マルウェアは検知困難なポリモーフィック型へ、フィッシングサイトの平均寿命は15時間～ウェブルート調査

　ウェブルート株式会社は、同社が収集しているサイバーセキュリティの脅威情報を収集・分析した年次レポート「ウェブルート脅威レポート2017」を発表し、ランサムウェアなどのサイバー脅威に対するアプローチについてのプレス向け説明会を開催した。

マルウェアはパターンベースでの検知が困難なポリモーフィック型へ移行

　レポートによれば、実行形式ファイル全体のうち、マルウェアは2.5％、PUA（Potentially Unwanted App）は2.2％を占めるが、この割合は、2015年より減少している。ウェブルート株式会社シニアプリセールスエンジニアの中村多希氏はその理由として、「パターンファイルベースのウイルス対策ソフトで検知されると攻撃が失敗するため、（マルウェアが）ポリモーフィック型へ移行している」ことや、スパムメール本文やウェブサイト広告のURLからのマルウェアのダウンロード自体を防ぐことで、検出自体が減っていることも理由に挙げた。なお、同社で確認しているマルウェア／PUAの96％は、1度または1台でしか検出されていないものだという。

ウェブルート株式会社シニアプリセールスエンジニアの中村多希氏

2016年のランサムウェア被害額は1000億円以上、エクスプロイトキットの高度化とRaaSが進展

　ランサムウェアについては、2016年前半には、エクスプロイトキット「Angler」を用いたものが多く見られたが、6月以降には「Neutrino」で作成されたランサムウェアが代わって流通したという。現在ではこれも消え、「Sundown」と「RIG」が主流になっている。さらに、RaaS（Ransomware as a Service）の手法が確立され、技術がなくても容易にランサムウェアを作成可能なのが現状だ。FBIのデータでは、2016年の身代金支払い額は1000億円以上に及んでおり、2016年を通じて、2月に登場した「Locky」が多く出回り、「2017年もこの状況が続くと予測している」という。

　「WannaCry」については、ウェブルートでは登場直後の5月12日に検出しており、国内ユーザーの被害はなかったとのことだ。

「脅威IPアドレス」は米国がトップ、フィッシングサイトのライフサイクルが短期化

　「脅威IPアドレス」には、150の国で確認された800万～1200万の脅威アドレスが保持されているという。一度でも掲載されたことのあるIPアドレスは3300万に達するが、「攻撃を成功させ、検出を遅らせるために新しいIPを使って攻撃を仕掛けることが多いため、88％以上が一度しか登録されていない」とのこと。一方で、「とはいえトップ1万件のうち、評価により脅威IPアドレスのリストから外され、後に再登録される回数は平均で18回にもなる」という。

　スパムのソースIPと脆弱性スキャナーが多くを占めるという「脅威IPアドレス」を国別で見ると、IPアドレス全体の55％が割り当てられている米国が、41％で最多。中国は2015年と比較しても変化は少ないが、ベトナム、インドの増加率が目立ち、特にベトナムは0.4％から4％に増えているという。

　マルウェア、フィッシング、スパム、プロキシ、ボットネットなどの高リスクURLでも1位は米国で、こちらはドイツが2位となる。多くの国ではマルウェアの比率が高く、特に中国で88％、ウクライナでは84％、香港では80％を占める。一方、ドイツとオーストラリアは例外的にフィッシングが多いという。

　フィッシングサイトのライフサイクルは短期化が進んでおり、平均では15時間程度になるという。全体の5％が1時間未満で、最短では15分のサイトもある一方、最長でも2日程度とのこと。ドメインについては、攻撃を仕掛けては消え、攻撃キャンペーンのために新たに立ち上げるといった場合がこれまでは多かったが、2016年には、安全で信頼可能なサイトがそのまま使われることが増えているという。中でも、「1ページだけを悪意のあるものに書き換えてフィッシングに使うといった例が多い」とのことだ。

フィッシング標的の上位3社はGoogle/Yahoo!/Apple、悪意のあるAndroidアプリが5倍の2000万に急増

　ウェブサイトがフィッシングなどのなりすましにあった企業は、ITと金融が多いとのことだ。上位3社はGoogle（22％）、Yahoo!（18％）、Apple（15％）。IT企業のアカウントを偽装したフィッシングが比較的容易で、窃取したパスワードがほかのサイトに流用されている可能性が高く、価値が高いとされているという。

　Androidアプリの評価（レピュテーション）については、新規公開アプリ、更新アプリのうち悪意のあるアプリが、2016年前半のうち、SNSフィッシング、マルウェアキャンペーンが行われていた3月に突出して多く、その後8月以降に急増。2016年全体では、2015年の5倍程度となる2000万件に上った。中でも、マルウェアや迷惑な（Suspicious）アプリの割合が増えているとのことだ。

ウェブルートの脅威情報データベース

　ウェブルートのセキュリティ対策製品「Webroot SecureAnywhere」では、エンドユーザーからの情報がクラウド上に送信され、脅威インテリジェンスとして活用されている。これを機械学習で分析し、IPアドレスやURL、モバイルアプリなどのデータに対して相関分析を行い、1～100までのリスクスコアで評価を行うとともに、カテゴライズも行っている。

　この脅威インテリジェンス情報は、パターンファイルを用いないセキュリティ対策の実現に利用されるほか、提携している多くのセキュリティベンダーにも、APIを介して情報を提供しており、提供パートナーの企業ユーザーなどからも情報を収集している。

　この脅威情報は、4000万のセンサーから収集した6億のドメイン、40億のIPv4/IPv6アドレス、270億のURLを分類し、サイトの安全性についてのレピュテーション情報としてまとめている。また、130億のファイルの振る舞いの記録や、5000万のモバイルアプリの評価も含まれる。

　Webroot SecureAnywhereでは、まずファイルスキャン時にハッシュ値をとってクラウドに送り、脅威インテリジェンス上を参照、結果を返すといった仕組みで動作する。このため高速なのが特徴だという。ハッシュ参照で判明しない場合は振る舞いを分析し、それでも分からなければグレー判定し、端末での実行は許可されるが、その挙動が監視下に置かれる。

　ファイル作成やレジストリ変更、ファイルの暗号化といった挙動が記録され、その振る舞いに悪意があれば、ブロックされて隔離され、一番最初にグレー判定された時点に、ファイルによる変更をロールバックする仕組みを搭載しているという。