暗号通貨マイニング、ランサムウェア、標的型攻撃、モバイルセキュリティ、そしてソフトウェアのサプライチェーンを悪用する攻撃― これらは、2017 年に情報セキュリティのニュースを賑わせたトピックの一部にすぎません。ISTR 23(インターネットセキュリティ脅威レポート、23 号)では、このようなトピックを含めて、サイバーセキュリティ脅威を取り巻く環境について、包括的にまとめています。ぜひ、今すぐダウンロードしてご一読ください(英文のみ)。
2017 年最大のトレンドは、暗号通貨マイニングの爆発的な大流行でした。その異常なまでの注目度は、エンドポイントコンピュータにおけるコインマイナーの検出数が、8,500% も増えるという異例の数値に表れています。
図 1. エンドポイントコンピュータにおけるコインマイナーの検出数は、2017 年に 8,500% 増を記録
コインマイナーとは、Monero などの暗号通貨のマイニングに使うファイル、つまりスクリプトです。サイバー犯罪者が、これを利用して儲けようとし始めたのは、2017 年の第 4 四半期に暗号通貨の価値が急騰し、マイニングがサイバー犯罪としてもうまみのある行為となったからでした。
[click_to_tweet:1]
サイバー犯罪者がコインマイナーを使うのは、被害者のコンピュータの処理能力と、クラウドの CPU 性能を利用して、暗号通貨をマイニングするためです。暗号通貨マイニングの参入障壁はわりと低く、操作にはわずか 2、3 行のコードしか必要としません。しかも、マイニングであれば、他のサイバー犯罪では考えられないほど容易に警戒の網をくぐりぬけることができます。被害者は、自分のコンピュータの処理能力がかすめ取られていることに気づきもしないでしょう。影響があるとしても、コンピュータがやや遅くなるくらいなので、原因は何かほかにあると思うのが関の山です。ただし、デバイス上でマイニングを行うと、バッテリが過熱したり、デバイス自体が使えなくなったりする場合もあります。組織にとっても、暗号通貨マイニングの影響は無視できません。コインマイナーは自己拡散するため、社内ネットワークの停止が必要になることもあるからです。クラウドでマイニングが発生すれば、CPU 使用量に応じて従量制で課金される組織は、金銭的な被害を受けることになります。
悪質なコインマイナーは、これまでのところ主としてコンピュータを、またある程度までスマートフォンを標的にしているようですが、サイバー犯罪者は IoT デバイスに狙いを定める傾向を強めています。IoT デバイスに対する攻撃は、2017 年に全体で 600% も増えました。2016 年に登場した Mirai ボットネットのあおりで IoT が注目を集めたときほどは話題になっていないものの、やはりサイバー犯罪者の標的としては大きい存在です。
図 2. IoT デバイスに対する攻撃が、2017 年には 600% 増加
ランサムウェア
2017 年にランサムウェアが見出しを飾ったのは、WannaCry ランサムウェア(Ransom.WannaCry)と Petya/NotPetya(Ransom.Petya)が登場したときのことです。破壊的なワイパーであることが判明していますが、ランサムウェアに偽装していたからです。実際、これらは典型的なランサムウェア攻撃ではありませんでした。どちらも、よくあるサイバー犯罪者ではなく、標的型攻撃グループによる活動だったと見られています。標的型攻撃グループがランサムウェアをおとりとして使い、システムを停止に追いやったり、WannaCry のように儲けをあげようと試みたりするというのは、新しい傾向のひとつでした。
「従来型」サイバー犯罪のランサムウェア市場は 2017 年に、いわば「下方修正」され、新しいランサムウェアの出現が減るとともに、身代金の要求額も低くなっています。ランサムウェアは収益性が高かったため、2016 年には市場が飽和し、身代金の要求額も高騰しました。しかし 2017 年になると、被害者が身代金を支払う気になる手頃な妥協点が見つかったようです。身代金要求の平均額は 522 ドルと、2016 年の平均額の半分以下になりました。
図 3. 2017 年、身代金要求額について妥協点を見いだしたサイバー犯罪者
ランサムウェアの亜種は、2017 年に 46% 増加しました。既存のサイバー犯罪グループが依然として活動してはいるものの、新しいファミリーの発見数は少なくなっているということです。サイバー犯罪者の側でイノベーションの勢いが落ち、関心が移ってきたということかもしれません。ランサムウェアグループが多様化を目指すなか、オンラインバンキングを狙う脅威が新たな再生を迎えた一方、暗号通貨の価値高騰に乗じてマイニングに熱を入れるグループも表れてきたということでしょう。
標的型攻撃
今年の ISTR では、標的型攻撃グループが用いるツール、戦術、そしてその動機についても調査しました。シマンテックが集中的に追跡している標的型攻撃グループは、現在 140 あります。全体的な標的型攻撃の活動は、2017 年に 10% 増えました。グループの 90% は情報収集が主な動機ですが、そのほかは、なんらかの破壊的な活動に関与しています。
解析によると、「現地調達型」のツールや手法を、依然として多くのグループが好んで使っています。ゼロデイ脆弱性の悪用が好まれない傾向も続いており、シマンテックが確認している標的型攻撃グループのうち、ゼロデイ脆弱性を悪用しているのは 27% にすぎません。
サプライチェーン攻撃は、前年度が通念で 4 回にとどまったのに対して、2017 年には平均して毎月 1 回という頻度でした。
これと関係のある傾向もひとつ、2017 年は確認されました。ソフトウェアアップデートに対するサプライチェーン攻撃の増加です。攻撃者は、サプライチェーンにマルウェアを仕込んで、無警戒な被害者に感染します。この手の攻撃は、Petya/NotPetya マルウェアの初期感染経路でした。Petya/NotPetya は、ウクライナで作られた会計ソフトのアップデートに仕込んだトロイの木馬を利用して、企業ネットワークに足がかりを作り、最終的に悪用コード EternalBlue などの手段を使って全世界に拡散しようとしました。サプライチェーン攻撃は、前年度が通念で 4 回にとどまったのに対して、2017 年には平均して毎月 1回という頻度でした。十分に保護されたネットワークであっても、ソフトウェアのサプライチェーンでセキュリティの低い箇所を突けば、攻撃者は侵入が可能になります。
図 4. サプライチェーン攻撃が、2017 年には 200% 増加
モバイル
モバイル環境を狙う脅威は、2017 年も増加の一途をたどりました。モバイルマルウェアの新しい亜種は 54% も増え、悪質なモバイルアプリケーションは、毎日平均 24,000 件が遮断されています。「グレイウェア」も、2017 年に増加した脅威でした。グレイウェアとは、完全に悪質ではない程度に厄介なアプリのことで、その種の脅威が 2016 年と比較して 20% 増えています。
もうひとつ、モバイルセキュリティの確保という課題を難しくしているのは、特に Android デバイスの場合に、かなりの割合の端末で古いオペレーティングシステムが稼働しているという事実です。最新メジャーリリースの Android OS が搭載されている Android 端末は、わずか 20% にすぎません。つまり、Android デバイスの 80%は、OS アップデートで対応された保護対策が済んでいないということなのです。
詳細をご希望の方は……
以上は、ISTR 23 でご報告している情報のほんの一部です。その詳細を含め、サイバーセキュリティをめぐる脅威の環境について詳しくは、今すぐ ISTR 23 をダウンロードしてください(英文のみ)。
お近くのシマンテック 脅威エキスパートにご相談いただくこともできます。
南北アメリカからのウェビナー登録はこちら
ヨーロッパ、中東、アフリカからのウェビナー登録はこちら
アジア太平洋地域からのウェビナー登録はこちら
【参考訳】
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
* 日本に特化したセキュリティ情報は、シマンテックビジネスセキュリティステーション https://business-security-station.com/securityinfo/?utm_source=symcom&utm_medium=owned&utm_campaign=rblog もご覧ください。