マカフィー、2015年第1四半期の脅威レポートを発表

・CTB-Lockerファミリ、新しいファミリであるTeslacrypt、新バージョンのCryptoWall／TorrentLocker／BandarChorなどのランサムウェアの蔓延により、2015年第1四半期には新しいランサムウェアが165%も急増

・攻撃者の標的がJavaアーカイブやMicrosoft Silverlightの脆弱性から、パッチ未対応のAdobe Flashの脆弱性へと移行したことにより、新しいAdobe Flashマルウェアが317%も急増 。一方でAdobeセキュリティチームは、脆弱性情報データベースに新たに提出された42件の脆弱性すべてに対応するパッチを同日に提供

・Equation GroupによるハードディスクとSSDの再プログラミング技術を利用するファームウェア攻撃に関する新しい詳細を公表

インテル セキュリティの中核を担うMcAfee, Inc.（本社：米国カリフォルニア州）のセキュリティ研究機関であるMcAfee Labs（マカフィー ラボ）は、2015年第1四半期の脅威レポートを発表しました。

今回のレポートでは、新しいランサムウェアの急速な蔓延、サイバースパイ集団「Equation Group」によるHDD／SSDファームウェア攻撃、そしてAdobe Flashを標的としたマルウェアの急増などが報告されています。

2015年第1四半期にMcAfee Labsが登録した新しいランサムウェアは165%増加しました。その主な要因は、検出が困難なCTB-Locker(*1) ランサムウェア ファミリ、Teslacryptと呼ばれる新しいランサムウェア ファミリ、そしてCryptoWall、TorrentLocker、BandarChorの各ランサムウェアの新バージョンの出現によるものと分析しています。McAfee Labsは、CTB-Lockerが増加した要因として、セキュリティ ソフトウェアを回避する巧妙な手口、見破るのが困難なフィッシング メール、CTB-Lockerを内包したフィッシング メッセージの配布と成功の対価として身代金の1%を共犯者に提供する「アフィリエイト」プログラムを挙げています。

(*1) 感染した被害者のファイルを暗号化し、元の状態にファイルを復号化するために身代金を要求するランサムウェア型トロイの木馬

McAfee Labsでは、組織と個人に対して、インテル セキュリティフィッシングクイズ（英語、下記URL参照）などのツールを活用して、フィッシングメールの見分け方を学ぶことが重要であると提案しています。
https://phishingquiz.mcafee.com/home/blog

また、第1四半期には、Adobe Flashを標的としたマルウェアの新しいサンプル数が317%増加しました。McAfee Labsでは、この急激な増加のいくつかの要因として、Adobe Flashの人気の高さ、ユーザーによるAdobe Flashパッチ適用の遅れ、Adobe Flashの脆弱性を悪用する新しい手法、Adobe Flashファイル（.swf）を再生できるモバイル端末の台数の急増、一部のAdobe Flashエクスプロイトの検出の難しさなどを挙げています。McAfee Labsは、エクスプロイトキット開発者の間で、JavaアーカイブとMicrosoft Silverlightの脆弱性を標的とした攻撃から、Adobe Flashの脆弱性を標的とした攻撃への移行が続いていると考えています。

第1四半期には、米国立標準技術研究所（NIST）が運営する脆弱性情報データベース「NVD（National Vulnerability Database）」に、新たに42件のAdobe Flashの脆弱性が提出されました。これらの脆弱性が提出されたその日のうちに、Adobe社では42件の脆弱性のすべてに対する最初の修正を発表しました。

McAfee Labsは、脆弱性に対応するベンダーの取り組みを無駄にしないために、組織と個人ユーザーは最新のセキュリティ パッチを適用して製品を最新の状態に維持することに努める必要があると指摘しています。

2015年2月、サイバーセキュリティ コミュニティは、「Equation Group」と呼ばれる組織がHDDとSSDのファームウェアを悪用した攻撃を実施しようとしていることを探知しました。これはMcAfee Labsが、2月に発見された再プログラミング モジュールを検証したところ、以前に報告されたHDD再プログラミング機能に加えて、SSD内のファームウェアも再プログラミングできることを発見したことで判明したものです。一度再プログラミングされると、HDDとSSDのファームウェアは感染したシステムが起動するたびにマルウェアをリロードするため、ドライブの再フォーマットやOSの再インストールなどを実施した場合でも、マルウェアは存続します。このマルウェアに感染すると、マルウェア自体がドライブの隠れた領域に格納されるため、セキュリティ ソフトウェアで検出することはできません。

McAfee Labsは、組織に対し、悪意あるリンクを含んだフィッシング メールやマルウェアに感染したUSBドライブやCDなど、既知の初期攻撃での脅威の検出を強化するための対策を講じるとともに、データ流出の防止に役立つソリューションの導入を検討するようアドバイスしています。

2015年第1四半期のその他の脅威動向は以下の通りです。

・PCマルウェアの増加：2015年第1四半期には、新しいPCマルウェアはわずかに減少しました。これは、2014年第4四半期に急増したSoftPulseというアドウェア ファミリの活動が通常水準に戻ったことによるものです。またMcAfee Labsは、2015年第1四半期にマルウェア「zoo」が13%増加し、サンプル数が4億件に達したと報告しています。

・モバイルマルウェア：モバイルマルウェアの新しいサンプル数が、2014年第4四半期から2015年第1四半期にかけて49%も増加しました。

・SSL攻撃：2015年第1四半期もSSL関連の攻撃は続いていますが、2014年第4四半期に比べると、件数は徐々に減っています。この減少は、SSLライブラリーのアップデートにより、2014年第4四半期に悪用された脆弱性の多くに対処した結果であると推察しています。shellshock攻撃は、昨年末に登場して以来、引き続き猛威を振るっています。

・スパムボットネット：医薬品、盗難クレジットカード、悪質なソーシャルメディア マーケティングツールの押し売りを仕掛けるDyre、Dridex、Darkmailer3.Slenfbotなどのボットネットは、FestiやDarkmailer2を抜いてスパムネットワークのトップに躍り出ました。

McAfee Labsのシニアバイスプレジデント、ヴィンセント・ウィーファー（Vincent Weafer）は次のように述べています。
「Adobe Flashのような人気の高い製品では、潜在的に数百万のユーザーを脅かすセキュリティ問題を事前に識別し、軽減するなどの大きな責任が伴います。今回のMcAfee Labsの調査結果は、IT業界がサイバーセキュリティの分野で機先を制するために協力していることを証明しています。業界のパートナー各社は脅威に対するインテリジェンスを共有し、テクノロジー プロバイダーは情報に迅速に対応することで、潜在的な脅威を防止しています。また、インテルは、ソフトウェアとハードウェアのハイブリッドな脅威やエクスプロイトを深刻に受け止めています。我々は学術的な概念実証と、ファームウェアまたはBIOS操作機能を持つ未知のマルウェアの両方を注意深く監視していますが、Equation Groupによるこれらのファームウェア攻撃は、この種の脅威の中でも最も高度なものの1つに位置付けられます。そのようなマルウェアはこれまで標的を絞り込んだ攻撃に利用されてきましたが、今後は、そのような脅威が一般に流通し、復活してくることは避けられないと思われるため、企業はそれらに対する防御策を講じる必要があります」

『McAfee Labs Threats Report: May 2015（McAfee Labs脅威レポート: 2015年5月）』の日本語版全文は、以下からダウンロードできます。
http://www.mcafee.com/jp/threat-center/report/download90.aspx

※当資料は、2015年6月9日に米国で発表されたプレスリリースの抄訳です。

■McAfee Labsについて
McAfee Labsは、Intel Securityの脅威調査部門であり、脅威調査、脅威インテリジェンス、サイバー セキュリティに関する世界有数の情報ソースです。McAfee Labsは400名を超える専任研究者を抱え、ファイル、Web、メッセージ、ネットワークなど、主要な脅威ポイントに配置された数百万のセンサーから脅威データを収集しています。そして、それら脅威ポイントから収集された脅威情報の相関性を分析し、そこから得られる脅威インテリジェンスをマカフィー独自のクラウド型リアルタイム脅威データベース「McAfee Global Threat Intelligence（GTI）」を通じて、緊密に統合されたマカフィーのエンドポイント製品やネットワーク製品へと配信しています。さらに、McAfee Labsは、アプリケーション分析、不審なプログラムのリスト管理など、主要な脅威検出テクノロジーを開発し、それらを業界で最も包括的な自社のセキュリティ製品群に統合しています。

■ マカフィーについて
マカフィーは、インテルコーポレーション（NASDAQ：INTC）の完全子会社であり、「インテル セキュリティ」のブランドのもと、同社のセキュリティに関する取り組みの中核を担っています。企業、官公庁・自治体、個人ユーザーが安全にインターネットの恩恵を享受できるよう、世界中のシステム、ネットワーク、モバイルデバイスを守るプロアクティブで定評あるセキュリティソリューションやサービスを提供しています。マカフィーは、Security Connected戦略、セキュリティにハードウェアを活用した革新的なアプローチ、また独自のGlobal Threat Intelligenceにより、常に全力でお客様の安全を守ります。詳しくは、http://www.mcafee.com/jp/ をご覧ください。
マカフィーでは、セキュリティに関するさまざまな研究成果や調査結果をweb上で公開しています。詳しくは下記ページをご覧ください。
http://www.mcafee.com/japan/security/report/default.asp

McAfee、マカフィーは、米国法人McAfee, Inc.またはその関係会社の米国またはその他の国における登録商標または商標です。Intel、インテルは、米国およびその他の国におけるインテル コーポレーションの商標です。本書中のその他の登録商標及び商標はそれぞれその所有者に帰属します。(C) 2015 McAfee, Inc. All Rights Reserved.