ニュース

2016年は「日本におけるサイバー脅迫元年」、日本へのランサムウェア攻撃、本格化するのはこれから

  • 永沢 茂

2017年1月30日 18:22

2016年の日本国内におけるサイバー犯罪の動向について説明するトレンドマイクロ株式会社セキュリティエバンジェリストの岡本勝之氏(1月10日に行われた記者説明会で)

 トレンドマイクロ株式会社が2016年の日本国内におけるサイバー犯罪の動向についてとりまとめ、ランサムウェア(身代金要求ウイルス)の被害報告件数が過去最大となったことを受け、2016年は「日本におけるサイバー脅迫元年」と言える年だったと指摘している。

 トレンドマイクロ製品によって国内で2016年(1~11月)に掲出されたランサムウェアは、個人・法人合わせて6万2400台に上り、2015年(1~12月)の6700台から約9.3倍に増加。また、同社サポートセンターに寄せられたランサムウェア被害報告の件数は、2016年(1~11月)には2690件に上り、2015年(1~12月)の800件から約3.4倍に増加した。

 これらのランサムウェアはメール経由で拡散されており、ランサムウェアに感染させることを目的としたメール“マルウェアスパム”をばらまく攻撃が活発化していることが要因。マルウェアスパムの検出台数が400台を超える規模の攻撃をトレンドマイクロの基準で“アウトブレイク”としているが、2015年はアウトブレイクは0回だったのが、2016年は11月までに40回を観測した。

 しかし、これまでの日本へのランサムウェア攻撃は、まだ本格的なものではないようだ。アウトブレイクした40回の攻撃のうち約95%(38回)は、マルウェアスパムが英語だったという。

 トレンドマイクロが2016年1~11月に観測した全世界におけるランサムウェア攻撃の総数(メール経由のほか、ウェブ経由、ファイルなども含む)は約2億6000万件で、世界的にも拡大しているというが、このうち日本は2%にとどまる。

 また、世界的にはランサムウェアがサイバー犯罪者のビジネスとして確立しており、ランサムウェアの新種は増加している。新たに確認されたランサムウェアファミリーは、2015年は1年間で29件だったが、2016年は1~3月だけで27件、さらに4~6月には52件、7~9月には67件と増加を続けている。海外では、病院や教育機関など、ターゲットにする業種を絞ったランサムウェア攻撃もあるという。

 これらのことから、2016年に日本で観測されたランサムウェア攻撃は、世界的に拡散されているばらまき型マルウェアスパムの一部が日本に飛来したパターンが大部分ではないかとトレンドマイクロでは指摘。ランサムウェア攻撃においては、日本を意図的に狙ってくる攻撃者はまだ少ないとみられる。

 とはいえ、日本の企業にターゲットを絞ったランサムウェア攻撃の兆候が、2016年10~11月にかけて出てきたという。

 それらは、件名が「システム改修のお知らせとご協力のお願い」「【受任のお知らせ】」といった文字列を含むものや、「【重要】総務省共同プロジェクト インターネットバンキングに係るマルウェアへの感染者に対する注意喚起及び除去ツールの配布について」「【重要】総務省共同プロジェクト コンピューターウイルスの感染者に対する注意喚起及び除去ツールの配布について」というもので、これらのメールの受信者としては国内法人のメールアドレスのみが確認されている。送信元はフリーメールアドレス「SIGAINT」(sigaint.org)であることや、マルウェアをクラウドストレージ「MEGA」からダウロードさせる手口(メール本文、またはZIPファイルで添付されてくるPDFファイルから誘導)も共通だ。

 使用しているランサムウェアは「STAMPADO」または「MISCHA」。従来、日本でのばらまき型ランサムウェア攻撃に使われるのは「Locky」という種類が一般的であり、STAMPADOやMISCHAは国内ではこれまで見られなかったランサムウェアだという。トレンドマイクロでは、日本に対して試験的に行われた標的型ランサムウェア攻撃ではないかとみている。

 モバイルランサムウェアの脅威についても指摘している。Android端末を狙うランサムウェア(日本語を含むすべてのモバイルランサムウェア)の国内検出件数は、2016年1月は4000件、2月は3000件だったのが、3月は1万5000件と増加。さらに4月に3万6000件、5月に2万6000件と急増した後、6月以降は1万件台で推移している。日本語のモバイルランサムウェアが初めて確認され、3月以降、スマートフォンとスマートテレビで国内感染事例が確認されているとしている。

 ランサムウェアの被害に遭わないための対策として、トレンドマイクロでは、マルウェアの一般的な侵入経路となるメールとウェブという2つの経路において侵入を検知するセキュリティ対策製品の導入が重要と説明。また、「メール経由の攻撃では、受信者の興味を引き添付ファイルを開かせる手口は常に変化している」とし、最新の攻撃手口を知り、安易にメールを開かないよう注意を呼び掛けている。不審なメールを可能な限りフィルタリングして一般利用者の手元に届かないようにする対策も重要だという。ウェブ経由の攻撃では、「クライアント側の脆弱性を利用し、正規サイトを見ただけで感染させる手口が主流」だとして、ブラウザーやAdobe Flash、Javaなどのアップデートを必ず実施し、インターネット利用時に使用するソフトウェアを最新の状態に保つよう呼び掛けている。

 このほか、ランサムウェアによるデータ暗号化の被害を緩和し、早期復旧を行うためにも、定期的なデータのバックアップが重要だとしている。バックアップの際には 「3-2-1ルール」(3つ以上のバックアップコピーを、可能なら2つの異なる書式で用意し、そのうちの1つをネットワークから隔離された場所に保管する)を意識するよう呼び掛けている。