大学・研究機関に関連するセキュリティの 取り組み …お客様 A3L(エーキューブラボ)・マルウェア解析/デジタルフォレンジック ・サイバー脅威情報収集/蓄積
McAfee Labs脅威レポート: 2016年3月 ·...
Transcript of McAfee Labs脅威レポート: 2016年3月 ·...
McAfee Labs 脅威レポート2016年3月
レポート
McAfee Labs脅威レポート 2016年3月 | 2
McAfee LabsについてMcAfee Labs は世界で最先端の脅威研究機関で、脅威情報やサイバーセキュリティに関する最新の情報を提供しています。世界各地に配備した数百万台のセンサーからデータを収集し、ファイル、Web、メール、ネットワークなどに対する脅威を研究・調査し、脆弱性の報告を行っています。McAfee Labsは、リアルタイムで脅威情報、重要な分析結果、専門的な情報を提供し、保護対策の向上とリスクの軽減に貢献しています。
www.mcafee.com/jp/mcafee-labs.aspx
McAfee Labsのブログ
McAfee LabsのTwitter
はじめに寒さが厳しい冬の時期でも攻撃者の動きは止まりません。
昨年の11月に公開した『McAfee Labs 2016年の脅威予測』は多くの方にお読みいただきました。また、The Wall Street Journal、Good Morning America、Silicon Valley Business Journal、CXO Todayなどのメディアでも採り上げられました。このレポートでは、翌年の脅威予測だけでなく、長期的な視点でサイバー セキュリティの将来を予測しました。まだお読みいただいてない方はぜひご一読ください。
さて、冬の嵐が遠ざかり、『McAfee Labs脅威レポート: 2016年3月』が公開されました。今回のレポートでは、次の2つのトピックを採り上げています。
n McAfeeでは、約500人のセキュリティ担当者にインタビューを行い、サイバー脅威インテリジェンスの共有に対する考えと期待について調査しました。サイバー脅威インテリジェンスの共有に対する認知度は非常に高く、実際に共有している回答者の97%はその有効性を認めています。
n McAfee Labsに送信されるAdwind .jarファイルのサンプルが急増しています。JavaベースのAdwindバックドア型トロイの木馬が巧妙なスパムでシステムに侵入する方法を調査しました。
この2つのキートピックの後に、通常通り、四半期ごとの統計情報をまとめています。
サイバー脅威インテリジェンスを 共有している97%は、
その有効性を認めています。
McAfee Labs脅威レポート 2016年3月 | 3
このレポートを共有
さらに...
このレポートが公開される頃には、RSA Conference 2016が終了しているでしょう。カンファレンスでは、McAfeeのゼネラル マネージャーであるChris YoungがMcAfeeの基調講演を行っています。Youngはここでサイバーセキュリティの課題を2つ指摘しました。1つは脅威情報を共有するアライアンスとモデルが存在しないこと。もう1つは人材の不足です。この事実を踏まえて、サイバーセキュリティの新しいモデルを提案し、実際に行われている試みを紹介しました。カンファレンスに参加できなかった方は、こちらでご覧ください。
前回の脅威レポートでも触れたように、McAfee LabsはMcAfee製品のコアとなる技術を数多く開発しています。第4四半期は、個人ユーザー向けのMcAfee Cloud AV―Limited Release製品用にReal Protect機能をリリースしました。この機能は、2015年のMcAfee® Stinger™マルウェア駆除ユーティリティにも組み込まれています。Real Protectは、エンドポイントで不審なアクティビティを監視するリアルタイムの動作検出技術です。Real Protectは、クラウド上で学習機能と動作ベースの自動分類を行い、ゼロデイ マルウェアをリアルアイムで検出します。Real Protectの詳細については、こちらをご覧ください。
四半期ごとに、McAfee Global Threat Intelligenceに送信される利用統計情報から新たな事実が見つかっています。弊社ではMcAfee GTI Cloudのダッシュボードで攻撃パターンを確認し、顧客の保護対策の改善に利用しています。この情報を見ると、顧客が受けている攻撃の実情が分かります。第4四半期の状況は次のとおりです。
n McAfee GTIが1日に受信したクエリー: 平均475億件
n メール、ブラウザーの検索などによる危険なURLへの誘導: 1日に1億5,700万回以上
n 顧客のネットワークで確認された感染ファイル: 1日に3億5,300万個以上
n 不審なプログラムのインストールまたは起動: 1日に7,100万回以上
n 危険なIPアドレスや顧客のネットワークに接続を試みるIPアドレスに顧客がアクセスした回数: 1日に5,500万回
弊社では、脅威レポートに関するアンケートを実施しています。皆様からの貴重なご意見は今後の参考とさせていただきます。この脅威レポートに関するご意見をお寄せください。5分程度で終わりますので、ここをクリックしてアンケートにご協力ください。
- Vincent Weafer、バイスプレジデント/McAfee Labs
目次エグゼクティブ サマリー 5
キートピック 6
サイバー脅威インテリジェンスの共有 7
JavaベースのAdwindマルウェア 18
統計情報 33
McAfee Labs脅威レポート2016年3月
執筆者:
Diwakar DinkarPaula GreveKent LandfieldFrançois PagetEric PetersonCraig SchmugarRakesh SharmaRick SimonBruce SnellDan SommerBing Sun
このレポートを共有
McAfee Labs脅威レポート 2016年3月 | 5
エグゼクティブ サマリーサイバー脅威インテリジェンスの共有
セキュリティ業界では、サイバー脅威インテリジェンスの共有でシステムとネットワークのセキュリティが大幅に向上すると期待を寄せています。しかし、セキュリティ担当者はサイバー脅威インテリジェンスの共有が有効な手段だと感じているのでしょうか。もうそうだとすると、どのような情報を共有すべきだと考えているのでしょうか。2015年、McAfeeは様々な業界と地域のセキュリティ担当者500人に聞き取り調査を行いました。サイバー脅威インテリジェンスの共有に対する認知度は非常に高く、実際に共有している回答者の97%はその有効性を認めています。このキートピックでは、サイバー脅威インテリジェンスの共有について実施した調査の結果とメリットについて詳しく解説します。
JavaベースのAdwindマルウェア
Adwindリモート管理ツール(RAT)はJavaベースのバックドア型トロイの木馬で、Javaファイルをサポートしている様々なプラットフォームを標的とします。通常、Adwindはスパム メールの添付ファイル、Webページ、ドライブバイ ダウンロードによって拡散します。このスパム メールは短時間で配信され、件名も頻繁に変更されています。また、非常に巧妙な添付ファイルが使用されているため、簡単に阻止できる攻撃ではありません。このため、McAfee Labsに送信されるAdwind .jarファイルが急増しています。2015年第1四半期のサンプル数は1,388件でしたが、同年第4四半期は7,295件となり、426%も増加しています。
2015年第1四半期にMcAfee Labsに送信されたAdwind .jar ファイルは1,388件でしたが、同年の第4四半期は7,295件となり、426%も増加しています。
McAfeeでは、約500人のセキュリティ担当者にインタビューを行い、サイバー脅威インテリジェンスの共有に対する考えと期待について調査しました。サイバー脅威インテリジェンスの共有に対する認知度は非常に高く、実際に共有している回答者の97%はその有効性を認めています。
キートピックサイバー脅威インテリジェンスの共有
JavaベースのAdwindマルウェア
McAfee Labs脅威レポート 2016年3月 | 6
McAfee Labs脅威レポート 2016年3月 | 7
このレポートを共有
サイバー脅威インテリジェンスの共有―Bruce Snell、Kent Landfield
セキュリティ担当者は複雑さを増す脅威から環境を保護しなければなりません。これまではシグネチャベースや動作分析ベースの保護対策で脅威を阻止してきました。これらの対策は、パターン マッチングで脅威をブロックするか、不審な動作かどうかに基づいて攻撃を阻止しています。いずれも効果的で、大半の攻撃はこの方法で撃退できます。しかし、非常に複雑な脅威や未知の脅威も阻止できるのでしょうか。検出を回避するゼロデイ攻撃はどうでしょうか。このような脅威を阻止するには、サイバー脅威インテリジェンスの活用が重要になります。
ここでいうサイバー脅威インテリジェンス(CTI)という概念は、単にレピュテーション スコアの低いIPアドレスのリストや、不審なファイルのハッシュを意味しているわけではありません。CTIは、新たな脅威(あるいは既存の脅威)に関するエビデンス情報で、これにより、十分な情報を利用して対処方法を判断することができます。CTIは、脅威の特定のビットやバイトに関する情報ではなく、攻撃が発生したコンテキスト情報を提供します。攻撃の兆候(IoA)や侵害の兆候(IoC)、攻撃者の身元や動機なども提供します。CTIを使用することで脅威対策を強化したり、信頼された環境に存在する脅威を検出できます。
CTIを組織のインフラと運用体制に統合することでシステムとネットワークのセキュリティが大幅に向上すると期待されています。脅威を対象からできる限り遠ざけることがセキュリティのベストプラクティスです。CTIを使用することで、セキュリティ チームは発生した個々の攻撃を阻止するだけでなく、攻撃者、攻撃の手口、標的に関してより詳しい情報を入手し、現状を正確に把握することができます。CTIはサイバー脅威の状況を把握する上で重要な要素となります。
キートピック
サイバー脅威インテリジェンス
確認しているアクティビティ
観測
ネットワークとシステムで検出する脅威と理由
指標
この脅威が発生している場所
インシデント
攻撃の内容
TTP
この脅威が利用した弱点
攻撃対象
攻撃の理由
キャンペーン
この脅威の実行者
脅威の主体
実行すべき対策一連の行動
McAfee Labs脅威レポート 2016年3月 | 8
このレポートを共有
調査結果
CTI、特にCTIの共有に関する記事をよく見ますが、実際のところ、セキュリティ担当者はこのような情報の共有が有効であると考えているのでしょうか。もうそうだとすると、どのような情報を共有すべきだと考えているのでしょうか。
2015年、McAfeeは様々な業界と地域のセキュリティ担当者500人に聞き取り調査を行いました。調査対象はMcAfeeの顧客に限定せず、顧客以外にもインタビューを行いました。調査結果は次のとおりです。
この質問に対しては、肯定的な回答が多数を占めました。10人中8人は知っていると答えているので、CTIの共有はかなり認知されていると言えるでしょう。
次に、CTIの共有を認識しているグループを絞り込むため、組織がCTI交換のイニシアティブに参加しているかどうかを聞きました。参加していると答えた回答者は42%で、23%は不明という回答でした。残りの35%はCTI交換に参加していません。
次に、CTIの交換を始めている組織にCTI共有の有効性を尋ねました。
キートピック
39%
40%
21%
サイバー脅威インテリジェンスの共有に対するイニシアチブを知っていますか?
聞いたことはあるが、詳しくは知らない
知っている
知らない
出典: McAfeeの調査(2015年)
McAfee
McAfee Labs脅威レポート 2016年3月 | 9
このレポートを共有
CTIを交換している組織の大半は、有効なデータを受信していると答えています。
共有されるCTIのほとんどは業界に依存しない情報で、業種に関係なく、すべての組織でデータが共有されています。では、金融、医療など、自分の業種と直接関係のあるCTIが必要だと考えている組織はどのくらいあるのでしょうか。
キートピック
59%38%
サイバー脅威インテリジェンスの共有は御社にとって有益ですか?
非常に有益
どちらかと言うと有益
どちらとも言えない
それほど有益ではない
2% 1%
54%37%
8%
業界に関連するサイバー脅威インテリジェンスは必要ですか?
必要
どちらかというと必要
どちらとも言えない
必要ない
1%
出典: McAfeeの調査(2015年)
出典: McAfeeの調査(2015年)
McAfee Labs脅威レポート 2016年3月 | 10
このレポートを共有
キートピック
インタビューの結果、91%の回答者が業界固有のCTIが必要だと回答しました。銀行などでは、同じマルウェアが類似した手口で複数の金融機関に攻撃を仕掛けることが多いため、このような意見が出るのも当然でしょう。重要インフラも同様です。これまでに、重要インフラでしか使用されていない特殊なデバイスを狙うマルウェアが確認されているため、業界固有の情報を交換することは有効な手段といえます。
全体として、CTIの共有と使用については86%が組織の保護に役立っていると答えています。
脅威データを受信するだけでは、CTIを有効に活用することはできません。コミュニティでデータを有効に利用するにはデータの共有が必要です。しかし、コミュニティと情報を共有する可能性になると状況が異なります。「非常に高い」あるいは「可能性はある」と答えた回答者は全体の63%でした。
では、どのようなデータを共有したいと考えているのでしょうか。最も多かった答えは「マルウェアの動作」で、次が「URLレピュテーション」でした。「ファイル レピュテーション」が最下位だったのは意外でした。この点については、今後も調査を続けます。
24%
39%
31%
御社が安全なプライベート プラットフォームでサイバー脅威インテリジェンスのレピュテーション データを共有する可能性はありますか?
非常に高い
可能性はある
どちらとも言えない分からない
あまりない
まったくない
2%4%
出典: McAfeeの調査(2015年)
McAfee Labs脅威レポート 2016年3月 | 11
このレポートを共有
キートピック
次に、データを共有したくないと答えた回答者にその理由を聞きました。最も多かった回答は「会社の規則で禁じられている」で、他の理由を大きく引き離しています。
70%
80%
60%
50%
40%
30%
20%
10%
0
レピュテーション データを共有する場合、どのレピュテーション データを共有しますか?
マルウェアの動作
URLレピュテーション
外部IPアドレスのレピュテーション
証明書のレピュテーション
ファイルレピュテーション
60%
50%
40%
30%
20%
10%
0
レピュテーション情報を共有しない理由は何ですか?
会社の規則で禁じられている
業界の規制で禁じられている
概念は興味深いが、詳しい情報が必要
個人情報や会社の情報が漏えいする可能性がある
自社の情報が他の企業に有効だとは思わない
出典: McAfeeの調査(2015年)
出典: McAfeeの調査(2015年)
McAfee Labs脅威レポート 2016年3月 | 12
このレポートを共有
キートピック
企業がサイバー脅威インテリジェンスを共有しない理由
ポリシー情報共有分析センター、CERT、ベンダー、アライアンス、信頼できるパートナー、パブリック/プライベート イニシアチブでCTIを交換するメリットがあるにも関わらず、組織が情報共有に躊躇する理由は何でしょうか。今回の調査で、最も共有したくないデータとなったのが「ファイル レピュテーション」で、共有しない理由で最も多かったのが「会社の規則」でした。
McAfeeは長年にわたり業界関係者とCTIの共有について協議してきました。大半の組織はCTI共有の有効性を認めていますが、ファイル レピュテーション データの共有については否定的な意見が大半を占めています。おそらく、共有される情報について誤解があるのでしょう。ファイル レピュテーションを共有すると、問題のファイルを表すハッシュ値が作成されます。このハッシュ値がファイルの識別に使用される固有の番号となります。この値はファイルに固有のものですが、ハッシュからファイル自体を再現することはできません。社内のファイルや個人情報(PII)が外部に送信されることはありません。しかし、組織でCTIを共有しようとすると、機密データやPIIの外部への送信を禁止するルールに阻まれます。このポリシー自体は正しいものですが、共有されるコンテンツの内容を認識しないため、阻害要因となっています。
攻撃者の追跡現在進行中の調査の妨げになる可能性があるため、レピュテーション データを共有したくないと考えている組織もあります。政府機関、軍、知的財産を保有している業界リーダーなどは、ネットワークに侵入を試みた攻撃者の特定を行っています。これらの組織では、攻撃の背後にいる人物や攻撃の狙いを特定し、今後の攻撃を回避するため、ある程度の攻撃を容認することも少なくありません。脅威データを共有するコミュニティに攻撃者が参加しないとも限りません。その場合、こちらの情報が攻撃者に筒抜けになり、新たな手口で検出を回避されてしまう可能性があります。まさしく「知らぬ神より馴染みの鬼」という状況がこれに相当します。
法的問題についての懸念共有を阻んでいるのは、技術的な課題というよりも法的な理由のほうが大きいようです。サイバー脅威インテリジェンスを共有するための法的な枠組みはまだ確立していません。リスク回避を優先する顧問弁護士は共有を認めないか、共有を厳しく制限するポリシーを作成しようとするでしょう。ほとんどの場合、情報を共有する前にパートナーとNDAやMOUなどの契約を締結するため、両者が合意に達するまでに時間がかかります。また、2社間でイベントの発生時に情報を共有するための法的根拠が十分でないことも少なくありません。
私たちのセキュリティ製品は特定のドメインをスパムの生成元と指定したり、プログラムやアドオンをスパイウェアとして定義していますが、法的な影響を懸念して、不正なレピュテーションのURLまたはIPアドレスを指摘することに躊躇する組織もあります。これはCTIの共有でも同様です。
McAfee Labs脅威レポート 2016年3月 | 13
このレポートを共有
キートピック
プライバシーについての懸念プライバシーも大きな問題です。各国の法規制が足かせとなり、共有は非常に難しい課題となっています。規制の厳しい業界の組織は法令を遵守し、顧客や患者などの機密データを厳しく管理しなければなりません。個人情報の共有に関する法規制が必ずしも理解されているとは限りません。違反や罰則を避けるため、業務に必要な場合を除いて外部とのデータ共有を行わない組織も少なくありません。
情報交換の規格CTIの交換を効率的に行うには、情報を共有するための技術標準を確立する必要があります。サイバー脅威インテリジェンスを共有するための単一フォーマットを策定する試みが行われてきましたが、その大半はインシデント対応などの特定の領域を対象にしたものでした。2010年に米国土安全保障省の指導と支援の下、MITREがサイバー脅威の指標を自動的に表現できる脅威情報アーキテクチャの開発を開始しました。これは、サイバー脅威のライフサイクル、関連するメッセージ フォーマット、交換プロトコルを自動的かつ構造的に表す最初の試みとなりました。この取り組みで次の3つの仕様が定義されています。
n TAXII™(Trusted Automated eXchange of Indicator Information) n STIX™(Structured Threat Information eXpression) n CybOX™(Cyber Observable eXpression)
出典: oasis-open.org
サイバー脅威インテリジェンスを共有するための3つの標準規格
McAfee Labs脅威レポート 2016年3月 | 14
このレポートを共有
キートピック
この仕様を国際的に認知された標準規格にするため、DHSは仕様の開発と所有権をOASIS(Organization for the Advancement of Structured Information Standards)に移管しました。OASISは、OASISサイバー脅威インテリジェンス(CTI)技術委員会(TC)を設立し、さらに各仕様と相互運用の小委員会を設立しました。STIX、TAXII、CybOXの開発、保守、新しいバージョンのリリースは今後OASISが行っていきます。
TAXIIは一連のサービスとメッセージ交換を定義する仕様です。実装すると、組織だけでなく、製品/サービス間でサイバー脅威インテリジェンスを自動的かつ安全に共有することができます。TAXIIでサイバー脅威インテリジェンスを交換する場合、STIXがCTI交換の推奨フォーマットになります。
STIXは、特定のサイバー脅威インテリジェンスの転送に使用される構造化形式です。STIXは、サイバー脅威ライフサイクル全体に対応し、一貫した機械可読形式を提供するために開発されました。STIXを使用すると、一貫した意味論で情報を自動的に表現し、高度な分析機能を使用できます。これにより、個々の脅威ライフサイクル コンポーネント間の関係を記述することができます。
STIXは、CybOXという言語を使用して、攻撃で発生するサイバー事象をコード化します。CybOXは、サイバー領域(ネットワークとホスト)で発生する事象を標準化された方法で記述します。サイバー事象とは、レジストリ キーやキー値、ファイルの削除、ファイル ハッシュ、HTTPリクエスト、ネットワーク サブネットなどの要素です。サイバー事象は、サイバー領域で測定可能なイベントまたはステートフルなプロパティとなります。
McAfee Labs脅威レポート 2016年3月 | 15
このレポートを共有
キートピック
サイバー脅威インテリジェンスの取得、公開、交換用のフォーマットとして60以上のベンダーがSTIXを使用しています。DHSは、米国政府関連のサイバー脅威データの交換をSTIXとTAXIIで標準化しました。セキュリティ業界は、これらの仕様に基づくツールとインフラを積極的に開発し、配布しています。
情報共有の標準規格とベストプラクティス
セキュリティ業界は現在、情報共有分析機関(ISAO)向けの標準規格とベストプラクティスの策定に取り組んでいます。サイバー脅威インテリジェンスのデータ フィードやサービスを提供する組織(企業、非営利団体)は数多く存在しますが、情報に統一性を持たせることは難しいようです。大半のデータ フォーマットは専用のもので、標準的なインターフェースを使用するサービスもありません。情報の共有は顧客やメンバーに対して限定的に行われていますが、標準規格がないため、データを活用するために多大な時間とリソースを費やさなければなりません。規格の策定と維持にも多大なコストがかかります。
DHSは、米大統領令13691号に従い、ISAOの標準化組織として機能する非政府機関を資金的に支援しました。ISAO標準化組織は、サイバー脅威インテリジェンスの作成規格と分析組織の運用ガイドラインを定義するために創設されました。この組織は、現在の業種別(金融、医療、エネルギーなど)の情報共有分析センターのモデルを拡張し、相互運用可能な標準インターフェースとデータフォーマットを使用して脅威情報を共有できるようにすることを目指しています。サイバー脅威イベント データを強化するプロセスは、これからサイバー脅威状況を共有する組織にも影響を及ぼします。この取り組みはまだ始まったばかりですが、このガイドラインは今後のサイバー脅威インテリジェンスの共有や分析エコシステムの基盤となるでしょう。
サイバー脅威インテリジェンスの今後
CTIを共有するためのポリシーと標準が定義された後は、どのような展開になるでしょうか。
法制度法的な面で最も大きな懸念は、CTIを共有した場合に被る法的責任です。特定の組織間でのみ情報を共有した場合、独占禁止法に抵触しないとも限りません。部分的とはいえ、2015年の米サイバーセキュリティ法は、政府と民間企業または民間企業間で情報を共有するための法的根拠となります。この法律に従い、DHSおよび米司法省は米国の政府機関が個人情報を含むCTIを受信、保存、使用、配布する場合のガイドラインを作成しています。また、この法律により、民間企業も所定の方法でシステムを監視し、脅威の兆候を共有・受信することができます。
McAfee Labs脅威レポート 2016年3月 | 16
このレポートを共有
キートピック
CTIまたは防止方法の共有、受信したCTIや防止方法に基づく警告・行為に対する特別の規定はありません。不参加に対する罰則もありません。また、サイバー保護を目的として複数の民間組織間で脅威情報を共有することは独占禁止法違反にはなりません。
米国政府と他の組織間での情報共有、独占禁止法、損害賠償に関する規定があるため、制定前と比べると、サイバー脅威データを積極的に活用することができます。この法律は各国の情報共有法のモデルになるでしょう。また、法的責任の救済も規定されているので、共有に対する不安を払しょくし、顧問弁護士が望んでいたガイドラインを用意することができます。
コミュニティで共有される情報の増加以前と比べると、共有される脅威データが増えていますが、本当に重要な情報を取得できているのでしょうか。場当たり的な攻撃を検出しているだけで、事業を脅かす真の脅威は見逃しているかもしれません。これまで、脅威情報のフィードや共有で業界標準のフォーマットは使用されていませんでした。セキュリティ製品も同様です。独自のデータ フォーマットが使用されているため、情報を関連付けて高度な分析を行うことができず、検出すべき脅威を識別できませんでした。標準的なフォーマットで脅威データを表すことで、不正なイベント、攻撃、ツールを識別し、状況に応じて柔軟に調査することが可能になります。これは、民間企業だけでなく、非営利団体やオープンソース団体にもメリットがあります。
自動化と統合CTIの交換を効率的に行うには、CTIの作成、インポート、エクスポートを自動的に行う必要があります。CTIで環境内の脅威を手動で探すこともできますが、攻撃を即時またはほぼリアルタイムに阻止するには自動化ツールとプロセスが必要になります。状況に応じた対応を行い、CTIから有益な情報を引き出すため、セキュリティ関連製品は取得したCTIに対して自動的に操作を実行する必要があります。以前は、マルウェアに感染しているシステムを検出すれば済みましたが、現在では、この情報を組織全体で共有し、適切な対応を行う必要があります。たとえば、エンドポイントで不正なファイルが見つかった場合、組織内のマルウェアを検出できるように、企業のセキュリティ インフラ全体で通知を共有する必要があります。また、不正なファイルとハッシュが一致している場合、添付ファイルを境界でブロックしなければなりません。セキュリティ ベンダーがCTIの標準インターフェースを利用し、共通のデータ フォーマットを使用すれば、インテリジェントな対応が可能になります。この標準化により、CTIから有益な情報を取得し、セキュリティ運用のコストを削減できます。人材不足がボトルネックになったり、適切な配置ができなくなることもありません。
CTI組織とサービスの向上新しいセキュリティ情報サービスが次々と登場しています。サイバー脅威の兆候を識別し、事象を共有するためにCTIの共有が推進され、「脅威情報の交換」と検索すると数百件の結果が戻されます。この中には有益な脅威兆候が含まれていますが、統一性や品質、種類が問題となります。交換された複数の脅威情報を見ると、提供されるコンテンツに統一性はありません。同じ脅威に対して、ファイル ハッシュとIPレピュテーションを提供するものもあれば、レジストリ キーとドメイン名のレピュテーションが含まれている場合もあります。今後は標準化されたCTIが提供されるでしょう。
McAfeeの環境にCTIを統合する方法については、『ソリューション概要: 脅威情報を効果的に利用する方法』をご覧ください。
McAfee Labs脅威レポート 2016年3月 | 17
キートピック
このタイプのデータは重要ですが、脅威ライフサイクル全体に対する取り組みは始まったばかりです。1つの脅威に対する情報が増えれば、関連するCTIも充実し、情報の価値が高まります。顧客が状況を的確に把握し、脅威を迅速に回避できるように、個々の脅威についてより多くのデータを収集する必要があります。
McAfeeが創設メンバーであるCyber Threat Alliance(CTA)でもCTIの共有を推進しています。CTAは様々な業界を対象にしたセキュリティ イニシアチブで、参加メンバー間で脅威情報を共有し、メンバーの顧客を保護するために高度脅威に対する対策を強化しています。また、脅威ライフサイクルの重要な要素(脆弱性、エクスプロイト、新しいマルウェアのサンプル、ボットネットの指令インフラなど)を共有し、自社のセキュリティ製品の機能強化に利用しています。CTAのメンバーは、共同で研究することで特定の脅威を詳しく分析し、ライフサイクル全体を把握して脅威の防止・回避に有効な対策を検討しています。
まとめ
CTIは高度脅威対策を牽引する要素となります。McAfeeの調査の結果、CTIに対する認知度や期待が高いことが分かりました。しかし、多くの企業は、コミュニティと脅威データを共有することに躊躇しています。これらの組織が感じている懸念の一部は解消されています。CTIの共有により、構造化された豊富なデータを利用して脅威の状況を正確に把握し、迅速な対応が可能になります。CTIの活用は組織の防御対策で重要な要素となります。
McAfeeの環境にCTIを統合する方法については、『ソリューション概要: 脅威情報を効果的に利用する方法』をご覧ください。
McAfee Labs脅威レポート 2016年3月 | 18
このレポートを共有
キートピック
JavaベースのAdwindマルウェア―Diwakar Dinkar、Rakesh Sharma
Adwindリモート管理ツール(RAT)はJavaベースのバックドア型トロイの木馬で、Javaファイルをサポートしている様々なプラットフォームを標的とします。Adwindは脆弱性を悪用しません。通常、メールに添付された.jarファイルをダブルクリックしたり、感染したMicrosoft Word文書を開いてマルウェアを実行しない限り、感染することはありません。感染するのは、Java Runtime Environmentがインストールされている場合だけです。攻撃先のシステムで不正な.jarファイルが実行されると、マルウェアはユーザーに気づかれずに自身をインストールし、事前に設定されたポートを介してリモート サーバーに接続します。接続後、リモートの攻撃者から命令を受信し、さらなる攻撃を実行します。2015年第1四半期にMcAfee Labsが受信したAdwind .jar ファイルは1,388件でしたが、同年の第4四半期は7,295件で、426%も増加しています。
略歴
AdwindはFrutas RATから進化しました。Frutasは2013年の初めに見つかったJavaベースのRATで、ヨーロッパやアジアの大手通信会社、金融機関、政府機関などを狙ったフィッシング詐欺メールでよく利用されました。Frutasを使用すると、バックドア機能付きの.jarファイルが作成できます。システムへの侵入に成功すると、Frutasは埋め込みの設定ファイルを解析し、自身の指令サーバーに接続します。2013年の夏になると、このマルウェアはAdwindという名前に変わり、2013年11月にはUNRECOM(UNiversal REmote COntrol Multiplatform)という名前で販売されました。
停止JRE環境か? いいえ
はい
スパム キャンペーン .jarファイルまたは.jarファイルが埋め込まれた
Wordファイル
レジストリ キーを追加(再起動後にバックドア型トロイの木馬を実行)
指令サーバー
ドロッパーをインストール
バックドア型トロイの木馬をインストール
不正なペイロードをダウンロードして実行
Adwindの標準的な攻撃方法
McAfee Labs脅威レポート 2016年3月 | 19
このレポートを共有
キートピック
McAfee Labsでは、2015年第3四半期以降、Adwindとして識別される.jarファイルのサンプル数が急増しています。この状況は次のグラフを見れば明らかです。
感染の連鎖
通常、Adwindはスパム メールの添付ファイル、Webページ、ドライブバイ ダウンロードによって拡散します。配布方法も変化しています。以前のスパム キャンペーンでは、件名や添付ファイルの名前が同じスパム メールを数日から数週間送信していました。このため、セキュリティ ベンダーもAdwindを迅速に検出し、脅威を回避できました。現在ではスパムの配信は短期間で終了し、メールの件名も頻繁に変更されています。Adwindの検出を回避するため、非常に巧妙な添付ファイが作成されています。以下ではスパム メールの例を2つ紹介します。
例1: 不正な.jarファイルがWord .docに埋め込まれています。この文書ファイルを開くと、システムにバックドアがドロップされ、実行されます。
Western Unionを装うフィッシング詐欺を見分ける方法については、ここをクリックしてください。
6,000
5,000
8,000
7,000
4,000
3,000
2,000
1,000
0
McAfee Labsに送信されたAdwind .jarファイル
2015年第1四半期
2015年第2四半期
2015年第3四半期
2015年第4四半期
出典: McAfee Labs, 2016
感染したWordファイルが添付されたメール
McAfee Labs脅威レポート 2016年3月 | 20
このレポートを共有
キートピック
例2: メールに添付されている不正な.jarファイルは1つとは限りません。
ソーシャル エンジニアリングを駆使して巧妙な内容のメールが作成されています。次のような件名が使用されています(括弧内は件名の内容)。
n ***SPAM*** Re: Payment/TR COPY-Urgent(至急の支払いを要求) n Credit note for outstanding payment of Invoice(未払い金額の通知) n Fwd: //Top Urgent// COPY DOCS(重要文書の転送) n Re:Re: Re:Re:Re TT copy & PIs with Amendments very urgent...(修正案の確認を依頼する緊急メール)
n PO#939423(発注書) n Western Union Transaction(取引明細)
不正な.jarファイルが埋め込まれたWordファイル
不正な.jarファイルが添付されたメール
McAfee Labs脅威レポート 2016年3月 | 21
このレポートを共有
キートピック
.jarファイルの名前も巧妙で、不正なものには見えません。
n Shipment_copies (2).jar - 船積書類 n FUD FIle.jar- FUDファイル n PO 8324979(1).jar- 発注書 n Shipping Documents.jar- 船積書類 n Telex Copy.jar - テレックス n INSTRUCTIONCZ121.jar- 指示書 n Order939423.jar - 注文書 n Payment TT COPY.jar- 支払い n SCAN_DRAFT COPY BL,PL,CI.jar- 草案のスキャン n Enquiries&Sample Catalog CME-Trade.jar - カタログ サンプル n Transaction reciept for reconfirmation.xslx.jar- 領収書 n P-ORD-C-10156-124658.jar - 発注書 n Proforma Invoice...jar - 請求書 n TT APPLICATION COPY FORM.jar- 申請書 n Dec..PO.jar- 発注書 n Credit_Status_0964093_docx.jar- 信用状態
警戒心の低いユーザーがメールを読んで添付ファイルを開いてしまうような巧妙な件名と.jarファイル名が使用されています。
Adwindの亜種の分析
Adwindにはいくつかの亜種があり、.jarファイルのコンテンツも様々です。
Nymainダウンローダーは、リバースエンジニアリング回避技術、難読化、サンドボックス検出機能、キャンペーン タイマーを使用しています。
McAfee Labs脅威レポート 2016年3月 | 22
このレポートを共有
キートピック
しかし、次のように内部ファイルの構成の一部は類似しています。
Adwindの亜種1: manifest.mf
Adwindの亜種2: manifest.mf
McAfee Labs脅威レポート 2016年3月 | 23
このレポートを共有
キートピック
Adwindの亜種によっては、%AppData%フォルダーにコピーされるJavaアーカイブに.jar以外の拡張子が付いています。例: %AppData%\[ランダムなフォルダー名]\[ランダムなファイル名].[ランダムな拡張子]
Adwindの亜種3: manifest.mf
実行されると、Adwindは自身を %AppData%\[ランダムなフォルダー名]\[ランダムなファイル名].jarにコピーする
トロイの木馬がフォルダーとファイルの属性をシステム、隠し、読み取り専用に変更する
Adwindがランダムに作成するフォルダー
McAfee Labs脅威レポート 2016年3月 | 24
このレポートを共有
キートピック
最後に、Adwindは%AppData%フォルダーにある自身のコピーを実行し、システム起動時にJavaバックドア型トロイの木馬がシステム起動時に実行されるように次のレジストリ キーを追加します。
Adwindは、不正な意図を隠すため難読化されています。ペイロードと設定ファイル(インストール ファイルとして機能)はDES、RC4またはRC6で暗号化されています。使用される暗号化スイートは亜種によって異なります。Adwindバックドアは実行中に自身を復号します。
n 亜種1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] �[ランダムな値名�=�[JREのディレクトリ]\javaw.exe� – jar �%AppData%\[ランダムなフォルダー名]\[ランダムなファイル名].jar�
Adwindのレジストリ キー
Adwindのレジストリ キー
名前がランダムに割り当てられるAdwindのレジストリ キー
meta-inf/manifest.mfファイルの内容。最初に実行されるクラスはAdwind.class。
McAfee Labs脅威レポート 2016年3月 | 25
このレポートを共有
キートピック
ファイルIDが読み込まれ、先頭行が変数passに文字列として格納されます。次に、ClassLoaderModが変数pass、文字列Principalと一緒に読み込まれます。
亜種1のmanifest.mf
亜種1のAdwind.class
IDファイルから取得された変数passのコンテンツ(8文字)
McAfee Labs脅威レポート 2016年3月 | 26
このレポートを共有
キートピック
ClassLoaderModクラスが文字列Principalを一連の文字に追加し、新しい文字列Principal.adwindを作成します。これはJavaアーカイブにある別のリソース ファイルになります。ただし、このファイルは暗号化されているようです。
ClassLoaderMod
暗号化されたPrincipal.adwind
McAfee Labs脅威レポート 2016年3月 | 27
このレポートを共有
キートピック
次に、ファイルIDから取得された8文字の文字列とPrincipal.adwindがファイルConstante.classにあるメソッドConstantinoに渡されます。このメソッドがPrincipal.adwindリソース ファイルの圧縮(GZIPを使用)とDESによる復号を行います。
復号されると、Principal.adwindが別のクラス ファイルになります。このクラス ファイルは次のようになります。
Principal.adwind.の圧縮と復号を行うconstante.classメソッド
クラス ファイルを装うPrincipal.adwind
McAfee Labs脅威レポート 2016年3月 | 28
このレポートを共有
キートピック
このファイルにはキーawenubisskqiが直接記述されています。このキーによってconfig.xmlが復号されます(DESを再度使用)。復号されたconfig.xmlはバックドア型インストーラーとして機能します。
config.xmlのコンテンツはサンプルによって異なります。このコンテンツが解析され、更なる攻撃の設定と実行に使用されます。Javaアーカイブ内で.adwindで終わる他のすべてのファイルも同様に実行時に復号されます。バックドアの機能は、使用するプラグイン(追加のクラス ファイル)によって異なります。たとえば、感染先のシステムでスクリーンショットを取得したり、別のファイルをダウンロードして実行します。一部のファイルを変更または削除したり、キー入力を記録する場合もあります。また、Webカメラ、マウス、キーボードを操作したり、自身を更新する可能性もあります。
暗号化されたconfig.xml
復号後のconfig.xmlの内容
McAfee Labs脅威レポート 2016年3月 | 29
このレポートを共有
キートピック
他の亜種は別の方法で復号されます。
n 亜種2
亜種2ではmanifest.mfのメインはstart.class
XORで暗号化されたconfig.perl(テキスト ファイル)
McAfee Labs脅威レポート 2016年3月 | 30
このレポートを共有
キートピック
このコードには、暗号化して埋め込まれた不正な.jarファイルのパスとファイル名がランダムに記述されています。また、復号に使用されるRC6キーの半分が記述されています。RC6キーの残りの半分は使用可能な他のクラス ファイルから取得されます。前のコードでは、QL1sv1aEoがRC6で暗号化された不正な.jarファイルで、この中にAdwindバックドアが含まれています。
暗号化された.jarファイルを復号すると、Adwindバックドアのクラス ファイルとリソースを確認できます。
config.perlから復号されたコンテンツ
config.jsonがバックドアの設定ファイル(テキスト)。ポート番号、サーバー、 インストール パスなどが定義されている。
McAfee Labs脅威レポート 2016年3月 | 31
このレポートを共有
キートピック
n 亜種3
manifest.mfのmainはstart.classです。暗号化されていないPassword.txtに、埋め込まれた不正な.jarファイルの復号に使用するRC6キーの半分が含まれています。RC6キーの残りの半分は使用可能な他のクラス ファイルから取得されます。Server.dllはRC6で暗号化された不正な.jarファイルで、この中にAdwindバックドアが含まれています。
感染後の攻撃
システムへの侵入に成功すると、Adwindはキーストロークの記録、ファイルの改ざんと削除、別のマルウェアのダウンロードと実行、スクリーンショットの取得、システム カメラへのアクセス、マウスとキーボードの操作、自身の更新などを実行します。
Adwindの亜種3で暗号化されていないpassword.txt
再起動のメカニズム
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] �[ランダムな値名�=�[JREのディレクトリ]\jawaw.exe� – jar �%AppData%\[ランダムなフォルダー名]\[ランダムなファイル名].jar�
このレジストリ エントリを見ると、バックドア型トロイの木馬はWindowsの起動時に毎回実行される。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] �[ランダムな値名�=�[JREのディレクトリ]\jawaw.exe� – jar �%AppData%\[ランダムなフォルダー名]\[ランダムなファイル名].[ランダムな拡張子]�
このレジストリ エントリには、任意のJavaアーカイブ ファイルの拡張子を使用して新しい亜種が格納される。
McAfee Labs脅威レポート 2016年3月 | 32
このレポートを共有
キートピック
検出と防止
次の侵害兆候を使用すると、Adwindに感染したシステムを自動的に検出できます。
Adwindなどの.jarマルウェアを阻止するため、次の対策を行いましょう。
n 最新のセキュリティ技術、パッチ、マルウェア対策の定義ファイルを適用し、システムを最新の状態に保つ。
n オペレーティング システムの自動更新を有効にするか、更新を定期的にダウンロードし、オペレーティング システムにパッチを適用して既知の脆弱性を解決する。
n メールやインスタント メッセージの添付ファイルを自動的にスキャンするように、マルウェア対策ソフトウェアを設定する。
n メール プログラムで添付ファイルを自動的に開いたり、画像を自動的に表示しないように設定し、プレビュー ウィンドウを非表示にする。
n ブラウザーのセキュリティ設定を「中」以上に設定する。 n 添付ファイルを開くときは十分に注意する。特に、.jar、.pdf、.doc、.xlsファイルを開く場合には警戒が必要です。
n 未請求メールや予期しない添付ファイルは絶対に開かない。知人からのメールも例外ではありません。
n スパムを利用したフィッシング詐欺に注意する。メールやインスタントメッセージにあるリンクをクリックしないでください。
McAfeeの製品がAdwindなどの不正なリモート管理ツールを阻止する方法については、『ソリューション概要: バックドア型トロイの木馬を阻止する』をご覧ください。
McAfeeの製品がAdwindなどの不正なリモート管理ツールを阻止する方法については、『ソリューション概要: バックドア型トロイの木馬を阻止する』をご覧ください。
�%AppData%\[ランダムなフォルダー名]\[ランダムなファイル名].jar�
管理者のアプリケーション データ フォルダーにドロップされるファイル
HKCU\Software\Microsoft\Windows\CurrentVersion\Run] �[ランダムな値名�=�[JREのディレクトリ]\javaw.exe� – jar �%AppData%\[ランダムなフォルダー名]\[ランダムなファイル名].jar�
レジストリのキーを実行
McAfee Labs脅威レポート 2016年3月 | 33
統計情報マルウェア
Web脅威
ネットワーク攻撃
McAfee Labs脅威レポート 2016年3月 | 34
このレポートを共有
マルウェア
統計情報
この脅威レポートでは、より正確なデータを提供するため、マルウェア サンプルの計算方法を調整しています。この調整は、新しいマルウェアとマルウェアの合計のグラフに表示されているすべての四半期に反映されています。
新しいマルウェアのサンプル数は3期連続で減少していましたが、第4四半期は増加傾向に戻り、4,200万件の新しい不正なハッシュが見つかっています。第3四半期と比べると10%増加し、過去2番目に多い結果となりました。第4四半期に増加した要因の一つは新しいモバイル脅威です。第4四半期に確認された件数は230万件で、第3四半期より100万件も増えています。
60,000,000
50,000,000
40,000,000
30,000,000
20,000,000
10,000,000
0
新しいマルウェア
第1四半期 第2四半期 第3四半期 第4四半期2014年 2015年
第1四半期 第2四半期 第3四半期 第4四半期
出典: McAfee Labs, 2016
350,000,000
300,000,000
250,000,000
500,000,000
450,000,000
400,000,000
200,000,000
150,000,000
100,000,000
0
マルウェアの合計
2014年 2015年第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期
出典: McAfee Labs, 2016
McAfee Labs脅威レポート 2016年3月 | 35
このレポートを共有
この四半期はモバイル端末を狙うマルウェアが72%増加しました。Googleは2015年8月、Androidモバイル オペレーティング システの更新を毎月リリースすると発表しました。オペレーティング システムに対するセキュリティの強化が毎月リリースされるため、マルウェアの作成者は以前よりも速いペースで新しいマルウェアを作成しています。新たに作成され、検知されたモバイル マルウェアは第4四半期の統計情報に反映されています。
2,500,000
2,000,000
1,500,000
1,000,000
500,000
0
新しいモバイル マルウェア
2014年 2015年第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期
出典: McAfee Labs, 2016
6,000,000
7,000,000
5,000,000
4,000,000
3,000,000
2,000,000
12,000,000
13,000,000
11,000,000
10,000,000
9,000,000
8,000,000
1,000,000
0
モバイル マルウェアの合計
2014年 2015年第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期
出典: McAfee Labs, 2016
統計情報
McAfee Labs脅威レポート 2016年3月 | 36
このレポートを共有
統計情報
12%
14%
10%
8%
20%
22%
18%
16%
6%
4%
2%
0%
2014年 2015年
世界のモバイル マルウェアの感染率(検出を報告したモバイル ユーザーの割合)
第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期
出典: McAfee Labs, 2016
12%
14%
10%
8%
6%
4%
2%
0%
地域別のモバイル マルウェアの感染率(2015年第4四半期)(検出を報告したモバイル ユーザーの割合)
アフリカ アジア オーストラリア ヨーロッパ 北米 南米
出典: McAfee Labs, 2016
McAfee Labs脅威レポート 2016年3月 | 37
このレポートを共有
統計情報
Mac OSを狙う新しいマルウェア サンプルは比較的少なく、活発に活動しているのは2、3のマルウェア ファミリーだけです。
30,000
35,000
25,000
20,000
15,000
10,000
5,000
0
Mac OSを攻撃する新しいマルウェア
第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期
2014年 2015年
出典: McAfee Labs, 2016
60,000
70,000
80,000
50,000
40,000
30,000
20,000
10,000
0
Mac OSを攻撃するマルウェアの合計
第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期
2014年 2015年
出典: McAfee Labs, 2016
McAfee Labs脅威レポート 2016年3月 | 38
このレポートを共有
統計情報
第4四半期は、新しいルートキット マルウェアのサンプル数が大幅に減少しました。このタイプの攻撃は長期的に減少傾向にあります。2011年第3四半期から始まったこの傾向は、64ビットのIntelプロセッサーと64ビット版のMicrosoft Windowsを使用する顧客が増えたことが原因と考えられます。カーネル パッチ保護、セキュア ボートなどの技術がルートキット マルウェアの阻止にも役立っています。
今後もルートキット マルウェアが大幅に増加する可能性は低いため、ルートキット マルウェアのサンプル データを報告するのは今回が最後になります。McAfee Labsでは、引き続きルートキット マルウェアの監視を行っていきます。大きな変化があった場合には、報告を再開します。
60,000
50,000
40,000
30,000
100,000
90,000
80,000
70,000
20,000
10,000
0
新しいルートキット マルウェア
第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期2014年 2015年
出典: McAfee Labs, 2016
1,200,000
1,000,000
800,000
600,000
1,800,000
1,600,000
1,400,000
400,000
200,000
0
ルートキット マルウェアの合計
第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期
2014年 2015年
出典: McAfee Labs, 2016
McAfee Labs脅威レポート 2016年3月 | 39
このレポートを共有
統計情報
2015年第4四半期に新たに確認されたランサムウェアのサンプルは26%増加しています。オープンソースのランサムウェア コード(Hidden Tear、EDA2など)とサービスとしてのランサムウェア(Ransom32、Encryptor)により簡単に攻撃できるようになったことが原因と思われます。TeslaCryptとCryptoWall 3の勢いも衰えていません。『McAfee Labs脅威レポート: 2015年5月』で報告したように、ランサムウェアによる攻撃は金銭的な魅力があり、捕まるリスクも低いため、この手口による攻撃が増えています。
1,200,000
1,000,000
800,000
600,000
1,400,000
400,000
200,000
0
新しいランサムウェア
第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期
2014年 2015年
出典: McAfee Labs, 2016
出典: McAfee Labs, 2016
3,000,000
2,500,000
2,000,000
1,500,000
3,500,000
1,000,000
6,000,000
5,500,000
5,000,000
4,500,000
6,500,000
4,000,000
500,000
0
ランサムウェアの合計
第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期2014年 2015年
McAfee Labs脅威レポート 2016年3月 | 40
このレポートを共有
署名付きの新しい不正なバイナリの数は四半期ごとに減少しています。2015年第4四半期は、2013年第2四半期以降で最も低い数字となっています。闇市場では古い証明書が大量に出回っていますが、より強力なハッシュ機能を導入する企業が増えたため、これらの証明書が失効したり、期限切れになっている可能性があります。SmartScreen(Microsoft Internet Explorerの機能。現在ではWindowsの他の部分でも使用されている)などの技術により信頼性の検証が強化されたため、不正なバイナリに署名を付けることにメリットがなくなっているのかもしれません。
2,500,000
2,000,000
1,500,000
1,000,000
500,000
0
署名付きの新しい不正なバイナリ
第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期2014年 2015年
出典: McAfee Labs, 2016
出典: McAfee Labs, 2016
12,000,000
14,000,000
10,000,000
18,000,000
20,000,000
22,000,000
16,000,000
8,000,000
6,000,000
4,000,000
2,000,000
0
署名付きの不正なバイナリの合計
第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期2014年 2015年
統計情報
McAfee Labs脅威レポート 2016年3月 | 41
このレポートを共有
統計情報
60,000
50,000
40,000
30,000
20,000
10,000
0
新しいマクロ ウイルス
第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期2014年 2015年
出典: McAfee Labs, 2016
出典: McAfee Labs, 2016
300,000
250,000
200,000
450,000
400,000
350,000
150,000
100,000
50,000
0
マクロ ウイルスの合計
第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期2014年 2015年
McAfee Labs脅威レポート 2016年3月 | 42
このレポートを共有
統計情報
Web脅威
30,000,000
25,000,000
20,000,000
35,000,000
15,000,000
10,000,000
5,000,000
0
新しい不審なURL
関連ドメインURL
第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期
2014年 2015年
出典: McAfee Labs, 2016
出典: McAfee Labs, 2016
2,500,000
2,000,000
1,500,000
1,000,000
500,000
0
新しいフィッシング詐欺URL
関連ドメインURL
第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期
2014年 2015年
McAfee Labs脅威レポート 2016年3月 | 43
このレポートを共有
統計情報
2,500,000
2,000,000
1,500,000
1,000,000
500,000
0
新しいスパムURL
関連ドメインURL
第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期
2014年 2015年
出典: McAfee Labs, 2016
5
4
3
2
9
8
11
10
7
6
1
0
世界で発生したスパムとメールの量 (1兆通単位)
正規のメールスパム
第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期
2014年 2015年
出典: McAfee Labs, 2016
McAfee Labs脅威レポート 2016年3月 | 44
このレポートを共有
統計情報
第4四半期のトップはKelihosボットネットですが、件数は第3四半期の95%でした。薬局を装うスパムで有名なKelihosですが、この四半期は中国語の受信者に対して求人情報のスパムを送信しています。第4四半期はLethicボットネットが60%増加しています。このボットネットは主に、偽ブランドの腕時計を勧めるスパムを送信しています。
1,200
1,400
1,000
800
600
400
200
0
スパム メールを送信するボットネットの上位10 (100万通単位)
Kelihos
Darkmailer
Cutwail
Asprox
Slenfbot
Sendsafeその他
Gamut
Lethic
Stealrat
第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期
2014年 2015年
出典: McAfee Labs, 2016
34%
14%
9%
8%
6%
5%
4%
18%
世界のボットネットの分布
Muieblackcat
Wapomi
Maazben
Sality
H-Worm
その他
Darkness
China Chopper Webshell
Ramnit
3%
出典: McAfee Labs, 2016
McAfee Labs脅威レポート 2016年3月 | 45
このレポートを共有
統計情報
ネットワーク攻撃
ドイツ
米国
英国
ロシア
ウクライナ
その他
オランダ
韓国
フランス
32%
8%
5%5%4%
37%
ボットネット指令サーバーが最も多く存在する国
3%3%
3%
出典: McAfee Labs, 2016
36%
19%
16%
11%
9%
ネットワーク攻撃の上位
3%3%
3% 総当たり攻撃
ブラウザー
バックドア
サービス拒否
その他
SSL
DNS
スキャン
出典: McAfee Labs, 2016
McAfeeについてMcAfeeは、世界で最先端のサイバーセキュリティ企業です。McAfeeでは、より安全なデジタル世界を構築するため、個々の力を結集し、企業と個人を保護するソリューションを提供しています。他社の製品と連携するソリューションを構築することで、真に統合されたサイバーセキュリティ環境を整備し、脅威の対策、検出、修復を連動して行うことができます。McAfeeの個人向けのソリューションは、すべての種類のデバイスに対応しています。自宅でも外出先でも、安心してデジタル ライフを楽しむことができます。McAfeeでは、他のセキュリティ企業との連携を強化し、力を合わせてサイバー犯罪者と戦っています。
www.mcafee.com/jp
本資料は弊社の顧客に対する情報提供を目的としています。本資料の内容は予告なしに変更される場合があります。本資料は「現状のまま」提供するものであり、特定の状況あるいは環境に対する正確性および適合性を保証するものではありません。McAfeeおよびMcAfeeのロゴは米国法人McAfee, LLCまたは米国またはその他の国の関係会社における登録商標または商標です。その他すべての登録商標および商標はそれぞれの所有者に帰属します。Copyright © 2017 McAfee, LLC 62289_03162016年3月
McAfee Labsのリンク
〒 150-0043東京都渋谷区道玄坂 1-12-1 渋谷マークシティウエスト20Fwww.mcafee.com/jp