1 月の「Latest Intelligence(最新インテリジェンス)」が発表されました。脅威を取りまく環境の概況も踏まえながら、その内容をご紹介します。1 月には、Necurs ボットネットの活動が小休止した関係でメールマルウェアの比率が下がった一方、Android には新しいマルウェアファミリーが出現しました。また、ディスクを消去する Shamoon の攻撃との関連が指摘されているサイバースパイ集団が見つかっています。
マルウェア
メールマルウェアの比率は、12 月の 98 通あたり 1 通から、1 月には 722 通あたり 1 通へと、大幅に減少しました。この減少の原因としては、Necurs ボットネット(Backdoor.Necurs)の活動が最近になって停滞したことが考えられます。Necurs は、Locky(Ransom.Locky)と Dridex(W32.Cridex)の両マルウェアにとっても大きな牽引力でした。Necurs は、悪質な添付ファイルを介してマルウェア感染を誘うスパムメールを大量に送信します。とは言え、Necurs の活動の小休止は一時的なものかもしれません。これまでにも、ボットネットの活動が一時的に減少することはあったからです。
図 1. メールマルウェアの比率は、最小レベルにまで減少
新しいマルウェアの亜種は、12 月の 1,950 万種から 1 月には 3,290 万種へと増加しました。反面、新しいマルウェアの活動は、2016 年の 8 月から 11 月までと比べると鈍っています。
1 月に、シマンテックは Greenbug という名のサイバースパイ集団についてもご報告しました。Greenbug の存在は、悪名をはせた Shamoon グループが、ディスクを消去する破壊的な攻撃の実行に必要な資格情報をいかにして盗み出すのか、その疑問に答える糸口になるのではと考えられています。Greenbug は、情報を盗み出すタイプのトロイの木馬(Trojan.Ismdoor)を使いますが、これが Shamoon に狙われた組織のネットワークの管理者コンピュータでも、ディスク消去攻撃の前に見つかっているからです。
モバイル
1 月には、Android を狙うマルウェアファミリーが新しく 2 つ見つかりましたが、Android マルウェアのファミリーごとに見ると、亜種の数は 59 種と横ばいです。
図 2. 2017 年 1 月、Android マルウェアファミリーが新たに 2 種類出現
Android を狙うランサムウェア Android.Lockdroid.E の亜種が、Google Play で公開されているアプリに埋め込まれているのが見つかったのも、この 1 月のことでした。このランサムウェアは、侵入したデバイスから SMS メッセージと連絡先情報を盗み出す機能を備えています。管理者権限を取得してデバイスをロックし、ビットコイン 0.2 TBC(およそ 180 ドル)の身代金を要求します。要求には、支払いがなければ被害者の個人情報をブラックマーケットで売り出すという文言で脅迫が伴っています。
Web 攻撃
アクティブな悪用ツールキットのトップに立ったのは、1 月も引き続き RIG でした。悪用ツールキットすべてのなかで 28.9% を占めています。RIG がこれほど長くトップの座にあり続けている理由ははっきりしませんが、Lurk マルウェアの拡散に関与していた容疑者がさらに 9 人逮捕されたという最近の報道も、RIG の優勢にはほとんど影響しなかったようです。
ただし、その RIG も 6 ポイントほどの減少を示しました。原因は、SunDown と Magnitude がそれなりに増加したことです。Sundown は、前月から 5.4 ポイント上昇して 8.1% となり、Magnitude も前月の 3.2% から 6.1% へと伸びています。12 月には 2 位にあった Fiesta は、4 ポイント減少して 0.2% となり、上位 5 位から姿を消しました。
図 3. RIG 悪用ツールキットが、今月もトップの座を維持
シマンテックで 1 日あたりに遮断された Web 攻撃の件数は、12 月の 388,000 件から 419,000 件と増加しています。
フィッシング
フィッシングの比率は、メール 3,271 通あたり 1 通へと、わずかに増加しました。業種別に見ると、1 月に特にフィッシング活動が増えたのは鉱業で、12 月の 5,423 通あたり 1 通から、1,413 通あたり 1 通となっています。企業規模別では、従業員数 2,501 人以上の企業が、2,815 通あたり 1 通と最多でした。
1 月には、攻撃者が侵入先の Gmail アカウントで送信済みメールの中を検索し、添付ファイルの名前を使って、被害者の連絡先にあるアドレスにさらにメールを送りつけるという手口の新たなフィッシング攻撃も報告されました。攻撃者は、送信済みメールの中から、添付ファイルの名前と件名を探し出します。次に、見つかった件名を使ってフィッシングメールを作成し、正規に送受信されたメールに添付されているファイルの名前を利用して、.pdf ファイルのように見える画像を埋め込みます。このように作成したメールを、侵入先アカウントの連絡先に送りつけるのですから、フィッシングメールはことさら本物らしく見えてしまうというわけです。こうした攻撃活動への対策として、お使いのメールアカウントには 2 段階認証を使うことをお勧めします。
以上は、1 月のセキュリティ状況に関する概要にすぎません。脅威を取りまく環境の全体像と、そのグラフ、表、分析については、最新インテリジェンスをご覧ください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】