インターネット脅威年間レポート - 2011年度(速報)
2011年度インターネット脅威年間レポート
対象を入念に調査し執拗に狙う持続的標的型攻撃が顕在化
~2011年1月1日~12月15日データ速報~
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証一部:4704 以下 トレンドマイクロ)は、2011年度のインターネット脅威レポート(日本国内)をお知らせします。
2011年は、これまでその特性から公になることが少なかった特定の企業や組織を狙う標的型の攻撃とみられる事例が数多く報道され、現在の企業におけるセキュリティ課題として提起されました。標的型のメールをきっかけに侵入する昨今のサイバー攻撃は「持続的標的型攻撃」と呼ばれ、攻撃側は標的の企業や組織を入念に事前調査します。システム面のぜい弱性を調べ、人的な面でも業務の内容や関係者のネットワークを調べた上で、興味を喚起する話題を用います。また、事前に不正プログラムが検知されないことを確かめて攻撃を行ううえ、攻撃目的が達成されるまで何度も攻撃を行うなどの特徴があります。
このような標的型のメールは、受信したメールの差出人や文面だけで従業員個人が危険を察知することは困難です。標的型メールに添付された不正プログラムは文書関連のアプリケーションの既知のぜい弱性を使用して実行されるものが多く、修正プログラムの適用や不正プログラム対策といった基本を徹底することが鉄則です。加えてシステム部門では、水際の防御だけではなくネットワーク内の異常を早期に察知する、あるいは攻撃が発覚した際に経路や原因を追跡できる仕組みが求められています。
一方、サイバー犯罪への適切な対処として、不正プログラムの作成・保管を処罰する法改正、いわゆるサイバー刑法が6月に成立、7月に施行され、すでに容疑者が検挙されています。また、フィッシング詐欺に関しても捜査機関や金融機関から法改正の要望が提出され、サイバー犯罪の取り締まりが強化されることによるインターネット上の攻撃・犯罪の抑止が期待されます。
今後、犯罪者は攻撃の成功率を向上されるために標的をさらに入念に調べ、周到に準備することも考えられます。そのため、SNSなどで公開されている個人的な趣味嗜好や交友関係まで利用して標的の人物を騙すことも懸念されます。また、インターネット上の詐欺においても、すでにスマートフォンのブラウザを対象にした詐欺サイトが発見されており、Androidの不正アプリは1年間で数種から1000種以上にまで増加しています。スマートフォンのみならず、インターネットテレビなどのネット家電も普及が予想されますが、金銭につながる情報を交換する環境が多様化すると、端末のセキュリティと合わせて、それらの端末で利用するクラウドのサービスやデータを保全する必要性も高まっていくでしょう。
■日本国内の不正プログラム検出状況: 3年前から放置されているぜい弱
国内の不正プログラム検出数ランキング(表1)では、2008年に確認された「WORM_DOWNAD.AD(ダウンアド)」が1位となりました。主に過去のWindowsの脆弱性ぜい弱性を狙って侵入するため、システムの脆弱性ぜい弱性対策が十分になされているか確認することが重要です。
表1:不正プログラム検出数ランキング※1(日本国内) 2011年度
|
順位 |
検出名 |
通称 |
種別 |
検出数 |
|---|---|---|---|---|
|
1位 |
ダウンアド |
ワーム |
58,740 台 |
|
|
2位 |
キーゲン |
クラッキングツール |
37,379台 |
|
|
3位 |
アンティニー |
ワーム |
12,891台 |
|
|
4位 |
パリット |
ファイル感染型 |
11,979台 |
|
|
5位 |
アンティニー |
ワーム |
10,358台 |
|
|
6位 |
アンティニー |
ワーム |
9,197台 |
|
|
7位 |
キーゲン |
ハッキングツール |
8,638台 |
|
|
8位 |
ヨレゾ |
アドウェア |
7,615台 |
|
|
9位 |
エージェント |
バックドア |
7,526台 |
|
|
10位 |
ワイエイベクター |
アドウェア |
6,191台 |
■全世界の不正プログラム検出状況:
クラッキングツール、ハッキングツールの世界的な流通
全世界の不正プログラム検出数ランキング(表2)では、ライセンス購入なしでソフトウェアを利用することを目的とした「CRCK_KEYGEN(キーゲン)」やURLやドメインによりアクセスが制限された環境で、その制限を回避する「HKTL_ULTRASURF(ウルトラサーフ)」など、クラッキングツールやハッキングツールが10位以内に4種含まれています。
表2:不正プログラム検出数ランキング※1(全世界) 2011年度
|
順位 |
検出名 |
通称 |
種別 |
検出数 |
|---|---|---|---|---|
|
1位 |
ダウンアド |
ワーム |
1,446,874台 |
|
|
2位 |
キーゲン |
クラッキングツール |
463,371台 |
|
|
3位 |
キーゲン |
ハッキングツール |
168,694台 |
|
|
4位 |
サリティ |
ファイル感染型 |
163,999台 |
|
|
5位 |
オートラン |
その他 |
104,579台 |
|
|
6位 |
ウルトラサーフ |
ハッキングツール |
102,013台 |
|
|
7位 |
フライスタディ |
ワーム |
99,712台 |
|
|
8位 |
サリティ |
ファイル感染型 |
87,980台 |
|
|
9位 |
オートラン |
ワーム |
77,665台 |
|
|
10位 |
パッチ |
クラッキングツール |
72,504台 |
※1 表1、表2のランキングは、トレンドマイクロ製品・サービスで発見された脅威についてお客様の承諾に基づきTrend Micro Smart Protection Network(SPN)のスマートフィードバックにより収集した情報を元に、2011年1月1日から12月15日までの期間で各不正プログラムが発見された数を、コンピュータ台数ごとに集計したものです。本数値は、2011年12月20日現在の情報に基づき作成したものです。不正プログラムの集計対象に、基本的にジェネリック、ヒューリスティック検出などは含みませんが、一部の性質、挙動が特定できる検出名を対象に含むことがあります。
■日本国内のお問い合わせ状況:
USBメモリやWeb改ざんによる感染と偽セキュリティソフトが継続
国内の不正プログラム感染報告ランキング(表3)では、USBメモリなどリムーバブルメディア経由で感染する「MAL_OTORUN(オートラン)」や正規のWebサイトの改ざんに用いられる「MAL_HIFRM(ハイフレーム)」、偽セキュリティソフト「TROJ_FAKEAV」が報告数を集めており、被害が継続しています。
表3:不正プログラム感染被害報告数ランキング※2 2011年度(日本国内)
|
順位 |
検出名 |
通称 |
種別 |
件数 |
前年同期順位 |
|---|---|---|---|---|---|
|
1位 |
ダウンアド |
ワーム |
265件 |
1位 |
|
|
2位 |
ハイフレーム |
その他 |
146件 |
7位 |
|
|
3位 |
オートラン |
その他 |
134件 |
2位 |
|
|
4位 |
フェイクエイブイ |
トロイの木馬 |
111件 |
3位 |
|
|
5位 |
エージェント |
バックドア |
95件 |
5位 |
※2 表3のランキングは、2011年1月1日から12月15日までに、日本のトレンドマイクロのサポートセンターに寄せられたウイルス被害件数をもとにランク付けを行ったものです。本数値は、2011年12月20日現在の情報に基づき作成したものです。今後、サポート調査により、件数に変更が生じる可能性があります。被害件数は不正プログラム発見のみの数字も含みます。個々の検出名に関しては、亜種も含んでカウントしています。
2011年度の脅威傾向 トレンドマイクロ リージョナルトレンドラボ コメント
トピック(1):持続的標的型攻撃
昨今の標的型攻撃は入念に対象を調査するところから始まります。どのようなシステムを使用しているのか、どのようなぜい弱性が存在するのかを調べ、対象が使用しているセキュリティソフトで検出されない不正プログラムを事前に準備して攻撃を仕掛けます。攻撃のきっかけとなるメールも、対象の従業員が日常的にやりとりして不自然でない工夫を凝らしているため、個人の警戒だけでは対処が難しいと言えます。また、自身のコンピュータには機密情報が保管されていない、あるいは自社が標的となる可能性は低いと考えられたとしても、そのコンピュータを経由して重要な情報を保管している場所にアクセスされたり、取引先への攻撃に利用される恐れがあるため、企業規模の大小を問わず基本的な部分から改めてセキュリティ対策を見直すとともに、情報流出などの実害を防ぐためネットワークの監視などを検討することをお勧めします。
トピック(2):公開サーバへの不正アクセス
Webサーバなどの外部公開用サーバは悪意のあるユーザからもアクセスされる危険性を帯びています。外部に公開しているサーバは、使用しているOSやミドルウェア、アプリケーション等の情報が第三者からも確認できるため、これらに新たにぜい弱性が発見された場合に攻撃の標的となる恐れがあります。修正プログラムの適用は最も基本的な対策の一つですが、事前検証などで即座の対応が難しい環境においては仮想パッチなど代替の方法で暫定的な処置をすることをお勧めします。
トピック(3):スマートフォン
この1年間でAndroidの不正アプリは数種から1000種類以上にまで増加しました。プラットフォームとネットワークのオープン性、その上で交換されるコンテンツの自由度が高いほど、悪意のユーザが不正なコンテンツを仕掛ける動機も高まります。一方、アプリケーションのプラットフォームへの依存度に比べ、Webサイトは汎用性が高いため、詐欺サイトなどの不正なWebサイトはパソコンと同様のフルブラウザを利用できる端末に共通した脅威となっています。実際に、スマートフォンのユーザにおいても、一般にアプリを利用する時間の3倍ほどWeb閲覧を利用している実態※3もあり、スマートフォンにおける不正Web対策は重要です。
※3 2011年6月トレンドマイクロ調べ。
トピック(4):サイバー犯罪
フィッシング詐欺、ワンクリック詐欺や偽セキュリティソフトの被害が継続する中、不正なプログラムの作成・保管を処罰する刑法改正案、いわゆるサイバー刑法が6月に成立しました。すでに数件の不正プログラム作成者・保管者が検挙され、日本のサイバー犯罪の取り締まりに大きな動きが見られました。海外ではサイバー犯罪者が逮捕された事例として、米国連邦捜査局(FBI)が、11月に過去最大規模の400万台のボット感染コンピュータを使ってオンライン広告の差し替えを行っていた犯罪組織を摘発したと発表しました。当社はこの捜査活動に協力をしており、実態が把握し難いサイバー犯罪組織の一端が明らかになった事例です。サイバー犯罪に関連する法改正や捜査の強化により新たな犯罪の抑止につながることが期待されます。
今後、懸念される脅威の傾向:標的型攻撃のエスカレートとクラウド環境
持続的標的型攻撃の大きな特徴の一つは、事前に対象を念入りに調べることにあります。個人がSNS等で共有・公開されている情報を攻撃者が組み合わせてより巧妙な騙しの仕掛けを行うことが懸念されます。 スマートフォンをはじめとしたモバイル端末は、クラウドサービスの使用によりさらに利便性が高まる一方で、端末のセキュリティと同時にクラウドのアプリケーションや保管されたデータのセキュリティがサービス提供者に求められてくることが予想されます。
また、匿名でのコミュニケーションが一般的であったインターネットにおいて実名が標準のSNSの普及により、プライバシーの定義やその保護に変化期が訪れています。セキュリティの観点からも新しい環境に適したプライバシーのスタンダードについての議論が求められるでしょう。
図1:SNSを悪用したサイバー攻撃イメージ図
グラフ1:Android端末に感染する不正プログラムを検出するパターンファイル数
2011年1月の8件と比較すると、12月15日時点の数は約140倍の1124件であり、Android端末の普及にともない脅威が増加しています。
