10 月の「Latest Intelligence(最新インテリジェンス)」が発表されました。脅威を取りまく環境の概況も踏まえながら、その内容をご紹介します。特筆すべきは、新しいマルウェアの亜種が急激に増加し、スパムの比率もほぼ 1 年ぶりに最高値を記録したことです。また、悪質な DDoS ボットネットが登場する一方、金融機関を狙う高度な攻撃に用いられる新しいトロイの木馬も見つかっています。
マルウェア
10 月の最新インテリジェンスによると、新しいマルウェアの亜種が著しく増加し、9,610 万種を記録しました。
この急増の大半は、8 月の初めから活動が目立っている Kotver ファミリー(Trojan.Kotver)が原因と考えられます。感染したコンピュータに Kotver を投下するのが、悪質な添付ファイルを介して拡散される JS.Nemucod というダウンローダです。その影響で、クリック詐欺マルウェアの活動が小幅に増えています。Kotver の拡散には、悪用ツールキットとスパムも利用されています。
[click_to_tweet:1]
図 1. 10 月は、新しいマルウェアの亜種が急増
10 月には、Mirai ボットネット(Linux.Gafgyt)の活動も注目を集めました。IoT(モノのインターネット)デバイスに侵入して記録的な分散サービス拒否(DDoS)攻撃を実行し、Spotify、Twitter、PayPal といった著名な Web サイトを軒並みサービス停止に追い込んだのです。Mirai ボットネットによる DDoS 攻撃は、1 Tbps にも達しました。
Trojan.Odinaff が確認されたのも、この 10 月のことです。Carbanak というグループに関係する攻撃者が Odinaff を使い、世界中の金融機関を狙って次々と攻撃をしかけました。シマンテックは、このグループが SWIFT ユーザーに対して攻撃をしかけている証拠も見つけており、顧客の SWIFT メッセージで、不正な取引に関連するレコードを隠すために Odinaff が使われています。
Web 攻撃
活動の活発な悪用ツールキット(EK)としては、RIG が 2 カ月連続でトップに立ち、全 EK 活動のうち 37.4% を占めました。Magnitude は 9 月から 0.6 ポイント上昇し、4 位から 2 位に浮上しています。この 2 つの悪用ツールキットについて使用状況を個別に見てみると、9 月から 10 月までに、RIG は 69%、Magnitude は 45%、それぞれ増加したことになります。
シマンテックが 10 月に遮断した Web 攻撃は、1 日あたり最大 46 万件と、前月を上回りました。その一因は悪用ツールキットの活動にありますが、その他の要因による影響も無視できません。たとえば、10 月に検索エンジンが攻撃を受けたときのレポートによると、検索で悪質な結果が返される件数が急速に増えており、検索結果で見つかった悪質な Web ページの数は 2013 年から 2016 年で 6 倍にもなっているといいます。
電子メール
米国大統領選が本選に向けて盛り上がるなか、選挙関連のスパムが増加しました。この傾向は 10 月の最新インテリジェンスにも反映され、全世界のスパム率は 54.1% と、2015 年 11 月以来の最高を記録しました。ただし、スパム問題については法執行機関も取り組みを続けており、米国に拠点を置くスパムグループが先日、有罪判決を受けたところです。このグループは企業のサーバーに侵入し、そこからスパムを発信したり、従業員のメールアドレスを盗み出したりしていました。容疑者を拘留した時点で、グループのデータベースからは、5,000 万件以上のメールアドレスが見つかっています。
[click_to_tweet:2]
図 2. 全世界におけるスパムの比率は、54.1% を記録
シマンテックは先月、悪質な Windows スクリプトファイル(WSF)を添付したメールベースの攻撃が急増していることもブログ記事で警告しました。この手口を使って Ransom.Locky を拡散するメールを、シマンテックは 10 月 3 日から 4 日にかけて 130 万通以上、続く 5 日にはさらに 91 万 8,000 通も遮断しています。悪質な WSF ファイルが添付されたメールをシマンテックが遮断した件数は、6 月の 22,000 件から、9 月まででも 220 万件と大幅に増加していました。
ただし、悪いデータばかりではありません。10 月には、フィッシングメールの率が 5,313 通あたり 1 通と減少しています。分野別で見ると行政機関が 2,814 通あたり 1 通と最多で、企業規模別では、従業員数 1,501 ~ 2,500 人の企業が 3,037 通あたり 1 通と最多でした。
モバイル
10 月、Android を狙う新しいマルウェアファミリーは見つかりませんでしたが、ファミリーあたりの亜種は 57 に増えています。モバイルマルウェアの作成者は、まったく新しいマルウェアを作成するより、既存のマルウェアの改良に時間を使っているようです。この傾向は、Android.Lockscreen の亜種にも見られます。最近、単純ながら効果的な手法で Android デバイスに侵入する成功率を高めるようになってきた亜種です。この亜種は、ランチャーの一種として動作するように偽装して、Android のセキュリティ制限を回避します。メインコンポーネントは、デフォルトのランチャーの代わりに選択できるアプリとしてリストされているため、ちょっとしたソーシャルエンジニアリングも交えれば、ユーザーを欺いてマルウェアを起動させることができます。
ソーシャルメディア
ソーシャルメディア詐欺では、人の手による共有が引き続き最上位ですが、10 月には 11.7 ポイント減少して 63.55% となりました。逆に、広告詐欺は 9 月の 16.62% から 27.48% へと、10.9 ポイント上昇しています。
以上は、10 月に目立った傾向の一部にすぎません。脅威の世界を俯瞰するその他のグラフや表、分析については、最新インテリジェンスをぜひご確認ください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】