海の向こうの“セキュリティ”

第62回:「Microsoft Security Intelligence Report」第11版 ほか


 10月のセキュリティに関する話題として、日本で最も大きなインパクトを与えたのは、何と言っても衆議院や日本大使館などをターゲットにした標的型攻撃でしょう。一般のメディアでも大きく報道され、「標的型サイバー攻撃」の名称が広く日本国民に知られることになりました。

 一方、海外に目を向けると、ドイツ政府による「合法な盗聴」にマルウェアが使われていることが明らかになったほか、第2の「Stuxnet」とも言われる「Duqu」が見つかったり、iPhoneでキーボードの振動を検出してキーロガーとして機能させる技術が開発されたりといった話題がありました。

 そのような中、今回はMicrosoftが公開した「Security Intelligence Report(SIR)」から紹介します。

「Microsoft Security Intelligence Report」第11版

 Microsoftは10月12日、「悪意のあるソフトウェアの削除ツール(MSRT)」が2011年上半期に検出した脅威について分析した結果などをまとめた「Microsoft Security Intelligence Report」の第11版を公開しました。これは全世界100以上の国や地域における6億台以上のシステムから収集したデータに基づいた分析レポートです。

 Microsoftの日本法人からサマリーの日本語訳や日本語の解説が公開されていますが、今回はオリジナルのレポートの中で特に興味深い部分をピックアップして紹介します。

1)サードパーティ製アプリはやっぱり危険

 ここ数年来、攻撃に悪用される脆弱性はOSからサードパーティ製アプリに移っていると言われています。事実、Adobe FlashやAdobe Readerなどの脆弱性が話題になることが多いのも確かです。

 これをある意味で肯定し、ある意味で否定する結果を示しているのが図1です。

図1(「Microsoft Security Intelligence Report」第11版より)

 これはMicrosoft(のマルウェア対策製品)が検出して阻止した攻撃が対象としたソフトウェアなどをまとめたグラフです。

 図1から明らかなように、圧倒的多数を占めているのがJava。この4四半期(1年間)で検出された攻撃の3分の1から2分の1を占めているそうです。Javaが多いことは予想できましたが、ここまで段違いに多いことを改めて数字で見せられると少々驚きを感じます。この結果は、確かに攻撃の対象がOSからサードパーティ製アプリに移っていることを示している典型例です。

 ところが次に多いのがHTML/JScriptとOS。HTML/JScriptが多いのは、ウェブ閲覧を介した攻撃が多発していることを考えれば納得ですが、意外にもOSを対象とした攻撃が根強く残っており、先ほど名前を挙げたAdobe FlashやAdobe Reader(図1の「Document Reader/Editors」に含まれる)よりもはるかに多いのです。

 確かにサードパーティ製アプリへの攻撃が増えていますが、それでもやはり昔と同様、OSも狙われているというわけです。当然のことですけどね。

 さて、この図の中で「Document Readers/Editors」としてまとめられているものの内訳を示した図2を見てみましょう。

図2(「Microsoft Security Intelligence Report」第11版より)

 かつてコンピューターウイルスの感染に使われることが多かったMicrosoft OfficeがAdobe Reader/Acrobatよりもはるかに少なくなっていることが分かります。これは予想通り。ただ、日本向けのレポートでない、オリジナル(英文)のレポートでも、この図に「一太郎」が明記されているのは、全体から見れば数は少なくても、実際に攻撃が発生しており、標的型攻撃に悪用される可能性に対して特に日本では十分に注意しなければならないことを示しています。

 さて、何かと話題になることが多いAdobe Flashの脆弱性ですが、実際、それを悪用した攻撃がどの程度起きているのかを示したのが図3です。

図3(「Microsoft Security Intelligence Report」第11版より)

 これを見ると、今年の第2四半期に急激に増えていることが分かります。特に今年4月に公開されたCVE-2011-0611と6月に公開されたCVE-2011-2110の多さにはかなりのインパクトがあります。

CVE-2011-0611
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0611

CVE-2011-2110
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2110

 攻撃全体で見れば、Javaを悪用したものが圧倒的に多いですが、すでに「高値安定」している状況を考えると、Adobe Flashへの攻撃が第2四半期に激増したことは注目に値します。攻撃には「流行り」があり、効果的と分かるとしばらくの間は継続して狙われる傾向があります。今後もしばらくはAdobe Flashに注意した方が良いでしょう。

2)日本は「クリーン」

 以前から日本はマルウェアの感染率が低いと言われており、事実、Microsoftもそれを裏付ける情報を公開して来ましたが、その2011年上半期版です。

図4(「Microsoft Security Intelligence Report」第11版より)

 図4の上は2011年第1四半期、下は第2四半期の状況を示したものです。これを見ると、日本は感染率の低い状態で安定していることが分かります。

 また、世界全体で見ると、カナダがわずかに悪化している点を除けば、韓国やアルジェリアをはじめとして全体として改善傾向にあります。

 ちなみに感染率の高い国(や地域)として名前が挙げられているのは、カタール、パレスチナ、パキスタン、トルコ、韓国です。逆に感染率の低い国(や地域)はフィンランド、日本、中国、スウェーデン、ノルウェーです。北欧3国がすべて入っているのも特徴的ですが、中国が入っているというのも注目すべきところかもしれません。それにしてもカナダだけが(わずかとは言え)悪化しているのがどういう事情によるものなのか、少々気になります。

3)まとめ

 セキュリティに関連した統計情報はさまざまなセキュリティベンダーや研究機関が公開していますが、その中でもMicrosoftが公開する情報は、クライアント端末のOSとして圧倒的なシェアを誇るWindowsのユーザーから得られる、つまり母数が莫大であるという点で非常に興味深いものがあります。

 しかし今後は、セキュリティ面でまだ十分にこなれているとは言えないスマートフォンを狙った攻撃がますます増えて行くことが予想され、その場合はこれまでとは異なる攻撃シナリオが登場するはず。また、攻撃の対象が増えるということは攻撃側には有利に働きますが、守る側にとっては深刻です。

 今回のMicrosoft並みの分析レポートをAppleやGoogleが提供してくれるとは、少なくとも今の時点では思えませんが、OSを作っている会社の「責任」として強く期待したいところではあります。

URL
 Microsoft Malware Protection Center
 Threat Research & Responce Blog(2011年10月11日付記事)
 New: Microsoft Security Intelligence Report Volume 11- Now Available
 http://blogs.technet.com/b/mmpc/archive/2011/10/11/new-microsoft-security-intelligence-report-volume-11-now-available.aspx
 日本のセキュリティチーム(2011年10月19日付記事)
 ソフトウェアは最新に!! - セキュリティインテリジェンスレポート第11版
 http://blogs.technet.com/b/jpsecurity/archive/2011/10/20/3460367.aspx
 マイクロソフトセキュリティインテリジェンスレポート(日本語版)
 http://www.microsoft.com/japan/sir

カナダの道路の電光掲示板が改ざん

 最後に少々軽めの話題を。

 カナダ・マニトバ州南部にある州都ウィニペグ(Winnipeg)で、ドライバー向けの電光掲示板を管理するシステムが侵入を受け、掲示内容が書き変えられるという事件がありました。

 問題の掲示板は、ウィニペグのロブリン通り脇に警察が仮設したもので、頻発する野生の鹿との交通事故を防ぐ目的で「Be Alert For Deer(鹿に注意)」と表示していました。

 ところが、その掲示板を管理するシステムが何者かに侵入され、掲示内容が「Slow The Fuck Down(スピードを落としやがれ)」に書き変えられたのです。

「CBC News」に掲載の写真
http://www.cbc.ca/gfx/images/news/photos/2011/10/17/li-slow-down-sign.jpg

 本稿執筆時点で詳細な経緯や犯人は明らかにされていませんが、現地警察では真犯人を特定し、逮捕する方針とのことです。

 こういった事件はかねてより可能性は指摘されていましたが、実際に起こるとやはり不気味に感じます。今回は単に「問題のある表現」に書き変えられていただけで、実質的には本来の掲示内容と同じ「スピードを落とさせる」内容だったために、実害は発生しませんでしたが、これを悪用すれば、意図的に渋滞を起こさせたり、場合によっては事故を誘発したりする可能性もあります。

 ところで今回の件では、表現にインパクトがあったため、結果的に掲示板に気を取られた多くのドライバーが車のスピードを落としたらしく、現地では「皮肉な成果」としてジョーク混じりに報道されているようです。

URL
 CTV News(2011年10月16日付記事)
 MPI electronic signs hacked, inappropriate messages posted
 http://winnipeg.ctv.ca/servlet/an/local/CTVNews/20111016/wpg_signs_111016/20111016/
 CBC News(2011年10月17日付記事)
 Hacked road sign curses Winnipeg drivers
 http://www.cbc.ca/news/offbeat/story/2011/10/17/mb-road-sign-hacked-winnipeg.html
 CBC News(2011年10月18日付記事)
 What advice would you give other drivers in your area?
 http://www.cbc.ca/news/yourcommunity/2011/10/what-advice-would-you-give-other-drivers-in-your-area.html


2011/11/4 06:00


山賀 正人
セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。日本シーサート協議会専門委員。