セキュリティ脅威レポート 2014 高度化とステルス化が進むマルウェア セキュリティ脅威レポート 2014 目次 1 18 序文 金融口座を狙う標的型脅威 2 20 はじめに:2013 年におけるマルウェアの進化 Windows: パッチが適用されていないシステムの リスクが高まる 4 規模が拡大し、ステルス化が進むボットネット ÌÌ 2013 年の ZeroAccess の動向: シンクホールでダメージを受けるも、迅速に回復する..........5 ÌÌ ZeroAccess の国別検出状況................................................6 ÌÌ ボットネットによるビットコインの採掘 ( マイニング ): マルウェアのもう 1 つの収入源..............................................6 7 さまざまな亜種を生み出し 高度化する Android マルウェア ÌÌ 最も多く検出された Android マルウェア (2013 年 10 月 )....................................................................8 ÌÌ ハッキングされたモバイルデバイスの詳細な解析: ハッカーがスマートフォンから金銭を得る手口.......................9 22 消え去ることのないスパムの脅威 ÌÌ スパムの添付ファイル (2013 年 6 月 ): ダウンロードによって多くの問題が引き起こされる............ 23 24 SophosLabs:現在の高度な攻撃から ユーザーや企業を守る 26 2014 年の注目すべき動向 29 10 おわりに Linux:犯罪者を魅了する Pivotal テクノロジー ÌÌ 出典......................................................................................... 30 12 Mac OS X:大量発生した小規模な攻撃 ÌÌ Mac を保護するための 4 つの簡単な方法........................ 13 14 Web ベースのマルウェア: 高度化と多様化が進み、検出がさらに困難に ÌÌ 攻撃キット:Blackhole をベースとする改良版.................. 15 ÌÌ 世界中に広まる Zbot........................................................... 17 ÌÌ Web サーバーとクライアントを保護するための アドバイス............................................................................... 17 本レポートで参照している資料やツールの詳細につい ては、以下の Web サイトをご参照ください。 sophos.com/threatreport セキュリティ脅威レポート 2014 セキュリティ脅威レポート 2014 序文 2013 年のセキュリティ脅威の状況を振り返ると、顕著な動向として、マルウェア作成者 が攻撃をカモフラージュする能力を向上させていることが挙げられます。先進的なボット ネットおよび攻撃キットのソースコードが広範に拡散したため、多様な攻撃方法を新しく 考案するマルウェアの作成者が増えているのです。 サイバー犯罪者は、ブラックマーケットでそのサービスを宣伝・ の社会に不可欠なインフラ環境が脆弱なため、標的となりつ 販売する方法として、オンラインマーケティングを活用し始め つあることを示しているのです。スマートグリッドインフラス ています。2012 年、Blackhole 攻撃キットが鮮烈な登場を トラクチャなどのシステムは、今後ますますサイバー犯罪者の 果たしました。2013 年は一転、Blackhole をベースにし、 標的になっていく恐れがあります。 Blackhole のコードの一部を利用する新しい攻撃キットが主 モバイルデバイス、アプリケーション、ソーシャルネットワーク、 流となりました。 その結果として生じたボットネットは、ラン 相互接続型の携帯電子端末やデバイスなど、あらゆるモノが サムウェア攻撃の急増の要因となっています。 そして、極め インターネットにつながることを表す「モノのインターネット て悪質な CryptoLocker も出現しました。 (Internet of Things)」が活発化するにつれて、脅威の標的 最新のマルウェアは、密かに実行されるステルス型の攻撃が も迅速に移り変わるようになっています。これまでにない脅威 主流です。APT (Advanced Persistent Threat、持続的標 が、モバイルプラットフォームに統合されている NFC ( 近距 的型脅威 ) は、最も悪質なステルス型脅威の 1 つであり、 離無線通信 ) のような新しいテクノロジーで発生しています。 特定の個人、企業、政府機関やそれらのデータを標的としま GPS サービスを革新的な方法で利用しデジタルライフと実生 す。APT は、サイバー空間において標的を絞り込んだミッショ 活をつなげることは、サイバー犯罪者が私たちのセキュリティ ンを遂行する高度な武器と言えます。スパイ行為や企業デー やプライバシーを侵害する新たな機会も作り出しているので タの奪取といったデータ流出問題は、この 1 年間を通じて大 す。 きなテーマとなりました。 そのようなシステムは、私たちに大きな影響を与える攻撃を 2013 年に確認された APT 攻撃には、綿密に計画され豊富 引き起こす可能性があります。2014 年は、これまでの攻撃 な資金が投入されており、非常に意欲的で高度な技術力を備 のさらなる進化だけでなく、全く新しいタイプの攻撃にも注 えたスキルの高い攻撃者によって、APT 攻撃が行われていま 意が必要となるでしょう。 す。ミッションを成功させた後でも、潜伏を続け、詳細な情 敬具 報を収集します。APT はステルス性や持続性といった特性が あり、防御対策は複雑になります。システムに加えネットワー クレベルも網羅する包括的な対策が求められています。 セキュリティ対策はもはや「推奨」ではなく、 「必須」の要件 です。企業や政府機関は、これまでプライバシー保護と機密 データ保護に真摯に取り組んできましたが、これからは最重 要であるインフラシステムに深刻な影響を及ぼす恐れがある セキュリティ問題に、今後注意していくことが必要になります。 私たちは飛行機で移動し、ATM で現金を引き出し、電気や 水を安定的に供給してもらっていますが、これらのインフラシ ステムの安全が脅かされています。このような最重要である ネットワークインフラや制御システムに対する攻撃は、私たち Gerhard Eschelbeck ( ゲルハルト・エシェルベック ) CTO ( 最高技術責任者 )、Sophos 1 セキュリティ脅威レポート 2014 はじめに: 2013 年における マルウェアの進化 2013 年のセキュリティ脅威レポートの公開後も、マルウェアや IT セキュリティの脅威は さらに拡大、巧妙化し、悪意のあるコード開発者や悪意ある Web サイトの公開者は、 さまざまな新しい手口で不正行為を覆い隠すようになっています。 2013 年、マルウェア開発に足を踏み入れた攻撃者が、公開 されている先人の経験とソースコードからその手法を学習す るようになりました。 その結果、最先端のテクノロジーを悪 用するボットネットと攻撃キットの革新的な手法が拡散しまし た。サイバー犯罪者は、暗号化を活用し、監視の回避するこ とを目的として設計されている閉鎖的で匿名性の高いイン ターネット領域「ダークネット」にサーバーを配置するように なり、巧みな方法で自身の存在の検出をすり抜けるようにな りました。 多くのユーザーがますますモバイルデバイスと Web サービ スを利用するようになっており、マルウェアの作成者も同じよ うにこ れら の 領 域 を 標 的 にして い ま す。 今 年 に なって Android 攻撃は複雑さと成熟さが増し、Darkleech などの 秘匿性が高い攻撃により、数千台の Web サーバーが不正に 制御されるようになりました。2014 年 4 月 8 日 ( 米国 ) に は、Microsoft 社 に よ る Windows XP お よ び Office 2003 のセキュリティアップデートが終了します。Windows のユーザーはこの状況に備える必要があり、セキュリティアッ プデートの終了後に生じる可能性がある「ゼロデイフォーエ バー」攻撃の危険性について認識しなければなりません。 2 セキュリティ脅威レポート 2014 他のセキュリティ企業と同じく、ソフォスでも特定の企業、業 界、政府機関を狙った標的型の脅威が増加していることを確 認しています。たとえば、金融口座や金融取引を狙った脅威は、 かつては東ヨーロッパが中心でしたが、このような攻撃が発 生する範囲が広がり始めました。 良 い ニュー スも ありました。2012 年 に 猛 威 を 振 るった Blackhole 攻撃キットの作成者とされる人物が 10 月に逮捕 され、マルウェア犯罪組織への法的な責任追及に進展があっ たことが証明されました。Google 社は 2013 年、技術的な 観点から Android プラットフォームの保護を強化し、危険が 潜んでいる多くの PUA ( 不要と思われるアプリケーション ) を制限するルールを厳格化しました。 一部の脅威は周期的に発生しており、数年間ごとに繰り返さ れています。たとえば、パンプアンドダンプ ( 株価操作 ) は、 数年前に米国証券取引委員会によってほぼ一掃されましたが、 今回そのスパムメールが復活しています。 一方、世界各国に拠点を置く SophosLabs の上級研究者は、 クラウドやビッグデータの高度なテクノロジーを活用し、検出 や修復を可能にする画期的な取り組みを開始しています。 2013 年には、CryptoLocker と呼ばれる極めて悪質なラン サムウェアも新たに確認されました。ランサムウェアは、ほぼ 四半世紀にわたって発生していますが、最新のバージョンで は非常に強固な暗号化を利用してユーザーのファイルを利用 できなくし、ユーザーに金銭を要求しています。 大企業か中小企業か、教育機関か政府機関か、それとも個人 ユーザーかどうかに関係なく、マルウェアに対する戦いは続き ます。同様に、お客様に適切なツールを提供し、お客様の環 境の安全を守り続けるためのソフォスの取り組みもその歩み を止めることはありません。 3 セキュリティ脅威レポート 2014 規模が拡大し、ステルス化が進む ボットネット 過去 12 か月間で、ボットネットはさらに拡散し、回復力やカモフラージュの技術も向上 しています。新たな標的を探している可能性もあり、その危険性が高まっています。 ボットネットのソースコードは、その所有者が厳格に保護して います。サイバー犯罪者がボットネットから手を引くときには、 そのソースコードが高値で販売されることがよくあります。し かし最近、現役のボットネットのソースコードが流出しました。 これによって、コードを模倣して独自のボットネットを作成する 者が現れ、さらには元のコードからは想像できない動作をす る進化したボットネットも登場しました。 回復力を高めたボットネット ボットネットは現在、複数の C&C を準備してバックアップで きる体制を作り上げています。たとえば、Gameover などの ボットネットに感染したクライアントから、同じく感染した別の マシンのアドレスにネットワークで接続できない場合は、組み 込まれている「ドメイン生成」アルゴリズムが実行されます。 これらアルゴリズムで、接続が確立されている新しい C&C サーバーが 1 台でも発見されれば、クライアントは自身に課 せられた役割をボットネットで復元できます。 2 たとえば、 数年前に Zeus ソースコードが流出した結果、 Gameover というマルウェアが開発されました。 これは、 Zeus で一元化されていた C&C ( コマンドアンドコントロー ル ) リンクではなく、感染デバイスのピアツーピアネットワー クを使用するマルウェアでした。Gameover は、バックアッ プ通信機能を追加しており、暗号化も活用していました。さ らに、広域 DDoS 攻撃にも参加できる機能など、ボットマス ターたちがボットネットの動作ルールをさらに柔軟に設定でき るようになっていました。 1 また、ボットネットの運用者は、迅速かつ効率的にセキュリティ 機能への対抗策を講じています。あるアンチウイルス企業が ZeroAccess ボットネットの一部を制御し、感染した 50 万 台のクライアントのトラフィックを、そのアンチウイルス企業 で管理しているサーバー (「シンクホール」と呼ばれます ) に リダイレクトしました。 3 それに対し、ボットネットの所有者は、 アフィリエイトネットワークを利用して、クライアントに配置す る新しいドロッパー数を即座に増やしました。数週間のうちに、 ボットネットは元の状況を回復し、新しいバージョンでは同じ セキュリティ対策が通用しなくなっていました。 4 セキュリティ脅威レポート 2014 その他の資料 ボットネット: クラウドコンピューティングの ダークサイド ( 英語 ) ランサムウェア:データの ハイジャック ( 英語 ) バックチャネルとビットコイン: ZeroAccess の秘密の C&C 通信 ( 英語 ) 極めて危険なランサムウェアを配信するボットネット ユーザーが偽のアラートやアンチウイルス詐欺に騙されなく なると、ボットネットでランサムウェアが配信されることが増え ました。現在、ユーザーは自分のデータを再度利用できるよ うにするために、法外な金額を要求されるという事態に陥って います。 CryptoLocker の動作 ( 英語 ) 拡大するバンキングマルウェアボットネット オンラインバンキングなどの認証情報を盗み出す Carberp というボットネットキットのソースコードが 2013 年半ばに流 出しました。 6 Carberp により、金融機関とその顧客から 2 億 5,000 万ドル以上が盗まれています。被害は長くロシアに 集中していましたが、最近は世界各地で Carberp による攻 撃であることを証明するデータが確認されており、流出した ソフトウェアが悪用されている痕跡が他のボットネットでも確 認 さ れ 始 め て います。 これらの ボットネットには Power Loader をベースとしたコードも含まれており、マルウェアを コンピュータに潜入させながら、検出を回避できるよう開発 された極めて高度な手法が悪用されています。 7 恐らく、現時点で最も危険性が高く、影響が広範囲に及んで いるランサムウェアは CryptoLocker です。このランサムウェ アは、起動時に実行される Windows プログラムのスタート アップリストに潜り込み、感染サーバーを突き止め、ユーザー のコンピュータから小さな ID ファイルをアップロードし、公 開鍵をそのサーバー ( 対応する秘密鍵が保管されている ) か ら取得して、ユーザーのコンピュータにあるデータや画像ファ イルを次から次へと暗号化します。 一方、英国およびヨーロッパ各地で、近年、ボットネットで配 信される Shylock/Caphaw という金銭目的のマルウェアか ら 多 くの ユ ー ザ ー が 攻 撃 さ れ て い ま す。 こ れ は 特 に、 Barclays や Bank of America か ら Capital One、Citi Private Bank、Wells Fargo に至るまで、多くの世界的な 大手金融機関の顧客が標的となっています。 8 ユーザーのデータが暗号化されると、犯罪者のサーバーに保 管されている秘密鍵でしかデータを復元できなくなります。 そして、暗号化されたファイルが人質にされ、犯罪者から金 銭の支払いを要求されます ( ソフォスでは金銭の支払いは推 奨していません )。 4 CryptoLocker はスパムメールで配信されることもあります が、多くの場合はすでにユーザーのマシンを感染させている ボットネットから配信されます。 そのような場合、ボットが upgrade コマンドに反応するだけで、ユーザーの PC にすで に入り込んでいるマルウェアが更新、置換、追加されます。 手遅れの状態になるまで、ユーザーは事態に気付きません。5 検体数 2013 年の ZeroAccess の動向:シンクホールでダメージを受けるも、迅速に回復する アンチウイルス企業によるシ ンクホール機能により、2013 年 7 月~ 8 月にソフォスで検 出した ZeroAccess 感染のエ ンドポイント数は大幅に減少し ました。しかし、ZeroAccess の所有者はさらに積極的な攻 撃を実行し、9 月頃には、過 去最高のエンドポイント数が 感染しました。 出典:SophosLabs 1月 2月 3月 4月 5 5月 6月 7月 8月 9月 10 月 セキュリティ脅威レポート 2014 検知回避機能を高めるボットネット 「ダークネット」への依存を強めるボットネット 一部のボットネットでは、感染したクライアントが接続しようと Tor など、監視をすり抜けるために設計された隠匿性の高い する最初の C&C チェックインアドレスは、ボットネットの一部 ネットワークを使用するボットネットが増えています。 9 Tor は にはなっていません。このアドレスは侵害されてはいるもの Wikileaks などの情報源を守るために使用されたツールとし の、正規のドメインであり、通信はブロックされません。 て、そして最近では、違法な取引を助長していると非難され ているオンラインブラックマーケット、Silk Road のホストと 多くの場合、ボットネットに感染しているクライアントが最初 しても知られています。 にチェックインするのは、プロキシモードの軽量な PPP サー バー ( リモートアクセスサーバーの一種 ) であり、そこから別 ボットネットは、C&C サーバーを Tor ネットワークで密かに の場所に接続されます。最初に接続されたサーバーを対象に サービスとしてストアし、非常に追跡されにくい状態にします。 して通信を遮断しても、プロキシを無効にしただけであり、ボッ 従業員は Tor を使用してはならないという経営判断を行う企 トネットの実際のコマンドセンターには到達していません。 業は多くあります。アプリケーション制御テクノロジーを使用 して Tor を利用できないようにしているケースも多く見られ ます。 ZeroAccess の国別検出状況 2013 年 10 月までに米国および英国において数千ものエンドポイントを乗っ取った ZeroAccess は、ドイツ、オーストラリア、 イタリアでも広く検出されました。 エンドポイントの絶対数 米国 6,754 英国 1,625 ドイツ 747 オーストラリア 622 イタリア 458 カナダ 360 フランス 340 オランダ 170 スペイン 110 その他 1,014 出典:SophosLabs ボットネットによるビットコインの採掘 ( マイニング ):マルウェアのもう 1 つの収入源 ボットネット運用者は、新しい収入源を常に探しています。2013 年はビットコインの採掘で大きな利益が生まれました。ビットコイ ンとは、単なるデジタル通貨であり、どの政府からも支持されてい ません。ビットコインの価格は大幅に変動していましたが、ここ数 か月間は、通常 150 ~ 200 US ドルの幅に収まっています。 10 その間はビットコインの価格が大幅に上昇したにもかかわらず、 最終的に ZeroAccess はこの機能を無効にしました。その理由 は不明です。あまりにも大きな注目を浴びたからかもしれません。 クリック詐欺ほどの収益を得られなかったからかもしれません。新 しいビットコイン採掘ハードウェアは、配信されたボットネットより もはるかに効果が高いという情報も報告されています。 12 新しいビットコインは複雑な数理的問題を解決することで製造さ れますが、この問題を解くために大規模な処理能力が必要とされ るため、巨大で世界的なボットネットが製造に悪用される恐れが あります。 ZeroAccess はビットコインを採掘しなくなりましたが、他のボッ トネット所有者はまだ一攫千金の夢をあきらめていません。第一 線で活 躍するセキュリティ研 究 者である Brian Krebs 氏は、 2013 年 5 月にロシアの FeodalCash ボットネットがビットコイ ンの採掘作業を強化しているのを発見しています。 13 ( 本レポー ト翻訳時、ビットコインは大暴落。) 2012 年 5 月から 2013 年 2 月までの期間と、2013 年 4 月 の 3 週間にわたり、ZeroAccess ボットネットで感染したクライ アントが新しいビットコインを採掘するのに利用されました。 11 6 セキュリティ脅威レポート 2014 さまざまな亜種を生み出し 高度化する Android マルウェア Android マルウェアは、Windows を標的とするマルウェアが辿った経路に沿って、成長 および進化を続けています。一方で、プラットフォームのセキュリティも強化されています。 2012 年に、クラス名の難読化、URL と C&C からの命令の 暗号化、Windows マルウェアでは一般的となっている「ポ リモーフィズム」手法を取り入れることで、Ginmaster は検 出を回避できるようになりました。2013 年、Ginmaster の 開発者は、極めて複雑で巧妙な難読化と暗号化の手法を取り 入れ、このマルウェアの検出やリバースエンジニアリングをさ らに困難にしました。 14 一方で、2012 年初めからの四半期 ごとの統計では、Ginmaster の検出率が確実に増加してお り、2013 年 2 月から 8 月までに見つかった検体は 4,700 件を超えました。 Android マルウェアが初めて検出された 2010 年 8 月以 降、ソフォスで記録したマルウェアファミリの数は 300 種を 超えました。また、Android マルウェアのエコシステムは、 数年前に Windows マルウェアによって初めて確立された多 くの経路を同じように辿っています。 洗練された方法で検出と駆除を回避 最近になって、Android マルウェアが新しい手法によって検 出網をすり抜けていることが確認されました。Ginmaster は その代表的なマルウェアです。これは 2011 年 8 月に中国 で初めて発見されたトロイの木馬型プログラムであり、多く の正規アプリケーションに侵入し、サードパーティのアプリ ケーション市場を通じて広く配布されました。 7 セキュリティ脅威レポート 2014 新たな Android ボットネット 最近のレポートで明らかになった大規模なボットネットは、PC を制御するボットネットとほぼ同じ方法で、Android デバイス を制 御します。 このボットネットは、ソフォスでは Andr/ GGSmart-A として検出しており、中国に限定して攻撃が実 行されているようです。C&C から、感染させたすべてのモ バイルデバイスに対し、たとえば、デバイス所有者に課金さ れる有料の SMS メッセージを送信するといった命令を出しま す。Android への一般的な攻撃とは異なり、大規模なネット ワーク全体で有料の SMS 件数、メッセージ内容、そしてアフィ リエートスキームまでも変更し、制御できます。 過去の多く の Android マルウェアよりも組織化されており、危険性が高 くなっています。 15 攻撃を開始する際、Android Defender は風変わりな専門 的なルックアンドフィールを備えており、多様なソーシャルエ ンジニアリング手法を利用し、デバイス管理者の権限を繰り 返し探り出そうとします。デバイス管理者の権限を奪取する と、他のすべてのアプリケーションへのアクセスを制限して、 コール作成、設定変更、タスクの中止、アプリケーションの 削除に加え、工場出荷時の状態に戻すことも不可能にします。 そして、ユーザーがどのような操作を行っても、感染につい ての警告メッセージを画面に表示します。さらには、[ 戻る ] や [ ホーム ] ボタンを無効にしたり、再起動時に開始したりす る場合があります。唯一実行していないのは、ユーザーコン テンツや個人データの暗号化です。 16 ただこれも時間の問題 であり、来年の『脅威レポート』が発行されるまでには暗号 化した攻撃も報告されることになるでしょう。 Android までを標的にするランサムウェア ランサムウェアの歴史は長く、その悪質さは際立っています。 最初のバージョンが検出されたのは 25 年前でした。ランサ ムウェアとは、ファイルやデバイスを利用できなくし、その解 除と引き換えに金銭の支払いを要求するマルウェアです。 2013 年 6 月、ソフォスの研究者である Rowland Yu は、 Android デバイスに対する初めてのランサムウェア攻撃を発 見しました。これは「Android Defender」と呼ばれる、偽 ウイルス対策ソフト / ランサムウェアのハイブリッドアプリ ケーションであり、Android デバイスへのアクセス復旧のた めに 99.99 ドルの支払いを要求します。 スマートフォンで配信される盗まれた銀行口座情報 2013 年 9 月、Windows に対する従来の「MITB ( マン・ イン・ザ・ブラウザ )」攻撃と、Android デバイスのセキュリ ティを侵害してスマートフォンでデータを盗み出すことを目的 としたソーシャルエンジニアリングを融合させた新しい形のバ ンキングマルウェアが検出されました。「Qadars」と呼ばれ ることもありますが、ソフォスではこのマルウェアを Andr/ Spy-ABN として検出しています。現在のところ、 このマルウェ アは比較的脅威レベルが低いものしか見つかっていませんが、 すでにフランス、ドイツ、インドの金融機関が標的になってい ます。 最も多く検出された Android マルウェア (2013 年 10 月 ) Android マルウェアファミリで突出しているものは現在 (2013 年 11 月時点 ) 1 つもありませんが、最も広範囲にわたって検 出された Android マルウェアが Andr/BBridge-A です。このトロイの木馬型マルウェアは権限を昇格させる攻撃コードを使用 して、 ユ ー ザ ー の デ バ イスに別 の 不 正 なアプリケ ーションをインストー ルします。Andr/ BBridge-A は持続性が高く、2012 年 6 月以降の Android 感染リストでも第 2 位でした。 17 Andr/BBridge-A Andr/Fakeins-V Andr/Generic-S Andr/Qdplugin-A 9% 6% 5% 3% Andr/Adop-A 2% Andr/Boxer-D 2% Andr/SmsSend-BY 2% Andr/DroidRt-A 2% Andr/SmsSend-BE 2% Andr/MTK-B 2% その他 65% 注:パーセンテージの小数点以下は四捨五入しています 出典:SophosLabs 8 セキュリティ脅威レポート 2014 その他の資料 GinMaster:Android マルウェアの事例 ( 英語 ) iPhone、Android、 Windows Phone 8 の比較 モバイルマルウェアの急増 ( 英語 ) Andr/Spy-ABN は、 ベースとなった Zeus と同じように、 Windows 側を起点として、Internet Explorer にコードを 挿入してユーザー情報を盗んでから暗号化し、金融機関に転 送します。また、ブラウザの個人の証明書と Cookie も不正 に入手します。 無償ツール Sophos Mobile Security for Android Android のセキュリティ 幸い、Google 社はここ数か月間で、Android プラットフォー ムのセキュリティを高めるために大規模な対策を講じました。 まず、Android 4.3 では、以前のバージョンに搭載されてい た自動アプリダウンロード機能が除外されています。また、 Google 社は開発者との契約を厳格化し、PUA ( 不要と思わ れるアプリケーション ) に関連する契約は特に厳格化していま す。PUA はもちろんマルウェアではありませんが、大半のユー ザーには耐えられないほど押しつけがましい動作をする傾向 があります。 ユーザー認証の後には、( 皮肉なことに ) 銀行では詐欺対策 として新しいスマートフォンアプリの使用を要求していること がユーザーに伝えられます。ユーザーは電話番号とモデルを 教えるよう求められ、SMS が送信されて、不正なアプリをダ ウンロードするように誘導されます。さらに悪質なものになる と、挿入されたコードによって、ユーザーは自身の口座にア クセスできなくなります。これは、スマートフォンのマルウェ アがインストールされ、アクティベーションコードが提供され るまで続きます。 18 Google 社は、許可しないアプリケーションと広告フレーム ワークの動作をいくつか特定しました。たとえば、サードパー ティの広告とリンクをホーム画面に掲載すること、ブラウザの ホーム画面を変更すること、システム通知領域をその実用的 な機能とは関係のない目的のために使用することなどが開発 時の禁止事項となりました。 19 ハッキングされたモバイルデバイスの詳細な解析:ハッカーがスマートフォンから金銭を得る手口 一見問題がないように見える Android スマートフォンでも、マルウェアに侵害されていると、不正に監視され、なりすまし、 危険なボットネット活動への参加、個人情報の盗み出し、金銭の搾取などの被害に遭うことがあります。 20 なりすまし 監視 350,000 ÌÌ ÌÌ ÌÌ ÌÌ ÌÌ SophosLabs で 確認された Android マル ウェアの事例 * ÌÌ SMS のリダイレクト ÌÌ 電子メールメッセージの送信 ÌÌ ソーシャルメディアへの投稿 音声 カメラ 通話ログ 位置情報 SMS メッセージ 金銭的被害 米国における 1 分あたりのス マートフォンの 紛失数 2 米国における データ侵害によ る平均 損失額 (2012 年 )1 ÌÌ プレミアムレート SMS メッセージの送信 ÌÌ TAN (トランザクション認証番号 ) の 流出 ÌÌ ランサムウェアを利用した金銭要求 ÌÌ 偽のウイルス対策ソフト ÌÌ 有料通話 データの盗み出し 113 540 万 ドル ÌÌ ÌÌ ÌÌ ÌÌ ÌÌ アカウント情報 連絡先 通話ログ 電話番号 アプリケーションの脆弱性による データ流出 ÌÌ IMEI ( 端末識別番号 ) の流出 ボットネットの活動 ÌÌ DDoS 攻撃の開始 ÌÌ クリック詐欺 ÌÌ 有料 SMS メッセージの送信 出典:SophosLabs 出典: 『2013 Cost of Data Breach Study』、Ponemon Institute 2 出典: 『What's the Worst U.S. City for Smartphone Theft?』、Mashable * 1 9 99.99 ドル ランサムウェア 「Android Defender」 による請求額 * セキュリティ脅威レポート 2014 Linux: 犯罪者を魅了する Pivotal テクノロジー Linux プラットフォームが標的とされるのは、Web サイトの運営や Web コンテンツの 配信などで Linux サーバーが幅広く使用されているためです。 Linux では Windows や Android を標的としたマルウェア と比較すると、わずかしか確認されていません。しかし、ソフォ スでは、量は多くないものの、マルウェアの実行ファイルや スクリプトによる攻撃が継続して発生していることを掴んでい ます。さらに、 「プラットフォームに依存しないものの Linux サーバーで実行されることが多いサービス」を標的にする検 体を大量に検出しています。 犯罪キットが仕組まれたランディングページにトラフィックをリ ダイレクトしている感染サーバーの過半数が Linux サーバー であることがソフォスの調査で明らかになっています。した がって、Linux で実行されるマルウェアの数が少なくても、 マルウェア感染は、すべての Linux 管理者が深刻に受け止め る必要があります。 ソフォスでは現在、Linux サーバーで動作している PHP コー ド ( 一般に Web サイトで使用されるサーバーサイドスクリプ ト言語 ) の不審な検体を毎月数万件も特定しています。中に は、マルウェア作成者が検出をすり抜けるために PHP スクリ プトを難読化しようとさまざまな労力を注いでいるものや、同 じ検体を 50 レベル以上の深度にまで難読化しているものも あります。 いくつかの理由から、Linux ベースの Web サーバーは、犯 罪キットへのトラフィックのリダイレクトを狙う犯罪者の標的に なっていることが明らかになっています。 Linux は、インター ネットの Web サーバーの大部分を稼働させている重要なオ ペレーティングシステムです。常時接続され、重要性も規模 も世界最高レベルの Web サイトの多くが Linux を使用して います。また、Linux サーバーは他のオペレーティングシス テムよりも安全性が高いと広く認識されているため、感染先 として見落とされることもあります。これはつまり、感染した Linux サーバーは数か月間から数年間も感染したまま放置さ れ、犯罪組織に膨大な投資利益を与えてしまう恐れがあると いうことです。 10 セキュリティ脅威レポート 2014 その他の資料 Naked Security:Linux 従来のボットネットの機能の多くを利用した大規模なトラフィッ 多くの場合、従来の Linux ファイルサーバーには、Windows ク配信システムにおいて、Linux サーバーをノードとして動作 や他のオペレーティングシステムを標的としているマルウェア させることを目的とした不正な PHP スクリプトが大量に確認さ が入り込んでいます。このため、Linux サーバー自体は感染 れて います。Linux サ ー バ ー がノードとして 動 作 すると、 していなくても、そこからファイルを受け取ったデバイスが感 DDoS 攻撃などの他の悪質なペイロードをシステムで実行で 染する恐れがあります。 きてしまいます (Darkleech や Redkit などの Web サーバー 2013 年には初めて、Linux システムでも大量の Android 攻撃については、16 ページで具体的に説明します )。 マルウェアが検出され始めました。 当然ながら、Linux サー 侵害された PHP スクリプトは、パッチ適用が不完全なバージョ バー、Scripting Host、Web サーバーのいずれかがマルウェ ンの WordPress など、脆弱なプラットフォームで実行され アに感染していると、そのマルウェアによって技術的には簡単 ることがよくあります。 21 たとえば、2013 年には Plesk コ な方法で Android デバイスからの HTTP 要求を検出し、そ ンテンツ管理システムを稼働させている PHP エンジンで攻撃 れに合わせて Android マルウェアを配信します。Linux シス が見つかりました。特定の post コマンドを使用することで、 テムからサービスを提供するクライアントが Windows かど 攻撃者がそのエンジンにアクセスして、任意の PHP スクリプ うかを問わず、Linux システムではマルウェア対策ソフトウェ トを実行できる可能性があります。 22 アを実行することが求められるのです。 当然ながら、管理者がサードパーティのスクリプトやサービス を追加していくと、Linux システムで攻撃を受ける範囲も広 がるため、パッチを速やかに適用し、Linux OS と実行中のサー ビスの両方のセキュリティを強化し、多層的アプローチをとる ことが何よりも重要です。 11 セキュリティ脅威レポート 2014 Mac OS X: 大量発生した小規模な攻撃 今年は Mac OS X に対する大規模な攻撃は確認されませんでしたが、独創的で多様な 小規模攻撃が継続的に検出されており、Mac ユーザーはセキュリティ強化の重要性を 意識するようになりました。 2013 年、Mac OS X プラットフォームへの攻撃は進化し続 けましたが、2012 年に発生した Flashback に匹敵するほ どの世界的な大規模攻撃は確認されませんでした。確認され た Mac 攻撃のタイプとしては、トロイの木馬型、Java プラッ トフォームおよび Microsoft Word 文書形式の欠陥に対する 攻 撃、 危 険 性 の 高 い ブ ラ ウ ザ プ ラ グ イ ン、 不 正 な JavaScript および Python スクリプト、そして Apple デベ ロッパ ID の署名入りマルウェア (Apple 社の Gatekeeper による保護機能をすり抜けてユーザーに正規のアプリケーショ ンであると信じ込ませる ) などがありました。 リティで保護された企業のインフラストラクチャに直接攻撃す るよりも、その従業員がアクセスする可能性がある小規模な サイトを通じて企業を攻撃する方が簡単なことがある」という ハッカーの認識を反映しているのかもしれません。 Mac を標的にするトロイの木馬 昨 年、AlienVault 社とソフォスは、 攻 撃 用に細 工された Word 文書を利用して Mac のセキュリティを侵害するバック ドア型のトロイの木馬がアジアで利用されていることを特定し ました。これらのトロイの木馬は文書に埋め込まれ、チベット における人権侵害を主張するものであったため、中国政府の たとえば、2013 年 2 月に、Apple 社の従業員の Mac が、 関係筋からの攻撃ではないか、という憶測を呼びました。 25 Java のゼロデイの脆弱性を悪用したハッカーによって乗っ取 られたことをロイター社が報告しました。これはその 1 週間 今年 2 月には、東トルキスタンのウィグル人に対する人権侵 前 に Facebook が 被 害 を 受 け、23 さらに そ の すぐ後 に 害の疑いについて主張する類似の文書に攻撃コードが潜んで Microsoft 社の Mac 事業部が攻撃された脆弱性と同じもの いました。これらの攻撃はすべて、以前に Microsoft 社が修 でした。 24 ソフトウェア開発企業のサイトを通じて実行された 正パッチを提供した Mac 版 Word 2004/2008 の脆弱性 この「ウォーターホール ( 水飲み場 )」攻撃は、 「厳格なセキュ を利用しています ( セキュリティ情報 MS09- 027)。 26 12 セキュリティ脅威レポート 2014 無償ツール Sophos Antivirus for Mac Home Edition 世界のどこにいても、パッチが適用されていない Mac 版 Word 2004/2008 を実行している場合は、今すぐパッチを 適用することをお勧めします。 これらが実際に標的型攻撃であったとしたら、同様の事例が 他にも存在したことになります。2013 年 9 月には、OSX/ Bckdr-RQV という新しいバックドア型攻撃が確認されていま す。これは一度インストールされると、感染したマシンに関す るさまざまな情報を転送します。Intego 社によれば、一部の バージョンは、Syrian Electronic Army ( バシャー・アル・ アサドのシリア政府を支持しサイバー戦争を仕掛けるという声 明を出したハッカーグループ ) から画像をダウンロードしよう とします。 27 アドウェアとランサムウェア Android では、危険性の高いアドウェアのブラウザプラグイ ンも今年検出されました。これは、PUA と 完全なマルウェ アの両方の要素を併せ持つソフトウェアです。通常、このよう なアドウェアのプラグインは、危険性の高いインストーラーを 使用します ( この場合、ユーザー設定が無視される場合があ ります )。また、ユーザーが利用する可能性があるビデオコー ドにカモフラージュしたり 30、ユーザーを騙してインストール を実行させたりします。 Web ブ ラウ ザ に 関して は、 今 年、 一 部 の 不 運 な Mac Safari ユーザーが粗悪なランサムウェアに遭遇しました。大 半のランサムウェアと同じように、捜査当局を装った偽のメッ セージを表示し、ユーザーが違法なコンテンツを表示・取得 Apple デベロッパ ID 攻撃 したとして、罰金をすぐに支払うよう求めます。今年最も悪質 最 新 バ ー ジョン の OS X の デフォルト設 定 で は、Apple だ っ た ラ ン サ ム ウ ェ ア (Windows の み に 出 現 す る Store から取得したソフトウェアか、有効な Apple デベロッ CryptoLocker) とは異なり、この Mac のマルウェアはファ パ ID で署名されたソフトウェアであれば、Gatekeeper ツー イルを暗号化しません。ユーザーのブラウザをキャプチャす ルでインストールが許可されます。ところが、有効なデベロッ る JavaScript コードを実行し、強制終了後に再び現れるだ パ ID を使用して不正なソフトウェアが署名されていたとした けです。幸いなことに、Malwarebytes 社の指摘どおり、こ ら、どうなってしまうでしょうか。この問題が発生したのは、 の JavaScript は Safari のメニューから Safari のリセットを 2012 年 12 月から 2013 年 2 月にかけて、 「Rajinder 選択すれば除去できるため、実害はありません。 31 Kumar」という Apple 社の開発元によって署名されたクリス マスカードアプリケーションが不正な電子メールで配信された また、Linux サーバーと同様に、Mac OS X サーバーも ( 場 ときでした。Apple 社が Kumar 社の ID を失効させる前に、 合によってはクライアントも )、Windows システムに転送さ 一部のユーザーが OSX/HackBack-A という標的型フィッシ れるまで潜伏する Windows マルウェアが入り込むことが多 ングによるペイロード ( マルウェア ) を起動させ、文書ファイ くあります。さらに、多くのユーザーが Parallels Desktop ルの圧縮版がリモートサーバーにアップロードされました。 28 などのソフトウェアを使用して、Windows 仮想マシンを OS X 内で実行しています。このような Windows 仮想マシンは、 今年の署名入り Mac マルウェアは、クリスマスカードだけでは 他の Windows システムと同じように、マルウェアに感染し ありませんでした。今夏にも、Python ベースの Janicab とい やすくなっています。 業 務で Windows しか使 用しな い うトロイの木馬で同じ手口が利用されていました。 29 有効な Mac オーナーは、Windows 仮想マシンの保護対策を十分 Apple デベロッパ ID を使用した攻撃は、報告されていないだ に行う必要があります。 けで、他にも存在する可能性があります。また、たとえ今は存 在しなくても、 同じような攻撃が発生する可能性は高いでしょう。 もちろん、修正が必要となる新たに発見された脆弱性も多く利用 します。2013 年 9 月に Apple 社が提供した OS X 10.8.5 アッ プデートでは、CoreGraphics、ImageIO、PHP、QuickTime など、システムの複数のコンポーネントにおいて発見されたリモー トでの実行に関する脆弱性が修正されました。 33 Mac を保護するための 4 つの簡単な方法 Windows や Android と比較すると、Mac ではマルウェアがそ れほど拡散していません。それでも、一部のユーザーは感染して おり、自分が感染してしまったら、Mac は比較的安全だと言われ ても何の慰めにもならないでしょう。 幸い、いくつかの簡単な手 順を実行するだけで、感染のリスクを減らすことができます。 対応可能な OS X バージョンの場合は、Mac App Store からダ ウンロードしたアプリケーションのみをインストールするよう Mac を制限する。明らかに安全なサイトから正規のアプリケーションを ダウンロードする場合は、一時的に制限を解除できますが、そのよ うな時以外は、セキュリティを強化する手段として有効です。 絶対に必要ではない場合、Mac から Java を削除する。Java を 完全に削除できない場合には、少なくともブラウザでは無効にし ましょう。悪質な Java の脅威のほとんどがブラウザに存在してい ます。最近、Apple 社は Java の使用を容易に無効にできるよう にしています。OS X Lion とそれ以降のバージョンでは、Java がデフォルトでインストールされません。ユーザーが Java をイ ンストールしたとしても、5 週間使用されなければ自動的に無効 になります。 32 ソフトウェアには常に最新のセキュリティ修正プログラムを適用す る。今でもハッカーは数年前にほとんど使用されなくなった攻撃手 法を再利用し、1 人でも多くの被害者を見つけようとしています。 13 ウイルス対策ソフトウェアを使う ( 使っていない場合 )。ウイルス 対策ソフトウェアを使用しないで Mac を利用している場合は、無 償で提供されている Sophos Antivirus for Mac Home Edition のダウンロードをご検討ください。これはソフォスの企業ユーザー を保護している製品と同じ、企業向けのテクノロジーを使用して、 マルウェアの脅威を軽減します。 新世代の Web ベースのマル ウェアによる脅威にも対応します。 セキュリティ脅威レポート 2014 Web ベースのマルウェア: 高度化と多様化が進み、 検出がさらに困難に 危険性が高く、検出が困難な Web サーバーの攻撃と攻撃キットが 2013 年に拡大し、 脆弱な Web クライアントに対するドライブバイ攻撃の増加を引き起こしました。 Linux マルウェアの説明で触れたように、Apache モジュー ルが悪用される攻撃が大幅に増加しています。セキュリティ が侵害された正規のサイトにこのような不正モジュールがイ ンストールされると、Web ブラウザから、既知の脆弱性を 利用したドライブバイ攻撃が実行されることになります。 るものでした。 34 ソフォスの調査では、Darkleech に感染し たサイトの 93% は Apache を使用していました。 35 2013 年 3 月、弊社顧客のエンドポイント製品、Web アプ ライアンス製品において検出された Darkleech とそれに関 連する攻撃は、最も拡散した Web の脅威となり、検出され た Web 脅威全体のほぼ 30% を占めました。 Web サーバーを攻撃する Darkleech 今年最も注目を集めたマルウェアは Darkleech でした。こ また、これらの攻撃の中には、再現が極めて困難になるよう れは、( あるレポートによれば ) 2013 年 5 月までに、4 万 巧妙に設計されているものもあります。たとえば、10 回に 件を超すドメインおよびサイト IP の侵害に成功しています。 1 度の割合でのみ起動する攻撃であれば、警戒心の強い管理 中には感染数が 15,000 件に達した月もありました。Los 者が問題の存在を認識した場合でも、ローカルシステムに起 Angeles Times や Seagate などの有名な Web サイトが 因するものではないと思わせることができます。Darkleech 被害を受けています。Darkleech に侵害された Web サー はブラックリストを保持しており、どの IP も不正なリダイレク バーは、極めて深刻なマルウェアを配信しており、その 1 つ ト先には 1 度しか送信されないようにします。また、多くの である Nymaim ランサムウェアは、ユーザーのファイルを暗 攻撃者は、セキュリティ関連コミュニティサイトや検索サイト 号化し、その解除と引き換えに 300 ドルの支払いを要求す の IP と思われるサイトから来たアクセスには、リダイレクトを 挿入しないように選択しています。 14 セキュリティ脅威レポート 2014 その他の資料 ホスティングプロバイダーの 選択 ( 英語 ) マルウェア B-Z:脅威の詳解 Blackhole から ZeroAccess まで ( 英語 ) Web マルウェア攻撃の 5 つの 段階 ( 英語 ) Web サーバー攻撃が増加していることから、セキュリティ企 業とホスティング企業の連携を強化して Darkleech のような 複雑かつ巧妙な攻撃を「見える化」する必要があることが明 確になりました。 技術的な観点から見れば、このような攻撃 はすでに極めて検出困難になっています。ソフォスは、感染 したホスティングプロバイダー数社と緊密に連携し、サーバー を正常化できるように支援しています。しかし、ホスティング サービスは元々が利益率の低いビジネスのため、ホスティン グプロバイダーによっては、感染したサーバーを見つけても、 その感染源を突き止めることがなく、新しい仮想サーバーイ ンスタンスを再構築するだけになる場合もよくあります。 そ のホスティングプロバイダーもセキュリティパートナーもどの ような問題が発生したのか把握できていないため、多くの場 合、再構築したインスタンスもすぐに感染することになります。 ホスティングサービスの利用者は、感染が発生したときのホ スティングプロバイダーの対処方法を確認する必要がありま す。特に、再感染を防止するためのプロバイダーの対策につ いては十分に確認してください。 悪質な広告の増加 悪質な広告とは、正規のオンライン広告ネットワークと Web サイトを通じて配信される不正な広告のことです。 数年前か らあるものですが、2013 年は増加しています。YouTube などの極めて有名なサイトが発生源になっているものもあり ます。 近年、不正な Flash コンテンツの形態をした悪質な広告が多 く出回っています。ユーザーが Flash 広告をクリックすると、 ActionScript コードによって、不正なサイトにリダイレクトさ れます。その代表例が、最近発生した Troj/SWFRed-D と 呼ばれるトロイの木馬です。このトロイの木馬は 2013 年に YouTube の広告で広く出回ったものであり、ユーザーを Styx 攻撃キットにリダイレクトします。これは、Styx の感染 率が最近高くなった原因でした ( 下部のグラフを参照 )。 Flash 広告にはクライアントにある Flash Player の脆弱性を 標的にする攻撃コードが含まれているため、リダイレクトされ なくても Flash ユーザーが感染する場合もあります。 Blackhole の次の段階へ:無数の攻撃キット 昨年の『脅威レポート』では、Blackhole について詳しく説 明しました。Blackhole とは、マルウェア作成者がペイロー ドを自由自在に配信できるようにするパッケージ型の攻撃キッ トの先駆けです。Blackhole は現在も悪用されており、実際 に、Darkleech 攻 撃 で も 利 用 さ れ て い ま す。 た だし、 Blackhole にもはや独自性はありません。 Blackhole のリバースエンジニアリングが実施されていなく ても、複数のグループがその革新的な機能をベースとする強 力 な 攻 撃 キットを 開 発し て い ま す。 最 新 の 調 査 で は、 Blackhole は感染率で第 8 位に過ぎず、2013 年 10 月に は Blackhole の首謀者とされる Paunch が逮捕されたこと もあり 36、今後は消え去る可能性があります。市場原理が働 いた例として、Paunch の逮捕により、競合する攻撃キットの 1 つである Neutrino の価格が即座に高騰したことも報道さ れました。 37 攻撃キット:Blackhole をベースとする改良版 Blackhole は 2012 年に世界中を席巻した攻撃キットでしたが、2013 年になると Neutrino や Redkit などの新しい攻撃キットがさらなる広がりを見せました。 Neutrino 不明なキット Redkit 24% 21% 19% M マルウェア 101 ( 英語 ) SweetOrange 11% Styx 10% Glazunov/Sibhost 5% Nuclear Blackhole/Cool その他 注:パーセンテージの小数点以下は四捨五入しています 出典:SophosLabs 15 4% 3% 3% セキュリティ脅威レポート 2014 その他の資料 Web サイトの乗っ取りを防ぐために ( 英語 ) Redkit の台頭 ユーザーから見ると、リダイレクトの第 2 段階で使用された Blackhole は Java、Adobe PDF、Flash の脆弱性を標的 「セキュリティ侵害が生じている Web サーバー」から、不正 にしていますが、多くの新しいキットは Java の脆弱性だけを なコンテンツが配信されることになります。 ただし、Redkit 攻撃するだけで多くの標的を見つけています。正規の Web の検出をさらに困難にするために、コンテンツがその Web サイトを標的にする Redkit はその代表例です。Redkit は サ ーバーに保存されることはありません。 その代わりに、 2013 年 2 月に発生した NBC サイトのハッキングに使用さ Redkit に侵害された Web サーバーは PHP シェルを実行 れており 38、ボストンマラソンの爆発事件を悪用するスパム し、これでリモートの Redkit C & C サーバーに接続します。 攻撃にも関与しました。2013 年 7 月に報告された中では、 このシェルは、侵害されたサイトリストを 1 時間おきに更新し、 最も感染率の高い攻撃キットになり、7 月に検出された攻撃 ユーザーを適切なサイトにリダイレクトする処理を行って、本 キットの 42% を占めました。 来のソースサーバーから最新の不正コンテンツが配信される ようにしています。 39 従来のドライブバイダウンロードと同様に、Redkit は正規の サイトから不正な攻撃サイトにユーザーをリダイレクトします。 ただし、Redkit の場合は、それとは別のセキュリティが侵害 された正規のサーバーに、まずリダイレクトします。それから、 リダイレクトの第 2 段階として、セキュリティが侵害されたラ ンディングページ (.htm または .html) にユーザーをリダイレ クトし、ここから不正なコンテンツを Java JAR ファイル形式 (Java アプレットの配信に使用されることが多いファイル形 式 ) で配信します。 攻撃パックのペイロード (2013 年 6 月 ):ほぼあらゆる操作を実行できる攻撃キットの詳細 攻撃キットは、さまざまなペイロードを実行するように設計されています。2013 年 6 月の時点では、 ランサムウェアと ZeroAccess ボットネットが最も広まっています。 ランサムウェア ZeroAccess Fareit Moure Shylock Zbot 29% 24% 7% 7% 5% 4% Karagany FakeAV Simda Dofoil Medfos Redyms 4% 4% 2% 2% 2% 2% Tobfy Tranwos Andromeda その他 注:パーセンテージの小数点以下は四捨五入しています 出典:SophosLabs 16 1% 1% 1% 5% セキュリティ脅威レポート 2014 Redkit はボットネットの特定の属性を利用して、1 台につき 数千人の ( または数百万もの ) ユーザーとやり取りできる Web サーバーを制御します。このような Web サーバーは 24 時間 365 日体制で稼働し、非常に多くのユーザーとつな がるため、DDoS 攻撃の運用やマルウェアの大量配信を企て ている攻撃者にとっては、非常に高い価値があります。 さらに Redkit は、Web サーバーを標的とする単なる新しい 攻撃キットではありません。世界各地のホスティングプロバイ ダーで Glazunov が確認されています。15 ページのグラフ が示すとおり、Glazunov は 2013 年の第 3 四半期に、全 攻撃キットの 5.47% を占めていました。この攻撃キットは、 危険なランサムウェアを配信するものとして周知されるように なりました。それ以外の新しい攻撃キットである Sibhost と Flimkit の 2 つは、発生元が同じと言えるほど多くの点で類 似しています。 世界中に広まる Zbot 広く使用されている Zbot 攻撃キットのペイロードは、2013 年に米国、ヨーロッパ、オーストラリア全土に広まりました。 検出された主な国の割合は、米国が 31%、英国が 23%、イタリアが 12% でした。 エンドポイントの絶対数 米国 2,322 英国 1,749 イタリア 884 ドイツ 693 オーストラリア 365 フランス 188 タイ 156 カナダ 144 オランダ 135 シンガポール 84 その他 795 出典:SophosLabs クライアントで Java の使用を制限するか、Java を削除する。 2013 年、 多くのボットネットおよび 攻 撃 キットの 作 成 者 は、 Flash や PDF を標的とせずに、再び Java を狙うようになりまし た。最大級の脆弱性が存在すると攻撃者から認識されているのが Java です。クライアントで本当に Java が必要かどうかを再検討 することが求められています。 Web サーバーとクライアントを保護するためのアドバイス 多層型のセキュリティを利用する。Web フィルタリング機能やラ ンタイム検出 / ホスト侵入検知機能に最新のマルウェア検出機能 を組み合わせます。 何よりもまず先に、全コンポーネントにパッチを適用する。ゼロデ イ攻撃が大きな注目を集めていますが、攻撃の大部分は、過去 のパッチを適用することで防止できる古い脆弱性を悪用していま す。 不要なサイトプラグインを無効にするか削除することで、攻撃対 象範囲を減らす。たとえば、使用していない WordPress プラグ インなどがこれに該当します。 Web サイトの認証情報を保護する。 複数のサイトでパスワード を使い回すことはせずに、必ず管理者パスワードをすべて確実に 変更します。 17 セキュリティ脅威レポート 2014 金融口座を狙う標的型脅威 持続性の高い標的型攻撃が確認されています。その多くが金融口座の侵害を目的として いると思われます。 増加率を数値化することはできませんが、SophosLabs では、 持続性を高めた攻撃が発生していることを確認しています。 これらの攻撃では、かつては重要な標的としては認識されて いなかった組織など、特定の企業や機関を標的にしている可 能性があります。次第に、これらの攻撃は金融口座の情報を 狙っていることが明らかになりました。金銭を目的とする従来 のサイバー犯罪者が、これまで APT ( 持続的標的型脅威 ) 攻撃で悪用されていた配信手法を活用しようとしていることが 明らかになっています。 羊の毛皮を被ったオオカミ: Plugx、Blame、Simbot などの標的型攻撃の中には、正規 のアプリケーションを装うものもあります。特に、ソフォスで は危険性の高く、証明書を盗む攻撃を確認しています。この 18 攻 撃 は、 不 正 な コ ン ポ ー ネ ント を ロ ード す る た め に、 Windows OS またはサードパーティベンダーから取得した 正規の署名入りコンポーネントを使用します。 そして、信頼 されたプロセスで不正なコードが実行されます。このため、 ファイアウォールで外部送信されるデータトラフィックが認識 されても、正常なトラフィックであると判断される可能性があ ります。 ソフォスの主任研究員である Gabor Szappanos は最近、 これらの標的型攻撃について新しい見解を示しています。標 的型攻撃とは、システムへの影響を最小限に抑え、ほぼすべ ての情報を暗号化した状態で保持し、正常なアプリケーション と緊密に動作を同調させることで、数か月または数年間も検 出されずに存続しているという説明を加えています。このよう な手法によって、攻撃の検出がさらに困難になるでしょう。 40 セキュリティ脅威レポート 2014 その他の資料 APT たとえば、Plugx は、デジタル署名された正常なアプリケー ションを侵害する方法を利用しています。Windows が DLL をロードする順番に関する既知の脆弱性を活用して、アプリ ケーションの近辺に不正なライブラリを配置します。そのアプ リケーションが実行されると、システムフォルダに配置されて いる正常な DLL ではなく、マルウェアが含まれた DLL が対 象のフォルダからロードされます。 41 この脆弱性は、数年前 に決定されたシステムの設計自体に存在します。Microsoft 社がこれを変更してしまうと、多くの正規のアプリケーション が使用できなくなる恐れがあります。 42 このため、この脆弱 性には今後長期にわたって対処していくことになる可能性が 高いでしょう。 3 つ目の Simbot は、標的を自ら持ち込む BYOT (Bring Your Own Target) という攻撃モデルを確立しています。そ れは正常でありながら脆弱であるという攻撃に好都合のアプ リケーションを持ち込み、極端に長いコマンドラインで起動し ます。これによって、不正なシェルコードの実行が誘導され、 主要なペイロードを復号してロードします。 脆弱なアプリケーションを攻撃する手法は新しくありません が、Simbot が通常とは異なるのは、すでに感染しているシ ステムの起動時に使用され、正常なアプリケーションだけが 実行され、悪意のあるコードは攻撃コードを介してのみ実行 されるようにしている点です。アプリケーションを一緒に持ち 込むことで、Simbot ではシステムにすでにインストールされ ているアプリケーションを利用する必要も、アプリケーション の新しいバージョンで脆弱性が修正されたか気にする必要も ありません。Simbot の手法は、模倣されたことはほとんど ありません。 2 つ目の Blame は、さまざまなオープンソースプロジェクト からコンパイルされた DLL の深部に不正なコンテンツを忍び 込ませます。広く使用されている LAME MP3 エンコーダー もその 1 つです。これは 「おとり」 の役割を果たし、不正なコー ドが隠れてしまうほど大量の正常なコードを加えます。 19 セキュリティ脅威レポート 2014 Windows: パッチが適用されてい ないシステムのリスクが高まる 2014 年 4 月から、Windows XP と Office 2003 に新しいパッチが提供されなくなり ます。 そして、POS ( 販売時点情報管理 ) や医療機器などの特殊な市場において、 Windows パッチの適用が大きな問題として浮かび上がっています。 近年、Android やさまざまな Web サービス が注目されて NetMarketShare に よ れ ば、2013 年 9 月 の 時 点 で、 おり、10 億台を超えるコンピュータで現在も Windows が 2001 年に発売開始され大人気を博した Windows XP は全 動作していることは忘れられがちです。Microsoft 社の自動 PC の 31% 以上でまだ実行されています。 43Microsoft 社 アップデートツールによって、Windows システムにパッチが は、2014 年 4 月 8 日にサポートとセキュリティアップデー 適用され、最新の状態が維持されますが、一方、セキュリティ トの提供を終了することを繰り返し表明してきました。 44 上非常に危険な状態の Windows システムも存在します。こ Windows XP システムを利用しているユーザーやその管理 の セ ク シ ョ ン で は、 「 目 前 に 迫 っ た Microsoft 社 の 者 に とって、 こ れ は 深 刻 な 問 題 で す。Microsoft 社 の Windows XP と Office 2003 のサポート終了」 、 「パッチが Trustworthy Computing 部 門 ディレ ク タ ー に よ れ ば、 適用されていない / パッチを適用できない POS システム」 、 Windows の新しいバージョンで見つかる脆弱性の一部は、 「 パッチ が 適 用 さ れ て い な い さ ま ざ ま な バ ー ジョン の Windows XP にも影響します。このような脆弱性が発見さ Windows OS が動作する医療機器で蔓延するマルウェア」 れても、Microsoft 社は Windows Vista、Windows 7、 の 3 点について説明します。 Windows 8 に対応する修正プログラムは提供しますが、 Windows XP 向けの修正プログラムは提供されなくなりま す。 45 20 セキュリティ脅威レポート 2014 その他の資料 最新の Web の脅威のリスクを軽減するための 5 つのヒント ( 英語 ) Naked Security のポッドキャスト:Windows XP のサポート終了に ついて ( 英語 ) POS と医療機器への影響が心配される Windows のサポート終了 定期的にパッチが適用されていないシステムは、信頼性が低 く、不安視され、そのようなデバイスを多く利用している業 界に注目が集まっています。 それらの一部では、Windows XP や、それよりも古いバージョンの Windows (Windows 2000 など ) を利用しています。このようなシステムを利用し ている場合は、適切なパッチ適用のプロセスを確立している 組織でさえ、適用するパッチが入手できないことになります。 また、そのようなデバイスでパッチを適用可能な新しいバー ジョンの Windows を実行していても、その所有者やメー カーが適切にパッチを適用していない場合もあります。 このような状況になっている理由の 1 つとして、自社のデバ イスで Windows および他の PC プラットフォームを組み込 んでいる多くのメーカーが、 「セキュリティソフトウェアのアッ プデートやパッチを適用すること」を怠ってきたことが挙げら れます。POS システムと同様に、医療機器にパッチを適用し ていないのは Microsoft 社の責任ではありません。医療機 器の場合、Microsoft 社の最新の修正プログラムでシステム が正常に動作することを検証しなければならないのは、組み 込 み 機 器 メ ー カ ー で す。 そ れ で も、Microsoft 社 が Windows XP のセキュリティアップデートを今後提供しなく なると、機器メーカーがいくら検証プロセスを改善させても、 意味はありません。 POS システムでは、クレジットカードなどの決済処理のため に Windows が実行されている場合が多くあります。 業界 の基準ではアプリケーションに対して迅速にセキュリティパッ チを適用することが求められていますが、このようなシステム では一貫性がない方法でアップデートされていることもあり、 特に専門の IT 部門を持たない小規模な小売業でこの状況が 多く見られます。 46 Windows XP は人気が高く、利用され てきた期間も長いため、多くの POS システムで使用されて います。Windows XP を使用する POS システムの中には Windows のバージョンアップが可能なものもありますが、 業界の決済サービスに関するトップコンサルタントの Walter Conway 氏によれば、アップデートできないシステムでは、 Windows XP でしかテストや検証が行われていません。 47 問題は実際どのぐらい深刻なのでしょうか。MIT Technology Review による 2012 年後期の報告では、医療機器には「マ ルウェアが蔓延しつつある」と指摘されています。 50 ボストン にある Beth Israel Deaconess Medical Center には、 「旧 バージョンの Windows オペレーティングシステムで動作し ている医療機器が 664 台ありますが、メーカーによって変更 されることも、病院による変更が許可されることもなく、ウイ ルス対策ソフトウェアさえも追加されていません。結果として、 マルウェア感染が多発しており、毎週 1 ~ 2 台はオフライン にしてマルウェアを駆除しなければなりません。」 リスクは純粋に理論で測れるものではありません。2012 年 12 月に VISA は Dexter に関する最新報告書を加盟店に通 知しました。Dexter は、POS システムを侵害して磁気スト ライプデータを盗み、C&C サーバーにデータを送信する不 正な Windows マルウェアです。 48 Windows セキュリティの深刻なリスクは、医療機器にも影 響を与える恐れがあります。このようなリスクが広く認識され るようになり、2013 年 6 月に米国食品医薬品局 (FDA) は、 医療機器にも脆弱性が多く存在し、マルウェアに感染してお り、患者データ、監視システム、患者に埋め込まれたデバイ スへのアクセスが可能なマルウェアも存在することを認めて います。 49 21 忘れてはいけないことがもう 1 つあります。2014 年 4 月 8 日にセキュリティアップデートの提供が停止される Microsoft 製 品 は Windows XP だ け で は ありま せ ん。Microsoft Office 2003 もその対象です。Office 2003 は、現在も広 く使用されており、Microsoft 社の古い文書形式を使用する 最後のバージョンです。3 度にわたって Service Pack が提 供されていますが、その安全性は低いと考えられています。 Office 2003 は Vista および Windows 7 でも動作するた め、数年後に、パッチを完全に適用した Windows バージョ ンを実行していたとしても、新たに Office の脆弱性が検出さ れると、Office 2003 を使用している場合、リスクにさらさ れることになります。 セキュリティ脅威レポート 2014 消え去ることのないスパムの脅威 今年は、再びスパムが多く悪用されました。スパムによるセキュリティリスクが消え去る ことはありません。 電子メールが利用され続ける限り、犯罪者もスパムを悪用し 続けるでしょう。 一部のスパムは、単なる迷惑メールです。 金融詐欺を誘発するようなスパムもありますが、現在ではほ とんどのユーザーがスパムの存在を認識しており、無視でき るようになっていると思われます。また、スパムによっては極 めて危険性が高いマルウェアが関係している場合もあります。 スパマーによる手口のいくつかは繰り返し悪用されています。 たとえば、偽のロレックスを売り付けようとする画像付きのス パムがいまだに多く配信されています。また、2013 年 4 月 に発生したボストンマラソンでのテロリスト攻撃などの最新 ニュースを悪用したスパムもありました。 パンプアンドダンプ ( 株価操作 ) スパムの復活 パンプアンドダンプのメッセージは、特定の低位株が高騰す るというものです。メッセージを受け取ったユーザーがこの偽 情報を信じて株を購入したところで、メッセージを送信した者 が手持ちの株を売却して利益を得る手口です。数年前は、数 日間にわたってパンプアンドダンプのスパムが全スパムの 50% 以上を占めましたが、米国証券取引委員会による取り締 まりによってほぼ消滅しました。 ところが、2013 年初頭から再び大量発生し、爆発的な増加 を見せました。 全スパムに対するパンプアンドダンプの占有 率は、1 月 17 ~ 31 日が 1 ~ 7%、2 月 16 ~ 20 日が 5 ~ 15%、3 月中はほぼすべての期間で 5 ~ 20% でした。 また、周期的に発生するスパムもあり、廃れたかと思うと、 そして 6 月下旬までは身を潜めていましたが、再び増加しま 数年経ってから復活します。たとえば 2013 年には、古典的 した。7 月、8 月、9 月は連日 10 ~ 20% を記録し、最大 なパンプアンドダンプ ( 株価操作 ) スパムが復活しました。 50% に達したときも数日ありました。 22 セキュリティ脅威レポート 2014 その他の資料 電子メールを盗み見しているのは誰か ( 英語 ) データ漏えい防止戦略の導入 ( 英語 ) 「金儲けとダイエットには終わりがない」とはよく言われること スノーシュー スパムの スパ マ ー は、 複 数 の IP アドレス、 です。 最近の大量に発生したスパムが、 「グリーンコーヒー」 Web サイト、サブネットワークからスパムを配信します。中 という健康 / ダイエットに関する詐欺であったことも納得でき には、1 つの IP アドレスに短期間のうちに大量のスパムを送 ます。このようなメッセージでは、見栄えの良いニュースレター り付けてから、さらに ( 大抵は近くにある ) 別の IP アドレス を作成し、オズ医師といった TV にも出演している著名な医 を標的にするスパマーもいます。このような手口は、大規模 師の名前をたびたび出して、信頼性を高めようとします。しか な電子メールホストで使用されているボリュームベースの検 し、メッセージをクリックすると、スパムで誘い込むためだけ 出スキ ームを回 避すること、 そして米 国 の 反スパム法や に登録されたドメインに移動し、対象製品を広告するサイトに CAN- SPAM 法 (2003 年 ) の抜け道を悪用しようとしてい リダイレクトされます。 ます。 51 フィルタリングを十分に講じていない組織では、ス ノーシュースパムによって、フィルターをすり抜けて膨大な量 分散サーバーとスノーシュースパム の迷惑メールが送り付けられることもよくあります。 スパマーのスパムボットとサーバーは常に妨害を受けやすい 状態です。このため、他のマルウェア開発者と同様に、スパマー も積極的にその痕跡を消そうとします。 たとえば、2013 年には、再び多くのスパマーがスノーシュー 手法を利用していることが確認されました。 幸い、この手法 は通常、ソフォスのスパム検出フィルターで認識して対処でき ます。「スノーシュースパム」という名称が付いているのは、 スパマーが広い範囲に負荷を拡散している様子が、 「スノー シュー ( かんじき )」を履いたときの状況に似ているからです。 スパムの添付ファイル (2013 年 6 月 ):ダウンロードによって多くの問題が引き起こされる 2013 年 6 月は、ダウンロードを実行する Fareit と Andromeda の 2 つが、スパムの添付ファ イルに埋め込まれているマルウェアとして最も多い形態でした。Fareit (Pony、Ponik とも呼ばれ る ) は、頻繁に P2P Zeus をダウンロードするだけなく、電子メールや FTP クライアントなどの ソフトウェアに保管されているパスワードも収集します。Andromeda は、P2P Zeus、スパムボッ ト、ZeroAccess などの別のマルウェアをダウンロードします。また、ネットワークシェアとポータ ブルドライブに感染させるために、自身のモジュールをダウンロードすることもあります。 Fareit Andromeda Zbot Dofoil 52% 17% 12% 8% Donx Bublik ランサムウェア DnetBckdr 4% 3% 2% 1% DarkComet Banload 注:パーセンテージの小数点以下は四捨五入しています 出典: SophosLabs 23 1% 1% セキュリティ脅威レポート 2014 SophosLabs: 現在の高度な攻撃 からユーザーや企業を守る マルウェア攻撃はますます複雑になり巧妙化しています。セキュリティ企業には、優れた 知見を得ながら、柔軟性とスピードを高めてこのような攻撃に対抗していくことが求めら れており、これこそが SophosLabs がまさに実践していることです。 これまで、主にアンチマルウェア企業は、不正なソフトウェア のシグネチャ ( 署名 ) を特定してきました。しかし、攻撃者は、 感染させるコンピュータごとに異なるバージョンのマルウェア を生成するポリモーフィック型攻撃を実施してきたため、特定 のバージョンを検出するだけの対応では限界が生じてきまし た。 一部のポリモーフィック型攻撃は、容易に阻止できます。たと えば、電子メールのフィルタリング機能で、電子メールの添 付ファイルで配信される攻撃をほとんど阻止します。しかし現 在最も危険性の高い攻撃は、Web 全体に拡散する攻撃要素 が複雑に絡み合って構成されています。また、2013 年のレ ポートで説明したように、検出をすり抜けるための強力な手法 が新たに採用されています。 SophosLabs ではその対策として、統合的で多層型の保護 機能を採用しています。たとえば、攻撃キットと不正なコンテ ンツが潜む Web サイトの検出とブロックに多額の投資を 行っています。難読化された JavaScript によるリダイレクト、 攻撃された Java JAR、侵害されたドキュメントなど、特定の 攻撃キットコンポーネントの検出を目的とした検出レイヤーを 構築してきました。個々のレイヤーは単独では完全に攻撃す ることはできませんが、統合することで極めて高い効果を発 揮します。 SophosLabs は、さらに対策を強化する方法を研究し続けて います。 24 セキュリティ脅威レポート 2014 その他の資料 SophosLabs たとえば、SophosLabs では、ダウンロードされるファイルと、 ファイルの配信元のサイトについての情報を組み合わせるコ ンテキストベースの検出手法に取り組んでいます。ファイルと その提供元のサイトを別々に検証した場合、危険を示す不審 な点はないかもしれません。しかし総合的な検討を重ねるこ とで、脅威を示す巧妙なパターンが見えてくることがよくあり ます。この場合は、誤検知のリスクがなく、対策ソフトウェア による処理が開始されます。 当然、C&C Web サーバーとマルウェアは刻々と変化するた め、現在ソフォスの製品ではアップデートをクラウドベースで スピーディーに提供しています。 SophosLabs は、最新の攻撃であっても防御できるように、 膨大な量のデータを管理しています。毎日、世界中の数百万 ものエンドポイントから、数十億ものデータポイントを取得し ています。SophosLabs では、データをナレッジに即座に変 えることができるように、最新のビッグデータインフラストラ 極めて稀なケースですが、すべての保護レイヤーを回避され クチャを構築しています。これによって、保護されているエン たときの最終的な防御レイヤーとして、 「ランタイム検出機能」 ドポイントやサーバーから入手した膨大な量の情報を相関し、 が追加されています。これにより、マルウェアが実行されて 新たな攻撃を特定しています。また、バイナリ、URL、テレ いる可能性を示すシグナルを探します。たとえば、正規のプ メトリを収集して、保護機能の強化に役立てています。 ログラムではほとんど実行されない何らかの異常な動作がプ 技術的には、SophosLabs のビッグデータインフラストラク ログラムで行われていないかどうかを確認します。 そしてこ チャは、Hadoop を基盤にしています。このオープンソース の確認結果と、その実行ファイルの過去の分析結果を組み合 のソフトウェアは、Google および Yahoo で最初に生み出 わせます。 ダウンロードされたときには不審点がほとんどな された発想に基づいています。Hadoop は、Facebook、 かったファイルが、疑念を深める動作をした場合に、即座に Twitter、eBay、そしてもちろんソフォスなど、極めて膨大 ブロックされます。 な量のデータを即座に分析する必要がある企業に適していま ネットワークセキュリティアプライアンスの新バージョンでは、 す。 同じような手法で、ボットネットに操作されている疑いのある デバイスなど、マルウェアに感染したときと同じような動作を するデバイスをブロックしています。Sophos UTM 9.2 は、 ネットワークパケットを調査して不正なドメインにアクセスしよ うとしているエンドポイントを特定するだけでなく、感染した エンドポイントにボットネットから HTTP 経由で転送された不 正な設定ファイルも認識できます。 25 セキュリティ脅威レポート 2014 2014 年の注目すべき動向 SophosLabs 2012 年のさまざまな技術革新や、世界中のセキュリティ団体に衝撃を与えた米国の国 家安全保障局 (NSA) に関する暴露問題などがあったことで、2013 年はトレンドウォッ チャーにとっても興味深い 1 年になりました。2013 年のセキュリティに関する事象に注 目することで、来年の動向について考察しました。 クラウドにある企業および個人のデータへの攻撃 企業が顧客データ、社内プロジェクトプラン、金融資産を管 理するためにさまざまなクラウドサービスを利用する機会が 増えるにつれて、企業または個人がクラウドにアクセスする手 段にしているエンドポイント、モバイルデバイスが持つ認証情 報を標的にする攻撃が発生することが予測されます。 強固なパスワードとクラウドデータへのアクセスポリシーが、 かつてないほど重要になります。セキュリティは、最大の弱点 を 克 服 で き な け れ ば 意 味 が ありま せ ん。 多 くの 場 合、 Windows エンドポイントとエンドユーザーのセキュリティに 対する意識が最も重要となります。 今後の攻撃形態を予測することは困難ですが、ランサムウェ アがローカルにあるドキュメントだけでなく、クラウドでホス ティングされているあらゆるタイプのデータを「人質」にする ケースが発生することが予測されます。このような攻撃では、 データの暗号化は必要なく、秘密のデータを公開するなどの 脅迫が行われる恐れがあります。 26 APT の手法を取り込んだ金銭目的のマルウェア APT ( 持続的標的型脅威 ) が産業スパイのための攻撃を成功 させていることから、金銭を目的としてマルウェアを悪用する 犯罪者も、同様の手口を導入していくことが予測されます。 実際、APT グループの攻撃を模倣した手口が、マルウェアの 拡散にすでに悪用されています。 セキュリティ脅威レポート 2014 その他の資料 ソーシャルエンジニアリング ( 英語 ) セキュリティベンダーが保護レイヤーを追加し、OS のセキュ リティを強化し、ユーザーのセキュリティ意識を向上させるに つれ、サイバー犯罪者は少数のユーザーから多額の金銭を詐 取せざるを得なくなっています。マルウェアを悪用した新しい 攻撃には、標的を絞り込むために構築・カスタマイズされた コンポーネントや配信手法が今後取り入れられる可能性があ ります。APT と従来型のマルウェアの境界は、2014 年にな るとさらに曖昧になっていくでしょう。 らに多様化する可能性が高く、特に消費者と企業ユーザーを さらに明確に区別していくことになるでしょう。また、サイバー 攻撃に対する防御レベルと標的の価値の程度に合わせて、攻 撃が特殊化していくことも予測されます。 モバイルアプリケーションとソーシャルネットワークの 個人データを標的とする脅威 モバイルのセキュリティは 2014 年も注目されることになる でしょう。個人と企業のコミュニケーションを推進する新たな Android マルウェアはさらに複雑になり、 アプリケーションが導入されるにつれ、攻撃範囲も広がりま 新たな標的を探し求める す。特に、ソーシャルエンジニアリングを利用した詐欺やデー 2013 年には、マルウェアファミリの数や検体数だけではなく、 タの奪取などの攻撃が増えるでしょう。 あらゆるサイバー犯 世界中で感染されたデバイス数のデータを見ても、Android 罪者にとって、ユーザーのアドレス帳の情報やソーシャルネッ マルウェアが急増していることが確認されました。 トワークにおけるつながりの情報は「極めて魅力的な情報」 であるため、これらのデータへのアクセスを許可する場合は、 Android プラットフォームには、今後新しいセキュリティ機能 その提供先と理由に十分に注意する必要があります。 企業 が実装されていくことになるでしょう。それにつれ、感染率は ユーザーのモバイルおよび Web アプリケーションの利用を 減少すると予測されますが、そのような機能が導入されるま コントロールすることは、このリスクを緩和するのに役立ちま でに時間がかかるため、多くのユーザーがソーシャルエンジ す。 ニアリング攻撃を受ける可能性があります。サイバー犯罪者 は、Android マルウェアによって金銭を搾取する新しい方法 サイバー犯罪者による保護機能への挑戦 を模索し続けるでしょう。Android プラットフォームに対する サイバー犯罪者とセキュリティベンダーの終わりなき戦いの 攻撃の手口は、Windows よりも限定されますが、ソーシャ 中、ソフォスでは最新のサイバー防御メカニズムを狙った新し ルネットワークとクラウドプラットフォームを標的にする攻撃に い攻撃が出現すると予測しています。レピュテーションサービ とって、モバイルデバイスは魅力的な攻撃の起点となります。 ス、クラウドセキュリティデータベース、ホワイトリスト、サン このリスクを緩和するために、不明な提供元からのモバイル ドボックスレイヤーが、過去にはなかった悪質な方法で攻撃さ アプリケーションのサイドローディングを防止し、マルウェア れことになるでしょう。盗まれたデジタル署名が適用されたマ 対策を確実に導入するための BYOD ( 私物デバイスの持ち ルウェアの増加、セキュリティデータとテレメトリ分析データ 込み ) ポリシーを適用します。 の汚染、新しいサンドボックスの検知と回避手法、正規ツー ルの不正な目的での悪用などが、増加することが予測されま 多様化および特殊化するマルウェア す。 金銭を目的としたマルウェアは、地理的および経済的なさま ざまな地域間の格差を反映し、多様化しています。これは、 64 ビットのマルウェア 国ごとにソーシャルエンジニアリングの手法、マルウェアの収 64 ビットのオペレーティングシステムの導入が PC で増える 益化の方法、攻撃目的が異なっていることからも理解できま につれ、32 ビット PC で実行させることができないマルウェ す。2014 年も、それぞれの標的に合わせてマルウェアがさ アが増大することが予測されます。 27 セキュリティ脅威レポート 2014 引き続き Windows の大きな脅威となる攻撃キット Microsoft 社は Windows オペレーティングシステムを技術 的に進化させており、ハッカーによる攻撃は困難になってきて いますが、この戦いに勝利したわけではありません。 本書での予測は概要であり、2014 年はさらに多くの攻撃が 明らかになるでしょう。 多くの企業にとって、バックドアにつ いて詳細な調査を実施できるほどの人員やスキルを確保して いくことは難しいでしょう。 しかし、新しい攻撃の動向について、 セキュリティ調査会社やメディアからの情報を注視することは 重要です。 Windows XP が発売開始から 12 年が経過し、サポートが 終了することで、攻撃者の大きな標的になるでしょう。 今後 Windows 7 は Windows XP と同じように広く使用される ようになるでしょうか。セキュリティ機能が強化された新しい バージョンの Windows にエンドポイントの大半が移行する までは相当長い期間を要することになりそうです。 あらゆるものを標的にするハッキング 利用するデバイスの多様化が進み、これらのデバイスには企 業の機密データも保存されています。そのようなデバイスの セキュリティエコシステムは、従来の PC 環境と比較して十分 に開発されていません。 ユーザーによる操作 ( ソーシャルエンジニアリング ) を必要と する脅威も、引き続き主な感染経路になります。ただし、ユー 犯罪者にとって、自宅、オフィス、さらに街中にある組み込 ザーのセキュリティに対する意識は向上しているため、マル みデバイスは魅力的な攻撃対象となっています。また、新し ウェアを悪用する犯罪者は、ユーザーにペイロードを実行さ い電子通貨や支払い方法は、クレジットカードに増して注意が せるよう誘導する手口をさらに洗練させる必要があります。 必要です。 これらの多くの犯罪者は、標的をさらに絞り込み、手口を巧 妙化させることでしょう。 「モノのインターネット (Internet of Things)」に対する攻撃 は 2014 年には広がらないと考えていますが、脆弱性とコン 基幹のハードウェア、インフラストラクチャ、 セプト検証の攻撃は必ず増加することになるでしょう。 ソフトウェアへの攻撃 2013 年に発生した政府機関のスパイとバックドアによるデー タ漏えいの問題 ( 政府機関だけでなく、営利団体でも発生 ) により、あらゆるユーザーが利用している基幹インフラストラ クチャへの広範なセキュリティ侵害は、可能性があるのではな く、現実に発生していることが世界中に示されました。今後は、 テクノロジーと信頼できるパートナーを改めて評価することが 求められます。 28 セキュリティ脅威レポート 2014 おわりに 2013 年は、マルウェア、攻撃キット、ボットネットが進化し、その危険性が増大しました。 新たな攻撃形態、古い手法を再利用した攻撃、新しい標的、動作を隠蔽する新たな手 法などが確認されています。 このような新しい攻撃を防御するには、すべてのユーザーが セキュリティに対する意識を高める必要があります。ソフォス では、検出機能の強化、リアルタイムアップデートのクラウド 配信、さらに企業から支給されているデバイスでも、BYOD ユーザーが選択したデバイスであっても、新世代のモバイル デバイスでセキュリティを確保するための支援を 24 時間体 制で行っています。 要がなければ無効にし、攻撃を受ける範囲を限定してくださ い。大部分の攻撃では既知の脆弱性が悪用されているため、 常に最新のパッチを適用してください。また、セキュリティの 基本対策 ( 強固なパスワードの使用、ソーシャルエンジニア リングを回避するためのユーザートレーニングなど ) を適切に 実施するようにしてください。 IT セキュリティをめぐる攻防は、当分終わることはないでしょ う。それでも、常に注意を払い、ベストプラクティスと優れた セキュリティテクノロジーを活用し、適切なパートナーからサ ポートを受ければ、企業や組織の安全を確保できます。ソフォ スは、お客様一人ひとりに合った最適なサポートを提供してい ます。 IT プロフェッショナル、経営者、個人ユーザーかどうかを問 わず、セキュリティについても高度な知識を習得していくこと が求められます。システムの基盤が従来のプラットフォームで もモバイルプラットフォームでも、確実にすべてのシステムを 保護する必要があります。Java などのプラットフォームは必 29 セキュリティ脅威レポート 2014 出典 1. ZeuS-P2P Monitoring and Analysis, v2013-06, NASK/CERT Polska, http://www.cert.pl/PDF/2013-06-p2p-rap_en.pdf 28.Mac Spyware: OSX/KitM (Kumar in the Mac), F-Secure, 22 May 2013, http:// www.f-secure.com/weblog/archives/00002558.html 2. An Analysis of the Zeus Peer-to-Peer Protocol, Dennis Andriesse and Herbert Bos, VU University Amsterdam, The Netherlands, Technical Report IR-CS-74, rev. May 8, 2013, http://www.few.vu.nl/~da.andriesse/papers/zeus-techreport-2013.pdf 29.New Signed Malware Called Janicab, http://www.thesafemac.com/ new-signed-malware-called-janicab/ 30.OSX/FkCodec-A, Detailed Analysis, Sophos, 11 June 2013, https://secure2. sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/ OSX~FkCodec-A/detailed-analysis.aspx 3. Symantec Uses Vulnerability to Take Out Part of the ZeroAccess Botnet, CSO, http://www.csoonline.com/article/740626/symantec-usesvulnerability-to-take-out-part-of-the-zeroaccess-botnet 31.FBI Ransomware Now Targeting Apple's Mac OS X Users, Malwarebytes, 15 July 2013, http://blog.malwarebytes.org/fraud-scam/2013/07/fbiransomware-now-targeting-apples-mac-os-x-users/ 4. CryptoLocker Ransomware - See How It Works, Learn about Prevention, Cleanup and Recovery, Sophos Naked Security, http://nakedsecurity.sophos. com/2013/10/18/cryptolocker-ransomware-see-how-it-works-learn-aboutprevention-cleanup-and-recovery/ 32.Apple Gets Aggressive - Latest OS X Java Security Update Rips Out Browser Support, Paul Ducklin, Sophos Naked Security, 18 October 2012, http:// nakedsecurity.sophos.com/2012/10/18/apple-gets-aggressive-latest-os-xjava-security-update-rips-out-browser-support/ 5. Destructive Malware“CryptoLocker”on the Loose - Here's What to Do, Sophos Naked Security, 12 October 2013, http://nakedsecurity.sophos. com/2013/10/12/destructive-malware-cryptolocker-on-the-loose/ 33.Apple Ships OS X 10.8.5 Security Update - Fixes“sudo”Bug At Last, Paul Ducklin, Sophos Naked Security, 13 September 2013, http://nakedsecurity. sophos.com/2013/09/13/apple-ships-os-x-10-8-5-security-update-fixessudo-bug-at-last/ 6. With Carberp Source Code's Release, Security Pros Expect the Worst, CSO Online, 27 June 2013, http://www.csoonline.com/article/735569/ with-carberp-source-code-s-release-security-pros-expect-the-worst 34.Rampant Apache Website Attack Hits Visitors With Highly Malicious Software, Ars Technica, 3 July 2013, http://arstechnica.com/ security/2013/07/darkleech-infects-40k-apache-site-addresses/ 7. Carberp: The Never Ending Story, We Live Security, 25 March 2013, http:// www.welivesecurity.com/2013/03/25/carberp-the-never-ending-story/ 8. Shylock Financial Malware Back and Targeting Two Dozen Major Banks, ThreatPost, 18 September 2013, http://threatpost.com/shylock-financialmalware-back-and-targeting-two-dozen-major-banks 35.Rogue Apache Modules Pushing Iframe Injections Which Drive Traffic to Blackhole Exploit Kit, Fraser Howard, Sophos Naked Security, 5 March 2013, http://nakedsecurity.sophos.com/2013/03/05/rogue-apache-modulesiframe-blackhole-exploit-kit/ 9. Cyber-thieves Blamed for Leap in Tor Dark Net Use, BBC News, 6 September 2013, http://www.bbc.co.uk/news/technology-23984814 36.Blackhole Malware Toolkit Creator 'Paunch' Suspect Arrested, ZDNet, 9 October 2013, http://www.zdnet.com/blackhole-malware-toolkit-creatorpaunch-arrested-7000021740/ 10.Bitcoincharts.com, http://bitcoincharts.com/charts/ mtgoxUSD#rg60ztgSzm1g10zm2g25zv 37.Blackhole Exploit Kit Author Arrested in Russia, ComputerWorld, 8 October 2013, http://www.computerworld.com/s/article/9243061/Blackhole_ exploit_kit_author_arrested_in_Russia 11.Back Channels and Bitcoins: ZeroAccess' Secret C&C Communications, James Wyke, Senior Threat Researcher, SophosLabs, Virus Bulletin, October 2013, http://www.sophos.com/en-us/medialibrary/PDFs/technical papers/ Wyke-VB2013.pdf 38.Lifting the Lid on the Redkit Exploit Kit, Fraser Howard, Sophos Naked Security, 3 May 2013, http://nakedsecurity.sophos.com/2013/05/03/ lifting-the-lid-on-the-redkit-exploit-kit-part-1/ 12.The Delicate War Between Bitcoin Miners and Botnet Miners, Red Orbit, 28 March 2013, http://www.redorbit.com/news/technology/1112812519/ bitcoin-miners-versus-botnet-miners-032813/ 39.The Four Seasons of Glazunov: Digging Further into Sibhost and Flimkit, Fraser Howard, Sophos Naked Security, 2 July 2013, http://nakedsecurity. sophos.com/2013/07/02/the-four-seasons-of-glazunov-digging-further-intosibhost-and-flimkit/ 13.Botcoin: Bitcoin Mining by Botnet, Krebs on Security, 18 July 2013, http:// krebsonsecurity.com/2013/07/botcoin-bitcoin-mining-by-botnet/ 14.GinMaster: A Case Study in Android Malware, Rowland Yu, SophosLabs Australia, Virus Bulletin, October 2013, http://www.virusbtn.com/pdf/ conference_slides/2013/Yu-VB2013.pdf 40.Hide and Seek - How Targeted Attacks Hide Behind Clean Applications, Gabor Szappanos, SophosLabs Hungary, October 2013, Virus Bulletin, http://www.virusbtn.com/conference/vb2013/abstracts/LM1-Szappanos. xml 15.Billion Dollar Botnets, Cathal Mullaney, Symantec, presented at Virus Bulletin, October 2013, http://www.virusbtn.com/conference/vb2013/ abstracts/Mullaney.xml 41.Plugx“Malware Factory”Celebrates CVE-2012-0158 Anniversary with Version 6.0, Gabor Szappanos, Principal Researcher, SophosLabs, May 2013, http://sophosnews.files.wordpress.com/2013/05/sophosszappanosplugxm alwarefactoryversion6-rev2.pdf 16.Hey Android, Are You Frightened of FakeAV plus Ransomware? Rowland Yu, SophosLabs, October 2013 17.Revealed! The Top Five Android Malware Detected in the Wild, Graham Cluley, Sophos Naked Security, 14 June 2012, http://nakedsecurity.sophos. com/2012/06/14/top-five-android-malware/ 42.The Windows DLL Loading Security Hole, Dr Dobbs Journal, 9 September 2010, http://www.drdobbs.com/windows/the-windows-dll-loading-securityhole/227400009 18.Qadars: A New Banking Malware With a Fraudulent Mobile Application Component, 2 October 2013, http://www.lexsi-leblog.com/cert-en/qadars-newbanking-malware-with-fraudulent-mobile-application-component.html 43.NetMarketShare, http://www.netmarketshare.com/ 44.Windows XP SP3 and Office 2003 Support Ends April 8, 2014, Microsoft, http://www.microsoft.com/en-us/windows/endofsupport.aspx 19.Google Play Developer Program Policies, https://play.google.com/about/ developer-content-policy.html 45.The Risk of Running Windows XP After Support Ends, Tim Rains, Microsoft Security Blog, April 2014, http://blogs.technet.com/b/security/ archive/2013/08/15/the-risk-of-running-windows-xp-after-support-ends.aspx 20.Graphic inspired by The Scrap Value of a Hacked PC, Revisited, Krebs On Security, http://krebsonsecurity.com/2012/10/the-scrap-value-of-a-hackedpc-revisited/ 46.Windows XP End of Life Affects PCI Compliance, Credit Card Processing Space, 6 March 2013, http://www.creditcardprocessingspace.com/ windows-xp-end-of-life-affects-pci-compliance/ 21.CVE Details: WordPress Vulnerabilities, http://www.cvedetails.com/ vulnerability-list/vendor_id-2337/product_id-4096/ 47.Windows XP End-of-Life Could Cripple PCI Compliance, Walter Conway, 6 February 2013, Storefront Backtalk, http://storefrontbacktalk.com/ securityfraud/windows-xp-end-of-life-could-cripple-pci-compliance/ 22.Hacker Publishes Alleged Zero-Day Exploit for Plesk, Parity News, 6 June 2013, http://www.paritynews.com/2013/06/06/1112/hacker-publishesalleged-zero-day-exploit-for-plesk/ 48.Dexter Malware Targeting Point-of-Sale (POS) Systems, Visa Data Security Alert, December 2012, http://usa.visa.com/download/merchants/ alert-dexter-122012.pdf 23.Exclusive: Apple, Macs Hit by Hackers Who Targeted Facebook, Reuters, 19 February 2013, http://www.reuters.com/article/2013/02/19/us-applehackers-idUSBRE91I10920130219 49.FDA Safety Communication: Cybersecurity for Medical Devices and Hospital Networks, U.S. Food and Drug Administration, 13 June 2013, http://www. fda.gov/medicaldevices/safety/alertsandnotices/ucm356423.htm 24.Microsoft Also Victim of Recent Watering Hole Attack, Help Net Security, 25 February 2013, https://www.net-security.org/secworld.php?id=14482 25.Mac Backdoor Trojan Embedded Inside Boobytrapped Word Documents, Sophos Naked Security, 30 March 2012, http://nakedsecurity.sophos. com/2012/03/30/mac-malware-backdoor/ 50.Computer Viruses Are“Rampant”on Medical Devices in Hospitals, MIT Technology Review, 17 October 2012, http://m.technologyreview.com/ computing/41511/ 26.Chinese Uyghur Dissidents Targeted by Mac Malware, Ben Weitzenkorn, TechNewsDaily, 15 February 2013, http://www.technewsdaily.com/16937china-uyghur-attacks.html 51.Following the Tracks: Understanding Snowshoe Spam, Brett Cove, SophosLabs, http://sophosnews.files.wordpress.com/2011/10/vb2011snowshoe2.pdf 27.New Mac Trojan Discovered Related to Syria, Intego, 17 September 2013, http://www.intego.com/mac-security-blog/new-mac-trojan-discoveredrelated-to-syria/ 30 Copyright 2013 Sophos Ltd. All rights reserved. Sophos および Sophos Anti-Virus は、Sophos Ltd. および Sophos Group の登録商標です。その他すべての製品および会社名は、それぞれの所有者に 帰属する商標または登録商標です。 The information contained in the Security Threat Report is for general information purposes only. It's provided by Sophos and SophosLabs and NakedSecurity.sophos.com. While we keep the information up to date and correct, we make no representations or warranties of any kind, express or implied, about the completeness, accuracy, reliability, suitability or availability with respect to the website or the information, products, services, or related graphics contained in this document for any purpose. Any reliance you place on such information is therefore strictly at your own risk. ソフォス株式会社営業部 : Tel: 03-3568-7550 Email: [email protected] Oxford, UK | Boston, USA © Copyright 2013. Sophos Ltd. All rights reserved. Registered in England and Wales No. 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, UK Sophos is the registered trademark of Sophos Ltd. All other product and company names mentioned are trademarks or registered trademarks of their respective owners. 1091-11.13DD.jp.simple
© Copyright 2024 Paperzz