海の向こうの“セキュリティ”
マイクロソフト2015年下半期セキュリティ報告書/カスペルスキー2016年第1四半期脅威報告書
2016年6月7日 06:00
マイクロソフト2015年下半期セキュリティ報告書
「マイクロソフト セキュリティ インテリジェンス レポート」(以降、SIRと略)の2015年下半期を対象とした第20版が公開されました。今回の報告書では、アジアを対象とした標的型攻撃を行っているグループ「PLATINUM」の詳細な解説が目を引きますが、他にも、脆弱性や攻撃ツール、マルウェア、ウエブベースの攻撃など、トータルで200ページ近い盛りだくさんな内容の報告書となっています。
報告書の中で少々不思議に見えたのは、6年も前に修正された古い脆弱性がいまだに多く狙われているという点です。その脆弱性「CplLnk(CVE-2010-2568、MS10-046)」は、Stuxnetに使われたゼロデイの脆弱性の1つで、Windows 7のみに影響し(Windows 8以降には影響せず)、しかも2010年8月に修正済みであるにもかかわらず、2015年下半期の時点でも2番目に多く狙われているのだそうです。
もちろん、そのような攻撃を検知しただけで、攻撃が成功したことを示しているわけではないのですが、悪用しやすい脆弱性は使い続けられるものであり、古い脆弱性でも忘れずに確実に対応しておかなければならないことを示す典型例と言えるでしょう。
また、SIRで毎回紹介されているマルウェアの「遭遇率(encounter rate)」と「感染率(infection rate)」を国や地域別にまとめたものは以下の図の通りです。今回も日本は低い値となっています。
URL
- マイクロソフト セキュリティ インテリジェンス レポート
- https://www.microsoft.com/ja-jp/security/resources/sir.aspx
- Microsoft Security Intelligence Report
- https://www.microsoft.com/security/sir/default.aspx
- 「Ars Technica」2016年5月6日付記事
Antimalware software works, hackers still trying to exploit 6-year-old bugs - http://arstechnica.com/information-technology/2016/05/microsoft-blocked-4-billion-malicious-login-attempts-in-2015/
- マイクロソフト セキュリティ情報 MS10-046 - 緊急
Windows シェルの脆弱性により、リモートでコードが実行される(2286198) - https://technet.microsoft.com/ja-jp/library/security/ms10-046
カスペルスキー2016年第1四半期脅威報告書
Kaspersky Labが2016年第1四半期における脅威についてまとめた報告書を公開しました。標的型攻撃やランサムウェアをはじめとするサイバー犯罪など、同四半期を代表するセキュリティ関連の話題について解説しています。この中で特に目を引いたのは、偽のCSIRTをかたって行われた標的型攻撃で、これについては「ついに来たか……」との感を抱かざるをえません。
今回は、報告書の中から国や地域ごとの違いをまとめたものをピックアップして簡単に紹介します。ただし、あくまでKaspersky Labの製品利用者から収集された情報に基づいたものであり、その利用者数が1万に満たない国や地域は対象外となっていることに注意が必要です。
まず、ウイルス検知ソフトによって何らかのマルウェアが一度でも検知されたことのある利用者の割合の高い順で並べたのが以下の表です。
| 1 | Somalia | 66.88% |
| 2 | Yemen | 66.82% |
| 3 | Armenia | 65.17% |
| 4 | Kyrgyzstan | 64.45% |
| 5 | Russia | 64.18% |
| 6 | Tajikistan | 64.06% |
| 7 | Bangladesh | 63.00% |
| 8 | Vietnam | 61.31% |
| 9 | Afghanistan | 60.72% |
| 10 | Kazakhstan | 60.62% |
| 11 | Nepal | 59.60% |
| 12 | Uzbekistan | 59.42% |
| 13 | Ethiopia | 59.23% |
| 14 | Ukraine | 58.90% |
| 15 | Belorussia | 58.51% |
| 16 | Laos | 58.46% |
| 17 | Rwanda | 58.10% |
| 18 | Iraq | 57.16% |
| 19 | Algeria | 57.50% |
| 20 | Moldova | 56.93% |
逆に最も割合の低かったのは以下となっています。
| 1 | Japan | 21.0% |
| 2 | Denmark | 23.2% |
| 3 | Czech Republic | 27.2% |
これらを世界地図で色分けしたのが以下の図です。
ランサムウェア(Trojan-Ransom encryptor)に攻撃された(≒未遂に終わった)利用者の割合の高い順で並べたのが以下の表です。
| 1 | Italy | 3.06% |
| 2 | Netherlands | 1.81% |
| 3 | Belgium | 1.58% |
| 4 | Luxembourg | 1.36% |
| 5 | Bulgaria | 1.31% |
| 6 | Croatia | 1.16% |
| 7 | Rwanda | 1.15% |
| 8 | Lebanon | 1.13% |
| 9 | Japan | 1.11% |
| 10 | Maldives | 1.11% |
トップのイタリアで最も多かったのは「Teslacrypt」だったようです。また、マルウェア全体に関しては「最も安全」とされた日本が9位となっているのは注目すべき点でしょう。
次に、モバイルマルウェアに攻撃された(≒未遂に終わった)利用者の割合の高い順で並べたのが以下の表です。
| 1 | China | 38.2% |
| 2 | Bangladesh | 27.6% |
| 3 | Uzbekistan | 21.3% |
| 4 | Algeria | 17.6% |
| 5 | Nigeria | 17.4% |
| 6 | India | 17.0% |
| 7 | Philippines | 15.7% |
| 8 | Indonesia | 15.6% |
| 9 | Ukraine | 15.0% |
| 10 | Malaysia | 14.0% |
トップが中国なのは、2015年1年間の結果と同じです。また、他の9カ国が主にアドウェア系のマルウェアだったのに対し、中国に関しては、アドウェア系もあるものの、バックドア系が大多数を占めているようです。逆に最も割合の低かったのは以下となっています。
| 1 | Japan | 0.9% |
| 2 | Australia | 2.7% |
| 3 | Taiwan | 2.9% |
モバイル向けバンキング型トロイの木馬(mobile banking Trojan)に攻撃された利用者の割合の高い順で並べたのが以下の表です。
| 1 | China | 0.45% |
| 2 | Australia | 0.30% |
| 3 | Russia | 0.24% |
| 4 | Uzbekistan | 0.20% |
| 5 | Ukraine | 0.08% |
| 6 | France | 0.06% |
| 7 | Belorussia | 0.05% |
| 8 | Turkey | 0.05% |
| 9 | Japan | 0.03% |
| 10 | Kazakhstan | 0.03% |
興味深いのは、モバイルマルウェア全体に関しては「安全」とされていた日本とオーストラリアがバンキング型トロイの木馬に限定すると上位10位以内に入っている点でしょう。そこで、モバイルマルウェアによる攻撃を受けた利用者に占めるバンキング型トロイの木馬に攻撃された利用者の割合の高い順で並べたのが以下の表です。
| 1 | Australia | 13.4% |
| 2 | Russia | 5.1% |
| 3 | United Kingdom | 1.6% |
| 4 | Turkey | 1.4% |
| 5 | Austria | 1.3% |
| 6 | France | 1.3% |
| 7 | Poland | 1.2% |
| 8 | China | 1.1% |
| 9 | Hong Kong | 1.0% |
| 10 | Switzerland | 0.9% |
オーストラリアが特にモバイル向けバンキング型トロイの木馬の標的となっている状況が見て取れます。
モバイル向けランサムウェアに攻撃された利用者の割合の高い順で並べたのが以下の表です。先ほど紹介したバンキング型トロイの木馬の割合よりも全体に数値が高めであり、上位10位以内の国や地域で重なっているのはウズベキスタンとカザフスタンだけです。流行りのモバイルマルウェアに地域差があることがよく分かります。
| 1 | Kazakhstan | 0.92% |
| 2 | Germany | 0.83% |
| 3 | Uzbekistan | 0.80% |
| 4 | Canada | 0.71% |
| 5 | Italy | 0.67% |
| 6 | Netherlands | 0.66% |
| 7 | United Kingdom | 0.59% |
| 8 | Switzerland | 0.58% |
| 9 | USA | 0.55% |
| 10 | Spain | 0.36% |
ウェブベースの攻撃(マルウェア配布サイトなど)の攻撃元にされている国や地域の数は195に及んでおり、その割合を示したのが以下の図です。上位10カ国で全体の76%を占めています。
さらに、このようなウェブベースの攻撃を一度でも受けたことのあるユーザーの割合の高い順で並べたのが以下の表です。
| 1 | Russia | 36.28% |
| 2 | Kazakhstan | 33.19% |
| 3 | China | 32.87% |
| 4 | Azerbaijan | 30.28% |
| 5 | Ukraine | 29.96% |
| 6 | Belarus | 29.16% |
| 7 | Slovenia | 26.88% |
| 8 | Armenia | 26.27% |
| 9 | Vietnam | 25.14% |
| 10 | Moldova | 24.68% |
| 11 | Kyrgyzstan | 24.46% |
| 12 | Spain | 24.00% |
| 13 | India | 23.98% |
| 14 | Brazil | 23.68% |
| 15 | Italy | 22.98% |
| 16 | Algeria | 22.88% |
| 17 | Lithuania | 22.58% |
| 18 | Croatia | 22.04% |
| 19 | Turkey | 21.46% |
| 20 | France | 21.46% |
この「安全性」を世界地図で色分けしたのが以下の図です。マルウェア(モバイル向け含む)の攻撃に関しては「最も安全」とされた日本ですが、ウェブベースの攻撃に関しては(比較的安全な方ではあるものの)「最も安全」というわけではなさそうです。
今回は国や地域ごとの違いを見てきましたが、先に紹介したMicrosoftの報告書とは、日本が比較的「安全」に見えるという点を除けば、かなり違った結果になっています。もちろん、調べる対象も調べ方も違う、そもそも調査対象の時期が違うので、違っていて当たり前なのですが、この手の調査報告書の内容は、そのような「調査によって結果が違っていて当たり前」ということを十分に承知した上で「うまく」使えば良いのです。
例えば、今回のKaspersky Labの報告書に関して言えば、日本にのみ着目すると、モバイル向けを含むマルウェア全般に対して「最も安全」とされている一方で、ランサムウェアやモバイル向けバンキング型トロイの木馬に狙われている状況が「垣間見えて」います。改めて利用者に対して注意を促すのにはちょうどよい調査結果かもしれません。
URL
- Kaspersky Lab「Securelist」2016年5月5日付記事
IT threat evolution in Q1 2016 - https://securelist.com/analysis/quarterly-malware-reports/74640/it-threat-evolution-in-q1-2016/
山賀 正人
CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。