Endpoint Protection

 View Only

2017 年 5 月の最新インテリジェンス 

Jun 15, 2017 03:30 AM

5 月の「Latest Intelligence(最新インテリジェンス)」が発表されました。脅威を取りまく環境の概況も踏まえながら、その内容をご紹介します。5 月には、遮断された Web 攻撃の件数が再び増加に転じ、Google を狙う奇妙なフィッシングメール詐欺も登場しました。何より特筆すべきは、WannaCry ランサムウェアの大流行です。

Web 攻撃

5 月には、シマンテックで 1 日あたりに遮断される Web 攻撃の数が、前月の 103 万 8,000 件から、126 万 6,000 件に増えました。2015 年 11 月以降では最多です。

悪用ツールキットの活動を見ると、RIG ツールキットが全活動の 28.4% を占めしたが、4 月からは 1.1 ポイント減少しています。多数の正規 Web サイトが明らかに侵害を受け、RIG 悪用ツールキットへのリダイレクトに利用されていましたが、5 月のなかば頃、そのリダイレクト先が Terror に変わりました。この移行と対照的なのが、RoughTed というマルバタイズメント活動で、Magnitude 悪用ツールキットに加えて RIG も、ペイロードの拡散に利用するようになっています。Magnitude は、悪用ツールキット活動全体の 6.3% から 7% へと微増しました。

Web Attacks by Toolkit copy.jpg
図 1. 悪用ツールキットの活動では、5 月も RIG がトップを維持

マルウェア

5 月に検出された新しいマルウェアの亜種は、7,670 万種でした。4 月からはわずかに減少しましたが、いっとき沈静化していた昨年 12 月から今年 1 月に比べると、この範疇の脅威としては 4 カ月連続で活発な状態が続いています。

メールマルウェアの比率は上昇し、422 通あたり 1 通に悪質なペイロードが含まれていました。これで、メールマルウェアの比率は 2 カ月連続の増加となりましたが、2016 年の全体的な傾向に比べれば、今でも低い水準です。こうしたマルウェア活動のうちかなりの部分は、3 カ月近い休眠から復活した Necurs ボットネットが占めています。研究者が特に注目しているのは、Necurs を引き金として Jaff という新しいランサムウェアを拡散する攻撃です。メール配信のトラフィックが、ピーク時には 1 時間あたり 500 万近くに達しました。

ランサムウェアといえば、記憶に新しいのが WannaCry です。WannaCry は、5 月 12 日に姿を現し、脅威を取りまく世界でも近年まれに見る最悪の流行を示しました。シマンテックは、WannaCry についてわかっていることを余さず網羅したブログをいち早く公開し、脅威の拡散に合わせて最新の更新情報もお届けしました。

WannaCry_heatmap.gif
図 2. 5 月 11 日から 15 日の間にシマンテックによって検出された WannaCry の分布図

また、シマンテックの研究者は高度なスキルを持つひとりのサイバー犯罪者についても情報を公開しました。この攻撃者が開発し展開しているマルウェアは、あまりにも高度なため、シマンテックの研究者も最初のうちは、これが国家の関与する仕業かと考えたほどでした。ところが、この犯人が狙っているのは、はるかにつつましい目的であることが判明しています。この攻撃について詳しくは、セキュリティレスポンスのブログ記事と、Threat Intel Medium のサイトをご覧ください。

スパム

全般的なスパムの比率は 0.1 ポイント下がり、5 月には 54.1% となりました。業種別では、建設業と鉱業が平均を上回っている点が目立ち、それぞれ 59.9% と 57.9% でした。

5 月には、出会い系サイトのユーザーが、個別に細かく作り込んだスパムを受け取るというインシデントが明るみに出ました。このスパムには、オンラインプロファイルから流出したとしか考えられない自分の個人情報が含まれていることに、受け取った何人かが気付いたからです。Guardian Soulmates という出会い系サイトで作成したプロファイルでした。このサイトを運営する会社は、最終的にデータ漏えいを認めています。攻撃者は、同社のサイトで使われているサードパーティー製ツールの欠陥を悪用して、登録ユーザーのメールアドレスとユーザー ID を手に入れたといいます。さらには、その情報からユーザーが公開しているプロファイルページを特定して、詳しい個人情報も入手し、スパムを送信したということです。

[click_to_tweet:1]

フィッシング

フィッシングの比率は、2017 年の最高値を記録し、ほぼ 2016 年の水準に戻りました。フィッシングの比率が比較的低い期間は 3 カ月続きましたが、2106 年 11 月以降では最多です。業種別で見ると、サービス業と行政機関で比率が高くなりました。

Email Phishing Rate copy.jpg
図 3. フィッシングの比率は 2016 年 11 月以降で最高を記録

5 月のインシデントで特に目を引いたのは、ユーザーの Gmail アカウントと Google コンタクトにアクセスを許してしまうフィッシング詐欺が発見されたことです。この攻撃は、正規の Google ログイン画面を示し、ログインがあると「continue to Google Docs(Google ドキュメントはこちら)」と書いたリンクを表示するという仕組みで始まります。リンク先は、Google とは関係のないサードパーティー製アプリケーションで、ただ「Google Docs」という名前が付いているだけです。表面的には巧妙な攻撃ですが、その後の展開はかなり奇妙でした。翌日になると、Twitter に @EugenePupov というアカウントが出現し、これはフィッシング詐欺ではなく、コヴェントリー大学のプロジェクトが失敗しただけです、と名乗り出ます。ところがコヴェントリー大学では、そんな名前の在籍者はいないし、研究機関に参加していた記録もないと回答したのです。最終的には、全ユーザーの 0.1% がこの詐欺の影響を受けたと Google は発表しています。概算すると、100 万近いアカウントということになります。

フィッシング関連ではこのほか、カスタマイズ度の高い攻撃に 2 つの音楽事務所が狙われ、レディー・ガガの未発表曲が盗まれるという事態に発展しました。手口としては、ソーシャルエンジニアリング詐欺のようです。攻撃者は、インタースコープ・レコード社の重役になりすまし、ポストプロダクションとミキシングにまわすので曲のコピーを送ってほしいと持ちかけます。同社の役員 2 人が、これにひっかかってしまいました。幸い、まだ流出には至っていませんが、このインシデントひとつをとっても、サプライチェーン上のもろい箇所が漏えいの原因になりやすいことは明らかです。

モバイルとソーシャルメディア

Android を狙う新しいマルウェアの発見はなく、ファミリーごとの亜種の比率も、先月と変わらず 62 でした。

5 月には、モバイル上でオンラインバンキングを狙う犯罪が 2 つ、話題になりました。まず、ネットワーク間で相互運用を図るためにモバイル事業者が使っている SS7 プロトコルの脆弱性を悪用する攻撃がありました。この悪用によって、攻撃者は 2 段階認証をすり抜け、ドイツのオンライン銀行口座から資金を盗み出すことに成功しています。SS7 プロトコル悪用の危険性は、モバイル事業者の間では以前から知られており、実際に攻撃に使われたのも、今回が初めてではありません

もうひとつは、金融機関を狙うマルウェア活動の容疑で、サイバー犯罪者 16 人が逮捕されたという明るいニュースです。このグループは、ロシアの多数の銀行で顧客を標的にし、総計 88 万 3,000 ドルを奪取したとして訴えられています。この逮捕で、グループの拡張計画は頓挫したと見られますが、報告によると英国、フランス、ドイツ、米国など各国の銀行もさらに標的になる可能性があったということです。

以上は、5 月のセキュリティ状況に関する概要にすぎません。脅威を取りまく環境の全体像と、そのグラフ、表、分析については、最新インテリジェンスをご覧ください。

【参考訳】

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

* 日本に特化したセキュリティ情報は、シマンテックビジネスセキュリティステーション https://business-security-station.com/securityinfo/?utm_source=symcom&utm_medium=owned&utm_campaign=rblog もご覧ください。

Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads

Tags and Keywords

Related Entries and Links

No Related Resource entered.