サプライチェーン全体のサイバーセキュリティ強化に 求め ...6 1. 背景・目的 1.1 背景 サイバー攻撃の起点は急激に拡大し、攻撃の手法も高度化しており、サイバー攻撃の脅威
サイバー攻撃トレンド ·...
Transcript of サイバー攻撃トレンド ·...
チェックポイント・ソフトウェア・テクノロジーズ株式会社
サイバー攻撃トレンド2018年 上半期レポート
目 次2
目 次
はじめに 3
グローバル・トレンド 4
世界のマルウェア統 7
マルウェア・ファミリー・ランキング 7
クリプト・マイニング・ランキング 9
ランサムウェア・ランキング 10
バンキング・マルウェア・ランキング 11
モバイル・マルウェア総合分析 12
マルウェア・カテゴリ別の感染状況(地域別) 13
Global Threat Index Map(グローバル脅威インデックス) 13
2018年上半期に発生した主なセキュリティ侵害 14
悪用された脆弱性のグローバル・ランキング 16
その他の傾向とまとめ 17
対策に向けた推奨項目 18
付録 – マルウェア・ファミリーの解説 19
Check Point Researchについて 23
はじめに 3
はじめに
全世界のサイバー・ランドスケープにおいて、脅威は常に進化し、また組織だけでなくセキュリティ・コミュ
ニティも常に挑戦し続けています。
隆盛なモバイルの土俵で新たな攻撃手法を開発するために、ブロック・チェーン取引システムの活用、ま
た、以前の攻撃ツールをクラウド環境に適応させるなど、2018年のサイバー脅威環境における現在の技
術開発と実装手段が明確になってきました。
2018年では、さまざまな種類のマルウェアとその作者が、以前よりも洗練された新しいレベルの俊敏性
で、想像以上の能力が証明されています。例えば GandCrab ランサムウェアの分析で見られるように、マ
ルウェアはセキュリティ・ベンダーが提供するセキュリティ・ソリューションにリアルタイムで迅速に適応し
ています。
現在進行中の最大の傾向の1つは、仮想通貨のマニング・ツールと仮想通貨関連の脅威全体です。事
実、世界中で猛威を振うマイニング・ツールは、攻撃者が使用している主要な攻撃ベクターとなり、ラン
サムウェアを凌駕しています。これまでのところ、マニング・ツールは、サーバ、モバイル・デバイス、産業
システム、クラウド・インフラストラクチャなどにターゲットを拡張したのみならず、その能力を大幅に向上
させました。
2018年の上半期には、いくつかの新しい傾向があります。たとえば、クラウド・インフラストラクチャは、
脅威アクターにとって最も魅力あるターゲットの1つになっています。膨大な量の機密データと利用可能な
コンピューティング・リソースがとともにクラウド環境に存在するため、攻撃者の関心を集める対象となっ
ています。今年初めにMoneroのマイニング・ツールに感染したTeslaのクラウド・サーバや、FedEx顧客に
関する機密データの大規模漏洩は、2018年がもたらしたものの2つの例にすぎません。
組織に最高レベルの保護を提供するためには、セキュリティ専門家は絶えず変化する状況や最新の脅
威と攻撃方法に適応しなければなりません。チェック・ポイントのグローバル脅威情報トレンド・レポート
は、2018年1月から6月までにThreatCloud World Cyber Threat Mapで収集された脅威インテリジェンス・
データに基づいて、仮想通貨のマイニング・ツール、ランサムウェア、バンキングおよびモバイル脅威の上
位カテゴリのマルウェアの状況を包括的に提示しています。
グローバル・トレンド4
グローバル・トレンド 仮想通貨マイニング・ツールの進化
マイニング・ツールによる攻撃の驚異的な急増は明らかです。2018年の上半期においてマイニング・ツールは、検出されたサイバー攻撃とマルウェア・ファミリーで上位を占めました。昨年の20.5%と比較し、今年は世界中の企業で大幅に増加し42%以上が影響を受けています。過去6ヶ月間、マイニング・ツールによる攻撃が合計25億ドル以上を稼いだと推定されています。
マイニング・ツールは出現依頼、長期にわたり活躍しています。シンプルなウェブサイトの侵害から進化するマイニング・ツールは今年、Facebookメッセンジャー、YouTube広告、Google Playを介して拡がり、数万のウェブサイト、パーソナル・コンピュータ、Jenkinsなどの高性能なサーバに感染しています。2018年、マイニング・ツールは性能を格段に向上させ、大幅な改善と洗練化、さらには破壊的になりました。
マイニング・ツールは現在利用されている計算資源の割合を増やし、より収益性が高くなることを目指しています。その結果、SQLデータベース、産業システム、ロシアの原子力発電所、さらにはクラウド・インフラストラクチャをターゲットとしたマイニング・ツールが確認されています。最近のマイニング・ツールは、特徴的な脆弱性を悪用し、感染率を拡大するためにサンドボックスやセキュリティ製品を回避するため高度に進化しました。
モバイル環境においてもマイニング・ツール攻撃の影響を受けました。昨年4月、HiddenMinerと呼ばれるAndroidで動作するマイニング・ツールは、数多くのデバイスをターゲットにし、デバイスのリソースがなくなるまで継続してMoneroを採掘しました。モバイル・マイニング・ツールは、Appleの環境にも侵害しています。App Storeに侵入したマルウェアが被害者のログイン資格情報を盗取し、仮想通貨ウォレットを狙っています。
2018年には、さまざまな新しい攻撃方法が明らかになっています。クリプト・マイナーは、仮想通貨取引システムに潜在する可能性を活用しています。これらの方法には、仮想通貨ウォレットやクレデンシャルの盗取、仮想通貨のトランザクションの操作や、被害者に偽の仮想通貨に投資するICO詐欺(Initial Coin Offering)が含まれます。
さらに、他のマルウェア・ファミリーは、マイニング機能をさらなる攻撃ツールに統合し始めています。ランサムウェアはもちろん、PandaやTrickBotなどの著名なバンキング型トロイの木馬は、銀行口座だけでなく、仮想通貨ウォレットや取引システム・アカウントもターゲットにしています。
攻撃者は仮想通貨ビジネスでの収益性をより認識し、毎日のように仮想通貨の脅威がニュースとなっています。
クラウド移行による新たな脅威
クラウド環境は、組織におけるデータの保存や共有、アプリケーションの種類や利用、およびワーク・ロードなどの管理手段を変化させました。クラウド・インフラストラクチャには幅広い利点があります。しかし、膨大なコンピューティング・リソースとともに、保持されている機密データが攻撃者にとって魅力的な環境となっています。
2018年には、クラウド・ストレージ・サービスを搾取するさまざまな洗練された技術とツールが開発されました。昨年だけでも、FedEx、Intel、Hondaなど世界中の企業の51%がクラウド・ベースの攻撃の影響を受けています。
主にデータの流出や情報漏えいを伴うクラウド・ベースの攻撃は、セキュリティの脆弱性から派生しています。攻撃者がクラウドに存在する適切に保護されていないリソースへアクセスできたのは、パブリックなソースコード・リポジトリで利用可能なクレデンシャル、または脆弱なパスワードが原因でした。
グローバル・トレンド 5
攻撃者に多くの利益をもたらすマイニング・ツールは、クラウド・インフラストラクチャをターゲットにし、膨大なコンピューティング・リソースを活用するため、クラウド環境における大きな脅威となっています。2018年上半期には、クラウドのコア・コンポーネントの二つ、DockerとKubernetesシステムをターゲットにしたマイニング・ツールが確認されています。数ヶ月前にDockerとKubernetesシステム経由の攻撃を実行され、Teslaの内部クラウド・サーバがMonero マニング・ツールに感染した例があります。
サービスからの情報の管理、相互作用、および抽出に使用されるアプリケーション・プログラミング・インターフェイス(API)もターゲットとなっています。クラウドAPIがインターネットを介してアクセス可能であるため、攻撃者がクラウド・アプリケーションをより簡単に利用可能となります。
時間が経つにつれて、クラウドの脅威は進化し続けると思われます。攻撃者はパブリック・クラウド・サービスの限界を調査し、クラウドを搾取するためのツールをますます開発し続けます。新たなクラウドの搾取方法が発見されると、それを利用した次の攻撃がすでに行われているのは間違いありません。
マルチ・プラットフォームの攻撃: デスクトップおよびモバイル
2018年の上半期に、5年間の秘密裏の活動を行っていた「Dark Caracal」と呼ばれる新しい高度で執拗かつ継続的な脅威(APT)が発見されました。過去数年間にAPTグループが広範なスパイ活動を行っていますが、このグループは2018年の最も顕著な傾向の一つであるユニークな操作方法を示しています。モバイル・デバイスから機密データを収集し始めましたが、最近、Windows、Linux、Mac OSに感染するマルウェアの一部分を利用する、さらに効果的な手法に移行しました。一つのマルウェアをベースにしているがどうかにかかわらず、マルチ・プラットフォーム攻撃は、あらゆるデスクトップ・マシン、モバイル・デバイスおよびコンシューマ・デバイスが一度に攻撃され、個人所有の環境、産業システムおよびデータセンターが同時に攻撃を受けます。
2017年末までに、マルチ・プラットフォームのマルウェアが数回確認されましたが、予測されるように、急増するコンシューマ利用のスマート・デバイスや市場を伸ばすWindows以外のオペレーティング・システムで、クロスプラットフォーム・マルウェアは増加しています。攻撃キャンペーンの異なる感染プラットフォームを操るために、攻撃者は様々な手法を実装しています。
2018年の前半には、Androidバンキング・トロイの木馬「Roaming Mantis」が、これまで以上に巧妙化し、iOSユーザとパソコンのリソースをターゲットとしたマイニング作業に使用され、感染者の感染率が大幅に向上しました。
高性能なスマートフォンやOffice 365のような新技術の導入により、攻撃対象はもはや単一のエンドポイントではなく、常時接続されたデバイスやサービスを使用しています。
この状況は潜在的により多くの攻撃ベクトルにさらされ、攻撃者は個人または組織のデータに紐づく最も脆弱なリンクを見つけ出すことが可能な新しい環境として悪用します。
サプライチェーン全体のモバイル・マルウェア
モバイル・デバイスがマルウェアに感染することは新しい状況ではありません。悪意のあるURLからダウンロードをさせたり、無害なモバイル・アプリとして偽装したり、デバイスをハッキングするさまざまな方法があります。
しかし、2018年の上半期には新たなトレンドが確認されました。プリインストールされたマルウェアで約500万のAndroidのデバイスが感染していました。今年3月に、チェック・ポイントの研究者らは、「RottenSys」と呼ばれる広く普及しているモバイル・ボット・ネットを発見しました。正規の「System Wi-Fi Service」アプリとして偽装されたRottenSysは、Huawei、Xiaomi、Vivo、Samsungなどの大手ブランドが製造する何百万もの新しいスマートフォンにプリインストールされていました。別のケースでは、Triada
グローバル・トレンド6
Banking Trojanが低価格のスマートフォンの42モデルにプリインストールされ販売されていました。サプライチェーンのどこかに潜入する能力は、今後将来にわたり問題となります。
さらに、モバイル・デバイスへの依存度が高まるにつれ、アプリケーション・マーケットには、デバイスのバッテリ性能を最適化するように設計された各種アプリが浸透しています。今年、攻撃者は新たな攻撃方法を開発したようです。こうした魅力的なアプリに膨大な量の偽装されたマルウェアが発見されています。感染したマルウェアはバンキング・トロイの木馬、Adware、さらにはAndroRATなどの高度なRATも確認できました。"TrashCleaner"という名前のユーティリティ・アプリとして偽装され、モバイルネットワーク情報、ストレージ容量、カレンダー・イベントを盗み出し、シェルコマンドの実行を行うことができます。
二つのプリインストールされたマルウェアの実態や悪意のあるモバイル・アプリケーションの絶え間ない出現は、ハッキング可能なデバイス上であらゆる個人およびビジネス上の情報が管理されていることを認識し動機づけられた攻撃者がモバイルの分野をいかに活用するかの今後を反映しています。
検出数の多かったファイルタイプ– 2018上半期
ファイル・タイプ別の検出数の推移- 2018年上半期
1月 2月 3月 4月 5月 6月
35%exe
8%pdf4%
rtf
4%url
38%Other
7%doc
4%msi
検出数の多かったファイル
タイプ2018上半期
世界のマルウェア統計 7
世界のマルウェア統計以下のセクションで紹介するデータは、2018年の1月~6月にチェック・ポイントのCheck Point ThreatCloud Cyber Threat Mapで収集されたデータに基づいています。
マルウェア・ファミリー・ランキンググローバル
以下に紹介する地域別のデータでは、2つのグラフを示します。1つ目のグラフは、当該地域で特に多く検出されたマルチウェアを示しています。2つ目のグラフは、他の地域と比較して当該地域で最も多く検出されたマルウェア・ファミリーを示しています。
北中南米地域
25%
Coin
hive
Cryp
tolo
ot
JSEC
oin
Roug
hTed
Fireb
all
Andr
omed
a
Ram
nit
Necu
rs
Nivd
ort
RIG
Expl
oit K
it
18%
14% 13% 13%
9%8% 7%
6% 6%
29%
Coin
hive
22%
Cryp
tolo
ot
10%
Roug
hTed
17%
Fireb
all
16%
JSEC
oin
14%
9%
Necu
rs
RIG
Expl
oit K
it 7%
Andr
omed
a
7%
Ram
nit
8%
Nivd
ort
Cerber Kraken Cridex Cryptowall Ponmocup
69%
22%
9%
63%
25%
13%
51%
43%
7%
46%
39%
15%
48%
36%
17%
Americas EMEA APAC
図 1 : マルウェア・ランキング(グローバル):各マルウェアが検出された企業ネットワークの割合
図 2 : マルウェア・ランキング(北中南米地域) 図 3 : 標的型マルウェア・ランキング(北中南米地域)
世界のマルウェア統計8
ヨーロッパ、中東、アフリカ地域(EMEA)
アジア太平洋地域(APAC)
マルウェア・ランキングの総合分析●
●
CoinHive : 仮想通貨のMoneroを採掘するWebベースのマイニング・ツールです。2018年の上半期までには、世界中の25%の組織が影響を受けており、マルウェア総合ランキングの第一にランクインしています。CryptolootとJesscoinと共に世界の40%に影響し、これからも増加し続けることが予想されています。CoinHiveは昨年の9月にJavaScriptのマイニング・コードを用いた手法で登場して以来、短期間に数万のウェブサイトに組み込まれ、攻撃者が収益を期待するオンライン広告の有益な代替手段として機能しています。2018年の特徴は、数千のWebサイトに埋め込まれただけでなく、YouTubeの広告に隠されたり、GoogleのDoubleClickのプラットフォームやSNSのFacebook Messengerでも発見されています。
RIG exploit kit : 現在最も活発なエクスプロイト・キットとして、グローバルおよび各地域でランキングが上昇しています。RIGの感染経路は、改ざんされたWebサイトに組み込まれたJavaScriptからランディング・ページへのリダイレクトから始まり、ブラウザやプラグインの脆弱性を悪用されます。RIGは、Flash、Java、SilverlightやInternet Explorerなどのエクスプロイトを提供しています。また、今年ゼロデイの脆弱性として発見されたCVE-2018-8174を初めて利用可能にしています。2018年上半期、RIGはBunitu、cryptominers、SmokeLoaderを含むさまざまなペイロードを生み話題となりました。
図 4 : マルウェア・ランキング(EMEA) 図 5 : 標的型マルウェア・ランキング(EMEA)
図 6 : マルウェア・ランキング(APAC) 図 7 : 標的型マルウェア・ランキング(APAC)
22%
Coin
hive
16%
Cryp
tolo
ot
8%
12%
JSEC
oin
12%
Fireb
all
11%
GRou
ghTe
d
6%
Nivd
ort
5%RI
GEx
ploit
Kit
5%
Auth
edMi
ne 4%
Ram
nitNe
curs
Proslikefan AuthedMine Necurs JSECoin Coinhive
22%
67%
11%
31%
51%
30%
50%
34%
49%
33%
48%
Americas EMEA APAC
18% 20% 17% 20%
30%
Coin
hive
21%
Cryp
tolo
ot
18%
Andr
omed
a
16%
JSEC
oin
14%
Fireb
all
11%
Necu
rs
11%
XMRi
g
11%
Roug
hTed
10%
Salit
y
Dork
bot
12%
Dorvku Graftor Parite Smoke Loader Cryptopool
10%
12%
78%
14%
76%
12%
20%
67%
9%
30%
61%
20%
15%
65%
Americas EMEA APAC
10%
世界のマルウェア統計 9
クリプト・マイニング・ランキングここでは、 各クリプト・マイニング・マルウェアにより影響を受けた組織の割合をグラフで示します。 グローバルと地域別の両方でクリプト・マイニング・マルウェア・ランキングを示します。
グローバル 北中南米地域
EMEA APAC
クリプト・マイナー総合分析● 昨年の 5 月に発見されたオープンソースの CPU マイニング・ソフトウェア XMRig が第 3 位にランクインしました。 最も多く
使用されている XMRig のコードは RubyMiner などの幅広い Crypto-strain に使われています。 パッチが適用されていないWindows および Linux のサーバをターゲットとし、 RubyMiner は世界の 30%の組織の高性なサーバを悪用し、 オペレータが仮想通貨を採掘しています。
30%Coinhive
17%JSECoin
6%AuthedMine
3%RubyMiner
7%XMRig
14%Others
23%Cryptoloot
クリプト・マイニング・ランキング
(グローバル)
30%Coinhive
18%JSECoin
6%AuthedMine
3%RubyMiner
6%XMRig
13%Others
24%Cryptoloot
クリプト・マイニング・ランキング
(北中南米地域)
31%Coinhive
17%JSECoin
6%AuthedMine
3%RubyMiner
6%XMRig
14%Others
23%Cryptoloot
クリプト・マイニング・ランキング(EMEA)
30%Coinhive
14%JSECoin
5%AuthedMine
5%RubyMiner
11%XMRig
14%Others
21%Cryptoloot
クリプト・マイニング・ランキング(APAC)
図 8 : クリプト・マイニング・ランキング(グローバル) 図 9 : クリプト・マイニング・ランキング(北中南米地域)
図 10 : リプト・マイニング・ランキング(EMEA) 図 11 : クリプト・マイニング・ランキング(APAC)
世界のマルウェア統計10
34%Locky
7%Cerber
8%WannaCry
7%Cryptowall
5% GlobeImposter
5% Nymaim
34%Others
Lorem ipsum
ランサムウェア・ランキング
(北中南米地域)
38%Locky
5% WannaCry
6% GlobeImposter
4% CryptoLocker4% Cryptowall
4% Nymaim
39%Others
Lorem ipsum
ランサムウェア・ランキング(EMEA)
47%Locky
14%WannaCry
5% CryptoLocker
4% Razy
24%Others
Lorem ipsum3% GlobeImposter
3% Nymaim
ランサムウェア・ランキング(APAC)
ランサムウェア・ランキングここでは、各ランサムウェアによる影響を受けた組織の割合をグラフで示します。グローバルと地域別の両方でランサムウェア・ランキングを示します。。
グローバル 北中南米地域
EMEA APAC
ランサムウェア・ランキング総合分析● ランサムウェア・ランキングでは、 2016 年 2 月に出現した Locky ランサムウェアが 2018 の上半期でもグローバル・ラン
キング と地域ランキングの両方で第一位にランクインしています。WannaCryも、2017 年と同じく高いランクを保ちました。1 年を経ても WannaCry が感染したマシンが存在し、 他の脆弱な Windows を探り当て攻撃しています。
図 12 : ランサムウェア・ランキング(グローバル) 図 13 : ランサムウェア・ランキング(北中南米地域)
図 14 : ランサムウェア・ランキング(EMEA) 図 15 : ランサムウェア・ランキング(APAC)
40%Locky
5% GlobeImposter8% WannaCry
4% Cryptowall
4% CryptoLocker
4% Nymaim
35%Others
Lorem ipsum
ランサムウェア・ランキング
(グローバル)
世界のマルウェア統計 11
27%Ramnit
25%Dorkbot13%
Zeus
7%Tinba
6%Cridex
15%Others
7%Qbot
バンキング・マルウェア・ランキング
(グローバル)
29%Ramnit
22%Dorkbot14%
Zeus
7%Tinba
5%Qbot
13%Others
10%Cridex
バンキング・マルウェア・ランキング
(北中南米地域)
26%Ramnit
24%Dorkbot
13%Zeus
7%Tinba
8%Qbot
15%Others
7%Cridex バンキング・
マルウェア・ランキング(EMEA)
30%Dorkbot
25%Ramnit
12%Zeus
7%Tinba
9%Qbot
11%Others
6%Bancos
バンキング・マルウェア・ランキング(APAC)
バンキング・マルウェア・ランキングここでは、 各バンキング・マルウェアによる影響を受けた組織の割合をグラフで示します。 グローバルと地域別の両方でバンキング・マルウェア・ランキングを示します。
グローバル 北中南米地域
EMEA APAC
バンキング・マルウェア・ランキングの総合分析● 2017 年下半期と変わらず、 Ramnit と Zeus がグローバル・ランキングの上位にランクインしています。 どちらも永続的
で進化し続けているバンキング・マルウェアで、 ユーザが銀行 Web サイトにアクセスしたタイミングを狙い、 キーロガーやWeb インジェクトでログイン情報やその他の機密情報 ( 暗証番号など ) を窃取します。 加えて、 2012 年に出現した既知のマルウェアである Dorkbot が返り咲きし、APAC でトップ、グローバルおよび EMEA では 2 位と上位にランクインしました。攻撃者は、 Dorkbot の新しく発見されたインジェクト・テクニック「Early bird」 を使用し、 アンチ・マルウェア検出を避けながらリモート・コードの実行機能を使用し、 主に銀行の機密情報を狙っています。
図 16 : バンキング・マルウェア・ランキング(グローバル) 図 17 : バンキング・マルウェア・ランキング(北中南米地域)
図 18 : バンキング・マルウェア・ランキング(EMEA) 図 19 : バンキング・マルウェア・ランキング(APAC)
世界のマルウェア統計12
19%Triada
51%Others
10%LokiBot
9%Hiddad
5% Lotoor
6% TheTruthSpy
モバイル・マルウェア・ランキング
(グローバル)
17%Triada
52%Others
9%TheTruthSpy
8%LokiBot
7% Hiddad
7%Lotoor
モバイル・マルウェア・ランキング
(北中南米地域)
22%Triada
48%Others
6%TheTruthSpy
11%LokiBot
7% Hiddad
6% Lotoor
モバイル・マルウェア・ランキング(EMEA)
17%Triada
52%Others
5% TheTruthSpy
11%LokiBot
12% Hiddad
3% Lotoor
モバイル・マルウェア・ランキング(APAC)
モバイル・マルウェア・ランキングここでは、 各モバイル・マルウェアによる影響を受けた組織の割合をグラフで示します。 グローバルと地域別の両方でモバイル・マルウェア・ランキングを示します。
グローバル 北中南米地域
EMEA APAC
モバイル・マルウェア総合分析● 2016 年に発見された Android デバイスを感染するバンキング・トロイの木馬の Triada は、 最も洗練されたモバイルの脅威
の 1 つと考えられています。 2018 年の上半期ではグローバル・ランキング と地域ランキングの両方でランクインしています。昨年の 3 月に、 Triada は 42 種類の低価格スマートフォンにプリインストールされ、 数十万人の被害者のクレジットカード情報が盗まれました。さらに、新たなモバイル・マルウェア・ファミリー、TheTruthSpy がランクインしました。TheTruthSpy は、WhatsApp や Facebook などのメッセージと、 インターネットの閲覧履歴がモニタできます。 2018 年の 3 月に発見されたばかりですが、 グローバル・ランキング第 3 位、 EMEA と APAC では第 2 位に位置づけされています
図 20 : モバイル・マルウェア・ランキング(グローバル) 図 21 : モバイル・マルウェア・ランキング(北中南米地域)
図 22 : モバイル・マルウェア・ランキング(EMEA) 図 23 : モバイル・マルウェア・ランキング(APAC)
マルウェア・カテゴリ別の感染状況(地域別) 13
マルウェア・カテゴリ別の感染状況(地域別)
Global Threat Index Map(グローバル脅威インデックス)
図 24 :マルウェア・カテゴリ別の感染状況(地域別)
図 25 : 2018年上半期のWorld Cyber Threat Index Map
2018 年上半期に発生した主なセキュリティ侵害14
2018年上半期に発生した主なセキュリティ侵害2018 年の上半期のサイバー事件は、 あらゆる分野の企業に影響を与え続けており、 数十億という人々の機密情報を危険にさらしています。 また、 攻撃者はあらゆる地域をターゲットにし、 幅広い地域で多数の攻撃を実行しています。 以下は、 各地域における主要な攻撃の要約です。
北中南米地域●
●
●
●
●
2 月 : 1950 万人以上のカリフォルニア州住民の有権者登録情報は、 無防備な MongoDB データベースを介してオンラインで流出し、攻撃者によって身代金のために保有されました。 侵害の元となったサクラメント地方の新聞 Sacramento Bee は、身代金の支払いを拒否し、 データベースを削除しました。3月: 大手フィットネス企業のUnder Armour は、同社のアプリ「MyFitnessPal」の大きな侵害を受けました。これにより、ユーザ名、Eメールアドレス、ハッシュされたパスワードなど、アプリユーザ 1 億 5000 万人のデータが公開されたと発表しました。3月 : Expedia が所有する旅行サイト Orbitz は、 オンライン購入に使用された 880,000 クレジットカードやデビットカードと顧客情報が流出したデータ侵害を公表しました。 このインシデントは 2016 年 10 月から 2017 年 12 月の間に発生しました。4月 : Saks Fifth Avenue と Lord & Taylor の親会社である Hudson's Bay は、 同社の支払いシステムに大きな侵害を受けました。 小売業者の両方で買い物をした約 500 万人の消費者のクレジットカードとデビットカードの情報が FIN7 APT グループに盗取されました。5 月 : データマイニング企業の Cambridge Analytica は、 2016 年大統領選挙で米国の有権者をターゲットにするために、Facebook を利用して最大 8700 万人の個人情報を収集、 流出させたと非難されました。 個人情報の収集は、 ユーザに性格診断テスト (Personality Test) を行い、 データ収集に同意するアプリを使用することによって達成されました。
ヨーロッパ、 中東、 アフリカ地域(EMEA)●
●
●
●
●
1月 : ノルウェー最大の保健当局である、 Health South East RHF は、 国家人口の半分以上に影響を及ぼしたデータ侵害を受けました。 サイバー犯罪者は、 約 290 万人のノルウェー人の個人情報と保険記録を盗み出しました。2月 : ドイツ政府は、 分離されたネットワークを含むいくつかのネットワークが侵害され、 約 1 年もの間マルウェアに感染した可能性を持った大規模なサイバー攻撃を受けたと発表しました。 12 月に侵害に気付き、 内務省のサーバやその他の不特定のサーバも含まれていることが確認されています。 ドイツ当局は、 ロシアのハッキング・グループ APT28 が攻撃の背後にあった可能性を考えています。3月 : 「Remini」という名前のアプリで深刻なセキュリティ侵害が起きたことで、イスラエルの子供たちの何百万もの写真や、100,000 人以上の親の個人情報がインターネットに流出されるリスクが大きくなっています。 このアプリでは、 幼稚園の教師が保護者に連絡し、 教室活動のスケジュール、 写真ビデオ、 個人情報などの情報を共有することができます。4月 : フィンランドのヘルシンキにある新ビジネスセンターは、 大きなデータ侵害の被害を受けました。 サイトにプレーン・テキストで保存された 13 万人以上のユーザのログイン名とパスワードが盗取されました。5月 : 約 100 万人の南アフリカ人の個人情報を含むデータベースが公開され、 オンラインで流出しました。 このデータベースは、 南アフリカで電子的に罰金を処理する企業に関連した Web サーバで発見され、 情報として名前、 ID 番号、 E メールアドレス、 およびパスワードが含まれていました。
2018 年上半期に発生した主なセキュリティ侵害 15
アジア太平洋地域 (APAC)●
●
●
●
●
1月 : インドの個人識別システムである Aadhaar は、 攻撃者が 10 億人以上の住民の個人情報にアクセス可能となる大きなデータ侵害の被害を受けました。 攻撃者は後に、WhatsApp を介した有料のサービスで、名前、住所、郵便番号、写真、電話番号、 E メールアドレスなどの個人情報を提供しています。
1月 : 中国のスマートフォン・メーカである OnePlus は、 40,000 人以上の顧客に影響を及ぼすクレジットカード・データが漏洩する被害を受けました。 悪意のあるスクリプトが支払いページ・コードに注入され、 クレジットカード番号、 有効期限、セキュリティ・コードなどの完全なクレジットカード情報をブラウザ・ウィンドウから直接取得することが可能になりました。4月 : アラブ首長国連邦版の Uber、Careem がハッキングされ、1400 万人の運転手と顧客の個人情報が名前、電話番号、E メールアドレス、 乗車情報などを含め盗取されました。6 月 : マレーシアの 4,500 万を超える携帯電話アカウントの情報が盗取され、 ダーク・ネットで販売されました。 アカウントは複数のキャリア企業から情報で、 この不可解な原因は特定できていません。 なお、 マレーシアの人口は 3200 万であることから、 国内ほぼすべてのアカウントに影響があるが推測されます。11 月 : Honda Car India は、2 つの Amazon S3 バケットに 50,000 人以上のユーザの個人情報を流出させました。 公になったデータは、 遠隔自動車管理アプリケーション Honda Connect App のユーザに属し、 名前、 電話番号、 E メール、 パスワード、 Car VIN、 Car Connect ID などが含まれていました。
図 - : 2018年上半期に発生したデータ侵害
悪用された脆弱性のグローバル・ランキング16
悪用された脆弱性のグローバル・ランキング以下に示すトップ攻撃リストは、 チェック・ポイントの侵入防御システム(IPS)ソリューションによって収集されたデータに基づいており、 2018 年上半期にチェック・ポイントの研究者によって観察された最も一般的で興味深い攻撃手法および攻撃の詳細を示しています。
●
●
●
●
Drupalgeddon2 と Drupalgeddon3 (CVE-2018-7600, CVE-2018-7602)コンテンツ管理システム(CMS)の Drupal に非常に重大な欠陥が存在することは、 脅威環境に大きな影響を与えました。 この脆弱性により、 攻撃者がリモートでコードを実行でき、 Drupal のインストールのすべてが影響を受ける可能性がありました。 概念の証明がリリースされたときに、 パッチ未適用の Drupal サイトを絶え間なく攻撃していました。 攻撃は、サーバやウェブサイトの両方に配置されたさまざまな種類のマニング・ツールから、 RAT や Infostealer マルウェアの配信、Tech サポート詐欺の実施、 大規模なボットネットの作成などに及んでいました。RTF (CVE-2017-11882, CVE-2017-0199, CVE-2018-0802)Microsoft Office Rich Text Format(RTF)のセキュリティ上の欠陥は、 2018 年上半期を通じて攻撃者によって広く濫用されました。 セキュリティ上の欠陥により、 悪意のあるドキュメントをエンド・ユーザが開くと、 攻撃者はターゲットマシン上で PowerShell コマンドを含む悪質なスクリプトをダウンロードして実行することができます。 今年中には、 APT グループのドキュメント経由でのスパム活動などのさまざまなマルウェアの攻撃の増加が確認されました。 その中には、 LockyBot、Remcos RAT、 KevDroid Android RAT、 ThreadKit exploit builder kit、 Zyklon などが含まれています。“Double kill” (CVE-2018-8174) Double Kill は、 Internet Explorer(IE)の最新バージョンや IE コンポーネントを使用する他のアプリケーションに影響を及ぼす、 Windows VBScript エンジンのリモート・コード実行(IE)のゼロデイ脆弱性です。 この脆弱性により、 リモートの攻撃者は悪質な VBScript を Officeドキュメントや Web サイトに埋め込め、リモート・サーバから読み込まれた悪質なペイロードを実行できます。またAPT-C-06 グループやRIG Exploit Kitが仮想通貨 Moneroの採掘に活用したことでも2018 年この脆弱性は多くのニュースで取り上げられています。IoT 脆弱性 (CVE-2018-10561, CVE-2018-10562) 100 万を超える Dasan GPON ホームルータで発見され、 幅広い攻撃にさらされていました。 この脆弱性により、 攻撃者は任意の URL に特定の文字列を追加してルータの設定にアクセスし、 そのデバイスを制御できます。 これらの脆弱性は、Satori、 Mirai、 TheMoo などのボット・ハーダーが、 ボットネットの拡大するために広く活用されていました。
2018 年上半期において、 チェック・ポイントのグローバルな攻撃センサーによる観測では、 攻撃の 99%が 2017 年以前に登録された脆弱性を活用し、 攻撃の 40%以上が少なくとも 7 年前の脆弱性を使用していました。
1% 2018
8%2012
40%Older
7%2014
13%2016
12%2015
9%2013
10% 2017
2012年以前の脆弱性を利用した攻撃の
割合
図 24 : 2012年以前の脆弱性を利用した攻撃の割合
その他の傾向とまとめ 17
その他の傾向とまとめ
第5世代のサイバー脅威環境が確立されたことで、2017年に見られた脅威の種類が2018年でも確認さ
れたのは当然とも言えるでしょう。攻撃の手を緩める兆候は見られず、 組織のITインフラストラクチャへよ
り深く浸入しています。
モバイル・サプライチェーンにマルウェアをインストールしたり、クラウド・プラットフォームの高性能なコン
ピューティング・リソースを活用して仮想通貨を採掘したりすることによって、攻撃者は自身の利益拡大に
向けてテクノロジーを適応させています。さらに、大規模なデータ侵害も軽減されておらず、社会的評価
の低下による損害だけでなく、経験した組織に財務コストの損害を与えます。
攻撃および脅威の傾向に備えるためには、世界中の組織が最高レベルかつ最先端の保護技術を装備す
ることが不可欠です。
対策に向けた推奨項目18
対策に向けた推奨項目重要となるのは、 従来のシグネチャ・ベースの検出技術を回避する可能性がある未知の高度な攻撃からゼロデイで防止を実現する高度な保護技術です。
Check Point SandBlast は、 Threat Emulation と Threat Extraction 技術を提供します。
Threat Emulation は、 回避テクニックへ極めて強力に対抗できるサンドボックス技術であり、 脅威を抽出 ( 無害化 ) する Threat Extraction と組み合わせてユーザにクリーンなファイルを提供します。 これらの 2 つの要素を組み
合わせることで、安全なファイルのみが組織に入ることができ、ゼロデイやネットワークに侵入しようとしている未知のマルウェアを識別し、 サイバー攻撃やマイニング・ツールによる攻撃から保護することが可能となります。
Sand Blast は、 IT インフラストラクチャ全体を保護するためにデザインされた各種製品に組み込まれ、 または連携して効果を発揮します。
SandBlast は、 すべてのチェック・ポイント・ゲートウェイで利用でき、 組織ネットワークおよびデータセンターにおいてメールや Web ブラウジングを利用する際の脅威から保護します。
SandBlast Agent は、 エンドポイント環境のあらゆる脅威とブラウザ利用における脅威に対し統合的な保護機能を提供します。 本レポートの事例においても、 Web ブラウジングを経由した攻撃は顕著であり、 対策の強化に効果的です。
SandBlast は、 CloudGuard SaaS と CloudGurad IaaS の重要なセキュリティ機能であり、あらゆるクラウド資産を高度な技術で保護することができます。
SandBlast Mobile は、 iOS と Android を対象に Wi-Fi ネットワーク上の中間者攻撃、 SMS や他のメッセージアプリで送信された悪意のあるリンク、安全な WEB ブラウジング、 OS エクスプロイトなど、 あらゆる既知および未知のモバイル攻撃に対する保護機能を提供します。
SandBlast は API が提供されています。 保護機能が十分でない独自のビジネス・プロセスやビジネス・ロジックへ SandBlast の機能を統合し、 セキュリティを強化することができます。
and
Threat Emulation Threat Extraction
付録 – マルウェア・ファミリーの解説 19
付録 – マルウェア・ファミリーの解説●
●
●
●
●
●
●
Andromeda-Andromeda は不正な活動を行うモジュール型ボットで、2011 年に初めて確認されました。主にバックドアとして使用され、 感染ホストに別のマルウェアを配布しますが、 さまざまなタイプのボットネットを作成するように改ざんされている場合もあります。 正規のプロセスにコードを挿入するなど、 さまざまなサンドボックス対策やアンチウイルス対策が施されており、 タスク・マネージャには表示されません。AndroRAT-AndroRAT は 2012 年に発見された Android デバイスを標的としているオープン・ソース・ツールです。AndroRAT を使用し、 リモートの攻撃者は被害者のマシンを制御し、 電話をかけたり、 感染したデバイスの SMSメッセージを送信したり、 被害者の GPS 座標にアクセスしたり、 さらにマイクやカメラを使用することもできます。AuthedMine-AuthedMine は CoinHive の 亜 種 です。ユーザが Web ページにアクセスしたときに、 密かに仮想 通 貨の Monero を採 掘する Web ベースのマイニング・マルウェアです。 ただし、 CoinHive とは異なり、Authedmine は、 マイニング・スクリプトを実行する前にWeb サイトのユーザの明示的な同意を必要とするように設計されています。Bancos-Bancos は、 金融情報を窃取するマルウェアです。 ユーザが特定のオンライン銀行 Web サイトで認証情報を入力したとき、 キーロガーでその情報を記録します。また、 銀行 Web サイトのログイン・ページを偽のページに置き換えたり、 別の要素を挿入する場合もあります。Cerber-Cerber は Zerber としても知られ、 2016 年 2 月に初めて確認されました。 C & C サーバと通信することなく感染マシン上のファイルを暗号化できるオフライン型のランサムウェアです。Coinhive- ユーザが Web ページにアクセスしたときに、密かに仮想通貨の Monero を採掘する Web ベースのマイニング・マルウェアです。埋め込まれた JavaScript により、エンド・ユーザの大量のコンピューティング・リソースを悪用してマイニングを実施し、 システムのパフォーマンスに悪影響を及ぼします。Cridex-Cridex は Windows プラットフォームを標的とするワームです。 クレジットカード情報などの犠牲者の資格情報を盗むのが主の目的です。 感染したシステムに他の悪質なファイルをダウンロードして実行することができます。 リムーバブル・ドライブとネットワーク共有を介して拡散する可能性があります。
●
●
●
●
●
●
●
●
CryptoLocker-CryptoLocker は 2013 年に初めて検出されたランサムウェアがたトロイの木馬で、 Windows プラットフォームを標的としています。 バックグラウンドで実行され、 感染ホスト上にあるさまざまなファイルを暗号化します。Cryptoloot- ユーザが Web ページにアクセスしたときに、 密かに仮想通貨の Monero を採掘する Web ベースのマイニング・マルウェアです。 埋め込まれた JavaScript により、 エンド・ユーザの大量のコンピューティング・リソースを悪用してマイニングを実施し、 システムのパフォーマンスに悪影響を及ぼします。CryptoPool- ユーザの承認なしに Web ページをアクセスしたときユーザの承認なしに仮想通貨 Monero のマイニングを実行するように設計された Web ベースのクリプト・マイナーです。 埋め込まれた JavaScript は、 コインを採掘するためにエンド・ユーザのマシンのコンピューティング・リソースを大量に消費し、 システムのパフォーマンスに影響を与えます。Cryptowall-Cryptowall は、 感染したマシン上のファイルを暗号化し、 ユーザに復号化の支払いを促す、 代表的なランサムウェア型トロイの木馬です。悪意のある広告やフィッシング詐欺行為によって広がります。 Cryptowallは 2014 年に初めて登場しました。Dorkbot-IRC ベースのワームです。 オペレータによるリモート・コード実行と、 感染したシステムへの追加マルウェアのダウンロードを可能にするよう設計されています。 機密情報を盗取し、 DoS 攻撃を実行することを目的としています。Dorvku-Dorvku は、 Windows プラットフォームを標的とするトロイの木馬です。 システム情報を収集してリモートのサーバに送信します。 また、 標的の Web ブラウザから機密情報を収集します。Fireball-Fireball は、 デジタル・マーケティングを展開する中国企業 Rafotech によって広範囲に拡散しているアドウェアです。 ブラウザ・ハイジャッカーとして機能し、 デフォルトの検索エンジンの変便やトラフィッキング・ピクセルのインストールを実行しますが、 フル機能のマルウェア・ダウンローダへと拡張可能です。Gamarue-Gamarue は、C&C サーバから追加のモジュールをダウンロードするローダーを備えたモジュラ・ボットです。 ローダーには、 アンチ VM 機能とアンチ・デバッグ機能があります。 Gamarue は、 信頼できるプロセスに挿入され、 自身を隠して元のボットを削除するように設定されています。
付録 – マルウェア・ファミリーの解説20
●
●
●
●
●
●
●
●
GandCrab-GandCrab は、 主にスカンジナビアや英語圏を標的としたランサムウェアです。 GandCrab は、 Rig とGrandSoft のエクスプロイト・キットとスパム・メールを介して配布されます。 ランサムウェアはアフィリエイト・プログラムで運営されており、 同プログラムの参加者は、 身代金収入の 30%~ 40%を GandCrab の作者に支払っています。 アフィリエイトでは、 フル機能の Web パネルとテクニカル・サポートを受けることができます。Globeimposter-GlobeImposter は、 Globe の 亜 種 を偽装したランサムウェアです。 2017 年 5 月に発見され、スパム活動や不正なインターネット広告、 エクスプロイト・キットにより拡散しています。Graftor-Graftor は、 トロイの木馬のような機能を備えたアドウェアやブラウザのハイジャッカーです。 他の悪質なソフトウェアに対する攻撃のベクトルとして使用することができます。 また、 PNG ファイル内の実行ファイルや DLLを隠蔽して検出を回避することもできます。Hacker Defender-Hacker Defender は、 Windows 2000 および Windows XP のルートキットであり、 新しい Windows NT ベースのシステムでも動作する可能性があります。 ルートキットは、 いくつかの Windows およびネイティブ API 関数を変更して、 セキュリティ・ソフトウェアによって検出されないようにします。Hiddad- 正規のアプリを再パッケージしてサードパーティ・アプリ・ストアで公開する Android マルウェアです。主な機能は広告の表示ですが、 OS に組み込まれた重要なセキュリティ情報にアクセスできるため、 機密性の高いユーザ・データを窃取される恐れがあります。HiddenMiner-2018 年 4 月に 発 見された Android マイニング・ツール の 一 種 です。 HiddenMiner は 偽 のGoogle Play アップデート・アプリを通じて配信され、 デバイスのリソースを Monero の採掘に使用します。JSECoin- ユーザが承認なしに Web ページをアクセスしたときに仮想通貨 Monero の採掘を実行するように設計された Web ベースのマニング・ツールです。 埋め込まれた JavaScript は、 コインを採掘するためにエンド・ユーザのマシンの大きな計算リソースを使用し、 システムのパフォーマンスに影響を与えます。Kraken-Kraken は Windows プラットフォームを標的とするランサムウェア型トロイの木馬です。 システム情報を収集し、 Discord チャットサービス経由でリモートの攻撃者に送信します。 マルウェアは、 感染したシステム上の特定の拡張子を持つファイルを暗号化します。 感染したシステム上で復号プログラムをダウンロードして実行し、復号されたファイルを取得するために感染したユーザに身代金の支払いを要求します。 また、 プロセスを kill こともできます。
●
●
●
●
●
●
●
●
Locky-Locky は、 Windows プラットフォームを標的とするランサムウェア型トロイの木馬です。 システム情報をリモートのサーバに送信し、 暗号化キーを受け取って感染システム上のファイルを暗号化します。LokiBot-Android スマートフォンを標的とするモバイル・バンキング型トロイの木馬です。 ユーザが管理者権限の付与を拒否すると、 ランサムウェアへと変貌します。 主にバンキング型トロイの木馬として動作し、 一般的な銀行業務アプリケーションの起動時に偽のログイン画面をオーバーレイ表示します。 その設計上、 このマルウェアの標的はモバイル・バンキング・アプリですが、 WhatsApp、Outlook、 Skype などの人気アプリも狙われています。Lotoor-Lotoor は、 Android オペレーティング・システムの脆弱性を悪用し、 感染モバイル・デバイスの root権限を取得するハッキング・ツールです。Necurs-Necurs は現在活動している最大のスパム・ボット・ネットの 1 つであり、 2016 年には 600 万個のボットで構成されていたと推定されています。 ボットネットは、多くのマルウェア亜種、 主にバンキング型トロイ木馬とランサムウェアを配布するために使用されます。Nivdort-Nivdort は Windows プラットフォームを標的とするトロイの木馬です。 パスワードのほか、 Windows のバージョンや IP アドレス、 ソフトウェア設定、 おおよその所在地などのシステム情報や設定情報を収集します。Nymaim-Nymaim は、 2013 年 に 初 めて確 認されたマルウェア・ドロッパーおよびダウンローダです。 このドロッパーは当初、 標的をランサムウェアに感染させ、BlackHole エクスプロイト・キットによって拡散していましたが、 その 後、 Vawtrak や Miuref、 Pony、 Ursnif などの新たなタイプのマルウェアも拡散されるようになりました。 このマルウェアの拡散量は 2014 年に減少したものの、 2015 年になると再び増加しました。Panda-Panda は、 2016 年 初 めに最 初 に観 察されたZeus の亜種であり、 Exploit Kit を介して配布されています。 Panda は、 当初の出現以来、 ヨーロッパと北米で金融サービスをターゲットにしてきました。 2016 年のオリンピック大会の前は、ブラジルの銀行に対し特別なキャンペーンも実施しました。Parite-Parite は、 感染したホストおよびネットワーク・ドライブ上の実行可能ファイル(EXE および SCR)に感染するポリモーフィック型ウイルスです。 これは悪質な DLLファイルを Windows の一時ディレクトリにドロップし、explorer.exe プロセスに挿入されます。
付録 – マルウェア・ファミリーの解説 21
●
●
●
●
●
●
●
Ponmocup-Ponmocup は、 2006 年 現 在で活 動しており、 2011 年にピークを迎えたボットネットで、 およそ240 万台の被制御マシンで構成されています。 インフラストラクチャは複雑で、 さまざまなタスクに専用のサーバが含まれています。Proslikefan-Proslikefan は、 JavaScript をサポートするWindows プラットフォームを標的とする。 このマルウェアは、ネットワーク共有、リムーバブル・ドライブ、ピア・ツー・ピア・プログラムを介して拡散しようとします。 システム情報をリモート・サーバに送信するよう設定されています。Qbot-Qbot は、 Qakbot ファミリーに属するバックドアです。 別のマルウェアをドロップしてダウンロードする能力を備えています。 また、水面下でリモートの HTTP サーバとの接続を確立し、 場合によっては重要なユーザ情報を盗み出します。Ramnit-Ramnit は、 水平方向への移動機能が実装されたバンキング型トロインの木馬です。 Web セッション情報を窃取できるように改ざんし、 銀行口座、 企業や個人の SNS アカウントなど、 ユーザが使用するあらゆるサービスの認証情報を盗み出せるようにしました。RIG Exploit Kit-RIG Exploit Kit は、 2014 年 4 月に初めて発見されました。 その後、 いくつかの大きなアップデートを受け、現在も引き続きアクティブになっています。Rig は多くの攻撃者にサービスを提供し、 悪用された被害者にマルウェアを配布します。Roaming Mantis-Roaming Mantis は、 2018 年 3 月に初めて登場した Android バンキング型トロイの木馬で、 ユーザの機密情報、 ログイン資格情報、 2 要素認証の秘密コードを盗むことができます。 Roaming Mantisは、 DNS ハイジャック攻撃を使用して配布しており、Chrome ブラウザや Facebook アプリに偽装されています。 Roaming Mantis の進化したバージョンは、 フィッシング攻撃により iOS デバイスをターゲットにし、 仮想通貨 CoinHive マイニング・スクリプトを使用して、デスクトップ、 ラップトップをターゲットにしています。RottenSys-RottenSys は Android デバイスを標的とするトロイの木馬で、500 万台の Android デバイスをターゲットしました。 RottenSys は正当な 「システム Wi-Fi サービス」 アプリとして装備されたデバイスにプリインストールされていました。 RottenSys マルウェアはもともとユーザのデバイスに積極的に広告を表示するために使用されていますが、 追加のアプリケーションや UI の自動インストールを含む広範な機能も備えています。
●
●
●
●
●
●
●
●
RoughTed- 不正なインターネット広告キャンペーンを大規模展開する RoughTed は、 各種の不正な Web サイトへのリンクやペイロード(詐欺ツール、 アドウェア、 エクスプロイト・キット、 ランサムウェア)を提供するために使用されています。標的のプラットフォームやオペレーティング・システムを問わずに使用できるほか、広告ブロッカーのバイパスやフィンガープリンティングによって、 標的に最適な攻撃を実行します。RubyMiner-RubyMiner は、 Windows と Linux プラットフォームを標的とする Monero マニング・ツールです。脆弱性のあるバージョン(PHP、 Microsoft IIS、 Ruby on Rails など)を検索してマニング・プールに動員し、XMRig という名前のオープンソースの Monero マニング・ツールをインストールします。Sality-Salityは、.exeファイルと.scrファイルを感染させ、リムーバブル・ドライブやネットワーク共有を介して感染することによって広がるウイルスです。 Sality に感染したシステムは、 スパムの目的でピア・ツー・ピア(P2P)ネットワークを介して通信できます。Smoke Loader-Smoke Loader は、 攻撃者が感染したコンピュータをリモートから制御し、 被害者の地理的場所に基づいて他のマルウェアのダウンロードおよびインストールを実行し、 またパスワードを盗むなど、 さまざまな悪質な行為を実行するトロイの木馬です。TheTruthSpy-Android スパイウェアです。 2017 年 5月に初めて登場しました。 TheTruthSpy は、 WhatsAppメッセージ、 Facebook チャット、 インターネット閲覧履歴を監視することができます 。Tinba-Tinba は、 主にヨーロッパのオンライン・バンキング・ユーザを標的として、BlackHole エクスプロイト・キットを使用するバンキング型トロイの木馬です。 銀行 Webサイトのアカウントにログインしようとしたタイミングで活動を開始し、 Web インジェクションによりユーザの認証情報を窃取します。Triada-Android デバイスに感染するモジュール型のバックドアです。 ダウンロードしたマルウェアにスーパーユーザの権限を付与することで、 そのマルウェアのシステム・プロセスへの組み込みを可能にします。 ブラウザに読み込まれる URL を偽装するタイプも確認されています。Trickbot-Trickbot は 2016 年 10 月に出現した Dyre の亜種です。 その登場以来、 主にオーストラリアや英国のオンライン・バンキング・ユーザを標的としており、 最近ではインドやシンガポール、 マレーシアでも関心を集め始めています。
付録 – マルウェア・ファミリーの解説22
●
●
●
WannaCry-2017 年 5 月の大規模攻撃で感染を広げたランサムウェアです。 Windows SMB の脆弱性を悪用するエクスプロイト EnternalBlue を利用して、 ネットワーク内やネットワーク間で拡散します。XMRig-XMRig は、 仮想通貨 Monero のマイニング・プロセスに使用されるオープンソースの CPU マイニング・ソフトウェアであり、2017 年 5 月に最初に発見されました。Zeus-Zeus は、 Windows プラットフォームを標的として広範囲に拡散しているトロイの木馬です。 主に金融機関の情報を盗み出す目的で使用されています。 マシンへの感染に成功すると、 C&C サーバを介してアカウント認証情報などを攻撃者に送信します。
Check Point Research について 23
Check Point Researchについて
Check Point Researchは、チェック・ポイントの顧客と脅威インテリジェンスのコミュニティに対し有益なサ
イバー脅威情報を提供します。調査チームは、ThreatCloudに保存されている世界中のサイバー攻撃デ
ータを収集して分析し、攻撃者の活動を阻止すべく、あらゆるチェック・ポイント製品が最新の保護で更新
されるようにします。セキュリティ侵害が開始された瞬間から、ThreatCloudはネットワーク全体でデータ
の共有を行い、奥深く分析し攻撃をレポートするために必要な情報を研究者に提供します。Check Point
Researchによる出版物と情報共有は、新しいサイバー脅威の発見と安全を維持するために国際的な脅威
情報コミュニティの発展を促進しています。
優れた脅威情報コミュニティ
研究チームは、現在100人以上のアナリストと研究者で構成され、他のセキュリティ・ベンダー、法執行
機関、さまざまなCERTと協力しています。彼らのデータ・ソースには、オープンソース、ThreatCloudの顧
客共有ネットワーク、ダーク・ウェブ・インテリジェンスも含まれています。内部的には、チームは独自の機
械学習モジュール、異常検出、リバース・エンジニアリング、キャンペーン・ハンティング・テクニックを開発
しており、これらは、攻撃者や最新のサイバー脅威に対し、一歩先の立場を維持することを支援してい
ます。
©2018 Check Point Software Technologies Ltd. All rights reserved
チェックポイント・ソフトウェア・テクノロジーズ株式会社
E-mail : [email protected] : http://www.checkpoint.co.jp