12 月の「Latest Intelligence(最新インテリジェンス)」が発表されました。脅威を取りまく環境の概況も踏まえながら、その内容をご紹介します。12 月には、シマンテックで遮断される Web 攻撃の件数が増え、ディスクを消去するきわめて悪質なマルウェアが復活しました。一方で、シマンテックは法執行機関による 2 つの捜査で重要な役割を果たしています。
Web 攻撃
12 月には、シマンテックで遮断される 1 日あたりの Web 攻撃の数が、前月の 29 万 1,000 件から 38 万 8,000 件に増加しました。
図 1. 遮断される Web 攻撃の件数が、12 月には 1 日あたり 38 万 8,000 件へと増加
悪用ツールキットの順位は、上位 3 位まで変動がありませんでした。RIG は悪用ツールキットすべての活動のうち 34.8% を占め、4 カ月連続で首位を保っています。Fiesta の活動は 4.2% へと若干増え、順位は 2 位のままです。Magnitude の活動も前月から増えていますが(2.6% から 3.2%)、11 月に Fiesta に逆転されて以来の 3 位にとどまりました。
12 月には、「SunDown」という新しい悪用ツールキットも上位に出現しました。「Stegano」とも呼ばれていますが、これは他のデータにコンテンツを隠す、ステガノグラフィーという手法にちなんだ名前です。SunDown は、利用者の多いニュースサイトをホストとして利用する悪質な広告のピクセルごとに攻撃コードを隠しています。
マルウェア
新しいマルウェアの亜種は、1,950 万種へと大幅に減少し(11 月は 7,120 万種)、昨年 7 月以来の最小レベルを記録しました。この急激な減少は、Kotver ファミリー(Trojan.Kotver)のマルウェアをめぐる活動が減少したためと考えられます。Kotver は、昨年の 8 月から 11 月にかけて特に活発な動きを見せていたからです。
シマンテックは 12 月も引き続き、サイバー犯罪の捜査で重要な役割を担い、Avalanche マルウェアをホストしていたネットワークの捜査に大きく貢献しました。スパム、フィッシング、マルウェアのさまざまな活動に関与していたネットワークです。国際的な摘発によって、少なくとも 17 種のマルウェアファミリーで利用されていたインフラストラクチャが解体されました。これには、金融機関を狙うトロイの木馬 Zeus(Trojan.Zbot)や、Trojan.Ransomlock.P、Trojan.Bebloh といったランサムウェアファミリーも含まれています。
昨年は、Bayrob という名で以前から知られていた詐欺行為に関与し、被害者から数百万ドルをだまし取ったとして、ルーマニア人の男 3 人が起訴されるというケースもありました。シマンテックが、長期に及んだ FBI の捜査に協力し、それが逮捕につながった形です。シマンテックは、Bayrob グループがマルウェア(Trojan.Bayrob)を使い始めた 2007 年からその活動を追跡しています。コンピュータが Bayrob に感染すると、偽のオンラインオークションサイトが表示され、ユーザーは正規のオークションで買い物をしていると思い込まされてしまいます。
悪質な PowerShell スクリプトの利用も上昇していることが、12 月にシマンテックが実施した調査で判明しています。6 カ月間の調査によると、シマンテックに提出された PowerShell スクリプトのうち、実に 95.4% が悪質なものでした。攻撃者は、PowerShell フレームワークの柔軟性を悪用してペイロードをダウンロードし、侵入先のネットワーク中を自在に移動しては偵察活動を実行します。この手口を使う代表的な脅威が、W97M.Downloader、Trojan.Kotver、JS.Downloader です。
ディスクを消去することで知られる悪質なマルウェア Shamoon(W32.Disttrack)が戻ってきたのも、12 月でした。過去に Shamoon がニュースに取り上げられたのは 2012 年、サウジアラビアのエネルギー企業に対する攻撃に使われたときのことです。12 月には、その Shamoon がサウジアラビアの新しい標的に対する新しい攻撃で再登場しました。
スパム
全世界におけるスパムの比率は、11 月から 0.1% 減少して 54.2% となりました。スパムの比率は従業員数 1,001 ~ 1,500 人の企業で最も高く、業種別では建設業が 2.1% 上昇して 63.3% で最多となりました。
図 2. 全世界におけるスパムの比率は、54.2% とわずかに減少
12 月には、Dridex(Trojan.Cridex)や Locky(Ransom.Locky)の拡散に使われていた「あられスパム」という古い手口を改良した攻撃について、レポートが公開されました。あられスパムとは、複数の IP アドレスを使って短期間に大量のスパムを送信する手法であり、かんじきスパムから派生したものです。この例を見ても、メールスパムの問題は解消する気配すらないことが、わかります。
フィッシング
フィッシングは依然として企業にとって大きい脅威であることが、12 月に改めて浮き彫りになりました。ロサンゼルス郡の CEO(行政の最高責任者)が公示を行い、カリフォルニア州で 75 万 6,000 人の住民に対してデータ漏えいに関する通知を送付したと発表したのです。漏えいの原因は、同郡の職員 108 人が、2016 年の 5 月にフィッシングメール詐欺に引っかかったことでした。
フィッシングの比率は、メール 3,357 通あたり 1 通へと減少しました。業種別の内訳では、鉱業でフィッシングの減少が著しく、11 月の 972 通あたり 1 通から、12 月には 5,423 通あたり 1 通へと激減しています。企業規模で見ると、従業員数 1 ~ 250 人の企業でフィッシング率が最も高く、3,575 通あたり 1 通がフィッシングメールでした。
モバイル
12 月には、低価格 Android スマートフォンのうち 28 モデルに、アドウェアや、場合によっては不要なアプリもダウンロードするソフトウェアが組み込まれていたという調査結果も公表されました。このダウンローダソフトウェア(Android.Malapp)が発見されたのは、複数のブランドで製造されているスマートフォンのファームウェアです。場合によっては、このソフトウェアが勝手に電話をかけたり、広告を表示してブラウザでリンクを開いたりすることもありました。
12 月までの連続 6 カ月間、新しい Android マルウェアファミリーは発見されませんでした。とは言え、Android マルウェアのファミリーごとの亜種は、59 種と再び上昇しています。
以上は、12 月のセキュリティ状況に関する概要にすぎません。脅威を取りまく環境の全体像と、そのグラフ、表、分析については、最新インテリジェンスをご覧ください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】