6 月の「Latest Intelligence(最新インテリジェンス)」が発表されました。脅威を取りまく環境の概況も踏まえながら、その内容をご紹介します。6 月には、Mac を狙ってビットコインをマイニングするトロイの木馬が増え、Petya マルウェアが出現しました。スパムとフィッシングが増加する一方、RIG 悪用ツールキットは引き続き減少傾向にあります。
マルウェア
6 月には、ビットコインなどのデジタル通貨に対する関心が高くなり、それに伴ってビットコインをマイニングするトロイの木馬も、ひっきりなしに出現しました。なかでも目を引いたのは、Mac だけを狙ってビットコインをマイニングするトロイの木馬、OSX.Coinbitminer の出現数が増え続けたことです。OSX.Coinbitminer の比率は前月から 19.2 ポイント上昇し、Mac を標的とする脅威の上位リストで 2 位に立ちました。Mac を標的とするトロイの木馬が、ビットコインマイナーを利用して活発に拡散しつつあるのか、それとも Mac ユーザーが躍起になってビットコインマイナーを探しているうちに、意図せずマルウェアをインストールしてしまうのかは、わかっていません。
図 1. 6 月には OSX.Coinbitminer の出現数が増加
言うまでもなく、6 月に最も話題になったマルウェアは Ransom.Petya でした Petya ワームは、SMB 共有を通じて、また悪用コード EternalBlue と EternalRomance を利用して拡散します。当初はランサムウェアに分類されましたが、Petya はファイルを暗号化するだけでなく、マスターブートレコードを上書きして暗号化します。コンピュータが再起動すると、身代金要求の画面が表示され、暗号を解いてファイルを復元したければビットコインで 300 ドルを支払えと要求してきます。
ところが、さらに解析を進めたところ、Petya はランサムウェアではなくワイパーである可能性のほうが濃厚になってきました。メッセージに書かれている「インストールキー」は、ランダムに生成されることが判明したからです。ディスクの暗号化にも、やはりランダムに生成される Salsa20 キーが使われています。しかし、この 2 つのキーどうしには何の関係もないので、ディスクを復号できるわけではありません。
図 2. ファイルが暗号化されたことを知らせる Ransom.Petya の画面
スパム
6 月には全世界のスパムの比率が上昇し、全メールの 54.3% に達しました。スパムの比率がこの水準まで上昇したのは、過去 12 カ月間で 2 度目で、2016 年 11 月と並んでいます。
6 月に出現したなかでも特に悪質なスパムは、Zusy マルウェアの新しい亜種を拡散していることが判明しました。Zusy は、特別に細工されたリンクが設定された PowerPoint 添付ファイルとして届きます。このリンクはクリックする必要さえなく、ユーザーが URL 上にカーソルを置いただけで発動します。幸い、Microsoft Office の警告が表示されるので、ペイロードが自動的に実行されることはありません。Zusy は、注文書や注文確認に偽装したスパムメールとして送られてくることが確認されており、添付ファイルは、order.ppsx、invoice.ppsx、order&prsn.ppsx などの名前です。
Web 攻撃
遮断された 1 日あたりの Web 攻撃の数は、4 カ月ぶりに減少に転じました。とは言っても、1 日に遮断された数は 115 万 9,000 通と、増加が始まる前の 2 月と比べると、依然として高い水準です。
6 月も、Web 攻撃ツールキットとして最も活発だったのは RIG でしたが、3.6 ポイントの減少となりました。RIG の減少はこれで 3 カ月続いたことになり、擬似 Darkleech や EITest など主立った攻撃活動が RIG を使わなくなってきた傾向とも一致します。たとえば EITest の場合、その背後に潜む攻撃者は、悪質な活動を遂行する手段としてソーシャルエンジニアリングの手法を使うようになってきました。関連したニュースとして、今年の 3 月にはセキュリティ研究者が、RIG に関係していたおよそ 40,000 件のサブドメインを停止することに成功しています。これも、RIG の活動が鈍ってきた一因に違いありません。
フィッシング
フィッシングの比率は 3 カ月連続して増加し、メール 1,975 通あたり 1 通を記録しました。昨年以来 2 番目に高い比率であり、2016 年 7 月の 1,886 通あたり 1 通に迫る勢いです。フィッシングの比率は、ほとんどの業種と組織規模にわたって増加していますが、行政機関だけは例外で、1,981 通あたり 1 通から、2,125 通あたり 1 通へと減少しています。
[click_to_tweet:1]
図 3. フィッシングの比率は 3 カ月連続して増加し、メール 1,975 通あたり 1 通を記録
6 月には、攻撃者が Android ユーザーに標的を絞ったと見られるフィッシング活動が確認されました。このケースでは、フィッシングメールに記載する URL に大量のハイフンを挿入して、リンク先の実際のドメインを隠ぺいするという手法が用いられています。モバイル版ブラウザの小さいアドレスバーには、実際のドメインの一部しか表示されないため、ユーザーが見慣れている可能性が高い正規のサブドメインにリンクしているように見えてしまいます。
モバイル
6 月には、Android を狙う新しいマルウェアファミリーが 2 つ出現しました。そのひとつ Android.WannaLocker は、去る 5 月に大流行した WannaCry ランサムウェアに便乗したものと見られています。デスクトップを狙うマルウェアとして悪名をはせた WannaCry に似た画面を装っているのですが、実際にはデバイスの外部ストレージで見つかったファイルしか暗号化しません。
以上は、6 月のセキュリティ状況に関する概要にすぎません。脅威を取りまく環境の全体像と、そのグラフ、表、分析については、最新インテリジェンスをご覧ください。
【参考訳】
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
* 日本に特化したセキュリティ情報は、シマンテックビジネスセキュリティステーション https://business-security-station.com/securityinfo/?utm_source=symcom&utm_medium=owned&utm_campaign=rblog もご覧ください。