McAfee Labs 脅威レポート

レポート
McAfee Labs
脅威レポート
2015年8月
ランサムウェアは引き
続き急増しています。
第2四半期に新たに確
認されたランサムウェ
アのサンプル数は58%
増加しています。
McAfee Labsについて
McAfee Labsは、世界各地に配備した数百万台のセンサーか
らデータを収集し、
ファイル、Web、
メール、ネットワークなど
に対する脅威を研究・調査し、脆弱性の報告を行っています。
McAfee Labsは、
リアルタイムで脅威情報、重要な分析結果、専
門的な情報を提供し、保護対策の向上とリスクの軽減に貢献し
ています。
McAfee is now part of Intel Security.
www.mcafee.com/jp/mcafee-labs.aspx
McAfee Labsのリンク
はじめに
今月はIntelがMcAfeeの買収を発表してちょうど5年になります。
この5年間でセキュリティを取り巻く状況は大きく変わりまし
た。そこで、
この5年を振り返り、私たちの予測と現実の相違点
をまとめてみたいと思います。
買収後にIntelまたはMcAfeeと関わった数十人のキーパーソン
にインタビューを行い、
この5年に起きたサイバー脅威の変化、
具体的には脅威の主体、攻撃者の挙動や標的、サイバー犯罪
の経済状態、業界の対応にどのような変化が起きたのか詳しく
伺いました。
また、全く予期しなかった傾向や、予想以上の変化
が起きた領域についても伺っています。有益な情報をお届けで
きれば幸いです。
本号ではまた、非常に興味深い2つのキートピックを採り上げ
ています。
『McAfee Labs脅威レポート』
では、信頼されたネットワークやシ
ステムに攻撃者が侵入する方法については何度も調査結果を
報告していますが、ネットワークやシステムに侵入した後で情
報を外部に送信する方法については殆ど触れてきませんでし
た。本号では、McAfee Foundstoneフォレンジックコンサルティ
ングチームの協力を得て、攻撃者が狙ったデータを密かに取
得する手口を詳しく解析します。
McAfee Labs脅威レポート 2015年8月 | 2
グラフィックス処理装置（GPU）を攻撃するマルウェアは何年も
前に確認されていますが、特に注目を集めることはありません
でした。最近、
この概念検証コードがGitHubで公開されました。
このプロジェクトには、GPUを悪用することで、検出を回避して
マルウェアを実行し、デバイスにデータを格納できるという説
明が掲載されています。
このキートピックでは、
このような攻撃
が実際に可能かどうか検討します。
■
– 電子メール、
ブラウザー、検索結果などで危
険なURLに誘う攻撃: 1時間に670万回以上
その他の注目点:
■
■
2015 年のBlack Hat USAカンファレンスが8月の
初めに開催され、Intelは2つのセッションを実施し
ました。1つのセッションでは、IntelとIntel Security
の力を合わせることでハードウェアの保護を強化
できることを紹介しました。
「Attacking Hypervisors
Using Firmware and Hardware」
（ファームウェアと
ハードウェアを利用したハイパーバイザーに対す
る攻撃）
では、
システムファームウェア
（BIOS、ハー
ドウェアエミュレーションなど）の脆弱性が悪用さ
れると、最新のハイパーバイザーでも攻撃を受け
る可能性があることを説明しました。
プレゼンテー
ション資料は、Black Hatの閉幕後すぐにここから入
手できます。
前の四半期でも紹介したように、McAfee Global
Threat Intelligenceの基盤となるクラウドインフ
ラが交換され、処理可能なクエリー数、脅威デー
タ、
レピュテーションタイプが増えました。
また、処
理速度、安全性、耐久性が向上し、簡単に管理でき
るように再構築されました。
このインフラの基礎部
分には、新しいRESTfulアーキテクチャが採用され
ています。第2四半期には、
このアーキテクチャが
世界中のMcAfee GTIに完全に実装されました。
McAfee GTI内のデータを把握し、効率的に再利用
できるようにするため、2014年にデータサイエン
スチームを立ち上げました。
このチームは、実際
の攻撃パターンを分析するためMcAfee GTI Cloud
にダッシュボードを作成し、顧客の保護レベルを
強化しています。次に挙げる数字は、弊社の顧客が
第2四半期に受けた攻撃の状況を表しています。
– 顧客のネットワークで確認された感染ファイ
ル: 1時間に192万個以上
– PUPのインストールまたは起動: 1時間に700
万回以上
– 危険なIPアドレスや顧客のネットワークに接
続を試みるIPアドレスに顧客がアクセスした
回数: 1時間に230万回
■
弊社では、脅威レポートに関するアンケートを実施
しています。皆様からのご意見は今後の参考とさ
せていただきます。
この脅威レポートに関するご
意見をお寄せください。5分程度で終わります。
ここ
をクリックしてアンケートにご協力ください。
− Vincent Weafer、
シニアバイスプレジデント/McAfee Labs
このレポートを共有
McAfee Labs脅威レポート 2015年8月 | 3
目次
McAfee Labs脅威レポート
2015年8月
執筆者:
Brad Antoniewicz
Christiaan Beek
Dave Bull
Torry Campbell
Cedric Cochin
Carric Dooley
Douglas Frosst
Robert Gresham
Paula Greve
Steve Grobman
Dave Marcus
François Paget
Eric Peterson
Matthew Rosenquist
Raj Samani
Craig Schmugar
Mike Sentonas
Rick Simon
Bruce Snell
Dan Sommer
James Walter
Vincent Weafer
エグゼクティブサマリー
5
キートピック
6
IntelとMcAfee: この5年の動向
7
データ侵害: サイバー窃盗の重要なステップ
16
GPUマルウェア: 実像と虚像
26
統計情報
30
エグゼクティブサマリー
IntelとMcAfee: この5年の動向
この5年を振り返り、私たちの予測と
現実の相違点をまとめてみたいと思
います。
この間に起きたサイバー脅威
の変化、具体的には脅威の主体、攻
撃者の挙動や標的、サイバー犯罪の
経済状態、業界の対応にどのような
変化が起きたのか議論します。
IntelがMcAfeeの買収を発表して8月で5年になります。
この5年でサイバーセキュリティ
の世界は大きく様変わりしました。買収前から協業していたIntelとMcAfeeのソートリー
ダーがこの5年間のサイバーセキュリティ市場の変化と私たちの取り組みを振り返りま
す。
私たちはサイバーセキュリティに対する最悪な事態を想定し、ハードウェア支援による
セキュリティを推進してきました。検出困難な攻撃が出現し、デバイスの多様化も進ん
でいます。2010年の予測に反する結果もありますが、その中で最も大きなものはサイ
バー犯罪が一つの業種として確立したことでしょう。
データ侵害: サイバー窃盗の重要なステップ
このキートピックでは、攻撃者が狙っ
たデータを密かに取得する手口につ
いて詳しく解説します。
この10年でデータ侵害の発生件数が記録的に増加しています。2007年のTJ Maxx社
の事件では9,400万件の顧客情報が盗まれ、今年発生したAnthem社のデータ侵害で
は8,000万件の医療記録が盗まれています。
このキートピックでは、データ窃盗プロセ
スの重要なステップであるデータ侵害について採り上げます。ネットワークに侵入して
データを盗み出す犯罪者について、攻撃者の種類、動機、標的、データを盗み出す手口
を分析し、侵害の検出に必要なポリシーについて解説します。
GPUマルウェア: 実像と虚像
このキートピックでは、GPUに対する
攻撃が実際に可能かどうかを検討し
ます。
グラフィックス処理装置（GPU）を攻撃するマルウェアは何年も前に確認されています。
このようなマルウェアが活発に活動を行ったのは4年ほど前で、Bitcoinマイニングを行
うトロイの木馬が感染先での処理速度を向上させるためGPUを利用しました。
最近、あるグループが3つの概念検証プロジェクトを公開し、GPUを検出回避に利用す
ることでコードの実行とデータの格納ができると主張しました。
しかし、
この主張の検
証はまだ行われていません。
このキートピックでは、
このプロジェクトの主張を分析し、
このモジュールの利用で攻撃が可能かどうかを検討します。
このレポートを共有
McAfee Labs脅威レポート 2015年8月 | 5
キートピック
IntelとMcAfee: この5年の動向
データ侵害: サイバー窃盗の重要な
ステップ
GPUマルウェア: 実像と虚像
フィードバックを共有
キートピック
IntelとMcAfee: この5年の動向
− McAfee Labs
2010年8月19日、IntelはMcAfeeの買収を発表しました。
この時点ですでに、McAfeeと
Intelは一部のプロジェクトで共同作業を行い、お互いの強みを生かすことで更なる発
展が期待できると確信していました。それ以降、お互いの能力を評価しながら仮説の
検証を繰り返し、非現実的な期待を排除して、将来を見据えた前向きな計画を立てま
した。
買収前から協業していたIntelと
McAfeeのソートリーダーがサイバー
セキュリティ市場の変化とこの5年の
取り組みを振り返ります。
メンバー:
Christiaan Beek
Torry Campbell
Carric Dooley
Steve Grobman
Dave Marcus
Matthew Rosenquist
Raj Samani
Mike Sentonas
Craig Schmugar
Bruce Snell
James Walter
Vincent Weafer
買収の発表から5年たった現在はどのような状態になっているのでしょうか。買収前か
ら協業していたIntelとMcAfeeのソートリーダーがサイバーセキュリティ市場の変化と
この5年の取り組みを振り返り、脅威状況の予測、実際の状況、予測しなかった状況に
ついて説明します。
Intelから見たMcAfee
Intelはテクノロジ市場全体で成長を続けています。Intelはこれまで、
プロセッサーの処
理速度、
メモリー容量、電源消費、周辺機器の接続、チップサイズなど、市場の停滞を
招く要因や継続的な成長の妨げる要因を排除してきました。5年前に大きな障壁とし
て現れたのがセキュリティです。
プライバシーやセキュリティ侵害でデバイスや接続、
サービスの信頼性が疑問視され、市場の停滞を招きかねない状況となりました。Intel
がこれまで解決してきたハードウェア固有の問題と異なり、
この課題に対しては単独で
は何もできませんでした。問題の解決にはMcAfeeのノウハウが不可欠だったのです。
McAfeeから見たIntel
5年前、検出を回避する攻撃が発生し、保護するデバイスの種類も急速に増えました。
ルートキットなど、ハードウェアに近い層を悪用する脅威も急増し、保護領域を拡大す
る必要がありました。
また、
シグネチャベースのマルウェア対策や境界の防御だけで
は、長期間安全な環境を維持することも困難になりました。マルウェアの進化で境界の
防御が破られるのは時間の問題でした。信頼されたネットワークに対する攻撃を阻止
し、発生した被害を修復するには、ハードウェアを利用したセキュリティを構築してプ
ラットフォームに搭載する必要があります。
しかし、
このようなソリューションの開発に
はハードウェアの能力と動作を熟知していなければなりません。Intelとはプロセッサー
レベルのセキュリティの構築ですでに協業していたので、新しいソリューションの開発
にIntelの知識と経験が役立つことはすぐに理解できました。
このレポートを共有
McAfee Labs脅威レポート 2015年8月 | 7
キートピック
更なる検討
Intelの発表後、技術者、
アナリスト、投資関係者に今回の買収理由について説明しま
した。最大の目的は、高度化が進む脅威を効果的に防ぎ、保護能力を強化するために
ハードウエア支援のソフトウェアを提供することです。脅威の高度化だけではありませ
ん。インターネットに接続するデバイスが急激に増え、その種類も多様化しています。
セキュリティ侵害や脆弱性の悪用を防御できず、最悪の事態が発生する可能性があり
ます。
このような新しい脅威を防ぐには、新しいアプローチのセキュリティが必要にな
ります。
コンピューティングの世界も予想どおり大きく変わり、PC以外の膨大な数のデ
バイスがネットワークに接続しています。
このような状況に合わせて、サイバー犯罪の
手口や規模も変わっていきます。
では私たちはどのような取り組みを行ってきたので
しょうか。
ハードウェア支援のセキュリティ
買収当初、最も重要な課題はハードウェア支援のセキュリティへのシフトです。サイ
バー犯罪のコミュニティでは高度な脅威が非常に速いペースでコピーされ、改造が
行われています。公開後わずか数日でコミュニティ全体に広がることも少なくありま
せん。セキュリティソフトウェアに比べると、セキュリティハードウェアを開発して市場
に投入するまでには長い時間がかかります。新しい未知の脅威を阻止するために、
ソ
フトウェアの敏捷性と順応性に頼らざるを得ないのが現状です。昨日は存在しなかっ
た脅威を阻止するにはセキュリティ対策を迅速に更新する必要がありますが、ハード
ウェアの標準的な設計サイクルは5年です。
チップにマルウェア対策を組み込む方法もありますが、セキュリティの基本機能を搭
載した次世代のチップをセキュリティソフトウェアとオペレーティングシステムで利
用するほうが合理的だと判断し、暗号化の性能強化、改ざん防止、
カーネルモニタリ
ングを支援するハードウェアを開発するアプローチを選択しました。
買収の発表後、ハードウェアとファー
ムウェアのコンポーネントを分析し、
物理レベルのセキュリティリスクを診
断するオープンソースのCHIPSECフ
レームワークをリリースし、実行時の
整合性を保証するためIntel Kernel
Guardをリリースしました。
ファームウェアとBIOSを狙う脅威は検出されずに潜伏することが可能なため、サイ
バースパイや長期的な攻撃を実行するには非常に都合の良い手段となります。オペ
レーティングシステムよりも下層に侵入して検出を回避し、再起動後も生き延びるマ
ルウェアを阻止するため、オープンソースのCHIPSECフレームワーク
（ハードウェアと
ファームウェアのコンポーネントを分析し、物理レベルのセキュリティリスクを診断）、
Intel Kernel Guard（実行時の整合性を保証）、BIOS Guard（認証と保護）をリリース
しました。IntelとMcAfeeのノウハウを融合することで、脅威状況を監視するだけでな
く、変化を予測して対応することが可能になりました。
これは大きな差別化要因となっ
ています。私たちはセキュリティを強化するチップだけではなく、モバイル、モノのイン
ターネット、
クラウドなどの新しいパラダイムに対応したセキュリティソフトウェアも
引き続き提供していきます。
このレポートを共有
McAfee Labs脅威レポート 2015年8月 | 8
キートピック
最悪の事態を想定したアプローチ
今後の展開を予測したときに、
インターネット利用者が増え続け、
データ量が膨大にな
り、ネットワークの規模が拡大することは明らかでした。私たちは、ネットワークに接続
するデバイスが多様化し、
クラウドなどの新しい技術が普及すると同時に、サイバー攻
撃の件数が増え、高度なマルウェアによる巧妙な攻撃が実行されると考えました。
これ
は、セキュリティにとって危機的な状況といえます。
この予測のほとんどが現実のもの
となりました。
クラウドコンピューティング、モノのインターネット、モバイルデバイス
の普及はむしろ予想を上回る速さで進んでいます。2010年の時点で、インターネット
に接続するデバイス数が2020年までに310億台に達すると予測しましたが、
この数字
を上回る勢いです。
最悪な状況に対する予測は現実のも
のとなりましたが、変化の速さと規模
は過小評価だったようです。
潜在的な標的が増え、攻撃可能な領域が増えている状況をサイバー攻撃者が見逃
すはずはありません。当初、
このような脅威は政府機関、金融機関、セキュリティベン
ダーを主な標的としていましたが、現在では企業や一般のユーザーも狙われていま
す。企業が甚大な被害を被るだけでなく、
日々の生活にも影響が出てくる可能性があり
ます。
また、サイバー戦争も現実に起きています。関与を認めることはないものの、国
家の支援を受けた攻撃やスパイ活動が行われているのは明らかです。
これらの流れ
は予想どおりの展開ですが、マルウェアの急速な進化や攻撃量の増加、大規模な国家
レベルの攻撃の発生は想像を超えたものとなりました。
攻撃者の変化
Q4 2014
国家による支援
犯罪組織
ハクティビスト
犯罪
悪ふざけ
• 売名目的
• 限られた技術リソース
• 既知のエクスプロイト
• 破壊行為
• 限られた技術力
• 声明
• 徹底的、感情的
• 広範囲のネット
ワーク
• 標的型攻撃
• 経済的利益
• 豊富な技術
リソースと能力
• 組織的な活動
• アドウェア、
クライムウェア、
知的財産の窃盗
• サイバー戦争、
国家機密、
産業スパイ
• 非常に高度な
技術
• ほぼ無制限な
リソース
• 高度な持続型
脅威
リソースの増加と高度化
攻撃者の種類、
リソース、手口の変化
検出不能なものを検出する
マルウェアは進化し、従来のセキュリティ対策に検出されない脅威が出現しています。
この危機的な状況に対応するには、
このような脅威を検出できる技術をシグネチャ
ベースのマルウェア対策に追加し、強化しなければなりません。攻撃と異なり、防御策
のテストと評価は誰でも行うことができます。攻撃者がセキュリティ製品をテストして、
弱点や回避策を調べる可能性もあります。
このレポートを共有
McAfee Labs脅威レポート 2015年8月 | 9
キートピック
このような懸念はあるものの、
この2、3年に起きたセキュリティ侵害を見ると、その大
半は簡単に検出できる脅威によって発生しています。高度な技術を駆使して検出を回
避する脅威もありましたが、大半は巧妙な手口で特定の標的に攻撃を実行するもので
した。
しかし、
この2年の間で技術的に洗練された攻撃が急増しています。多くの脅威
が高度なセキュリティ対策を回避するように作成されています。
これらの脅威は侵入
に成功すると潜伏し、攻撃の機会を窺います。暗号化と動的なコード変更を行ってシグ
ネチャによる検出を回避し、配備ごとに姿を変えて不正なデータを隠しています。
5 年間の脅威の変化
傾向と主なマルウェア
2010年
2011年
MBR 感染型の増加
2012年
2013年
2014年
2015年
OS より下層 (MBR、BIOS、
ファームウェア) に対する攻撃
ドライブバイダウンロード
ブラウザーに対する脅威
エクスプロイトキットの普及
ファイルレスの脅威/マルウェアを使用しない侵入
サーバーサイドのポリモーフィズム/ハッシュバスター
再利用されないマルウェア
メモリースクレイピングを行うマルウェア (POS の脅威も含む)
マクロと PowerShell スクリプトを利用するマルウェア
偽のウイルス対策
Bitcoin/デジタル通貨に対する脅威
ランサムウェア
PoS マルウェア
Mac に対する脅威の増加
マルウェアプラット
フォームの多様化と
複数のプラットフォー
ムに対する攻撃
主な脆弱性
2011年
モバイルに対する脅威 (マルウェア、PHA、PUA)
IoT に対する脅威
2012年
2013年
2014年
2015年
BEAST—CVE-2011-3389
CRIME—CVE-2012-4929、CVE-2012-4930
RC4—CVE-2013-2566
HeartBleed—CVE-2014-0160、
CVE-2014-0346
Shellshock—
CVE-2014-6271、
CVE-2014-6277、
CVE-2014-6278、
CVE-2014-7169、
CVE-2014-7186、
CVE-2014-7187
BERserk—CVE-2006-4339、
CVE-2014-1568
Poodle—
CVE-2014-3566、
CVE-2014-8730
FREAK—
CVE-2015-0204、
CVE-2015-1637
Logjam—
CVE-20154000
インターネットのコア部分に対する主な攻撃
このレポートを共有
McAfee Labs脅威レポート 2015年8月 | 10
キートピック
検出を回避するマルウェアや長期的
に実行される攻撃を予測しましたが、
5年前では考えられなかった手口や
手法が使用されています。
また、数か月も続く攻撃や、長期間潜伏してスパイ活動を行う攻撃も確認されていま
す。
これらの脅威の大半は、盗み出したデータの販売で利益を得ることではなく、
スパ
イ活動を継続的に行うことを目的としています。2010年の脅威予測で長期的に実行さ
れる攻撃を予測しましたが、5年前では考えられなかった手口や手法が使用されてい
ます。
このような攻撃の一例を『McAfee Labs脅威レポート: 2015年5月』のキートピッ
ク
「Equation Group: ハードディスク/SSDのファームウェアの悪用」
で解説しました。
ま
た、
『Operation Troy の調査: 韓国で発生したサイバースパイ』
でも長期型の攻撃に
ついて報告しています。
デバイスの進化
前述のように、危機的状況を招く要因の一つが急速なデバイス数の増加と多様化で
す。仮想化とパブリッククラウドの普及がこの傾向を助長しています。
携帯電話、
スマートフォン、
タブレット、
ウェアラブルなど、すばらしい技術は急速に広
がっていきます。
「モノのインターネット」
といわれるように、病院、エネルギー、物流、
販売店、輸送機関、
自動車、工場など、あらゆるものがインターネットで接続される時
代になりました。
しかし、デバイスへの依存度が高くなるほど、セキュリティやプライバ
シーの侵害が大きな問題となります。特定のタイプのデバイスが普及すれば、そのデ
バイスに対する攻撃も増加します。
この傾向は今後も変わらないでしょう。
この5年で
予想どおりに展開したものもあれば、予想に反する結果となっているものもあります。
モバイルデバイスの台数は予想を超
えた速さで増加していますが、重大な
攻撃はそれほど増えていません。
IoTデバイスに対する攻撃や侵害はま
だ始まったばかりです。
モバイル: モバイルデバイスを攻撃するマルウェアは急激に増加していますが、その
大半はまだ試験的な段階で、大きな被害をもたらすものはありません。
スマートフォン
から取り出せるデータの価値はそれほど高いものではなく、
スマートフォン自体も企業
に対する攻撃では有効な手段とはいえません。
スマートフォンやタブレットの多くは自
動バックアップ機能を搭載しています。脅威に感染したり、
ランサムウェアの攻撃を受
けても、
クラウド上のバックアップが攻撃されない限り、脅威を簡単に駆除し、データ
を復旧できます。
スマートフォンやタブレット用のアプリ市場も制約が厳しく、ホワイト
リストサービスのように不正なアプリのダウンロードを規制しています。
これらの制約
は完璧なものとはいえませんが、モバイル攻撃の拡大を阻止する役割は果たしていま
す。モバイルデバイスの台数は予想を超えた速さで増加していますが、重大な攻撃は
それほど増えていません。
モノのインターネット: IoTデバイスに対する攻撃は始まったばかりです。関連するデバ
イス、オペレーティングシステム、バージョンが多岐にわたり、サイバー犯罪者の関心
を惹きつけるほど普及もしていません。
しかし、デバイスの数は予想を上回る速さで増
加しています。IoTデバイスの脅威が広範囲に及ぶのも時間の問題です。当然のことな
がら、デバイス自体が標的となるわけではなく、その背後にあるデータやゲートウェイ
が狙われています。攻撃者は最も簡単な攻撃を方法を探しています。
これらのデバイ
スが無防備であれば、標的となったネットワークへの侵入を簡単に許す結果になりま
す。攻撃や侵害はまだ始まったばかりです。
PCとデータセンター: PC以外のデバイスが急速に普及していますが、サイバー犯罪者
にとってPCとデータセンターが魅力的な標的であることに変わりはありません。
このよ
うなシステムには価値のあるデータが保存され、脆弱性も存在します。パッチが適切
に適用されていないシステムも少なくありません。
このレポートを共有
McAfee Labs脅威レポート 2015年8月 | 11
キートピック
クラウドの普及で攻撃の目的にも変
化が見られます。
デバイスに保存され
ているデータ自体が狙いではありま
せん。重要なデータがあるクラウドへ
の侵入経路として利用することが目
的です。
仮想化とクラウド: デバイスが急増している背景には、仮想化とクラウドコンピュー
ティングの急速な普及があります。仮想化の普及、特にデータセンターでの急速な普
及は予想していましたが、
クラウドコンピューティングとストレージがこれほど短時間
に普及することは考えていませんでした。仮想化への移行は財政面で大きなメリット
があります。私たちもこの目的でハードウェアの最適化を行いました。
クラウドへの移
行も財政面や運用上のメリットがありますが、企業への普及は遅いと考えていました。
クラウドの普及で攻撃の目的にも変化が見られます。デバイスに保存されているデー
タ自体が狙いではありません。重要なデータがあるクラウドへの侵入経路として利用
するために攻撃が実行されています。
クラウドの認証情報を取得すれば、
アクティビティやトランザクションを盗聴し、データ
を操作したり、改ざんした情報を戻すことが可能になります。
クライアントを不正なサ
イトに誘導することもできます。被害者のアカウントやサービスを悪用することで、被
害者の信用を利用して別の攻撃を仕掛けることも可能です。
クラウドの脆弱性は買収
前から確認していましたが、予想どおりの結果になっています。
サイバー犯罪の進化と市場化
サイバー攻撃の件数は大幅に増加し、手口も巧妙化しています。
これは無視できない
状況です。脅威の進化は昔の軍拡競争に似ています。犯罪者が新しい攻撃方法を開発
すると、セキュリティ業界は新しい防御方法でそれに対抗します。
この競争を加速化さ
せたのがインターネットとダークウェブの存在です。犯罪者は、
これらの手段を利用し
て技術の共有を行っています。攻撃が発生すると、別の攻撃者がすぐにコードの分析
を行い、再利用したり、改良を加えて攻撃を実行しています。技術力のある犯罪組織が
実行した攻撃も例外ではありません。脆弱性が見つかると、それを悪用するエクスプロ
イトがすぐに作成され、販売されています。バグの発見者に報酬を支払うプログラムを
開始したテクノロジ企業もありますが、ベンダーだけでなく犯罪者にとっても脆弱性の
購入は重要な作業となっています。
脆弱性の種類
Adobe Reader
ゼロデイエクスプロイトの値段
$5,000 – $30,000
Mac OS X
$20,000 – $50,000
Android
$30,000 – $60,000
FlashまたはJavaのブラウザープラグイン
$40,000 – $100,000
Word
$50,000 – $100,000
Windows
$60,000 – $120,000
FirefoxまたはSafari
$60,000 – $150,000
ChromeまたはInternet Explorer
$80,000 – $200,000
iOS
$100,000 – $250,000
ゼロデイエクスプロイトの値段（2013年）
このレポートを共有
McAfee Labs脅威レポート 2015年8月 | 12
キートピック
サイバー犯罪は、サプライヤー、マー
ケット、サービスプロバイダーが出現
し、一つの業種として成立しました。
資金調達の方法や取引システムも確
立し、様々なビジネスモデルが試さ
れています。
全く予期していなかったことは、サイバー犯罪のサプライヤー、マーケット、サービス
プロバイダー（サービスとしてのサイバー犯罪）が出現し、一つの業種として成立したこ
とです。資金調達の方法や取引システムが確立し、様々なビジネスモデルが試されて
います。犯罪者は最も簡単な方法で金銭を獲得しようとします。
また、十分な報酬を得
られなければ犯罪を行うこともありません。残念ながらサイバー犯罪は十分な報酬が
期待できる犯罪です。あるセキュリティベンダーの報告では、マルウェア攻撃の投資
利益率は1,425%と試算されています。Intel Securityの依頼で実施した調査では、
グ
ローバル経済に対するサイバー犯罪の影響は年間で4,000億ドルになると報告され
ています。
サイバー犯罪が増加している要因はインターネットの普及だけではありません。
自身
の身元を隠す技術の存在も大きな要因となっています。特に、Torなどの匿名通信を行
うネットワークと仮想通貨は、捜査当局の追跡をかわすために重要な役割を果たして
います。仮想通貨が登場してまもなく、仮想通貨が様々な不正取引に悪用される可能
性を指摘する意見も出ていました。Bitocoinや匿名ブローカーの存在はランサムウェ
アによる攻撃も活性化させ、その増加率は予想を大きく上回っています。
5年前に多かったのはクレジットカード情報の窃盗でした。盗まれた大量のカード情
報が不正な購入を行う人物に販売されていました。
クレジットカード会社が盗難カー
ドの利用を防ぐ対策をすぐに実施したため、盗難カードの価値は急速に低下しまし
た。サイバー犯罪者は簡単に価値が下がらないデータ
（医療情報など）を狙い始め、ビ
ジネスの世界と同様にデータウェアハウスを活用し、盗み出した複数のデータを組み
合わせ、
より価値の高い情報を取得するようになっています。最近多いデータ侵害で
は、個人の納税情報や身元調査の結果が盗まれています。
これらはすぐに換金できる
ものではありませんが、犯罪の成熟度が増していることは確かです。
これも予想してい
なかった現象です。
サイバー犯罪を行うために必要な技術レベルが低くなっている点を見ても、サイバー
犯罪が成熟していることが分かります。攻撃を迅速かつ簡単に実行できるように、すぐ
に使えるマルウェアツールキットやランサムウェアのアフィリエイトプログラム、
ブラン
クを埋めるだけで攻撃ツールが作成できるプログラムなどがダークウェブで提供され
ています。今では、技術的なスキルが殆どない犯罪者でもサイバー攻撃を実行できま
す（販売されているマルウェアパッケージについては、
『McAfee Labs脅威レポート:
2015年2月』の「Blacole消滅後に人気のAnglerエクスプロイトキット」を参照）。
このレポートを共有
McAfee Labs脅威レポート 2015年8月 | 13
キートピック
手頃な価格で提供されているマルウェアパッケージはサイバー攻撃の増加に大きく影響している
国家が実行するサイバー攻撃には別の動機がありますが、攻撃に使用するインフラの
大半はサイバー犯罪者と同じです。国家によるサイバー犯罪は通常、直接金銭に結び
つくものではありませんが、様々なリソースが利用され、長期戦になる可能性がありま
す。
スパイ活動は少人数で密かに行われるものですが、
この点はサイバースパイ活動
も同じです。ただ、国家に支援されたサイバースパイ活動は、
この2年間に発生したも
のだけでも予想を超える規模で行われています。
更なる課題
更新やパッチの適用、パスワードセ
キュリティの実施、
セキュリティアラー
ト、既定値の変更などに対する意識
が低い企業や個人ユーザーが少なく
ありません。
これらの対策はどれも、サ
イバー資産と物理的な資産の保護に
重要な作業です。
インターネットのコア部分に存在する
脆弱性が攻撃され、基礎的な技術の
一部が十分な人材と費用とかけずに
開発されていたことを露呈する結果
となりました。
この他にも予想に反する結果がありますが、その中には攻撃側ではなく、防御側の問
題もあります。最も驚いたことは、更新やパッチの適用、パスワードセキュリティの実
施、セキュリティアラート、既定値の変更などに対する意識が向上していない点です。
これは企業ユーザーにも個人のユーザーにも当てはまることです。
これらの対策はど
れも簡単なことですが、サイバー資産と物理的な資産の保護に重要な作業です。
これ
はセキュリティ業界で以前から指摘されている問題で、攻撃を受ける原因になってい
ますが、一向に改善されていません。
物理的な資産で言えば、重要インフラが攻撃を受け、壊滅的な被害が発生していない
のが不思議なくらいです。すぐに換金できるわけではないので、
このような攻撃はサイ
バー犯罪者にとって何のメリットもありませんが、テロリストや敵国から見れば格好の
攻撃対象となります。重要インフラに対するサイバー偵察を監視していますが、今のと
ころ政治的あるいは戦略的な判断からこのような攻撃は発生していないようです。
インフラという点では、最近インターネットのコア部分に存在する脆弱性が攻撃されま
した。狙われたのは数十年も前に開発されたコード部分ですが、基礎的な技術の一
部が十分な人材と費用とかけずに開発されていたことを露呈する結果となりました。
このリスクが明るみに出てから、インターネットに依存する大手企業や組織の間で開
発資金の準備や共同作業が行われるようになりました。
このレポートを共有
McAfee Labs脅威レポート 2015年8月 | 14
キートピック
サイバー犯罪を撲滅するために、
セ
キュリティ業界、教育機関、司法当局、
政府機関の協力関係が強化されてい
ます。
これは非常に喜ばしいことです。
最後に、
これは非常に喜ばしいことですが、
サイバー犯罪を撲滅するために、
セキュリ
ティ業界、教育機関、司法当局、政府機関の協力関係が強化されました。犯罪者の間で
コードや情報を共有しているように、防衛側でも同じように情報を共有する必要があ
ります。
「団結すれば立ち分裂すれば倒れる」
という言葉がありますが、
まさしくそのと
おりです。
まとめ
5年前と比べて改善された点もあれば、悪化していることもあります。予測した内容の
多くは現実のものとなりましたが、予想外の展開もあります。サイバーセキュリティに
おいては、攻撃領域の拡大、ハッキングの組織化と高度化、ITセキュリティ市場の複雑
さと断片化、の3点は引き続き問題として残っています。サイバー犯罪は予想以上の速
さで成熟化しました。
もはや趣味の領域ではなく、一つの業界として成立し、様々なビ
ジネスモデルが試されています。犯罪目的に限らず、政治的あるいは軍事的な目的か
らもサイバー攻撃が実行されています。
サイバーセキュリティに対する関心は、
メディアの報道やデータ侵害の報告を義務付
ける新しい法規制により、かつてないほど高まっています。サイバーセキュリティに関
する知識や経験も増えています。
しかし、攻撃から得られる利益は多く、攻撃者の技術
力が向上し、
リソースも増えています。サイバー上の戦いは大きな問題ですが、
この戦
いは終わりがありません。サイバー空間の保護により多くのセキュリティ専門家が関わ
り、技術が進化し、政府機関がその役割を認識していることは非常に好ましい状況で
す。IntelとMcAfeeの統合は、将来のユーザーと技術を守るセキュリティを提供するた
めのプロセスの一つに過ぎません。
McAfee Labs脅威レポート 2015年8月 | 15
キートピック
データ侵害: サイバー窃盗の重要な
ステップ
̶Brad Antoniewicz
この10年でインターネットは世界中に普及しました。インターネットの利用者は世界
の人口の15%から40%以上に増加しています。小規模な企業でもインターネットを
利用してビジネスを行っています。
このように情報がデジタル化され、インターネット
で送受信されている状況は、データを狙う犯罪者にとっても非常に都合の良いものと
なっています。
犯罪者は、個人の氏名、誕生日、住
所、電話番号、社会保障番号、医療情
報、銀行口座の暗証番号なども盗み
出します。性的嗜好でさえ重要な情報
源となります。
この10年でデータ侵害の発生件数が記録的に増加しています。最初に発生した大規
模なセキュリティ侵害は2007年に発生したTJ Maxx社の事件です。
このデータ侵害で
は9,400万件の顧客情報（クレジットカードやデビットカードの情報）が盗まれました。
その2年後には、大手決済処理会社のHeartland Payment Systems社でデータ漏えい事
件が発生し、1億3,000万件の顧客情報が盗まれました。今後もより大規模な侵害事件
が発生し、被害が広範囲に及ぶ可能性があります。
犯罪者が狙っているのはクレジットカードやデビットカードの情報だけではありませ
ん。個人の氏名、誕生日、住所、電話番号、社会保障番号、医療情報、銀行口座の暗証番
号なども盗み出します。性的嗜好でさえ重要な情報源となります。
犯罪者が金銭を目的としているとは限りません。犯罪者を動機で分類してみると、盗み
出したデータの用途は動機によって異なっています。最近、米国の情報部員を募集す
る偽の求人情報で政府職員の個人情報が盗まれ、国家公務員のなりすまし詐欺に悪
用されました。
インターネットの普及とサイバー犯罪の手口の進化で、サイバースパイ活動も新た
なフェーズに入りました。デジタル知的財産（IP）の窃盗も現実の脅威となっています。
グーグル、マイクロソフト、
ソニー、ボーイング、
ロッキード・マーティン、
デュポンなど様々
な業種の企業がデータ侵害の標的になっている現状を見ると、犯罪者にとって価値あ
る情報はどこにでもあることが分かります。
このキートピックでは、データ窃盗プロセスの重要なステップであるデータ侵害につ
いて採り上げます。
このステップでサイバー犯罪者はネットワークに侵入してデータを
盗み出しています。データ侵害はデータを盗み出すことが目的です。機器の置忘れや
盗難によるデータ漏えいの場合、犯罪者はデータよりもハードウェア自体に価値を感
じています。
脅威の主体
コンピューターネットワークやシステムに不正アクセスを試みる組織や個人を記述す
るときに、脅威源、脅威の主体、脅威エージェントという用語を使用します。官民を問わ
ず、
このような脅威の分類を試みた様々な文書が公開されていますが、
どの文書でも
脅威の主体としては、国家、犯罪組織、ハクティビストの3つを挙げています。
このレポートを共有
McAfee Labs脅威レポート 2015年8月 | 16
キートピック
動機
脅威の主体を分類する場合、動機が重要な要素となります。
こ
れらの主体の多くは、
自身の目的を達成するためにデータを盗
み出します。
国家
一般的な動機
データの種類
データを盗み出すときには、最も魅力的なデータを狙います。
狙われるデータの種類は変わる場合もあります。たとえば、
より
多くの金銭を得るため、知的財産に狙いを変える犯罪組織もあ
ります。
犯罪組織
■
スパイ活動
■
影響力の行使
■
ソースコード
■
■
メール
■
■
内部資料
■
■
軍事活動
公務員の個人情報
（PII）
■
■
金銭
ハクティビスト
■
評価
■
社会的名声
銀行口座
■
メール
クレジットカード
■
従業員の情報
■
極秘の内部データ
PII（社会保障番号、
医療データなども
含む）
狙われるデータの量
少量∼大量
大量
少量∼大量
データ侵害手口の巧妙さ
高
中低
中低
ネットワークの場所
不明/分散
既知
既知、不明/分散
国家が主体の場合には戦略的な利益が追求されるため、知
的財産が狙われるケースが多くなります。主体によって有益な
情報が異なるため、組織から盗まれるデータの量を予測する
のは容易ではありません。新製品の計画が目的の場合には比
較的少ないかもしれませんが、
よく利用されているアプリケー
ションのソースコードの場合には大量のデータが狙われるか
もしれません。
このような情報は複数のネットワークに分散し
ていることが多く、内部情報がない限り、短時間で必要な情報
を見つけることはできません。
金銭を目的とする犯罪組織の狙いは比較的分かりやすいもの
です。
これらの主体はクレジットカードや銀行口座、個人情報を
狙います。データの大半は構造化されたフォーマットになって
いるため、見つけ出すのは比較的簡単です。
これらのデータは
規制対象になっているため、ネットワークの所定の場所に保存
されています。
このレポートを共有
McAfee Labs脅威レポート 2015年8月 | 17
キートピック
おそらく、ハクティビストが最も厄介な存在でしょう。
どのようなものでも、組織内の
データが流出すれば、組織の信用に大きな影響を及ぼします。
このため、ハクティビス
トはクレジットカードから電子メールまでサイズに関係なく様々なデータを狙います。
物理的なアクセス
プロキシ経由であってもシステムに物理的にアクセスすることができれば、攻撃者に
とって大きなアドバンテージとなります。ネットワークセキュリティを回避して大量の
データを盗み出すには、USBストレージデバイスを使うのが最も簡単な方法です。警
戒心の低い従業員にリムーバブルメディアを渡して攻撃を仕掛けることもあります。
この場合、
メディアを渡された人物がシステムに挿入するだけで攻撃が開始します。
環境に関する情報
ネットワークやシステムの環境情報を取得するため、
ソーシャルエンジニアリング、内
部の協力者、オープンソースの情報収集ツールなどが使用されます。
これらの技術を
使用することで、必要なデータを短時間で見つけ出し、
システムにアクセスして情報を
盗み出すことができます。
データ侵害
侵入したネットワークからデータをコピーするには、複雑な作業が必要になります。
まず、組織のセキュリティ設定を詳しく調べ、ネットワークセグメントのセキュリティ
ホールを見つけ出す必要があります。セキュリティ統制の設定やシステムに対するア
クセス権限も確認する必要があります。
このような複雑な作業を理解するため、次の5つの領域に分けて考えて見ましょう。
■
■
■
■
■
データターゲット: 攻撃者が狙うデータが存在するシステム。
ファイル共
有、
リポジトリ、PoSシステムなど。
ステージングインフラ: 攻撃者が企業から収集したデータをダンプサー
バーに転送するために使用する社内システム。
ダンプサーバー: 攻撃者がアクセスでき、データを一時的に保存しておく
システム。
データトランスポート: データの転送に使用するネットワークプロトコル
またはデータストレージデバイス。
データ操作: データの改ざんまたはマスキングに使用する技術。暗号化、
難読化、圧縮、チャンクなど。
データ侵害の構成要素
データ
ターゲット
ステージング
インフラ
インターネット
ダンプ
サーバー
データトランスポート/操作
データ侵害の主な構成要素
このレポートを共有
McAfee Labs脅威レポート 2015年8月 | 18
キートピック
データターゲット
ネットワーク内のシステムへの侵入に成功すると、ネットワーク内の他のシステムにア
クセスし、有益なデータが存在するシステムを特定することができます。複雑なネット
ワークには様々なデータが存在するため、内部情報がない限り、必要な情報を見つけ
るまでに時間がかかります。
主なデータターゲットは次のとおりです。
データターゲット
データの種類
脅威の主体
データベース
システム
多様:保護された医療情報、
PII、
クレジットカード、銀行
口座、ユーザーアカウント
犯罪組織、ハクティビスト
ソースコードのリポ
ジトリ
ソースコード、認証情報、
キー
国家、ハクティビスト
専用システム
多様
すべて
（エンドポイントの
種類による）
ファイル共有または
同様のシステム
ソースコード、デザイン、通
信内容など
国家、ハクティビスト
電子メール/通信
デザイン、通信内容
国家、ハクティビスト
データベースシステム
データベースシステムには大量の構造化データが保存されています。
これらのデータ
は犯罪組織にとって格好の標的となります。
このシステムは次のように様々な業務で
使用されています。
■
■
■
■
■
■
認証: 認証ユーザーのユーザー名やパスワードなどの情報が保存されて
いるシステム
医療情報の管理: 医療情報の入力、管理、破棄などを行うシステム（医療
業界）
決済処理: 顧客またはベンダーとの金融取引を行うシステム
顧客管理/ロイヤリティ: 顧客管理、マーケティングなどで使用する顧客
データが保存されているシステム
人事管理/財務: 従業員情報や支払いを管理するシステム
テスト用/シャドウIT: 業務データが保存されているテストシステムまたは
シャドウITシステム。攻撃者にとって価値のあるデータが存在するだけで
なく、攻撃もしやすい。
McAfee Labs脅威レポート 2015年8月 | 19
キートピック
ソースコードのリポジトリ
内部のソースコードリポジトリにはアプリケーションのソースコード、APIキー、デー
タベースや認証サーバーの認証情報、暗号化キーなど、非常に重要なデータが保存さ
れているにも関わらず、保護されていない場合があります。
専用システム
大規模小売店や製造業に対する攻撃では、専用システムに存在するデータが狙われ
たり、特定の目的で使用されているエンドポイントシステムが標的になります。たとえ
ば、次のようなシステムが攻撃されています。
■
■
■
PoSシステム: 決済処理で最も脆弱な部分はPoSシステムでしょう。
カード
リーダーから読み取ったクレジットカードデータが、暗号化されないまま
メモリーに存在することも少なくありません。
開発者のワークステーション: 開発者のワークステーションには様々な知
的財産や環境情報が存在します。攻撃者にとって魅力的な存在です。
制御システム: 重要な機能を提供しているため、改ざんすることで業界全
体に甚大な被害を及ぼすことができます。
ファイルリポジトリ
大規模なファイルリポジトリに膨大なデータが存在している状況は、犯罪者にとって
メリットでもあり、
デメリットでもあります。貴重な情報が存在する可能性がある一方
で、情報が構造化されていないため、データの移動は簡単な作業ではありません。
こ
のようなシステムとしては次のものがあります。
■
■
■
ネットワークファイル共有: グループやユーザーのフォルダーに文書、図
面などの会社のデータが保存されています。
コンテンツ管理システム: Microsoft SharePointなどのシステムでは、類似
したコンテンツがファイル共有として存在しますが、サイバー犯罪者が盗
み出すのは簡単ではありません。
サードパーティクラウド: Google Drive、Dropbox、Box.comなどのクラウド
ベースのファイル共有サービスでは、データが露出する可能性がありま
す。内部ネットワークを狙う攻撃者ではなく、内部情報を入手した外部の
攻撃者に狙われる可能性があります。
電子メール/通信
重要な会社データ、運用情報、個人的な通信がキャッシュに残っている場合があるた
め、ユーザーのワークステーション、
メールサーバー、Skype for Businessなどのインス
タントメッセージングシステムも標的になります。
このレポートを共有
McAfee Labs脅威レポート 2015年8月 | 20
キートピック
ステージングインフラ
ネットワーク上の標的が複雑で分散
している場合、
データ侵害の手口も
複雑になります。
ネットワーク上の標的が複雑で分散している場合、データ侵害の手口も複雑になりま
す。ネットワークセグメントと自身が制御するダンプサーバーの間に仲介者として機
能するホストを用意し、
ステージングインフラを構築する場合もあります。
ステージングインフラは様々です。複雑なもののあれば、単純なものもあります。高度
なデータ侵害では、次のような役割のシステムが存在します。
■
■
■
エンドポイント: 収集ポイントと同じセグメントまたはルーティング可能
なセグメントに存在する1つ以上のデータターゲット。
収集ポイント: 標的のエンドポイントからデータを収集し、外部送信ポイ
ントにデータをアップロードします。収集ポイントはインターネットにアク
セスできる場合とできない場合があります。洗練された攻撃では、データ
の送信経路が追跡されないように、複数の収集ポイントと外部送信ポイ
ントが使用されています。
外部送信ポイント: 収集ポイントからデータを取得し、攻撃者のダンプ
サーバーに転送します。単純に転送する場合もあれば、攻撃者が取得でき
るようにデータを残す場合もあります。
データ侵害のアーキテクチャ
収集ポイント
外部送信ポイント
インターネット
ダンプ
サーバー
エンドポイント
一般的なデータ侵害のアーキテクチャ
この図は一般的なデータ侵害アーキテクチャを表していますが、別のアーキテクチャ
も存在します。たとえば、ある攻撃では広範囲に分散した収集ポイントと外部送信ポイ
ントからアドホックネットワークを構築し、
これらのポイントを順番に使用してシステ
ムとダンプサーバー間でデータの転送を行っていました。
また、標的の企業内でイン
ターネットに接続可能なコンテンツ配布サーバーを外部送信ポイントとして利用し、
外部配信用のビデオストリームにデータを埋め込んで送信していた例もあります。
このレポートを共有
McAfee Labs脅威レポート 2015年8月 | 21
キートピック
ダンプサーバー
企業からの盗み出されたデータはまずダンプサーバーに保存されます。ただし、
この
サーバーが攻撃者の管理下にあるとは限りません。攻撃者は簡単にアクセスできる場
所を利用します。次のようなシステムがダンプサーバーとして利用されます。
■
■
■
■
■
感染システム: 別の攻撃ですでに侵入に成功しているシステム。個人が開
設したWordPressブログの場合もあれば、セキュリティ対策が不十分な企
業サーバーの場合もあります。
特定の国にホスティングされているシステム: 厳しいプライバシー保護法
が施行されている国は攻撃者にとっても都合の良い環境です。その国内
にシステムをホスティングすることで、特定の保護レベルを維持しながら
攻撃を実行できます。
一時的にホスティングされているシステム: AWS、Digital Ocean、Azureな
どのプロバイダーでクラウドに短期間ホスティングされているシステム
クラウドのファイル共有サービス: DropBox、Box.com、Paste Binなどの一
般的なオンラインファイル共有
クラウドホスティングサービス: TwitterやFacebookなど、ユーザーがデー
タを投稿できるインターネットベースのサービス
感染ホスト、特定の国にホスティングされているシステム、一時的にホスティングされ
ているシステムはダンプサーバーとしても利用されます。
これらのシステムはデータ
を制御しやすいため、外部送信ポイントからの転送を柔軟に設定できます。
クラウドの
ファイル共有やホスティングサービスの場合、宛先のホストが広範囲に分散している
ため、ホストのブロックは簡単ではありません。ただし、
これらのサービスでは、不正行
為を簡単に報告できる手段が用意されているので、不正なアカウントはすぐに削除さ
れる可能性があります。
専用のホストをダンプサーバーとして利用した場合、ホストがブロックされたり、
シャットダウンされる可能性があります。
このデメリットを回避するため、
ドメイン生成
アルゴリズムが利用されています。標的の企業で実行されるマルウェアにこのアルゴ
リズムを組み込み、予測可能なドメイン名のリストを生成してクエリーを送信し、
アク
ティブな制御やダンプサーバーを特定します。
McAfee Labs脅威レポート 2015年8月 | 22
キートピック
データトランスポート
データトランスポートとは、外部送信ポイントとダンプサー
バー間やエンドポイントと収集ポイント間など、
システム間で
データをコピーする場合に使用するプロトコルと方法を意味し
ます。次の表に、現在よく利用されているトランスポートをまと
めました。
トランスポート
説明
内部
HTTP/HTTPS
HTTPはネットワーク通信で広く利用されているため、盗み出したデータを他の
トラフィックに隠すためによく利用されます。HTTPヘッダーとGET/POST/PUTメ
ソッドにコマンドを埋め込み、データを外部に送信します。
FTP
FTPは企業のサーバーでよく利用されています。ネイティブシステムのコマン
ドを使用できるので、簡単に利用できるトランスポートです。
USB
USBストレージデバイスは、エアギャップネットワークで送受信を行う場合に
利用されます。特定のマーカーの付いたUSBストレージデバイスを検出し、デ
バイスの隠しセクターにデータをコピーするマルウェアも確認されています。
ネットワークにアクセス可能な別の感染システムにデバイスが挿入されると、
外部への送信が開始します。
外部
従業員がUSBストレージデバイスに大量のデータをコピーし、社外に持ち出
す可能性もあります。
DNS
特定のDNSレコード（TXT、A、CNAMEなど）にデータが保存される場合があり
ます。
ドメインネームサーバーを乗っ取った攻撃者が外部送信を行うシステ
ムを参照し、少量のデータを転送する可能性があります。
Tor
Torネットワークを利用する攻撃が増えています。
このネットワークを使用する
と、追跡されずにデータをサーバーに送信できます。ただし、会社のネットワー
クでTorトラフィックが許可されているケースは非常に少ないため、攻撃を簡単
に検出し、阻止することができます。
SMTP/Email
メールの本文または添付ファイルとしてデータを社外に送信するため、社内ま
たは社外のSMTPサーバーが悪用される場合があります。
SMB
SMBはWindows環境で一般的なプロトコルで、多くのシステムで有効になって
います。
RDP
RDPは、
コピー/貼り付け、
ファイル共有など様々な操作に対応しています。RDP
を許可しているシステムがインターネット経由でアクセスされる可能性があり
ます。
カスタムトランス
ポート
制御サーバーの通信や高度なマルウェアでカスタムトランスポートが使用さ
れる場合があります。強固なプロトコルの作成は簡単ではありません。
また、
ネットワーク上で簡単に識別されます。
このため、既存のトランスポートが使用
される傾向があります。
このレポートを共有
McAfee Labs脅威レポート 2015年8月 | 23
キートピック
暗号化バージョン（HTTPSなど）のトランスポートが使用されると、組織での検出は難し
くなります。
このような攻撃は増えていますが、
トランスポートレベルでの暗号化の使
用は限定されています。暗号化バージョンがない場合、検出は容易になりますが、イン
ターネットで転送中にデータが盗まれる可能性があります。
トランスポートの多くは、有効な認証情報を必要とするか、サーバーでオープン/匿名
アクセスを有効にする必要があります。
データ侵害を自動的に実行するには、感染ホス
トにユーザー名とパスワードを残すか、
リモートからの不正アクセスを可能にする必
要があります。
データ操作
転送前にデータを操作すると、検出を
回避するだけでなく、転送時間を短縮
できます。
このような操作が行われる
と、分析にも時間がかかります。
転送前にデータを操作すると、検出を回避するだけでなく、転送時間を短縮できます。
このような操作が行われると、分析にも時間がかかります。多くの場合、インターネッ
ト経由で転送する前にデータが操作されますが、内部ネットワーク上で操作が実行さ
れることも少なくありません。元のデータの操作が完了すると、
トランスポート経由で
データが宛先に送信されます。
よく利用されているデータ操作技術は次のとおりです。
技法
説明
圧縮
標準的なZIP形式で圧縮すると、判読を難しくするだけでなく、
ファイルの転送速度も短縮できます。
チャンク
送信前にデータを細分化することで、通常のネットワークア
クティビティと一緒にデータを転送できます。
エンコーディン
グ/難読化
データ操作で最もよく利用される手法は、基本符号化アルゴ
リズムと難読化アルゴリズムです。静的キーによるXOR演算、
Base64エンコーディング、16進値への変換などの簡単な手法
で、検出回避に十分な操作を行うことができます。
暗号化
意外ですが、データ侵害で必ず暗号化が使用されるわけで
はありません。パフォーマンスの低下が原因かもしれません。
また、暗号化の必要がないのかもしれません。
よく使用され
るのはRC4またはAES暗号化です。
まとめ
犯罪者はデジタル情報を基本的な標的にしています。社員データベースやPoSシステ
ムの揮発性メモリーなど、様々な場所からデータが盗まれています。ネットワークのセ
キュリティを強化しても安心はできません。攻撃者は組織で信頼されたシステムを悪
用する方法をすぐに見つけ出し、攻撃に利用しようとします。
このレポートを共有
McAfee Labs脅威レポート 2015年8月 | 24
キートピック
まず最初に、脅威の主体、動機、手口を見極めることが重要です。データ侵害は攻撃の
一部分に過ぎないかもしれませんが、
これを阻止しなければなりません。重要なシス
テムを最優先で保護するため、重要資産とデータの防御策を講じるだけでなく、強固
なポリシーと手順を構築し、重要度に応じた対応を可能にする必要があります。 Intel Securityがこの脅威を阻止する
方法
推奨のポリシーと手順
データソースの識別
リスクの評価を行う。関係者にインタビューを行い、ネットワーク上に存在する重要データとその
存在場所を把握する。
■
資産インベントリの管理
■
システムとネットワークアーキテクチャ
データ検出ソフトウェアを使用して、重要な情報とその存在場所を把握する。
データフローの確認
ネットワーク上での重要なデータのフローを確認する。
■
システムとネットワークアーキテクチャ
リアルタイムのデータフローモニタリングソフトウェアを使用して、データの移動を把握する。
法規制要件とプライバシー
保護要件の把握
組織に適用される法規制要件と必要なセキュリティ統制を把握する。
データの分類
機密性、種類、重要度に応じてデータを分類するポリシーを作成する。
データ所有者の割り当て
データの保護
■
データ保護ポリシー
■
データ分類ポリシー
データの所有者と責任を記述したプログラムを作成する。
■
データの所有者
■
データ資産のインベントリと保守
ポリシーを作成して、保存中のデータと移動中のデータの保護に必要なセキュリティ要件を定義
する。
■
データ暗号化ポリシー
データ損失防止ソフトウェアを実装し、データ侵害を未然に防ぐ。
データアクセスの見直し
プログラムの定期的な見直し
データアクセスを追跡し、承認するプロセスを定義する。
■
データ承認
■
変更管理
データリスク管理プロセスを定義し、毎年ポリシーと手順を見直す。
■
リスク管理
リスク管理ソフトウェアを使用して、
リスクを評価し、
コンプライアンスを維持する。
このレポートを共有
McAfee Labs脅威レポート 2015年8月 | 25
キートピック
GPUマルウェア: 実像と虚像
̶Craig Schmugar
本稿の執筆にあたり、IntelのVisual
and Parallel Computing Groupの
協力をいただきました。
ここに謝意を
表します。
グラフィックス処理装置（GPU）は、画
面に表示するイメージ作成の高速化
に特化したハードウェアコンポーネン
トです。PCでは、GPUは専用のビデオ
カードとしてマザーボードまたはCPU
と同じダイに装着されています。
現在のマルウェアの殆どは、
メインシステムのメモリー上で動作し、CPUで実行される
ように設計されています。
このため、大半のホストベースのセキュリティ対策やフォレ
ンジックツールはこの前提に基づいて作成されています。
しかし、多くの情報セキュリ
ティ専門家が今年の早い段階から警告してきたように、
この前提を覆す事態が起きて
います。
グラフィックス処理装置（GPU）を攻撃するマルウェアは何年も前に確認され、時折注
目を集めていました。
このようなマルウェアが活発に活動を行ったのは4年ほど前で、
Bitcoinマイニングを行うトロイの木馬が感染先での処理速度を向上させるため、GPU
スループットを利用しました。
このような脅威が最近再び注目を集めています。世界最大のコードホストである
GitHubに概念検証コードの初めの部分が公開されました。
Team JellyFishがこのようなプロジェクトを同時に3つ公開しました。
この新しいコード
は、単にGPUの処理効率を利用するだけではありません。
このアーキテクチャを検出
回避に利用し、
コードの実行とデータの格納を行っています。GitHubプロジェクトペー
ジには次のような内容が記載されています。
Demon: 以下の機能を含むGPUキーロガー
■
CPUカーネルモジュールブートストラップ。usb structのDMA経由
でキーボードバッファーを検索する。
■
userlandファイルに格納されたキーボードバッファー
■
カーネルモジュールが自分自身を削除する。
■
OpenCLがGPU内にキーボードバッファーを格納し、
ファイルを削
除する。
JellyFish: ユーザーモードで動作するLinuxベースのGPUルートキット。次のよ
うな利点がある。
■
オンラインにGPU分析ツールが存在しない。
■
直接メモリーアクセスでCPUホストメモリーにアクセスできる。
■
■
数値計算にGPUを利用することで、CPU以上の処理速度で実行で
きる。
ウオームリブート後も削除されない。
WIN_JELLY: Windows GPUリモートアクセスツール。GPUに実行コードを永
続的に格納し、再起動後にユーザー空間にマッピングする。
GPU攻撃の概念検証に関するGitHubプロジェクトのメモ
このレポートを共有
McAfee Labs脅威レポート 2015年8月 | 26
キートピック
その後、多くの記事が公開され、様々な主張が繰り返されています。
これらの主張を文
脈から切り離してまとめると、検出不能な脅威の全体像が見えてきます。
この脅威は自
律的に実行され、現在のセキュリティ対策では検出されないとされていますが、実際
は少し異なるようです。
これらの主張をまとめると、次の4点に集約されます。
■
GPUからCPUホストメモリーにアクセスする
■
その後にCPUホストファイルを削除する
■
ウオームリブート後も削除されない
■
NVIDIAのCUDA（Compute Unified
Device Architecture）は並列コン
ピューティングプラットフォームです。
CUDAのAPIを使用すると、GPUを使
用するソフトウェアを作成できます。
CUDAプラットフォームでは、GPUの
仮想命令セットと並列コンピューティ
ング要素に直接アクセスできます。
GPU分析ツールが存在しない
これらの主張を確認するため、McAfee LabsはIntelのVisual and Parallel Computing
Group（VPG）に登録し、検証作業を行いました。以下の検証結果はIntelの専門技術、特
に統合グラフィックとOpenCLに関する技術に基づくものですが、具体的な内容は個別
のグラフィックカードやNVIDIAのCUDAプラットフォームにも当てはまります。
GPUからCPUホストメモリーにアクセスする
設計上、GPUにアクセスするプログラムはCPUで実行される親プロセスを必要としま
す。
この親プロセスは他のスレッドと同様の方法で実行され、
メモリーの読み書きはセ
キュリティ製品によって監視され、制限されます。GPUを使用するメリットは、不正なア
クティビティを隠し、
このような保護機能を回避できる点です。
ただし、GPUを利用してマルウェアに関連するペイロードを配信するには、物理メモ
リーがGPUにマッピングされている必要があります。
また、非特権コードアクセスは、
プロセスの仮想アドレス空間にマッピングされたメモリーページに制限されていま
す。
リング0にアクセスするには、読み書きアクセスで重要なOSメモリーをGPUにマッ
ピングする必要がありますが、
この操作を行うと、マルウェアの痕跡がホストに残りま
す。
この依存関係は、既存のカーネル保護にも関係します。
この点は次のポイントにも
関係します。
その後にCPUホストファイルを削除する
プログラムがGPUで実行されると、
アプリケーションのインストールに必要だったファ
イルは削除できます。たとえば、
メモリーマッピングを行うカーネルドライバーや親
ユーザーモードプロセスなどがあります。ただし、
この時点でGPUで実行中のコード
は孤立化します。Microsoft Windowsの場合には、
タイムアウト検出とリカバリプロセ
スが開始し、
グラフィックカードがリセットされます。Windowsの場合、デフォルトのタ
イムアウトは2秒です（変更は可能）。Microsoftは、TDR設定の操作はテストとデバッグ
に限定するべきだとしていますが、
これらの値が変更された場合、不審な動作と見な
すことができるので、セキュリティ製品で警告またはブロックできます。GPUのワーク
ロードが長時間実行されるとGUIが応答不能になるため、問題を視覚的に確認できま
す。
これは他のオペレーティングシステムでも同様です。
この問題を解決するにはユーザーモードでコードの実行を継続しなければなりませ
んが、結果的にエンドポイントのセキュリティ対策で検出されることになります。マル
チGPUやヘッドレスシステムの場合には、オペレーティングシステムからGPUへのア
クセスがないことを検出しないため、侵害を視覚的に把握することはできません。い
ずれにせよ、WindowsでTDR値が変更された場合には侵害が発生している証拠となり
ます。
このレポートを共有
McAfee Labs脅威レポート 2015年8月 | 27
キートピック
ウオームリブート後も削除されない
額面どおりに受け取って最も疑わしいのは、OSの再起動後もGPU常駐型のマルウェア
が削除されないという主張でしょう。WIN_JELLYは、
「GPUに実行コードを永続的に格
納し、再起動後にユーザー空間にマッピングする」
と述べています。一見すると、セキュ
リティにとって由々しき内容に見えますが、注意深く読むと、そうでもないことが分かり
ます。永続的とは実行処理のことではなく、データの格納のことを指しています。前の
ポイントを思い出してください。デフォルトでは、GPUプログラムが実行を継続するに
はホストプロセスが必要です。
ここで永続的と表現しているのは、
システム起動時に
ホストアプリケーションが実行され、GPUメモリーからデータを取得し、そのデータを
ユーザー空間にマッピングする、
ということです。不正なユーザーモードコードもGPU
の外部に存在しなければならないため、それほど厄介な問題にはなりません。
GPU分析ツールが存在しない
GPUのパフォーマンスをモニタリングし、デバッグするツールは数多く存在しますが、
フォレンジックやマルウェアの解析を行うツールはほとんどありません。
このような
ツールはプロセスを簡単にするために必要に応じて作成されてきました。GPUを悪用
する脅威を迅速に検出するには脅威を分析するツールが必要になりますが、
この攻撃
方法は兆候を残すため、
このようなツールがなくてもエンドポイントのセキュリティ製
品で脅威の分類と識別を行うことができます。
まとめ
GPUに対する脅威は無視できません。
しかし、
このような攻撃が壊滅的な被害をもたら
したことはまだありません。
この脅威のリバースエンジニアリングとフォレンジック解
析は非常に複雑で、CPUを狙う脅威よりも厄介な存在です。感染が長期間発見されな
い場合もあります。CPUとホストメモリーから不正なコード部分が移動するため、検出
領域が狭くなり、ホストベースのセキュリティ対策では攻撃の検出がさらに難しくなり
ます。
しかし、検出領域が完全になくなるわけではありません。少なくとも、不正なアク
ティビティの痕跡は残るため、エンドポイントのセキュリティ製品で脅威を検出し、修
復することは可能です。
GPUマルウェアの傾向は10年前のWindowsカーネルルートキットに似ています。
カー
ネルルートキットを実行するには特権コードの実行が必要ですが、いったん実行され
ると、不正なコードは自身の存在を隠するため、ルートキットの分析ツールでも検
出が難しくなりました。攻撃者が特権を取得してコードを実行するのは以前よりも難し
くなっています（GPUマルウェアに対しても同じことが言えます)。セキュリティ製品に
ルートキット固有の対策が追加され、MicrosoftはPatchGuard、
ドライバー署名強制、起
動時マルウェア対策（ELAM）、セキュアブートなど、多くのカーネル保護機能をリリー
スしています。
これらの多くの保護対策がWindowsカーネルのGPU攻撃を阻止してい
ます。
最近リリースされたWindows 10には、GPUマルウェアの実行を阻止するDevice Guard
機能が搭載されています。
この機能は、ハードウェアの入出力メモリー管理装置（Intel
の場合はVirtualization Technology for Directed I/OあるいはIntel VT-d）を利用し、
Microsoftの署名がある信頼されたアプリケーションだけを実行するようにデバイスを
ロックします。
この機能が使用できるのは特定の条件下に限定されますが、重要な情
報を保護する機能を強化できます。
McAfee Labs脅威レポート 2015年8月 | 28
キートピック
Intel Securityがこの脅威を阻止する
方法
これらの結果は、GPU攻撃に関するすべての主張を直ちに否定するものではありませ
ん。現在の脅威と対策について、
より詳しい情報を提供するものです。今後、攻撃者も
防衛する側もこの分野の技術が向上することは間違いないでしょう。進歩がないとし
ても、今回の関心の高まりは現在のセキュリティ状況を見直し、向上させる契機となっ
ています。
この種の攻撃を防ぐための安全対策
McAfee Labsでは、GPUに対する攻撃からシステムを保護するため、いくつかの方法を
推奨しています。
■
■
■
■
■
オペレーティングシステムの自動更新を有効にする。あるいは、OSの更新
を定期的にダウンロードし、オペレーティングシステムにパッチを適用し
て既知の脆弱性を解決する。
ソフトウェアベンダーが公開したパッチを速やかに適用する。
すべてのエンドポイントにセキュリティソフトウェアを配備し、
ウイルス対
策のシグネチャを常に最新の状態にしておく。
アプリケーションをホワイトリストに登録して、未承認のアプリケーション
の実行を防ぐ。
可能であれば、管理者モードでアプリケーションを実行しない。
このレポートを共有
McAfee Labs脅威レポート 2015年8月 | 29
統計情報
モバイルの脅威
マルウェア
Web脅威
フィードバックを共有
統計情報
モバイルの脅威
新しいモバイル
マルウェア
新しいモバイル
マルウェア
1,400,000
1,200,000
1,000,000
800,000
600,000
400,000
200,000
0
第3
四半期
第4
四半期
2013 年
第1
四半期
第2
四半期
第3
四半期
2014 年
第4
四半期
第1
四半期
第2
四半期
2015 年
モバイル
マルウェアの合計
モバイル
マルウェアの攻撃
第2四半期のマルウェアモバイルの
合計数は17%増加しています。
9,000,000
8,000,000
7,000,000
6,000,000
5,000,000
4,000,000
3,000,000
2,000,000
1,000,000
0
このレポートを共有
第3
四半期
第4
四半期
2013 年
第1
四半期
第2
四半期
第3
四半期
2014 年
第4
四半期
第1
四半期
第2
四半期
2015 年
McAfee Labs脅威レポート 2015年8月 | 31
統計情報
地域別のモバイルマルウェアの感染率（2015年第2四半期）
地域別のモバイルマルウェアの感染率 (2015 年第2四半期)
この四半期のモバイルマルウェアの
感染率は全体として1%減少しまし
た。地域別に見ると北米では約4%減
少していますが、
アフリカの感染率に
変化はありませんでした。
12%
10%
8%
6%
4%
2%
0%
アフリカ
アジア
オーストラリアヨーロッパ
北米
南米
世界のモバイル
マルウェアの感染率
世界のモバイルマルウェアの感染率
30%
25%
20%
15%
10%
5%
0%
第4
四半期
2013 年
第1
四半期
第2
四半期
2014 年
第3
四半期
第4
四半期
第1
四半期
2015 年
第2
四半期
このレポートを共有
McAfee Labs脅威レポート 2015年8月 | 32
統計情報
マルウェア
新しいマルウェア
新しいマルウェア
60,000,000
50,000,000
40,000,000
30,000,000
20,000,000
10,000,000
0
第3
四半期
第4
四半期
2013 年
第1
四半期
第2
四半期
第3
四半期
2014 年
第4
四半期
第2
四半期
第1
四半期
2015 年
マルウェアの合計
マルウェアの合計
500,000,000
McAfee Labsのデータベースに登録
されたマルウェアの数は直近の四半
期よりも12%増加しています。現在の
サンプル数は4億3,300万件を超えて
います。
450,000,000
400,000,000
350,000,000
300,000,000
250,000,000
200,000,000
150,000,000
100,000,000
50,000,000
0
第3
四半期
第4
四半期
2013 年
第1
四半期
第2
四半期
第3
四半期
2014 年
第4
四半期
第1
四半期
第2
四半期
2015 年
このレポートを共有
McAfee Labs脅威レポート 2015年8月 | 33
統計情報
新しいルートキットマルウェア
新しいルートキットマルウェア
120,000
100,000
80,000
60,000
40,000
20,000
0
第3
四半期
第4
四半期
2013 年
第1
四半期
第2
四半期
第3
四半期
2014 年
第4
四半期
第2
四半期
第1
四半期
2015 年
ルートキッ
トマルウェアの合計
ルートキッ
トマルウェアの合計
1,800,000
1,600,000
1,400,000
1,200,000
1,000,000
800,000
600,000
400,000
200,000
0
第3
四半期
第4
四半期
2013 年
第1
四半期
第2
四半期
第3
四半期
2014 年
第4
四半期
第1
四半期
第2
四半期
2015 年
このレポートを共有
McAfee Labs脅威レポート 2015年8月 | 34
統計情報
新しいランサムウェア
新しいランサムウェア
ランサムウェアは引き続き急増してい
ます。第2四半期に新たに確認された
ランサムウェアのサンプル数は58%
増加しています。
『McAfee Labs脅威
レポート: 2015年5月』
でも触れたよ
うに、CTB-Locker、CryptoWallなど
の新しいファミリーが急激に増加して
います。
ランサムウェアの合計数は昨
年よりも127%増加しています。
1,400,000
1,200,000
1,000,000
800,000
600,000
400,000
200,000
0
第3
四半期
第4
四半期
2013 年
第1
四半期
第2
四半期
第3
四半期
2014 年
第4
四半期
第1
四半期
第2
四半期
第1
四半期
第2
四半期
2015 年
ランサムウェアの合計
ランサムウェアの合計
4,500,000
4,000,000
3,500,000
3,000,000
2,500,000
2,000,000
1,500,000
1,000,000
500,000
0
第3
四半期
第4
四半期
2013 年
第1
四半期
第2
四半期
第3
四半期
2014 年
第4
四半期
2015 年
このレポートを共有
McAfee Labs脅威レポート 2015年8月 | 35
統計情報
署名付きの新しい不正なバイナリ
署名付きの新しい不正なバイナリ
3,000,000
2,500,000
2,000,000
1,500,000
1,000,000
500,000
0
第3
四半期
第4
四半期
2013 年
第1
四半期
第2
四半期
第3
四半期
2014 年
第4
四半期
第1
四半期
第2
四半期
2015 年
署名付きの不正なバイナリの合計
署名付きの不正なバイナリの合計
20,000,000
18,000,000
16,000,000
14,000,000
12,000,000
10,000,000
8,000,000
6,000,000
4,000,000
2,000,000
0
第3
四半期
第4
四半期
2013 年
第1
四半期
第2
四半期
第3
四半期
2014 年
第4
四半期
第1
四半期
第2
四半期
2015 年
このレポートを共有
McAfee Labs脅威レポート 2015年8月 | 36
統計情報
Web脅威
新しい不審なURL
新しい不審な URL
35,000,000
30,000,000
25,000,000
20,000,000
15,000,000
10,000,000
5,000,000
0
第3
四半期
第4
四半期
2013 年
第1
四半期
第2
四半期
第3
四半期
2014 年
第4
四半期
第1
四半期
第2
四半期
2015 年
関連ドメイン
URL
新しいフィッシング詐欺URL
新しいフィッシング詐欺 URL
3,000,000
2,500,000
2,000,000
1,500,000
1,000,000
500,000
0
第3
四半期
第4
四半期
第1
四半期
第2
四半期
2013 年
URL
第3
四半期
2014 年
第4
四半期
第1
四半期
第2
四半期
2015 年
関連ドメイン
このレポートを共有
McAfee Labs脅威レポート 2015年8月 | 37
統計情報
新しいスパムURL
新しいスパム URL
2,000,000
第2四半期に確認された新しいスパ
ムURLとドメインは380%も増加して
います。弊社のリアルタイムブラック
ホールリストを改善した後、
スパム配
信専用に自動的に生成されたドメイ
ンが大量に見つかりました。
1,800,000
1,600,000
1,400,000
1,200,000
1,000,000
800,000
600,000
400,000
200,000
0
第3
四半期
第4
四半期
2013 年
第2
四半期
第1
四半期
第3
四半期
2014 年
第4
四半期
第1
四半期
第2
四半期
2015 年
関連ドメイン
URL
世界で発生したスパムとメールの量
(1兆通単位)
世界で発生したスパムとメールの量（1兆通単位）
12.0
10.0
8.0
6.0
4.0
2.0
0
第3
四半期
第4
四半期
第1
四半期
第2
四半期
2013 年
スパム
第3
四半期
2014 年
第4
四半期
第1
四半期
第2
四半期
2015 年
正規のメール
このレポートを共有
McAfee Labs脅威レポート 2015年8月 | 38
統計情報
スパムメールを送信するボットネットの上位 10
スパムメールを送信するボッ
トネットの上位10（100万通単位）
(100 万通単位)
1,400
ボットネットで生成されたスパムの
量は第2四半期も引き続き減少しま
した。Kelihosボットネットも活発な
動きを見せていません。
この四半期
もSlenfbotがトップで、かな差で
Gamutが続いています。Cutwailは
トップ3から外れました。Slenfbotは
主に精力増強に関するスパムを送信
し、
「Tips to nights of happiness」
と
いう件名がよく使用されています。
1,200
1,000
800
600
400
200
0
第3
四半期
第1
四半期
第4
四半期
第2
四半期
2013 年
第3
四半期
第4
四半期
2014 年
第1
四半期
第2
四半期
2015 年
Kelihos
Gamut
Asprox
Cutwail
その他
Stealrat
Slenfbot
Darkmailer
Dyre
Darkmailer 2
世界のボットネットの分布
世界のボットネットの分布
Wapomi
22.0%
Muieblackcat
19.9%
Ramnit
2.0%
Sality
2.7%
18.4%
5.1%
Darkness
Maazben
7.5%
10.2%
12.2%
Dorifel
H-Worm
その他
このレポートを共有
McAfee Labs脅威レポート 2015年8月 | 39
Intel Securityについて
フィードバック。今後の参考にするた
め、皆様からのフィードバックをお待
ちしています。5分程度で終わります
ので、
ここをクリックして脅威レポート
に関するアンケートにご協力くださ
い。
マカフィーはIntel Securityとなりました。Intel Securityは、Security Connected戦略、セ
キュリティにハードウェアを活用した革新的なアプロ―チ、
また独自のGlobal Threat
Intelligenceにより、世界中のシステム、ネットワーク、モバイルデバイスを守るプロア
クティブで定評あるセキュリティソリューションやサービスを提供しています。Intel
Securityは、マカフィーの優れたセキュリティ技術とインテルの革新性と信頼性の融合
により、すべてのアーキテクチャとコンピューティングプラットフォームにセキュリティ
を統合します。Intel Securityは、すべてのユーザーが日々の生活でも職場でも、
デジタ
ル世界を安心して利用できるようにすることを目指しています。
www.intelsecurity.com
McAfee Labsのリンク
1. https://downloads.cloudsecurityalliance.org/initiatives/top_threats/The_Notorious_Nine_Cloud_Computing_Top_Threats_
in_2013.pdf
McAfee. Part of Intel Security.
マカフィー株式会社
東京本社
〒 150-0043 東京都渋谷区道玄坂 1- 12- 1
渋谷マークシティウェスト 20F
TEL 03-5428-1100（代）FAX 03-5428-1480
西日本支店
〒 530- 0003 大阪府大阪市北区堂島 2-2-2
近鉄堂島ビル 18F
TEL 06-6344-1511（代）FAX 06-6344-1517
名古屋営業所〒 450-0002 愛知県名古屋市中村区名駅 4-6-17
名古屋ビルディング 13F
TEL 052-551-6233（代）FAX 052-551-6236
福岡営業所
〒 810- 0801 福岡県福岡市博多区中洲 5-3-8
アクア博多 5F
TEL 092-287-9674（代）
www.intelsecurity.com
本資料は弊社の顧客に対する情報提供を目的としています。本資料の内容は予告なしに変更される場合があります。本資料は
「現状のまま」提供するものであり、特定の状況あるいは環境に対する正確性および適合性を保証するものではありません。
Intel、Intelのロゴ、McAfeeのロゴは、米国法人Intel CorporationまたはMcAfee, Inc.もしくは米国またはその他の国の関係会社に
おける商標です。その他すべての登録商標および商標はそれぞれの所有者に帰属します。
Copyright © 2015 McAfee, Inc. 62058rpt_qtr-q2_0815

Download Report