2 月の「Latest Intelligence(最新インテリジェンス)」が発表されました。脅威を取りまく環境の概況も踏まえながら、その内容をご紹介します。2 月には、マルウェアの亜種が 2016 年 10 月以来最大の増加率を記録しました。また、Shamoon を使う攻撃についてシマンテックで研究が進む一方、斬新な手口を用いる Android.Lockdroid.E variants も出現しています。
マルウェア
2 月には、マルウェアの新しい亜種が増えて 9,410万種となり、2016 年 10 月以来の最高を記録しました。Kovter(Trojan.Kotver)ファミリーの脅威の活動が活発になったことが、急増の原因です。
図 1. 2 月には、新しいマルウェアの亜種の出現数が 2016 年 10 月以来の最多を記録
[click_to_tweet:1]
メールマルウェアの比率も、前月の 722 通あたり 1 通から、635 通あたり 1 通へと増加しました。ただし、1 月と 2 月のメールマルウェアの比率は、総合的にそれ以前より大幅に下がっています。Necurs ボットネット(Backdoor.Necurs)の活動が鈍化した影響と考えられます。
また 2 月には、ディスクを消去する破壊的なマルウェア Shamoon(W32.Disttrack.B)の背後に潜む攻撃者について、シマンテックがさらに研究結果を発表しました。Shamoon を伴う最近の攻撃が、中東で広範囲の活動を続けている攻撃者によって実行されていたことをシマンテックは明らかにしています。この攻撃者は、中東で複数の組織を狙いましたが、Shamoon に感染したのは特定の標的だけでした。この攻撃グループについて、シマンテックは調査を継続中です。
シマンテックの別ブログで論じたように、Pandex スパムボット(Trojan.Pandex)が現在、Sage 2.0 ランサムウェア(Ransom.Cry)を拡散しています。Eduardo Altares、Patrick Nguyen、Xinlei Cai の 3 人の研究者によって、Sage 2.0 が Cerber(Ransom.Cerber)と類似したルーチンを共有していることも判明しました。2 つのマルウェアファミリーの間に決定的なつながりは見つかっていませんが、Sage 2.0 は身代金の文面が多言語に対応しており、Cerber バージョン 4 と同じプロセスリストを利用していることまではわかっています。
Web 攻撃
2 月に最も活発だった悪用ツールキットは、RIG (悪用ツールキットすべての活動のうち 25%)と SunDown(同 14.5%)の 2 つでした。ただし、RIG の活動が 1 月と比べると 3.9 % 減少しているのに対して、SunDown は 6.4% 増加しています。RIG と SunDown に見られるこの変化は、外部ソースで確認された結果とも一致します。
悪用ツールキット上位 5 位のうち、残りは 1 月とほぼ変わらず、Magnitude が 3 位(6.1% から下がって 4.6%)、Angler が 4 位(0.9% から下がって 0.6%)につけています。ランキングで唯一変化があったのは、Neutrino が第 5 位に浮上し(0.8% から下がって 0.5%)、Blackhole を圏外に追いやったことです。
図 2. 悪用ツールキットの活動、2 月の上位 5 種
1 日あたりに遮断された Web 攻撃の件数も、1 月の 419,000 件から 394,000 件へと、わずかながら減少しました。
モバイル
2 月には、新しい Android マルウェアファミリーの発見こそありませんでしたが、ファミリーあたりの亜種は 60 種に達しました。2 月にシマンテックの研究者が投稿した 3 つのブログにも、その傾向は表れています。Dinesh Venkatesan による 2 つの記事では、Android.Lockdroid.E ファミリーの亜種を取り上げています。Dinesh は、Android.Lockdroid.E が音声認識の API を利用していることを突き止めました。ロック解除コードを、今までのように手で入力するのではなく、音声で入力するよう被害者に求めてくるのです。
Dinesh のもうひとつの研究では、Lockdroid.E の別の亜種が、2 D バーコードを表示してユーザーにスキャンを求めることも解明されました。ユーザーは、スキャンしてメッセージアプリにログインし、身代金を支払うよう要求されます。3 つ目のブログ記事では、Google Play で公開されていた悪質なアプリ 3 つ(Android.Fakeapp の亜種)について Shaun Aimoto が論じました。バックグラウンドで動作しながら広告をクリックして広告収入を得るアプリです。この悪質なアプリケーションは、3 種類の不正な手口を利用します。いずれも、それ自体は珍しくない手口ですが、同時に利用されているケースが報告されたのは、これが初めてでした。
スパム
全世界におけるスパムの比率は、53.8% から 53.7% へとわずかに減少しました。業種別に見たスパムの比率は接戦となり、建設業(59.28%)と鉱業(59.27%)がわずか 0.01% という僅差で並んでいます。
2 月には、スパムとの闘いをめぐって多少なりとも、うれしいニュースがありました。世界でも上位 10 位に入る悪質なスパマーのひとりが逮捕され、起訴されています。
フィッシング
フィッシングは 1 月の 3,271 通あたり 1 通から減少し、メール 8,246 通あたり 1 通にとどまりました。フィッシング比率の低下傾向は、全業種で共通しています。
フィッシングの比率は減少した反面、スマートフォン窃盗犯が、盗んだスマートフォンのロックを解除するために被害者のログイン情報をフィッシングで取得しようとする、新しい手口も出現しました。高級機種のスマートフォンを盗めば犯人は大金を得ることができますが、それも端末にアクセスできれば、の話です。この新たな手口から察するに、窃盗犯はデバイスにアクセスする手間を惜しんでいないようです。
以上は、2 月のセキュリティ状況に関する概要にすぎません。脅威を取りまく環境の全体像と、そのグラフ、表、分析については、最新インテリジェンスをご覧ください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】