インテル セキュリティ、2016年第3四半期の脅威レポートを発表

・企業のセキュリティ オペレーション センター（SOC）を対象に行われた調査では、回答者の93%が潜在的な脅威すべての優先度を判断することは不可能と認める
・組織はセキュリティに関するアラートの平均25%を十分に調査できていないことが明らかに
・回答者の67%が、セキュリティ インシデントが増加したと回答
・回答者の26%が、事前対策型のセキュリティ運用プランがあるにも関わらず、事後対応型の運用を行っていると回答
・2016年初め以降、ランサムウェアの新規サンプル数が80%増加
・2016年第3四半期は、BundloreアドウェアによりMac OSを狙う新規マルウェアが637%も急増。一方で、Mac OSを標的とした合計サンプル数は依然少ない

インテル セキュリティ（日本での事業会社：マカフィー株式会社、所在地：東京都渋谷区、代表取締役社長：山野 修）のセキュリティ研究機関であるMcAfee Labs（マカフィー ラボ）は、2016年第3四半期の脅威レポート（http://www.mcafee.com/jp/resources/reports/rp-quarterly-threats-dec-2016.pdf　）を発表しました。このレポートでは、企業のセキュリティ オペレーション センター （SOC）の現状に関する考察や、2016年に猛威を振るったランサムウェアの進化の詳細、そして、正規のソフトウェアをトロイの木馬に感染させ、それを悪用して長期間潜伏し検知を逃れるマルウェアがいかにして作成されているか、などについて報告しています。また、この最新レポートでは、2016年第3四半期のランサムウェア、モバイル マルウェア、マクロ マルウェア、Mac OSマルウェア、その他の脅威の増加率など、最新の動向も報告しています。

2016年のSOCの現状
2016年半ば、インテル セキュリティは、企業によるSOCの利用方法やSOCのこれまでの変遷、そして、将来的なSOCの形について理解を深めるための調査を実施しました。さまざまな地域、業界、企業規模の会社から400人近くのセキュリティ専門家に聞き取り調査を行い、2016年のSOCの現状について貴重な情報を得ることができました。

・膨大なアラートの量：地域や規模を問わず、組織は平均で全体の25%のセキュリティ アラートを十分に調査できていません。

・優先度判断の問題：大多数の回答者が、大量のセキュリティ アラートに忙殺されていることを認めており、93%近くの回答者が、潜在的脅威の優先度を適切に判断できていません。

・インシデントの増加傾向：67%の回答者が、攻撃数が増加したか、監視能力の向上により、セキュリティ インシデント数が増加したと回答しました。

・増加の原因：インシデント数が増加したと答えた回答者の57%が攻撃の数そのものが増えたことを原因と考えている一方で、73%は攻撃検知能力が向上したことが原因だと考えています。

・脅威の兆候：過半数の組織（64%）は通常、アンチマルウェア、ファイヤーウォール、侵入防止システム（IPS）など、従来型のセキュリティ制御ポイントから脅威検知の通知を受け取っています。

・事前対策と事後対応：過半数の回答者は、事前対策型の最適なセキュリティ運用という目標に向かって進化していると主張する一方で、回答者の26%は、セキュリティ運用、脅威の追跡、インシデント対応にその場しのぎの対応を行う事後対応型の取り組みのままです。

・敵対者：2015年に行った調査では、回答者の3分の2（68%）以上が、外部からの標的型攻撃や関係者による内部からの脅威を経験しています。

・セキュリティ調査を実施する理由：回答者は、セキュリティ調査を実施する理由として、マルウェア全般によるインシデント（30%）、 マルウェアによる標的型攻撃（17%）、ネットワークに対する標的型攻撃（15%）、関係者の不注意による情報漏えい／脅威の可能性（12%）、悪意ある関係者の脅威（10%）、国家組織からの直接的な攻撃（7%）、国家組織からの間接的またはハクティビストによる攻撃（7%） と回答しました。

アンケートの回答者は、SOCの発展や投資で最優先されるべきことは、再発防止に向けた連携、復旧、根絶、学習など、特定された攻撃への対応能力を向上させることであると回答しています。

McAfee LabsのSOC状況調査の詳細は、「Do you need to pull up your SOCs?」（SOCの改善は必要か？、英語）をご覧ください。
https://securingtomorrow.mcafee.com/mcafee-labs/do-you-need-to-pull-up-your-socs/

「トロイの木馬」化した正規ソフトウェアの出現
攻撃者が悪意ある意図を隠すために、一般的に普及しているコードにトロイの木馬を仕込む手法は数多く存在しますが、今回のレポートでは、その一部を詳しく説明しています。McAfee Labsは、実際に使われている下記のようなさまざまな手法を特定しました。

・仲介者攻撃を通じて実行ファイルがダウンロードされた際に、すぐにパッチを適用される

・バインダーや結合ツールを利用し、「正常な」ファイルと「不正な」ファイルをバンドルする

・パッチ適用ツールから実行ファイルを変更し、アプリケーションの使用をスムーズに継続する

・オープンソースで公開されている コードや逆コンパイルしたコードを変更する

・再配布ライブラリ内のマスターのソースコードを感染させる

正規ソフトウェアのトロイの木馬化に関する詳細は、「“Trojanization” of Legit Apps on the Rise」（トロイの木馬化した正規アプリの増加、英語) をご覧ください。
https://securingtomorrow.mcafee.com/mcafee-labs/trojanization-is-on-the-rise/

2016年はランサムウェアの年？
今年の第3四半期末までに新たに検出されたランサムウェアのサンプル数は合計3,860,603個で、ランサムウェアのサンプル数の合計は2016年初めから80%増加しました。数が急増しただけでなく、2016年のランサムウェアには、ディスクの一部または全部の暗号化、正規アプリケーションが使用するウェブサイトの暗号化、サンドボックス回避技術、ランサムウェア実行用エクスプロイト キットの精度向上、サービスとしてのランサムウェア（ransomware-as-a-service）の開発の増加など、著しい技術的進歩が確認されました。

ランサムウェア関連の詳しい進展情報については、「A Year at Ransom」 (ランサムの年、英語) をご覧ください。
https://securingtomorrow.mcafee.com/mcafee-labs/2016-a-year-at-ransom/

2016年第3四半期の脅威動向
2016年第3四半期、McAfee LabsのMcAfee Global Threat Intelligence （GTI）ネットワークは、ランサムウェア、モバイル マルウェア、そしてマクロ マルウェアの著しい急増を記録しました。

・ランサムウェア：2016年第3四半期、ランサムウェアのサンプル数の合計は18%増加しました。年初からは80%の増加です。

・Mac OSマルウェア：第3四半期にはMac OSを狙う新規マルウェアが637%急増しましたが、その主な要因は、Bundloreという単独のアドウェア ファミリーです。しかしながら、他のプラットフォームと比べてMac OSマルウェアの合計数が非常に少ないことに変わりはありません。

・新たなマルウェア：第3四半期に見つかった新しいマルウェアは21%減少しました。

・モバイル マルウェア：第3四半期、200万種以上のモバイル マルウェアの脅威が新たに確認されました。第3四半期中、アフリカとアジアでの感染率はそれぞれ1.5%低下しましたが、オーストラリアは2%増加しました。

・マクロ マルウェア：第2四半期に初めて確認したMicrosoft Office（主にWord）の新規マクロ マルウェア数の増加が、第3四半期にも確認されました。

・スパム ボットネット：Necursボットネットの数が第2四半期の7倍近くまで増加し、第3四半期で最多のスパム ボットネットになりました。また、Kelihosによるスパム攻撃の急激な減少を確認しました。これは2016年の四半期統計で初の減少です。

・ボットネットの世界的蔓延：第3四半期も、ワームやダウンローダーを配布するWapomiが首位の座を維持しましたが、その数は第2四半期の45%から減少しました。また、第2四半期にトラフィック量がわずか2%程度だった、ボットネットから配信されるCryptXXXランサムウェアが2位にランクインしました。

インテル セキュリティのMcAfee Labs担当バイス プレジデントであるVincent Weafer(ヴィンセント・ウィーファー)は、次のように述べています。
「セキュリティ業界が抱える難しい課題の1つは、マルウェアの誤検出率を低くおさえながら、正規のソフトウェアのように振る舞うよう設計された悪意あるコードの動作を特定することです。振る舞いが正規のコードに近ければ近いほど、検知の網から逃れられる可能性が高まります。2016年にサンドボックス回避型のランサムウェアが増加したように、不審な挙動を隠ぺいしたいというサイバー犯罪者のニーズの高まりを受け、正規のアプリケーションを”トロイの木馬”化する傾向が強まっています。このようなサイバー犯罪の技術的進歩の結果、迅速な検知と追跡能力、そして進行中の攻撃を根絶する能力が要求されるSOC に、これまでになく大きな負荷がかかっています」

「昨年私たちは、2015年に確認されたランサムウェア攻撃の凄まじい増加傾向は2016年も続くと予測しました。2016年は、ランサムウェア攻撃数の急増や、世間の注目を集める多くの攻撃が幅広くメディアの関心を集めたこと、また、この手の攻撃に大幅な技術的進歩があったことから、『ランサムウェアの年』として記憶されることでしょう。一方で、セキュリティ業界と警察間の協力体制が強化されたことや、業界内の競合企業同士の建設的な協業により、犯罪者相手の戦いに確かな成果が現れ始めました。そのため、2017年は、ランサムウェア攻撃の勢いが弱まると予測しています」

『McAfee Labs Threats Report: December 2016（McAfee Labs脅威レポート: 2016年12月）』の日本語版全文は、以下からダウンロードできます。
http://www.mcafee.com/jp/resources/reports/rp-quarterly-threats-dec-2016.pdf

※当資料は、2016年12月13日に米国で発表されたプレスリリースの抄訳です。

■McAfee Labsについて
McAfee Labsは、Intel Securityの脅威調査部門であり、脅威調査、脅威インテリジェンス、サイバー セキュリティに関する世界有数の情報ソースです。McAfee Labsは、ファイル、Web、メッセージ、ネットワークなど、主要な脅威ポイントに配置された数百万のセンサーから脅威データを収集しています。そして、それら脅威ポイントから収集された脅威情報の相関性を分析し、そこから得られる脅威インテリジェンスをマカフィー独自のクラウド型リアルタイム脅威データベース「McAfee Global Threat Intelligence（GTI）」を通じて、緊密に統合されたマカフィーのエンドポイント製品やネットワーク製品へと配信しています。さらに、McAfee Labsは、アプリケーション分析、不審なプログラムのリスト管理など、主要な脅威検出テクノロジーを開発し、それらを業界で最も包括的な自社のセキュリティ製品群に統合しています。

■インテル セキュリティについて
McAfeeブランドの製品を提供するインテル セキュリティは、デジタル化された世界とすべての人々の生活をより安全にするために取り組んでいます。インテル セキュリティは、インテルの事業部門です。詳細はhttp://www.mcafee.com/jp/　をご覧ください。

Intel、インテル、インテルロゴ、McAfee、マカフィー、マカフィーロゴは、米国およびその他の国におけるインテル コーポレーションの商標です。本書中のその他の登録商標及び商標はそれぞれその所有者に帰属します。
(C) 2016 Intel Corporation.