マカフィー、2017年第1四半期の脅威レポートを発表

ニュース ハイライト
・2017年第1四半期中、1分あたり244件、1秒あたり4件近くのサイバー上の脅威をMcAfee Labsが新たに検知
・アジア太平洋地域のモバイル マルウェア感染率が2倍に増加し、世界の感染率が57%上昇
・過去4四半期で検知されたモバイル マルウェアの合計サンプル数は1,670万個で、前年同期比79%増を記録
・アドウェアの過剰供給により、2017年第1四半期末時点でのMac OSマルウェアの合計サンプル総数が前期比53%増加
・Android OSを標的としたCongur系ランサムウェアによる攻撃が主要因となり、2017年第1四半期は新しいランサムウェアが再び増加
・過去1年間のランサムウェアの合計サンプル数は、59%増の960万個を記録
・2017年第1四半期に公表されたセキュリティ インシデントは、前期比53%増の301件を記録
・50%以上のセキュリティ インシデントが、医療、公共、教育部門で発生

米国マカフィー（McAfee LLC、本社：米国カリフォルニア州）は本日、パスワード窃取マルウェア「Fareit」の起源とその内部での挙動、マルウェア作成者が利用する検知回避技法の30年にわたる進化の歴史、検知回避技法としてのステガノグラフィー（電子迷彩技術）の特性についての解説、さまざまな業界で報告されている攻撃の検証結果、2017年第1四半期に発見されたマルウェア、ランサムウェア、モバイル マルウェア、その他の脅威の増加傾向について報告する最新の2017年第1四半期の脅威レポート「McAfee Labs脅威レポート：2017年6月」(英語)を発表しました。
https://www.mcafee.com/common/js/asset_redirect.html?eid=17BR_TRGLQ2_WP_WW-2&url=http://www.mcafee.com/us/resources/reports/rp-quarterly-threats-jun-2017.pdf

30年にわたるマルウェア検知回避技法の歴史
マルウェア作成者によるセキュリティ製品を回避する技法の歴史は、1980年代、一部のマルウェアがそのコードを部分的に暗号化し、セキュリティ分析者による解読を逃れたことから始まります。「検知回避技法」という言葉には、マルウェアが検知、解析、解読を回避するために利用しているすべての手法が含まれます。マカフィーは、その検知回避技法を大きく3つのカテゴリに分類しています。

・アンチ セキュリティ技法： アンチ マルウェア エンジン、ファイアウォール、アプリケーションの封じ込め、またはその他の環境保護ツールによる検知を逃れるための技法
・アンチ サンドボックス技法： 自動解析を検知し、マルウェアの振る舞いを報告するエンジンを逃れるための技法。仮想化環境に関わるレジストリ キー、ファイル、プロセスを検知し、サンドボックスで自動解析が実行されている際に、それをマルウェアに伝達
・アンチ アナリスト技法： マルウェア 分析者を検知し、これを欺くための技法。例えば、Process ExplorerやWiresharkなどの監視ツールや、一部のプロセス監視法、パッカー、または難読化を発見し、リバース エンジニアリングを回避

最新のMcAfee Labs脅威レポートでは、一部の非常に強力な検知回避技法や、入手可能な検知回避技法を販売している確立された闇市場、現代のマルウェア ファミリーによる検知回避技法の使用例、また機械学習やハードウェア ベースの検知回避など、将来的に予想される技法について詳しく説明しています。

周囲に溶け込む技術 ：脅威を隠蔽するステガノグラフィー
ステガノグラフィー（電子迷彩技術）とは、秘密のメッセージを隠すための理論や方法です。デジタルの世界では、画像、音声、動画、テキストファイルにメッセージを隠蔽することを指します。デジタル ステガノグラフィーは、マルウェア作成者がセキュリティ システムの検知を逃れるために利用されます。サイバー攻撃では、2011年のDuquマルウェアで初めて確認されました。埋め込みアルゴリズムによってデジタル画像に秘密情報を挿入し、その画像を標的とするシステムに送り、そこで秘密情報を抽出させてマルウェアに悪用させます。人間の目やセキュリティ技術では、この改ざんされた画像を検知することが困難な場合があります。

ネットワーク ステガノグラフィーは、TCP／IPプロトコル ヘッダー内の未使用フィールドにデータが隠蔽されるもので、マカフィーはこれを最新の検知回避技法と考えています。この技法により、攻撃者はネットワークから無限の情報を送ることができるため、攻撃者による悪用が増加しています。

Fareit ：最も悪名高いパスワード窃取マルウェア
Fareitマルウェアは2011年に初めて確認され、以降、新規の攻撃、アーキテクチャーや内部機能の強化、新手の検知回避方法など、さまざまな進化を遂げています。現在では最も悪名高いパスワード窃取マルウェアとして知られているFareitですが、2016年のアメリカ合衆国大統領選挙を前に注目を集めた民主党全国委員会（DNC）の情報漏洩事件では、このマルウェアが使われた可能性が高いという見解が強まっています。

Fareitは、フィッシング メール、DNSポイズニング、エクスプロイト キットなどのメカニズムを通して広まりました。標的に、Word文書、JavaScript、またはアーカイブ ファイルを添付した不正なスパム メールを送り、被害者がこの添付ファイルを開くとFareitはシステムに感染し、盗んだ認証情報をコントロール サーバーに送り、そのFareitが利用されている攻撃に、追加で他のマルウェアをダウンロードします。

2016年のDNC情報漏洩事件は、Grizzly Steppeというマルウェア攻撃によるものです。マカフィーは、アメリカ合衆国政府のGrizzly Steppeレポートで公表された感染指標リストにFareitのハッシュを確認しました。このFareitは、DNC攻撃用に特別設計され、フィッシング メール攻撃を通じて送られた不正なWord文書によって拡散したと考えられています。

このマルウェアは、一般的に確認されているFareitのサンプルとは異なり、複数のコントロールサーバーのアドレスを参照しています。DNC攻撃者は、これを他の技法と組み合わせ、メールやFTPなどの重要な認証情報を盗むために使用したものと考えられます。マカフィーは、Fareitが感染したシステムにOnion DukeやVawtrakなどの高度な脅威もダウンロードさせ、二次攻撃を実施したと分析しています。

2017年第1四半期の脅威動向
2017年第1四半期中、マカフィーの世界規模の脅威データベースであるGTI（グローバル脅威インテリジェンス）ネットワークは、さまざまな業界におけるサイバー脅威の増加とサイバー攻撃のインシデントで顕著な傾向を確認しました。

・新たな脅威： 第1四半期は、1分あたり244個の脅威が新たに検知されました。その数は、1秒あたり4個以上に相当します。

・セキュリティ インシデント： マカフィーは、第1四半期に一般開示されたセキュリティ インシデントを301件確認しました。2016年第4四半期から53%の増加し、その50%以上が、医療、公共、教育部門で発生しています。

・マルウェア全体： 第1四半期、マルウェア全体の新規サンプル数は3,200万個で、再度増加に転じました。過去1年間に発見されたマルウェア全体の合計サンプル数は、22%増の6億7,000万個でした。新規マルウェアの数は、過去4年間の四半期合計平均数まで跳ね上がりました。

・モバイル マルウェア：第1四半期、アジア太平洋地域でモバイル マルウェア数が倍増したため、感染率は世界で57%上昇しました。過去4四半期に発見されたモバイル マルウェアの合計サンプル数は79%増の1,670万個で、最も増加が顕著だったのは、インドで検知されたAndroid/SMSregで拡散したと思われる不正プログラムでした。

・Mac OSマルウェア：アドウェアの過剰供給が原因で、過去3四半期間中を通して、新しいMac OSマルウェアが急増しました。Windows上の脅威のサンプル数と比較するとまだ少ないものの、第1四半期末時点でのMac OSマルウェアの合計サンプル総数は前期比で53%の増加を記録しました。

・ランサムウェア：Android OSデバイスを標的としたCongurランサムウェア攻撃が主要因となり、第1四半期のランサムウェアの新規サンプル数は再度増加しました。過去1年間のランサムウェアの合計サンプル数は、前年同期比59%増の960万個でした。

・スパム ボットネット： 今年4月、スペインでKelihosボットネットの首謀者が逮捕されました。Kelihosは、長年にわたり、何百万件ものスパム メッセージでバンキング マルウェアやランサムウェアを拡散させてきたボットネットです。米司法省は、アメリカ合衆国と海外当局、シャドーサーバー・ファウンデーション（Shadowserver Foundation）、およびセキュリティ業界間の国際協力に同意しました。

マカフィーのMcAfee Labs担当バイス プレジデントであるヴィンセント・ウィーファー（Vincent Weafer）は、「ハッカーやマルウェア作成者に利用されるアンチ セキュリティ、アンチ サンドボックス、アンチ アナリスト技法の数は数百種類に上り、その多くは闇サイトから既製品として購入することができます。また、検知回避技法が、単独のマシン上で実行されるシンプルな脅威を隠蔽するものから、長期的に企業環境を狙う複雑な脅威を隠蔽するもの、さらに機械学習ベースの保護に対抗するものへと、完全に新しいパラダイムへと進化していることが、本脅威レポートによって改めて明らかになっています」と述べています。

また、ウィーファーは、「パスワードだけで保護されたシステムやデバイスに対する人や企業、政府の依存が高まっていますが、このような認証情報は脆弱で簡単に盗まれ、サイバー犯罪者にとって格好の標的となりえます。二要素認証によるシステムへのアクセス方法を取り入れなければ、パスワードを盗む攻撃の数は増え続けます。Grizzly Steppeによる攻撃は、新しい未来型の戦術を先取りしたものなのです」と述べています。

『McAfee Labs Threats Report: June 2017（McAfee Labs脅威レポート: 2017年6月）』の英語版全文は、以下からダウンロードできます。
https://www.mcafee.com/jp/resources/reports/rp-quarterly-threats-jun-2017.pdf
※『McAfee Labs Threats Report: June 2017（McAfee Labs脅威レポート: 2017年6月）』の日本語版全文は現在準備中です。準備が整い次第、近日中に別途ご案内差し上げる予定です。

McAfee Labsについて
McAfee Labsは、マカフィーの脅威調査部門であり、脅威調査、脅威インテリジェンス、サイバー セキュリティに関する世界有数の情報ソースです。McAfee Labsは、ファイル、Web、ネットワークなど、主要な脅威ポイントに配置された数百万のセンサーから脅威データを収集しています。そして、それら脅威ポイントから収集された脅威インテリジェンス、重要な分析結果、専門化としての見解などをリアルタイムに配信し、より優れた保護とリスクの軽減に取り組んでいます。さらに、McAfee Labsは、核となる脅威検出テクノロジーを開発し、それらを業界で最も包括的な自社のセキュリティ製品群に統合しています。

マカフィーについて
マカフィーは世界最大規模の独立系サイバーセキュリティ企業です。業界、製品、組織、そして個人の垣根を超えて共に力を合わせることで実現する、より安全な 世界を目指し、企業そして個人向けのセキュリティ ソリューションを提供しています。詳細はhttp://www.mcafee.com/jp/ をご覧ください。

McAfee、McAfeeのロゴは、米国およびその他の国におけるMcAfee LLCの商標です。
* その他の製品名やブランドは、該当各社の商標です。