの傾向は、64 ビットのIntelプロセッサーと64ビット 版のMicrosoft Windowsを使用する 顧客が増えたことが原因と考えられ ます。 カーネル パッチ保護、 セキュア ボートなどの技術がルートキット マ ルウェアの阻止にも役立っています。 今後もルートキット マルウェアが大幅 に増加する可能性は低いため、ルー トキット マルウェアのサンプル データ を報告するのは今回が最後になりま す。McAfee Labsでは、引き続きルー トキット マルウェアの監視を行ってい きます。大きな変化があった場合に は、報告を再開します。 90,000 80,000 70,000 60,000 50,000 40,000 30,000 20,000 10,000 0 第1 四半期 第2 四半期 第3 四半期 第4 四半期 第1 四半期 第2 四半期 第3 四半期 第4 四半期 2015年 2014年 出典: McAfee Labs, 2016 ルートキッ マルウェアの合計 ルートキット ト マルウェアの合計 1,800,000 1,600,000 1,400,000 1,200,000 1,000,000 800,000 600,000 400,000 200,000 0 第1 四半期 第2 四半期 第3 四半期 2014年 第4 四半期 第1 四半期 第2 四半期 第3 四半期 第4 四半期 2015年 出典: McAfee Labs, 2016 このレポートを共有 McAfee Labs脅威レポート 2016年3月 | 38 統計情報 新しいランサムウェア 新しいランサムウェア 1,400,000 2015年第4四半期に新たに確認され たランサムウェアのサンプルは26% 増加しています。 オープンソースのラ ンサムウェア コード (Hidden Tear、 EDA2など) とサービスとしてのランサ ムウェア (Ransom32、Encryptor)に より簡単に攻撃できるようになったこ とが原因と思われます。TeslaCrypt とCryptoWall 3の勢いも衰えていま せん。 『McAfee Labs脅威レポート: 2015年5月』 で報告したように、 ラン サムウェアによる攻撃は金銭的な魅 力があり、捕まるリスクも低いため、 こ の手口による攻撃が増えています。 1,200,000 1,000,000 800,000 600,000 400,000 200,000 0 第1 四半期 第2 四半期 第3 四半期 第4 四半期 第1 四半期 第2 四半期 2014年 第3 四半期 第4 四半期 2015年 出典: McAfee Labs, 2016 ランサムウェアの合計 ランサムウェアの合計 6,500,000 6,000,000 5,500,000 5,000,000 4,500,000 4,000,000 3,500,000 3,000,000 2,500,000 2,000,000 1,500,000 1,000,000 500,000 0 第1 四半期 第2 四半期 第3 四半期 2014年 このレポートを共有 第4 四半期 第1 四半期 第2 四半期 第3 四半期 第4 四半期 2015年 出典: McAfee Labs, 2016 McAfee Labs脅威レポート 2016年3月 | 39 統計情報 署名付きの新しい不正なバイナリ 署名付きの新しい不正なバイナリ 2,500,000 署名付きの新しい不正なバイナリの 数は四半期ごとに減少しています。 2015年第4四半期は、2013年第2四 半期以降で最も低い数字となってい ます。闇市場では古い証明書が大量 に出回っていますが、 より強力なハッ シュ機能を導入する企業が増えたた め、 これらの証明書が失効したり、期 限切れになっている可能性がありま す。SmartScreen(Microsoft Internet Explorerの機能。現在ではWindows の他の部分でも使用されている)など の技術により信頼性の検証が強化さ れたため、不正なバイナリに署名を 付けることにメリットがなくなっている のかもしれません。 2,000,000 1,500,000 1,000,000 500,000 0 第1 四半期 第2 四半期 第3 四半期 第4 四半期 第1 四半期 第2 四半期 2014年 第3 四半期 第4 四半期 2015年 出典: McAfee Labs, 2016 署名付きの不正なバイナリの合計 署名付きの不正なバイナリの合計 22,000,000 20,000,000 18,000,000 16,000,000 14,000,000 12,000,000 10,000,000 8,000,000 6,000,000 4,000,000 2,000,000 0 第1 四半期 第2 四半期 第3 四半期 2014年 第4 四半期 第1 四半期 第2 四半期 第3 四半期 第4 四半期 2015年 出典: McAfee Labs, 2016 このレポートを共有 McAfee Labs脅威レポート 2016年3月 | 40 統計情報 新しいマクロ ウイルス 新しいマクロ ウイルス 60,000 50,000 40,000 30,000 20,000 10,000 0 第1 四半期 第2 四半期 第3 四半期 第4 四半期 第1 四半期 第2 四半期 2014年 第3 四半期 第4 四半期 2015年 出典: McAfee Labs, 2016 マクロ マクロ ウイルスの合計 ウイルスの合計 450,000 400,000 350,000 300,000 250,000 200,000 150,000 100,000 50,000 0 第1 四半期 第2 四半期 第3 四半期 2014年 第4 四半期 第1 四半期 第2 四半期 第3 四半期 第4 四半期 2015年 出典: McAfee Labs, 2016 このレポートを共有 McAfee Labs脅威レポート 2016年3月 | 41 統計情報 Web脅威 新しい不審なURL 新しい不審なURL 35,000,000 30,000,000 25,000,000 20,000,000 15,000,000 10,000,000 5,000,000 0 第1 四半期 第2 四半期 第3 四半期 第4 四半期 第1 四半期 第2 四半期 2014年 第3 四半期 第4 四半期 2015年 関連ドメイン URL 出典: McAfee Labs, 2016 新しいフィッシング詐欺URL 新しいフィッシング詐欺URL 2,500,000 2,000,000 1,500,000 1,000,000 500,000 0 第1 四半期 第2 四半期 第3 四半期 2014年 URL 第4 四半期 第1 四半期 第2 四半期 第3 四半期 第4 四半期 2015年 関連ドメイン 出典: McAfee Labs, 2016 このレポートを共有 McAfee Labs脅威レポート 2016年3月 | 42 統計情報 新しいスパムURL 新しいスパムURL 2,500,000 2,000,000 1,500,000 1,000,000 500,000 0 第1 四半期 第2 四半期 第3 四半期 第4 四半期 第1 四半期 第2 四半期 2014年 第3 四半期 第4 四半期 2015年 関連ドメイン URL 出典: McAfee Labs, 2016 世界で発生したスパムとメールの量 (1兆通単位) 世界で発生したスパムとメールの量 11 10 9 8 7 6 5 4 3 2 1 0 第1 四半期 第2 四半期 第3 四半期 2014年 スパム 第4 四半期 第1 四半期 第2 四半期 第3 四半期 第4 四半期 2015年 正規のメール 出典: McAfee Labs, 2016 このレポートを共有 McAfee Labs脅威レポート 2016年3月 | 43 統計情報 スパム メールを送信するボットネットの上位10 (100万通単位) スパム メールを送信するボッ トネットの上位10 1,400 第4四半期のトップはKelihosボット ネットですが、件数は第3四半期の 95%でした。薬局を装うスパムで有 名なKelihosですが、 この四半期は中 国語の受信者に対して求人情報のス パムを送信しています。第4四半期は Lethicボットネットが60%増加してい ます。 このボットネットは主に、偽ブラ ンドの腕時計を勧めるスパムを送信 しています。 1,200 1,000 800 600 400 200 0 第2 四半期 第1 四半期 第3 四半期 第4 四半期 第1 四半期 2014年 第2 四半期 第3 四半期 第4 四半期 2015年 Kelihos Gamut Asprox Cutwail その他 Sendsafe Slenfbot Darkmailer Lethic Stealrat 出典: McAfee Labs, 2016 世界のボットネットの分布 世界のボットネットの分布 Wapomi Muieblackcat 18% 3% Sality 34% Darkness 4% Ramnit 5% China Chopper Webshell 6% 8% 14% 9% Maazben H-Worm その他 出典: McAfee Labs, 2016 このレポートを共有 McAfee Labs脅威レポート 2016年3月 | 44 統計情報 ボットネット指令サーバーが最も多く存在する国 ボットネット指令サーバーが最も多く存在する国 米国 ドイツ ロシア 32% 37% オランダ フランス 韓国 8% 4% 5% 5% ウクライナ 3% 3% 英国 その他 3% 出典: McAfee Labs, 2016 ネットワーク攻撃 ネットワーク攻撃の上位 ネットワーク攻撃の上位 3% ブラウザー 3% 9% 3% 総当り攻撃 36% サービス拒否 SSL 11% スキャン DNS 16% 19% バックドア その他 出典: McAfee Labs, 2016 このレポートを共有 McAfee Labs脅威レポート 2016年3月 | 45 Intel Securityについて フィードバックをお願いします。今後 の参考にするため、皆様からのフィー ドバックをお待ちしています。5分程 度で終わりますので、 ここをクリック して脅威レポートに関するアンケー トにご協力ください。 マカフィーはIntel Securityとなりました。Intel Securityは、Security Connected戦略、セ キュリティにハードウェアを活用した革新的なアプロ―チ、 また独自のGlobal Threat Intelligenceにより、世界中のシステム、ネットワーク、モバイル デバイスを守るプロア クティブで定評あるセキュリティ ソリューションやサービスを提供しています。Intel Securityは、マカフィーの優れたセキュリティ技術とインテルの革新性と信頼性の融合 により、すべてのアーキテクチャとコンピューティング プラットフォームにセキュリティ を統合します。Intel Securityは、すべてのユーザーが日々の生活でも職場でも、デジタ ル世界を安心して利用できるようにすることを目指しています。 www.intelsecurity.com McAfee Labsのリンク McAfee. Part of Intel Security. マカフィー株式会社 東京本社 〒 150-0043 東京都渋谷区道玄坂 1- 12- 1 渋谷マークシティウェスト 20F TEL 03-5428-1100(代)FAX 03-5428-1480 〒 530- 0003 大阪府大阪市北区堂島 2-2-2 近鉄堂島ビル 18F TEL 06-6344-1511(代)FAX 06-6344-1517 名古屋営業所 〒 450-0002 愛知県名古屋市中村区名駅 4-6-17 名古屋ビルディング 13F TEL 052-551-6233(代)FAX 052-551-6236 福岡営業所 〒 810- 0801 福岡県福岡市博多区中洲 5-3-8 アクア博多 5F TEL 092-287-9674(代) 西日本支店 www.intelsecurity.com 本資料は弊社の顧客に対する情報提供を目的としています。本資料の内容は予告なしに変更される場合があります。本資料は 「現状のまま」提供するものであり、特定の状況あるいは環境に対する正確性および適合性を保証するものではありません。 Intel、Intelのロゴ、McAfeeのロゴは、米国法人Intel Corporation、McAfee, Inc.もしくは米国またはその他の国の関係会社におけ る商標です。その他すべての登録商標および商標はそれぞれの所有者に帰属します。 Copyright © 2016 Intel Corporation. 62289rpt_qtr-q1_0316
© Copyright 2024 ExpyDoc