モバイルマルウェアの99％がAndroid標的、Kasperskyが報告書　ほか

　1月のセキュリティ関連の話題としては、まず日本では、元旦に報道された農林水産省へのサイバー攻撃の話題が筆頭に挙げられるでしょう。ほかにも「遠隔操作ウイルス」に関する新たな動きもありました。

　一方、国際的な情勢に目を向けると、Javaの脆弱性を使ったゼロデイ攻撃の発生とそれに伴うJavaのアップデート、しかし、そのアップデートが不十分であることが判明したほか、アップデートプログラムを装ったマルウェアが登場するなど、Javaを巡る「騒動」もありました。また、政府機関などを狙うマルウェア「Red October」による大規模なスパイ活動が少なくとも5年以上に渡って続いていたとの調査報告などもありました。

モバイルマルウェアの99％がAndroid標的、Kasperskyが報告書

　Kasperskyは、マルウェアをはじめとするさまざまなサイバー脅威を総括した報告書の2012年版「Kaspersky Security Bulletin 2012」を発表しました。

　この報告書の最大のトピックは、カスペルスキー自身が報道発表のタイトルにも使っているように、モバイルデバイス向けマルウェアの99％がAndroidをターゲットにしているという点です。モバイルデバイスの中では主にAndroidが標的になっていることは知られていますが、99％という数字を出されると、その極端さに多少の驚きはあります。また、これに関連して、Google Play（旧Android Market）にGoogleが独自のマルウェア検知システムを導入したにもかかわらず、導入の前後でマルウェアによるインシデントに特に変化は見られなかったようです。

　一方、Mac OS Xを対象としたマルウェアも増加傾向にあり、Kasperskyが作成したシグネチャーの数は2011年と比べて30％増加しており、2010年の比べると6倍に及んでいます。

　ウェブ経由の攻撃に使われたアプリケーションの脆弱性の割合を示したのが、図1です。

図1：ウェブ経由の攻撃に使われたアプリケーションの脆弱性の割合（Kaspersky Labの報告書より）

　Javaが半数を占め、Acrobat Readerがそれに続いているという状況はともかく、意外だったのはFlash Playerがわずか2％であるという点です。この数年、最も狙われやすいアプリケーションの1つと言われていたFlash Playerがここまで少なくなっていることに対して、報告書では直接言及されていませんが、同じAdobe製品であるAcrobat Readerの割合が以前に比べて減少していることに関してAdobeによる脆弱性対策が進んでいるからとしているので、理由は同じであると考えられます。

　また、このようなウェブ経由の攻撃に使われるサイト（マルウェア配布サイト）が最も多く存在する国は全体の25.5％を占める米国、続いてロシア、オランダ、ドイツ、英国の順になっています。観測されたのは202の国や地域でしたが、そのうち20の地域だけで全体の96.1％を占めています。

　ところで、かつてはトップに位置していた中国の占める割合が2％に過ぎないという点について、報告書では中国当局による対応や規制が強まったことが原因としています。

　国や地域別のマルウェア感染率については、高い順でトップはバングラデシュ、続いてスーダン、マラウィ、タンザニア、ルワンダとなっています。一方、低い順でトップはデンマーク、続いて日本、フィンランド、スウェーデン、チェコとなっています。

　最後に、この報告書の結論として「2011年は脆弱性の年（the year of the vulnerability）だったのに対し、2012年はJavaの脆弱性の年（the year of the Java vulnerability）と言えるだろう」としています。

　今年も年明け早々にJavaの脆弱性が騒動を生みましたが、2013年も「Javaの脆弱性の年」になるかもしれません。

欧州ネットワーク情報セキュリティ庁、現在の脅威の傾向を順位付け

　ENISA（European Network and Information Security Agency：欧州ネットワーク情報セキュリティ庁）がサイバーセキュリティの脅威に関する報告書を発表しました。

　ENISAは、2004年3月に設立された欧州連合（EU）の機関で、EU加盟国のみならず、民間企業や欧州の一般市民に対してネットワークセキュリティや情報セキュリティに関する専門知識に基づいた助言や提言をしています。

　今回、ENISAが公開した報告書は、インシデントなどに関してさまざまな組織（CSIRT含む）が公開した120を超える情報を分析した結果に基づき、現在の脅威の傾向を順位付けしたもので、読み手としては企業や組織において意思決定をする人、セキュリティの専門家、リスクマネージャーなどを想定しています。また、それらの脅威への対策として孫子の兵法に基づいた結論を提示しており、中でも「彼（敵）を知り己を知れば百戦して殆うからず」を強調しています。

　現在の脅威の傾向の結論をまとめたのが表1です。

表1：現在の脅威の傾向（ENISAの報告書より）

　報告書ではそれぞれの脅威について具体的に解説しています。その中から上位5つについて簡単に紹介します。

1）Drive-by exploits
　いわゆる「Drive-by-Download攻撃」のことで、攻撃に使われる脆弱性はJava、Adobe Reader、Adobe Flashといったブラウザーのプラグインです。また、Androidを対象としたDrive-by-Download攻撃も観測されています。

2）Worms/Trojans
　登場してからすでに4年以上が経っていますが、Autorunを使ったトロイの木馬やConfickerワームは未だに被害を生み続けています。

3）Code Injection
　SQLインジェクションやクロスサイトスクリプティング（XSS）、クロスサイトリクエストフォージェリ（CSRF）、リモートファイルインジェクション（RFI）などの攻撃手法です。2012年は特にSQLインジェクションがハクティビストらの攻撃に悪用される傾向がありました。

4）Exploit Kits
　ブラウザーやブラウザーのプラグインの脆弱性を使って自動的にサイバー犯罪を行なえる「パッケージ」が存在しており、Malware-as-a-Service（MaaS）が犯罪ビジネスとして台頭してきています。Exploit Kitの中では「Blackhole Exploit Kit」が2012年上半期のトップでした。

5）Botnets
　ボットネットを構成するもの（ボット感染先）がWindows PCだけでなく、MacやAndroidにも広がっています。

　この報告書の内容自体に何か目新しいものが含まれているというわけではないのですが、広くまんべんなく平易にまとめられていますので、次年度のセキュリティ対策を検討し、予算などを計画する際の参考資料としては有用でしょう。

ネット活動家アーロン・シュワルツ氏の自殺による波紋

　1月11日、インターネット活動家として知られる26歳のアメリカ人青年アーロン・シュワルツ（Aaron Swartz）氏が自宅で首つり自殺をしました。

　彼は有料で配布されていた学術論文を「不正に」ダウンロードしたとして逮捕・起訴されており、裁判で有罪が確定すれば35年の懲役刑と100万ドルの罰金が科せられる可能性がありました。自殺はそれを苦にしてのものと見られています。

　サイバー犯罪が巧妙・複雑・悪質化し、その一方でハクティビストらによるサイバー攻撃が世の中の注目を集める中、当局がサイバー犯罪に対して厳罰化の方向に進んでいる状況は「致し方ない」と言える部分も確かにあります。

　しかし、今回のシュワルツ氏の件については、「無償で公開されるべき学術論文を有料で配布するのはおかしい」との動機から考えても、そこまでの厳罰を与えるほどのものであるとは到底思えないのです。彼に罪が全くないとまでは言いませんが、「被害」を受けた側が後にシュワルツ氏と和解し、アーカイブの一部を公開するなど、利害関係という意味ではほぼ問題が解決していると言っていい状態にあるにもかかわらず、頑なに彼を犯罪者として厳しく処罰しようとした担当検察官らの姿勢には疑問を感じざるをえません。

　彼の自殺は米国内で物議を醸しており、当局による「都合の良い拡大解釈」を許してしまう可能性のある法律上の曖昧さをはじめ、司法の制度上の問題点が指摘されています。また、そのような中、今回のような司法当局の「暴走」を食い止めるための法律として、彼の名に因んだ「アーロン法」が提案されるなどしています。

　米国に限らず、サイバー犯罪に関わる法律は、歴史が浅いこともあってか、犯罪の定義に曖昧さがあり、極端に言えば「当局が処罰したい者を処罰することも可能」なケースが珍しくありません。日本でも（状況は違いますが）「遠隔操作ウイルス」による冤罪があったように、決して他人事ではないのです。

　なお、シュワルツ氏の自殺に関連して、Anonymousが米政府サイトを改ざんしたとの報道もありました。