McAfee Labs 脅威レポート2016年6月

レポート

McAfee Labs脅威レポート 2016年6月 | 2

McAfee LabsについてMcAfee Labsは世界で最先端の脅威研究機関で、脅威情報やサイバーセキュリティに関する最新の情報を提供しています。世界各地に配備した数百万台のセンサーからデータを収集し、ファイル、Web、メール、ネットワークなどに対する脅威を研究・調査し、脆弱性の報告を行っています。McAfee Labsは、リアルタイムで脅威情報、重要な分析結果、専門的な情報を提供し、保護対策の向上とリスクの軽減に貢献しています。

www.mcafee.com/jp/mcafee-labs.aspx

McAfee Labsのブログ

McAfee LabsのTwitter

はじめに新しいMcAfeeへようこそ。

3月1日、McAfeeのChris YoungがRSA Conferenceで基調講演を行い、サイバーセキュリティの重要な課題として脅威インテリジェンスを共有する効果的なモデルと協力体制がないことを指摘しました。現在、グローバルなコンピュータ緊急対応チーム（CERT）、情報共有分析センター（ISAC）、デジタル脅威の交換、プライベート フォーラムなど、脅威情報を交換するグループがいくつか存在します。McAfeeは、これらのグループに積極的に参加しています。また、他の大手セキュリティ ベンダー3社とCyber Threat Alliance（CTA）を設立しました。このような組織はまだ少なく、様々な方法で情報の共有を進めています。

また、McAfee LabsはInformation Sharing and Analysis Organization（ISAO）の創設に参加しました。最近設立されたこの組織は、米国土安全保障省から資金援助を受け、ISAOの設立および運用に関する構想に基づいて、政府機関内で脅威インテリジェンスを共有するための任意規格とガイドラインを策定しています。この作業は、統一された方法で情報を共有する基礎となるもので、2016年内にほぼ完成する見込みです。

McAfee Labsでは、5,000を超える モバイル アプリのインストール パッケージで

共謀するアプリを確認しています。

McAfee Labs脅威レポート 2016年6月 | 3

このレポートを共有

現在の脅威インテリジェンス共有は限定的ですが、McAfeeは様々なグローバル コンピューター緊急対応チーム（CERT）に参加し、公開または非公開のフォーラムで脅威データの交換を行っています。

4月27日、Verizonが『2016 Data Breach Investigations Report』（2016年データ侵害調査報告書）を公開しました。例年どおり、この報告書には2015年に発生したデータ侵害パターンの総合的な分析結果が記載されています。McAfee（より正確に言うとFoundstoneインシデント対応部門も侵害データを匿名扱いで提供し、Verizonの分析に協力しました。McAfeeはまた、Verizonと共同で侵害後の詐欺に関する報告を作成しました。このレポートでは、侵害された組織から盗まれたデータのその後の扱いについて詳しく解説しています。この情報と侵害後の詐欺について共同で行った調査結果をWebキャストで発表しています。興味のある方はこちらをご覧ください。

さて、『McAfee Labs脅威レポート: 2016年6月』の内容について簡単に紹介しましょう。今回のトピックは次の3つです。

n モバイル アプリの共謀という新しい攻撃形態の出現。個別では不正に見えない複数のアプリが、同じモバイル デバイスにインストールされると、情報を共有して不正な行為を実行します。

n 主要なハッシュ関数の安全性の検証。プロセッサーの性能が向上し、サイバー攻撃を受ける可能性が高まっています。

n Pinkslipbot。このマルウェア ファミリは2007年の出現以来、計画的に機能が強化されています。最新のバージョンは昨年の終わりに出現しましたが、昨年の12月から第1四半期の終わりまでに4,200を超える固有のPinkslipbotバイナリが検出されています。

この3つのキートピックの後に、通常どおり、四半期ごとの統計情報をまとめています。

さらに...

最近、ランサムウェアに関するニュースをよく耳にします。昨年の11月に公開した『McAfee Labs 2016年の脅威予測』で予測したことが現実のものとなりました。第1四半期には、この予測どおりの脅威が少なくとも2つ以上発生しています。

「この傾向は2016年も続くでしょうが、金融機関や地方の政府機関を狙う攻撃が増えるでしょう。これらの組織では復旧の遅れが被害の拡大につながるため、身代金の支払いにすぐに応じる可能性があります。」

第1四半期は、Lockyというランサムウェア ファミリが3つの病院のシステムを攻撃しました。1つの病院は身代金として17,000ドルを支払いました。

2015年12月の終わりにウクライナの電源施設が攻撃を受け、225,000人が停電の影響を受けました。

四半期ごとに、McAfee Global Threat Intelligenceに送信される利用統計情報から新たな事実が見つかっています。弊社では、McAfee GTI Cloudのダッシュボードで攻撃パターンを確認し、顧客の保護対策の改善に利用しています。この情報を見ると、顧客が受けている攻撃の実情が分かります。第1四半期の状況は次のとおりです。

n McAfee GTIが1日に受信したクエリー: 平均499億件

n メール、ブラウザーの検索などによる危険なURLへの誘導: 1時間に430万回以上

n 顧客のネットワークで確認された感染ファイル: 1時間に580万個以上

McAfee Labs脅威レポート 2016年6月 | 4

このレポートを共有

n 不審なプログラムのインストールまたは起動: 1時間に180万回以上

n 危険なIPアドレスや顧客のネットワークに接続を試みるIPアドレスに顧客がアクセスした回数: 1時間に50万回

最後に、McAfeeの2つのチームがインテルの最大の名誉であるIntel Achievement Awardを受賞しました。この賞を受賞したMcAfeeのチームには、McAfee Labsのメンバーが何人か参加しています。

弊社では、脅威レポートに関するアンケートを実施しています。皆様からの貴重なご意見は今後の参考とさせていただきます。

－ Vincent Weafer、バイスプレジデント/McAfee Labs

目次エグゼクティブ サマリー 6

キートピック 7

共犯者の存在: 共謀するモバイルアプリ 8

暗号化アルゴリズムの現状 16

眠りから覚めたPinkslipbot 22

統計情報 41

McAfee Labs脅威レポート2016年6月

執筆者:

Wilson ChengShaina DaileyDouglas FrosstPaula GreveTim HuxJeannette JarvisAbhishek KarnikSanchit KarveCharles McFarlandFrancisca MorenoIgor MuttikMark OleaFrançois PagetTed PanEric PetersonCraig SchmugarRick SimonDan SommerBing SunGuilherme Venere

McAfee Labs脅威レポート 2016年6月 | 6

このレポートを共有

エグゼクティブ サマリー共犯者の存在: 共謀するモバイルアプリ

モバイル オペレーティング システムは、モバイル デバイスで実行されるアプリ間の通信に複数の手段をサポートしています。しかし、このような便利なアプリケーション間通信が悪用され、複数のアプリが連携して不正な行為を実行する可能性があります。それぞれのアプリを個別に分析すると不正なアプリには見えませんが、これらのアプリが連携すると、相互に情報を交換し、攻撃の実行が可能になります。このような複数のアプリによる脅威は理論上のものと考えられていましたが、McAfee Labsが最近実施した調査で、複数のアプリに共謀用のコードが埋め込まれていることが判明しました。このキートピックでは、モバイル アプリの共謀を定義し、共謀による攻撃方法とその対策について解説します。

暗号化アルゴリズムの現状

インターネットは信用に基づいて構築されています。インターネット上で交換されているメッセージやファイルは本物であることを前提としています。この基盤となるのがハッシュ関数です。ハッシュ関数は、メッセージやファイルを短いビット列に変換する関数ですが、このような関数を悪用するサイバー攻撃が発生する可能性があります。このキートピックでは、主要なハッシュ関数について検証します。プロセッサーの性能が向上し、サイバー攻撃を受ける可能性が高まっています。非常に多くの証明書が古い脆弱なハッシュ関数で署名されています。この中には、重要インフラのアプリケーションで使用されている証明書も含まれています。より強力なハッシュ関数への移行を積極的に進める必要があります。

眠りから覚めたPinkslipbot

3年間の沈黙を経てW32/Pinkslipbot（別名、Qakbot、Akbot、QBot）が再び活動を開始しました。このバックドア型トロイの木馬が最初に確認されたのは2007年です。このマルウェアはワームのような機能を備え、銀行口座の認証情報、メールのパスワード、署名に使用する証明書を盗み出し、出現後まもなく、大規模な被害をもたらすマルウェア ファミリとして知られるようになりました。Pinkslipbotの感染は2013年に減少しましたが、2015年の終わりから再び増加しています。最新のバージョンには、マルウェア研究者によるリバース エンジニアリングを回避するため、分析回避や多層型の暗号化など、高度な機能が搭載されています。このキートピックでは、Pinkslipbotの歴史、進化、最近の更新、ボットネットのインフラについて解説します。McAfee Labsでは、Pinkslipbotの感染と認証情報の窃盗状況をリアルタイムで監視しています。その結果を示しながら、自己更新とデータ流出の仕組みについて解説します。

McAfee Labsの調査によると、SHA-1の脆弱性が報告されているにも関わらず、2,000万以上の証明書でSHA-1が使用されています。この中の4,000を超えるシステムは、重要な機能を実行するSCADAシステムです。

Pinkslipbotは2007年から計画的に強化されています。McAfee Labsでは、最近行われた更新後、4,200以上の固有のPinkslipbotバイナリを確認しています。

共謀するモバイル アプリは単独で見ると不正なアプリに見えません。しかし、同じモバイル デバイス上で実行されると、情報を共有し、不正な行為を行います。McAfee Labsでは、5,000を超えるインストール パッケージ、21のモバイル アプリでアプリの共謀を確認しています。

キートピック共犯者の存在: 共謀するモバイルアプリ

暗号化アルゴリズムの現状

眠りから覚めたPinkslipbot

McAfee Labs脅威レポート 2016年6月 | 8

このレポートを共有

キートピック

モバイル アプリの共謀: 2個以上のアプリがアプリケーション間通信を悪用し、犯罪行為や攻撃を実行します。

共犯者の存在: 共謀するモバイルアプリ―Igor Muttik

複数の人間が共謀して犯罪を犯す例は昔からありますが、同じようなことがモバイル デバイスでも起きています。モバイル オペレーティング システムは、様々な技術を使用してアプリをサンドボックスに隔離し、機能を制限してアプリに適切なレベルの権限を付与しています。しかし、オペレーティング システムにはサンドボックスの境界を越えてアプリ間で通信を行う手段があり、詳細が一般にも公開されています。Androidではインテントによってプロセス間（アプリ間）のメッセージ交換を行っています。

モバイル セキュリティ ツールやアプリ ストアで実施されているマルウェア/プライバシー フィルターによる検出を回避するため、攻撃者は機能と権限が異なる複数のアプリを利用し、目的を達成しようとします。たとえば、重要なデータにアクセスできるアプリとインターネットにアクセス可能なアプリの間で通信を行います。それぞれのアプリは正常なアプリに見えるため、共謀して攻撃を行うアプリを検出するのは容易ではありません。検出されるまでデバイスに長期間潜伏する可能性もあります。

McAfee Labsでは新たな脅威と防御策を継続して調査していますが、その一環として、英国の複数の大学と協力し、モバイル アプリの不正なアクティビティを検出する新しい方法を研究しています。このACiDプロジェクトでは、McAfee、シティ大学ロンドン、スウォンジー大学、コヴェントリー大学の研究者がアプリの共謀を自動的に検出する手段を開発しています。

このキートピックでは、共謀するモバイル アプリの定義と方法について説明します。また、このような新しい攻撃手段を検出してモバイル デバイスを保護する方法についても解説します。

モバイル アプリの共謀とは

共謀するアプリを効率良く検出するには、まず最初に、調査対象を明確に定義する必要があります。アプリの共謀とは、2個以上のアプリがアプリケーション間通信を悪用し、協力して犯罪行為や攻撃を実行することを意味します。このような攻撃を行うには、少なくとも1つのアプリに制限付きの情報またはサービスへのアクセスが許可され、1つのアプリにデバイス外部とのアクセスが許可されている必要があります。また、相互に通信を行うための手段も必要です。これらのアプリが誤って連動し、データの流出が発生してしまうこともあれば、不正なライブラリやソフトウェア開発キット（SDK）が組み込まれる場合もあります。これらのアプリは、共有空間（すべてのアプリに読み取りが許可されたファイル）を利用して上位の権限に関する情報を交換したり、外部へのデータ送信やリモート コマンドの入り口に最適なアプリを判断します。

McAfee Labs脅威レポート 2016年6月 | 9

このレポートを共有

キートピック

共謀するアプリ

アプリ

重要な権限または特権

通信

メッセージまたは共有ストレージ

アプリ

デバイスの外部に接続(インターネット)

ここでは、調査対象を絞り込むため、次の3種類の脅威に限定して考えてみます。

n 情報の窃盗: 重要な情報や機密情報にアクセスできるアプリが、意図的かどうかに関係なく他のアプリと連携し、情報を端末の外部に送信する可能性があります。

n 金銭的な詐欺行為: 金融取引を行うアプリやAPIに別のアプリが情報を送信する可能性があります。

n サービスの誤使用: アプリがシステム サービスを制御し、別のアプリから情報やコマンドを受信する可能性があります。

たとえば、文書を盗み出す攻撃では、アプリAを使用して重要な文書を探し、見つかった文書をアプリBに渡してリモート サーバーに送信します。また、位置情報を取得する攻撃では、アプリCで位置情報を読み込み、アプリDを使用して攻撃者の指令サーバーに転送します。これは、ローカルのマップ アプリや天気アプリで使用するためにアプリCから位置情報を取得するような正規の情報共有やアプリ間通信とは異なります。 モバイル アプリの共謀方法攻撃者は、いくつかの方法でモバイル アプリを共謀させます。簡単なものとしては、プライバシーに違反する不正な関数を2つ以上のアプリに分散させる方法があります。たとえば、連絡先を管理するアプリや、天気情報の更新を提供するアプリが利用されます。ここで問題になるのが配布方法です。この攻撃が成功するのは、両方のアプリが同じモバイル デバイスにインストールされている場合に限られます。不正なパブリッシャーは、同じアプリ ストアで公開したり、クロス広告を使用するなど、様々な機会を利用して共謀するアプリを同時にインストールさせようとします。広告は、オンライン広告の場合もあれば、アプリ内広告の場合もあります。したがって、同じソースに公開されているアプリや同時インストールを明示的に要求するアプリ、よく一緒にインストールされるアプリなどは調査が必要です。

McAfee Labs脅威レポート 2016年6月 | 10

このレポートを共有

キートピック

2つ以上のモバイル アプリで広告ライブラリが使用されている場合、アプリの提供者の意図に関係なく、これらのアプリが連携する可能性があります。

別の方法として、アプリ間の通信を可能にするライブラリを公開してアプリ開発者に配布する方法があります。たとえば、多くのアプリ開発者はアプリの価格を抑える（あるいは無料で配布する）ため、コード内に広告ライブラリを組み込んでいます。悪意のある第三者がライブラリにアプリケーション間通信機能を埋め込み、開発者本人に気づかれずに2つ以上のアプリを共謀させる可能性があります。アプリの開発者は、作成したアプリが連携して不正なペイロードを送信するとは考えないでしょう。共通の不審なサードパーティ ライブラリやSDKを使用するアプリは調査が必要です。

OSのアプリケーション間通信を使用してアプリ間で情報を転送する流れ

コード ライブラリの共有でアプリの共謀が可能に

また、サードパーティのアプリあるいはライブラリの脆弱性が悪用される場合もあります。データを露出したり、権限コントロールに違反するアプリの脆弱性が修正される前あるいはセキュリティ ツールでブロックされる前に別のアプリに悪用されるケースがすでに確認されています。情報漏えいや脆弱性が確認されているアプリのペアは調査が必要です。

これらの攻撃方法はいずれも共通の痕跡を残すため、共謀するアプリの存在を効率的に検出するツールの作成は可能です。

ローカルに保存された個人情報にアクセス

OS がサポートするアプリケーション間

通信

モバイル デバイス

モバイル デバイスの外部との通信

A B

モバイル デバイス

ローカルに保存された個人情報にアクセス 共有のコード

ライブラリ

モバイル デバイスの外部と通信

A

共有のコードライブラリ

B

McAfee Labs脅威レポート 2016年6月 | 11

このレポートを共有

キートピック

共謀するアプリの検索は相互に通信を行っているアプリから始める

重要な情報にアクセスするアプリ宣言された権限に基づいて、重要な情報や機密情報、金融取引のプロセス、システムサービスにアクセス

外部通信アプリデバイスの外部と通信可能なアプリ

共通の通信チャネル

共謀するモバイル アプリの検出

McAfeeは、大学の脅威研究者と協力してモバイル アプリの共謀を検出するツールの開発を行っています。モバイル アプリは大量に存在し、その組み合わせも多様です。3つのアプリが連携することもあります。したがって、共謀していないアプリを迅速にフィルタリングする方法が必要です。まず最初に、アプリの機能と権限を分析します。重要なデータにアクセスできないアプリや同等の権限がないアプリを連携させても意味がありません。

共謀してデータを流出させるアプリを検出する場合、まず、宣言された権限に基づいて、重要な情報や機密情報、金融取引のプロセス、システム サービスへのアクセスが許可されているアプリ（重要な情報にアクセスするアプリ）を隔離します。次に、デバイスの外部と通信可能なアプリ（外部通信アプリ）を探します。共謀を調査する場合、重要なデータやサービスにアクセスできないアプリやインターネットにアクセスできないアプリは対象外となります。

次に、アプリ間で使用可能な通信チャネルを調査する必要があります。たとえば、インテント（Android）やアプリケーション拡張機能（iOS）、外部ストレージ（Android）、SharedPreferences（Android）またはUserDefaults（iOS）などが対象になります。これらはすべて文書が公開され、オペレーティング システムでサポートされている通信手段です。このような明示的方法だけでなく、非公開のチャネルが使用される場合もあります。これらの方法の中には少し複雑なものもあります。たとえば、スマートフォンの音量レベルの操作する場合、1つのアプリで音量を設定し、別のアプリでその情報を取得できます。この場合、処理速度は遅いものの、アプリ間でビット ストリーム（メッセージ）を確実に受け渡すことができます。

アプリ マーケットには非常に多くのアプリが公開され、考えられる組み合わせも膨大になります。共謀を自動的に検出するのは非常に困難です。3つ以上のアプリが連動した場合、検出はまず不可能となります。したがって、不正でないアプリを除外し、可能性の高いアプリだけに集中できるように、別の技術を利用して対象を絞り込む必要があります。

たとえば、同じ不正なライブラリ セットを使用するアプリをすべて比較し、静的コード分析を行い、共通の通信APIを特定します。また、発行日、アプリ マーケット、インストール方法などの特性も考慮します。

McAfee Labs脅威レポート 2016年6月 | 12

このレポートを共有

キートピック

図3: Cascadeの分析結果

通信を追跡するため、それぞれのアプリを分解し、コードを検証する必要があります。この情報を利用すると、アプリと潜在的な通信アクションを関連付け、2種類のファイル（重要な情報にアクセスするアプリと外部通信アプリ）でどのファイルに共謀の恐れがあるのか判断できます。つまり、重要な情報にアクセスするアプリと外部通信アプリが然るべき方向で通信チャネルを共有している場合、共謀の可能性が高くなります。また、3つ以上のアプリが共謀している場合も検出できるようにするため、各セットに開始アプリと終了アプリを追加します。たとえば、共謀するアプリのセットには、重要な情報にアクセスできるアプリと、インターネットにアクセスしてチャネルAでデータを受信できるアプリが必要です。あるいは、システム アプリにアクセスできるアプリがチャンネルBでデータを受信し、インターネットにアクセス可能なアプリがチャネルBでデータを送信する必要があります。共謀するペア間で双方間の通信は必ずしも必要ではありません。

最近の調査結果『Towards Automated Android App Collusion Detection』（共謀するAndroidアプリの自動検出）によると、マーケット プレイスの85%のアプリが他のアプリと通信可能で、明示的な通信手段を利用するアプリが11.3%、暗黙的な通信手段が73.1%でした。依存する機能を通信機能に限定しても非常に多くの共謀ペアが生成される可能性があり、この1つの方法で非常に多くの組み合わせが存在します。このため、アプリをより詳細に分析し、不正なアプリを排除する必要があります。

ほとんどのアプリは明示的または暗黙的に通信を行うため、分析はより困難になります。

15.6%

73.1%

11.3%

モバイル アプリのアプリケーション間通信

暗黙的な通信

明示的な通信

通信なし

McAfee Labs脅威レポート 2016年6月 | 13

このレポートを共有

キートピック

共有のストレージ空間を使用して権限の情報を交換するモバイル アプリ。 優先度の値は各アプリの権限の集計を表す。

すぐに使える回避技術を購入できるため、この機能を独自に作成する必要はありません。また、サービスとして提供されている回避技術も存在します。

情報の交換が完了すると、最も高い権限のアプリがリモートの指令サーバーから送信された命令に応答します。これにより、情報交換に参加したアプリの中で最も高い権限に昇格し、ボット機能の実行を可能にしています。

アプリ サンドボックス

優先度の値を保存

共謀アプリ1

優先度=100L 優先度=10L 優先度=0L

不正なSDK

1

アプリ サンドボックス

優先度の値を保存

共謀アプリ3

不正なSDK

1

アプリ サンドボックス

共有空間

優先度の値を保存

共謀アプリ2

不正なSDK

1

共謀するモバイル アプリの現状

今回の調査を始めた後に作成したツールを実行した結果、モバイル アプリの共謀は理論上のものではないことが判明しました。特定のAndroid SDKを使用しているアプリのグループが検出を回避し、連携して実行されています。このSDKは、2015年の終わりからその危険性と有害性が認識され始めました。現在、5,000を超えるインストール パッケージに含まれ、様々な権限の21個のモバイル アプリで確認されています。これらのAndroidアプリが同じデバイスにインストールされると、Androidオペレーティング システムの制限を超え、権限の高いアプリを経由してリモートの指令サーバーから命令を受信します。

次の図では、3つのモバイル アプリが情報を交換し、最も権限の高いアプリを特定しています。

McAfee Labs脅威レポート 2016年6月 | 14

このレポートを共有

キートピック

最も高い権限のアプリが処理を開始する。残りのアプリは最初のアプリがデータを収集 するまで待機する。データの収集が完了すると、指令サーバーに情報を送信する。

このアプリのセットは、オペレーティング システムが設定した制限を超えてアクションを実行するので、プライバシーやセキュリティが侵害される可能性があります。これらのアプリは別々に分析されているため、この連携機能が検出されることはありませんでした。

アプリのグループの中で最も高い権限に昇格する手口は、アプリの共謀が検出されて初めて見つかりました。これは、広告ライブラリや外部のSDKなど、第三者のコードを使用すると重大なリスクが発生することを意味しています。クローズド ソースや完全に信頼されていないコードには特に注意が必要です。この問題はAndroid固有のものではなく、すべてのモバイル デバイスに重大な影響を及ぼします。また、ソフトウェア サンドボックスを採用している仮想環境やクラウド環境も影響を受けます。

共謀するモバイル アプリの阻止

セキュリティ ベンダーはタブレットとスマートフォンを保護する製品を提供していますが、有害なモバイル アプリを個別にスキャンし、ブロックしています。モバイル セキュリティ ソフトウェアは、不正なコードを含むアプリをブロックするだけでなく、不審な権限要求などの不正な動作もスキャンします。これにより、これらのアプリを完全にブロックすることができます。多くのセキュリティ製品は、不正なアプリのダウンロードを未然に防ぎ、デバイスを保護します。不正なWebサイトやメールなど、別の攻撃経路も識別し、攻撃を未然に防ぎます。

これらの技術を使用すれば、共謀するモバイル アプリのブロックも可能ですが、アプリの共謀をどのように認識するかが問題です。McAfeeは最近、英国の複数の大学と協力し、共謀するモバイル アプリを検出できるツールを開発しました。McAfee Labsの研究者はこれらのツールを手動で実行しています。また、モバイル アプリを自動的に分析する環境への配備も計画しています。これが実現すれば、共謀するモバイル アプリの検出時間が短縮されます。すべてのユーザーを保護するため、McAfee Labsと大学の研究者はACiDプロジェクトの研究成果を公開しています。今後の成果も引き続き公表していく予定です。

McAfeeの製品は、共謀するモバイル アプリの攻撃を阻止する有効な手段となります。詳細については、こちらをご覧ください。

アプリ サンドボックス

共謀アプリ1

不正なSDK

不正なサービスを開始

アプリ サンドボックス

共謀アプリ3

不正なSDK

アプリ サンドボックス

共謀アプリ2

不正なSDK

2

McAfee Labs脅威レポート 2016年6月 | 15

このレポートを共有

キートピック

共謀するモバイル アプリから組織を保護するため、信頼できるマーケットや信頼されたソフトウェア パブリッシャーのアプリだけを使用する必要があります。「提供元不明」のモバイル アプリのインストールを禁止すると、信頼できるソースのアプリだけをインストールできます。また、広告が埋め込まれたソフトウェアは使用してはなりません。広告が過度に表示される場合、複数の広告ライブラリが存在する可能性があります。この場合、アプリが共謀するリスクが高まります。モバイル アプリの評価やレビューを調べ、他のユーザーがアプリのセキュリティ問題を報告していないかどうか確認することも重要です。最後に、デバイスのジェイルブレイクやルート化はやめるべきです。このような設定を行うと、アプリがシステム レベルのアクセス権を取得し、不正なアクティビティを実行する可能性があります。

アプリの開発者は、不明なサードパーティや広告ライブラリを使用しないことで、ソフトウェアの性能を向上させ、自身の評判を守ることができます。特に、クローズド ソースには注意が必要です。アプリ内で複数の広告ライブラリを使用するべきではありません。ライブラリごとにデータが使用されるので、この最後の対策を行うことでデータ通信量を減らすこともできます。

共謀対策フィルターを組み込み、このようなアプリの公開を防ぐことは、アプリ マーケット ベンダーにもメリットがあります。連携でオペレーティング システムの制限に違反しないように、アプリケーション間通信に対するポリシーを設定することも重要です。

共謀が可能になるのは、ソフトウェアの隔離が適切に行われていないためです。この問題は、モバイル オペレーティング システムだけでなく、サーバー ファームの仮想マシンなど、ソフトウェア サンドボックスを実装しているすべての環境に存在しています。サンドボックス間の隠れた通信により、セキュリティが侵害され、データが流出する可能性があります。隔離機能を強化する傾向は望ましいものですが、攻撃者もセキュリティ対策を回避するために、より頻繁にアプリの共謀を使用することが予測されます。モバイル デバイスで共謀を検出する手法の研究と開発を引き続き行い、調査範囲を拡大していきます。

McAfeeの製品は、共謀するモバイル アプリの攻撃を阻止する有効な手段となります。詳細については、こちらをご覧ください。

McAfee Labs脅威レポート 2016年6月 | 16

このレポートを共有

キートピック

暗号化アルゴリズムの現状―Charles McFarland、Tim Hux、Francisca Moreno

インターネットは信用に基づいて構築されています。インターネット上で交換されているメッセージやファイルは本物であり、送信者自身が作成していることを前提としています。

本物かどうかの確認はデジタル署名で行われています。この署名により、整合性（送信者から受信者に渡るまでにメッセージまたはファイルが変更されていないこと）と否認不可性（送信者がメッセージまたはファイルを送信したことを否定できないこと）が保証されます。

デジタル署名を広く効率的に使用できるように、認証はメッセージやファイル自体ではなく、メッセージまたはファイルのハッシュ（ダイジェスト）で行われます。暗号学的ハッシュ関数は、メッセージまたはファイルから比較的短いビット列を生成します。このビット列は非可逆的な一方向の暗号として使用されます。

署名

データ

デジタル署名付きのデータ

ハッシュ

署名者のプライベートキーでハッシュを暗号化

テータに添付

ハッシュ関数

0110100011011101

署名証明書

011010001101110

検証

データ

署名者のプライベートキーで復号

ハッシュ関数

ハッシュ

ハッシュが一致すれば署名は有効

=0110100011011101

ハッシュ

0110100011011101

署名

011010001101110

デジタル署名付きのデータ

署名

データ

デジタル署名付きのデータ

ハッシュ

署名者のプライベートキーでハッシュを暗号化

テータに添付

ハッシュ関数

0110100011011101

署名証明書

011010001101110

検証

データ

署名者のプライベートキーで復号

ハッシュ関数

ハッシュ

ハッシュが一致すれば署名は有効

=0110100011011101

ハッシュ

0110100011011101

署名

011010001101110

デジタル署名付きのデータ

出典: Acdx、https://ja.wikipedia.org/wiki/%E9%9B%BB%E5%AD%90%E7%BD%B2%E5%90%8D

デジタル署名の署名と検証

McAfee Labs脅威レポート 2016年6月 | 17

このレポートを共有

キートピック

では、異なるメッセージまたはファイルから同じハッシュが生成されたらどうなるでしょうか（ハッシュの衝突）。あるいは、不正でないメッセージやファイルと同じハッシュが生成されるように、不正なメッセージまたはファイルが作成されたらどうなるでしょうか。このようなことが現実的に可能になると、マルウェアを含むファイルを正常なファイルと置換したり、仲介者攻撃を実行するなど、様々な不正行為が実行される可能性があります。

したがって、時間や費用をかけても別のメッセージやファイルから同じハッシュを生成できないように対策を講じることが非常に重要になります。このキートピックでは、様々な暗号学的ハッシュ関数について検証を行います。プロセッサーの性能向上で、サイバー攻撃を受ける可能性が高くなっています。量子コンピューターなどの新しい技術により、暗号化技術の有効性が失われる可能性もあります。

暗号学的ハッシュ関数

技術の実装方法によっては、セキュリティが強化されることも、逆に脆弱になることもあります。業界の研究者は、最新の技術を把握し、攻撃に使用できるリソースを調査してセキュリティの弱点を見つけています。ハッシュ アルゴリズムも例外ではなく、アルゴリズムが適用するセキュリティ レベルを定期的に再評価しています。

暗号学的ハッシュ関数のSHA-1についても継続的な検証が行われています。これらの検証結果に基づき、McAfee Labsでは多くの環境にこの関数を使用しないように提言しています。SHA-1に対する攻撃は理論上のものですが、回避策を実施するには多大な時間がかかります。SHA-1の脆弱性は重大な被害をもたらす可能性があるため、ソフトウェア業界の多くはSHA-1のサポートを停止する計画をすでに進めています。古いハッシュ関数を使用しているシステムの移行を計画していない場合には、将来のセキュリティ問題を回避するため、今すぐ移行計画を立てるべきです。

この他にも暗号学的ハッシュ関数は存在しますが、最も有名な関数はMD5とSHA-1です。MD5が最初に公開されたのは1992年で、脆弱性が確認されているにも関わらず、その後も広く利用されています。SHA-1は、1995年に米国家安全保障局が開発しました。以前は安全性の高いものでしたが、当初の予想よりも短時間で重複するハッシュ値の生成が可能であることが確認されました。広く普及しているハッシュ関数を別の手段に変えるには多大な時間が必要になります。このことは、脅威研究者の間で以前から懸念されていました。

暗号作成者は、特定のハッシュ関数について、重複するハッシュ値の生成に必要な計算サイクルを計算してきました。中央処理装置とグラフィック処理装置の性能向上に伴い、時間とコストの壁は低くなってきています。また、ボットネットとクラウド サービスの利用で、重複するハッシュ値の生成に要する時間はさらに短縮されます。MD5ハッシュの場合、一般的に使用されているサーバー ハードウェアでも1秒以内で重複するハッシュ値を生成できます。SHA-1の場合は数か月が必要とされています。

McAfee Labsでは、暗号学的ハッシュ関数のMD5とSHA-1の使用をやめることをお勧めします。

McAfee Labs脅威レポート 2016年6月 | 18

このレポートを共有

キートピック

高まる業界の懸念

2015年10月、理論的に以前よりも少ないコストでSHA-1の衝突が生成可能になったことを示す報告が複数の研究者によって発表されました。暗号化とハッシュ アルゴリズムに対して可能な攻撃に事前に対応することは簡単ではありません。計画を立ててリソースを用意するだけでなく、将来的な予測も必要になります。2015年8月、米国家安全保障局（NSA）が量子コンピューターの発展を考慮し、暗号化スイートを量子計算に耐え得るアルゴリズムに移行する計画を発表しました。量子コンピューターの普及はまだ先のことでしょうが、NSAはこのような潜在的な脅威に対して早期に対応する必要性を示しました。

量子計算にも耐えられるアルゴリズムについて数多くの研究が行われていますが、このようなアルゴリズムが実際に配備されるまでには何年もかかるかもしれません。しかし、SHA-1ハッシュ関数の衝突を利用した攻撃に対しては、すぐに対応が必要です。

SHA-1は、メッセージまたはファイルを入力として使用し、1つのメッセージに固有のハッシュを生成します。次の特性からハッシュ関数は安全だと考えられています。

n 原像計算困難性: 任意のハッシュ値に対して、そのハッシュ値を生成するためのメッセージまたはファイルを簡単に特定することはできない。

n 第2原像計算困難性: 任意のメッセージまたはファイルに対して、そのハッシュ値を生成するための別のメッセージまたはファイルを簡単に特定することはできない。

n 衝突困難性: ハッシュ関数が同じハッシュ値を生成する2つのメッセージまたはファイルを簡単に特定することはできない。

原像計算困難性と第2原像計算困難性の安全性については問題ありません。2015年10月の報告で問題とされたのは衝突困難性に対する攻撃で、SHA-1の衝突困難性の安全性が低下しています。衝突に対する脆弱性がなければ、SHA-1の有効性に変わりはありません。たとえば、安全性が確認されているファイルでSHA-1ハッシュが生成されている場合、同じSHA-1ハッシュを持つ新しいファイルを生成することは理論上不可能です。したがって、既知のファイルはSHA-1ハッシュで信用することができます。これは、原像計算困難性によって保証されています。

1992年 1993年 1995年 2001年 2005年 2006年 2008年 2017年

MD5公開

MD5最初の衝突の欠陥が見つかる

SHA-1最初の衝突の欠陥が見つかる

SHA-1公開

MD5不正な証明書のデモを実施

MD5衝突アルゴリズム

を公開SHA-2 公開

主要なブラウザーがSHA-1証明書のサポートを終了

安全なハッシュ アルゴリズムの年表

McAfee Labs脅威レポート 2016年6月 | 19

このレポートを共有

問題は衝突困難性に限定されます。衝突困難性に対する攻撃の場合、攻撃者はメッセージと結果のハッシュを完全に制御することはできません。問題になるのは不明なファイルと証明書です。しかし、巧妙な攻撃者が衝突する2つのメッセージ/ファイルを生成し、SHA-1を使用しているSSL証明書やデジタル署名などの整合性を脅かす可能性があります。Chosen-Prefix衝突などの攻撃では、メッセージやハッシュの全体ではなく、メッセージの一部を選択するだけで攻撃が可能です。MD5アルゴリズムに対する攻撃はすでに発生していますが、現時点でSHA-1を悪用した攻撃は確認されていません。セキュリティ研究者の計算によると、SHA-1の衝突困難性を破るために必要な計算量を少なくすることで、衝突を生成する理論的なコストは、資金が十分にある組織であれば投資可能なレベルにまで低下します。

MD5と同様に、このハッシュ関数も1996年から類似したサイクルに入りました。技術が向上し、MD5アルゴリズムの研究が進んだ結果、衝突困難性に対する懸念は2008年には現実的な問題となりました。

MD5でもSHA-1でも、原像計算困難性と第2原像計算困難性に対する実際の攻撃は確認されていませんが、理論的な攻撃方法が発見されてから実際に攻撃が発生するまでに数年もかからないかもしれません。MD5の衝突困難性に対する攻撃も発見から数年で攻撃が発生しています。SHA-1でも同じことが考えられます。

業界の対応

良いニュースもあります。主要なブラウザーは、SHA-1を使用したSSL証明書のサポートを2017年までに終了することを発表しています。Google Chromeはすでにサポートを終了しています。マイクロソフトは段階的な廃止措置をまもなく開始し、2016年6月以降、WebサイトでSHA-1を使用している場合に警告を表示する予定です。2016年1月1日現在で、主要な証明機関はすでにSHA-2証明書を発行しており、コードの署名にSHA-1証明書を使用していません。

しかし、業界の対応は必ずしも明確ではありません。Firefoxは、一部のユーザーがHTTPSサイトにアクセスできなくなったため、SHA-1のサポートを一時的に再インストールしました。この多くはWeb開発者のエラーではなく、受信トラフィックのコンテンツをスキャンし、フィルタリングを行うネットワーク アプライアンスで対応すべき問題です。これらのデバイスが適切に更新されていないと、コンテンツを可視化するために、新しいSHA-1証明書をトラフィックに割り当てる可能性があります。現在では、Firefoxがこれらの証明書をサポートしなくなったので、このようなネットワークのユーザーは暗号化されたWebサイトにアクセスできなくなっています。

主要なブラウザーは、SHA-1で署名されたSSL証明書のサポートを終了しました。主要な証明機関はSHA-2を使用して証明書に署名しています。

キートピック

McAfee Labs脅威レポート 2016年6月 | 20

このレポートを共有

キートピック

X.509: 信頼された証明を行うために証明機関の階層構造を定義した規格。ルート証明書は、他の証明書の署名に使用し、正当性を証明できます。同様に、これらの証明書は追加の証明書に署名できます。ルート証明書は誰でも作成できます。ただし、大半のオペレーティング システムは主要な証明機関に信頼され、ルート証明書が用意されています。

マイクロソフトのコード署名に関する方針では、一部の環境でSHA-1の使用が許可されています。マイクロソフトは、証明書が2016年1月1日よりも前に作成されたものであれば、現在のSHA-1証明書によるコードの署名を許可しています。ただし、1月1日以降は、ルート証明書とSHA-1ハッシュ関数によるX.509証明書の発行を許可していません。この日以降に作成された証明書は信頼されません。SHA-1を使用した現在の証明書は、期限切れになるまで信頼され、コードの署名に使用できます。この日付より前は、2つのファイルに同じハッシュ値を生成できたとしても、コストが大きいため、実際に攻撃が発生する可能性は低いものでした。理論的には可能であっても、SHA-1の衝突は見つかっていません。このような攻撃が実際に発生した場合、現在作成されているものはすべて信用できなくなります。

では現在どのようなシステムがSHA-1を使用しているのでしょうか。インターネットに接続されている機器を検索する検索エンジンCensysで検索を実行したところ、パブリックIPアドレスで現在使用されているSHA-1証明書が20,651,245個見つかりました。これらの一部は自己署名ですが、証明機関のストアにすでに存在しない場合には注意が必要です。それ以外の場合には、証明書の更新が必要なWebサイトです。

最大のリスクは、攻撃者が同じハッシュ値のファイルを2つ作成できる点です（1つは正常、もう1つは不正)。攻撃者は、正常なファイルに対する署名を信頼できるソースから受信し、その署名を不正なファイルに使用して配布する可能性があります。信頼できるソースの署名が付いているので、攻撃に成功する可能性は高くなります。ユーザーに対する保証を強化するため、更新したハッシュ関数で署名した新しい証明書を生成しなければなりません。

17,500,000

20,000,000

22,500,000

15,000,000

12,500,000

10,000,000

7,500,000

5,000,000

2,500,000

0SHA-1 MD5 MD2 SHA-2 不明

SSL証明書（ハッシュ関数別）

最近の調査でパブリックIPアドレスから見つかったSHA-1で署名された証明書

出典: www.censys.io

McAfee Labs脅威レポート 2016年6月 | 21

このレポートを共有

キートピック

また、多くの重要システムで古いハッシュ関数が使用されている可能性があることも問題です。SCADA（Supervisory Control and Data Acquisition）システムは多くの業界や重要インフラのアプリケーションで使用されています。Censysの検索では、4,086のSCADAシステムがSHA-1ハッシュ関数を使用していました。これらのシステムの多くは信頼されたネットワーク内にありますが、Censysの検索結果に表示されるため、攻撃を受ける可能性が高くなります。

セキュリティ業界は、暗号化技術の再評価を定期的に行う必要があります。1990年代の終わりにMD5からより強力なハッシュ関数への移行が進みましたが、現在はSHA-1からの移行が必要になっています。

推奨事項

企業環境では、MD5あるいはSHA-1からSHA-2またはSHA-3への移行を積極的に進めるべきです。SCADAなど、一部のシステムは更新に時間がかかります。したがって、今すぐ移行計画を進めることが重要です。また、オペレーティング システムとソフトウェアを常に最新の状態にすることで、このようなハッシュ関数の問題が軽減されます。大半の証明機関では、証明書管理ツールを提供し、証明書の署名アルゴリズムを検証できるようにしています。このようなツールを利用することで、証明書の識別が簡単になります。ただし、最も重要なことはSHA-1に依存するシステムをすべて特定し、更新することです。

すべてのシステムがSHA-1からより強力なハッシュ関数に更新されるまでには時間がかかります。現在のバイナリのハッシュ値が確認できている場合など、SHA-1を継続して使用できるケースもないわけではありません。しかし、将来のことを考えれば、すべてのシステムで新しいハッシュ関数を使用し、古いシステムを更新するべきです。

重要なインフラ アプリケーションで実行されているSCADAシステムの多くは、いまだにSHA-1ハッシュ関数を使用しています。

3,500

4,000

4,500

3,000

2,500

2,000

1,500

1,000

500

0SHA-1 MD5 SHA-2 不明

インターネットに接続している SCADA システム（ハッシュ関数別）

外部と接続している産業用システムの多くでSHA-1ハッシュが使用されている

出典: www.censys.io

McAfee Labs脅威レポート 2016年6月 | 22

このレポートを共有

キートピック

Pinkslipbotが最初に確認されたのは2007年です。その後、セキュリティ ソフトウェアで阻止される前に、新しい亜種が定期的に出現しています。

眠りから覚めたPinkslipbot―Sanchit Karve、Guilherme Venere、Mark Olea、Abhishek Karnik、Shaina Dailey

W32/Pinkslipbot（別名、Qakbot、Akbot、QBot）は、感染したコンピューターから個人情報や口座情報を盗み出すマルウェア ファミリです。このマルウェアは、指令サーバーを操作するコマンドベースのバックドアやVNCを利用するバックドアにより、感染先のコンピューターを完全に制御します。

このマルウェアが最初に確認されたのは2007年ですが、それ以降、このマルウェアの作成者は2、3か月ごとに更新を行い、新しいバージョンを公開してきました。次のグラフは、2007年からMcAfee Labsに送信されたPinkslipbotのサンプル数を表していますが、このパターンはグラフからも読み取れます。このキートピックでは、最新の亜種とマルウェアに対する最新の更新について詳しく分析します。

Pinkslipbotが盗み出した情報を利用すると、感染したコンピューターの場所を正確に特定できます。また、感染した組織や人物も特定が可能です。攻撃者はこの情報を第三者に売り渡し、支払いの確認後、標的型攻撃のマルウェアを感染先のコンピューターにダウンロードする可能性もあります。特に、感染先が有名な組織や企業の場合、このような攻撃が実行される確率が高くなります。

既知の感染経路

Pinkslipbotは主に、RIG、Sweet Orangeなどのエクスプロイト キットにより、ドライブバイ ダウンロードで配布されます。また、リムーバブル ドライブ（USBメモリーなど）やネットワーク共有経由で感染する場合もあります。

17,500

15,000

12,500

10,000

7,500

5,000

2,500

20,000

0

新しいPinkslipbotサンプル

Q1–Q4 Q1–Q4 Q1–Q4 Q1–Q4 Q1–Q4 Q1–Q4 Q1–Q4 Q1–Q4 Q1Q1–Q42007年 2008年 2009年 2010年 2011年 2012年 2013年 2014年 2015年 16年

McAfee Labsが2007年から収集したPinkslipbotのサンプル

出典: McAfee Labs, 2016

McAfee Labs脅威レポート 2016年6月 | 23

このレポートを共有

キートピック

感染プロセス

1. 感染したWebサイトをユーザーが閲覧します。

2. 感染サイトが不正なJavaScriptファイルを読み込み、エクスプロイト キットのWebサイトに接続し、ランディング ページへのリダイレクトを制御します。このサイトから戻された変数をスクリプトが復号し、ランディング ページの実際のURLを取得します。24ページの最初の画像で示されているように、通常、Webサイトの正規のJavaScriptコンポーネントの前後に不正なJavaScriptコードが追加されます。このjquery.jsライブラリに不正なコードが含まれています。

3. このスクリプトは、攻撃用のランディング ページを非表示のiframeとして読み込み、ユーザーを誘導します。

4. 攻撃用のランディング ページは、感染先のシステムに小さなWebフォーマット ファイルを読み込み、Adobe Flashの脆弱性を悪用し、マルウェアをダウンロードして実行します。感染したFlashファイルが、XORで暗号化されたPinkslipbotの実行ファイルをダウンロードします。Pinkslipbotの最新のサンプルでは、vwMKCwwAというキーが使用されています。暗号化されたPinkslipbotの実行ファイルは次の図のようになります。

被害者

乗っ取った Web サイト 最初のリダイレクトサーバーのランディング

ページの URL

エクスプロイトのランディング ページ

1

3 2

4

暗号化されたPinkslipbotの実行ファイルはエクスプロイト ペイロードとしてダウンロードされる

ペイロードを暗号化することで、ダウンロード中にセキュリティ対策によって検出される可能性が低くなります。

McAfee Labs脅威レポート 2016年6月 | 24

このレポートを共有

キートピック

Pinkslipbotは文字どおり組織内を移動します。

ネットワーク共有を介した文字どおりの移動

インストールされると、Pinkslipbotはローカル ネットワーク上のネットワーク共有を開き、自身のコピーをリモートから実行しようとします。これにより、Pinkslipbotは組織全体に短時間で拡散します。ドメイン管理者のアカウントに感染すると、感染速度はさらに速くなります。

多くのシステムには、管理者ユーザーのパスワードが設定されていないオープンなネットワーク共有が存在します。たとえば、Windowsが作成したデフォルトの共有はC$、IPC$、ADMIN$ですが、これらの共有がリモートから認証なしでアクセスされる可能性があります。Pinkslipbotは、これらのシステムで開いている共有をマッピングし、自身をリモート共有にコピーして、NetBIOS経由でリモート システム上での実行を試みます。以下のネットワーク パケット キャプチャを見ると、PinkslipbotがIPC$サービスに接続し、その後、リモート コンピューターのオープン共有をマッピングしていることが分かります。

リダイレクト後にPinkslipbotをダウンロード

リモート コンピューターの共有ドライブに接続を試みるPinkslipbot（UbuntuServ）

McAfee Labs脅威レポート 2016年6月 | 25

このレポートを共有

デバイスのマッピングが完了すると、次のキャプチャリングのように、マルウェアが自身のバイナリをコピーします。

キートピック

ネットワーク上のリモート ドライブ経由でコピーされるPinkslipbotのバイナリ

McAfee Labs脅威レポート 2016年6月 | 26

このレポートを共有

キートピック

管理者ユーザーがパスワードを設定していると、Pinkslipbotは辞書攻撃を実行し、共有フォルダーへのアクセスを試みます。各サンプルにはパスワード リストが含まれ、64バイトのXORキーで暗号化されています。ボットがユーザー アカウントに対するアクセス権を取得すると、Pinkslipbotは、ユーザーに確認を求めることもなく、ファイルをコピーし、攻撃を実行します。感染先のユーザーのシステムには、自動実行関連のレジストリ キーとショートカット ファイルも作成されます。

kenneth 9999 123321 David manager football 4321 Thomas password1 carol 654321 susan aaaa qazwsx 1111 system 1111111 Margaret 777777 Lisa Michael lotus 21 exchange jennifer Dorothy pussy Karen 11 password123 zxcvb Robert nobody public sql intranet rootroot love123 222222 321 Ronald david lisa abc123

explorer qwewq asdzxc 5 file test superuser christopher Donna Anthony changeme 00000000 4444444 access codename nancy temporary barbara 444444 account nopass zzz Daniel monitor 444 cluster George 0987654321 Kevin 111 William john 12 4444 oracle mark george michael market linda sample superman controller 123456789

paul Brian 54321 xxxx 0000000 mypassword donald master 22 44444 nothing 666 33 qwe123 Christopher daniel 555555 12345678 22222 Betty 77777 mypc123 55555 Login monkey 5555 work123 99999999 333 Kenneth Mary qweasdzxc thomas admin123 111111 admin 3333333 Internet forever mary 99999 love richard 8

123qwe adminadmin web 3333 123abc 123asd 9 internet qweasd coffee joseph asddsa passwd games Paul dragon testtest 88888888 qqqq Carol xxxxx temptemp login home margaret cookie iloveyou 00000 office 6666666 44444444 qwerty 00 betty password12 killer shadow Charles temp edward helen job owner Donald

Pinkslipbotの各サンプルに含まれる部分的なパスワード リスト

McAfee Labs脅威レポート 2016年6月 | 27

このレポートを共有

キートピック

Pinkslipbotの進化

銀行の認証情報の取得に成功したことがボットマスターを刺激したようです。検出を逃れ、より多くのデータを密かに盗み出せるように、元のPinkslipbotのコードベースに対する改良が頻繁に行われています。

新しいサンプルには2つのバージョン番号が割り当てられています。バージョン番号の形式は{メジャー バージョン}.{マイナー バージョン}で、先頭にゼロが付いています。たとえば、メジャー バージョンが2のPinkslipbotは0200.xxxとして保存されています。コマンドライン引数に/Vを指定してPinkslipbotのバージョン番号を表示すると、次のように番号が表示されます。

Pinkslipbotのコードベースに変更が行われると、マイナー バージョンの番号が変わります。ソースコードに大幅な変更が行われると、メジャー バージョンの番号が変わります。マイナー バージョンの番号が存在する理由は不明です。McAfee Labsでは、Pinkslipbotの3つのメジャー バージョンと98を超えるマイナー バージョンを確認しています。次に、Pinkslipbotのバージョン間の違いを見てみましょう。

コマンドライン パラメーター 0300より前のメジャー バージョンでは、いくつかのコマンドライン引数が使用できました。

Pinkslipbotのバージョン情報

スイッチ 説明

/c 他のコマンドライン引数を処理する前に、指定された引数（ファイル）を実行する。

/t 自身を終了する。

/s 新しいPinkslipbotサービスを作成する。

/i（または引数なし）

マルウェアの実行ファイルとDLLをインストール ディレクトリにドロップし、Pinkslipbotをインストールする。

以前のバージョンのPinkslipbotで使用可能なコマンドライン引数

McAfee Labs脅威レポート 2016年6月 | 28

このレポートを共有

キートピック

0300以降のメジャー バージョンでは、コマンドライン引数が変更されています。

仮想マシンの検出 Pinkslipbotの現在のバージョンには、仮想マシンを検出するために様々な技術が使用されています。

n CPUIDチェック1: CPUIDのベンダーID文字列が「GenuineIntel」であることを確認します。

n CPUIDチェック2: プロセッサーがCLMUL命令をサポートしていることを確認します。2010年以降に製造された非仮想化プロセッサーの大半はCLMUL命令をサポートしていますが、仮想化プロセッサーの中には対応していないものもあります。

n VMWare Red Pill技術 n 仮想マシンのベンダー名を含むハードウェア デバイス名を検出します。 n ファイルシステム上の仮想マシン ファイル（通常は、ゲストの追加でドロップされたファイル）を検出します。

n 例外ハンドラーによるLong命令のチェック。

古いバージョンのPinkslipbotは、インストールされているソフトウェアを確認し、仮想マシンでマルウェアの分析が実行されているかどうかを判断します。Microsoft Office、Project、Citrixユーティリティなどのソフトウェアがインストールされていれば、マルウェア分析用に仮想マシンが使用されていないと判断します。

Pinkslipbotは、VM検出、デバッガー検査、外部に送信するデータの暗号化、マルウェア対策の無効化など、様々な技術を使用して検出を回避します。

スイッチ 説明

/c 以前のバージョンと同じ機能

/V メッセージ ボックスにバージョン情報を表示する。

/W リソース内の暗号化されたDLLが破損していないことを確認する。

/d PinkslipbotのDLLをDNSサービス プロセスを挿入する。

/s 仮想マシンが検出されない場合にのみ、新しいサービスを作成する。

/t 現在のプロセスからPinkslipbotのDLLを削除する。

/A プロセスに挿入したDLLをテストする。

/B 信頼されたプロセス（explorer.exeまたはiexplore.exeのいずれか）にPinkslipbotを挿入し、メッセージ ボックスに結果を表示する。

/D Pinkslipbotサービスを実行し、DNSキャッシュを汚染させる。

/I 以前のバージョンの/iと同じ機能

最新バージョンで使用可能なコマンドライン引数

McAfee Labs脅威レポート 2016年6月 | 29

このレポートを共有

キートピック

その他の要素 古いバージョンのPinkslipbotは、実行ファイルの圧縮にUPXを使用していました。現在のマルウェア作成者はカスタム ツールでマルウェアを圧縮しています。カスタム ツールの詳細については、「Pinkslipbotバイナリの構造」で説明します。

Pinkslipbotは、デバッグ ファイルの存在も確認し、見つかった場合にはすぐに自身を終了します。マルウェアの作成者は、自身の仮想マシンが感染することを防ぐため、このチェックを追加したようです。ボットの初期のバージョンはC:\irclog.txtの存在を確認しました。最近のバージョンではC:\pagefile.sys.bak.txtの存在を確認しています。2015年12月以降のバージョンでは、検出する文字列がC:\pagefile.sys.bak2.txtに変わっています。

Pinkslipbotは、擬似乱数を生成するアルゴリズムを使用してファイル名と暗号化キーを作成しています。バージョン0200では、デフォルトの標準Cライブラリ関数rand()を使用していますが、バージョン0300ではMersenne Twisterアルゴリズムを使用しています。

Pinkslipbotのメジャー バージョンが出るたびに、盗み出したデータの転送に使用する暗号化スキーマが改良されています。初期のバージョンでは簡単なXORが使用されていましたが、後のバージョンでは以前のアルゴリズムに圧縮と暗号化の機能が追加されています。

バージョン0200以前では、設定ファイルの内部にPinkslipbotコンポーネントの別名が保存されています。たとえば、次のような名前が含まれています。

これらの別名は、インストール後にPinkslipbotのコンポーネントを識別できるように使用されています。Pinkslipbotの最新バージョンでは、別名のリストは保存されていません。個々のコンポーネントの識別にはファイル名のパターンが使用されています。

バージョン0200以前では、マルウェアの実行ファイルの中に関連するすべてのPinkslipbotコンポーネントが暗号化されずに含まれています。バージョン0300以降では、すべてのコンポーネントが圧縮され、マルウェアの実行ファイルとDLLのリソース セクションに暗号化されています。

データ侵害のメカニズム 古いバージョンでは、盗み出したデータの転送にIRCサーバーと通常のWebサーバーが交互に使用されていました。ボットマスターにとって都合の悪いことに、この方法ではIRCまたはドメイン マッピングによりIPアドレスからグループのIDが特定されてしまいます。

この欠陥はバージョン0300で修正され、盗み出した認証情報の一時的な保管場所としてFTPサーバーが使用されるようになりました。ボットマスターはこれらのサーバーに定期的に接続し、自身のIPアドレスをマルウェアの研究者に特定されることなく、盗み出したデータをコピーしています。

alias__qbot.cb=wzitc.dll alias__qbotinj.exe=wzitce.exe alias__qbot.dll=wzit.dll alias_seclog.txt=wzit1.dll

以前の亜種が使用していた別名

McAfee Labs脅威レポート 2016年6月 | 30

このレポートを共有

キートピック

感染先から盗み出し、圧縮または暗号化したデータを含むファイルを識別するために、seclog、article、artic1eなどの接頭辞が使用されています。

Pinkslipbotの最新バージョンは、証明書ストアからプライベート キーを取得し、悪用しています。

APIフック Pinkslipbotは、実行中のプロセスで様々なAPI関数をフッキングし（例外はあります）、データ窃盗機能のエントリ ポイントとして利用しています。Pinkslipbotの最新バージョンは、次のAPI関数をフッキングします。

DLL API名 目的

ntdll.dll ZwResumeThread 新たにアクティブになったスレッドに自身を挿入するようにマルウェアに通知する。

ntdll.dll LdrLoadDll 読み込み中のDLLから関数をフッキングするようにマルウェアに通知する。

ntdll.dll ZwReadFile ファイルからデータを読み取る。

ws2_32.dll WSAConnect, MyConnect TCP接続を記録する

ws2_32.dll WSASend、send POP3とFTPのログイン認証情報を記録する。

dnsapi.dll DnsQuery_A、DnsQuery_W、Query_Main

マルウェア対策ドメインに無効なIPを戻す。他のドメインには偽のIPアドレスを戻す。

user32.dll TranslateMessage キー入力を取得して、キーロガーに渡す。

user32.dll GetClipboardData クリップボードのコンテンツを取得して、キーロガーに渡す。

user32.dll GetMessageA、GetMessageW、PeekMessageA、PeekMessageW

WM_QUITメッセージを受信したら、マルウェアのスレッドをクリーンアップする。

wininet.dll HttpSendRequestA、HttpSendRequestW、 HttpSendRequestExW、InternetWriteFile

HTTP通信のログイン認証情報を記録する。

wininet.dll InternetReadFile、InternetReadFileExA、InternetQueryDataAvailable

WebページにJavaScriptコードを挿入する。

McAfee Labs脅威レポート 2016年6月 | 31

このレポートを共有

キートピック

Pinkslipbotは、DNS APIをフックして、次のドメインに無効なIPアドレスを戻すことで、McAfee、AVG、SymantecのWebレピュテーション製品を無力化しようとします。

n siteadvisor.com n avgthreatlabs.com n safeweb.norton.com

この他にもマルウェア対策を回避する機能が搭載されています。たとえば、フォルダーの権限を読み取り専用に設定し、シグネチャの更新を妨害したり、DNSスプーフィングにより、マルウェア対策製品に関連するクエリーやWebサイトに無効なIPアドレスを戻します。

指令サーバーとの通信 指令サーバーに対するコマンドは次の形式で送信されます。 マルウェアは、指令サーバーにpingを実行し、感染に成功していることを通知します。

この場合、マルウェアは次の要求を送信します。

DLL API名 目的

wininet.dll InternetCloseHandle マルウェアがWebに挿入したオブジェクトをクリーンアップする。

wininet.dll HttpOpenRequestA、HttpOpenRequestW

Webへの挿入とコンテンツ取得機能を設定する。

nss3.dll、nspr4.dll

PR_OpenTCPSocket ユーザー設定でFirefoxのセキュリティ設定を無効にする。

nss3.dll、nspr4.dll

PR_Read、PR_Write、PR_Poll Webへの挿入を管理し、HTTPS経由で送信されたデータを取得する。

nss3.dll、nspr4.dll

PR_Close Webページに挿入したコードを削除する。

PinkslipbotがフックするWindows API

protoversion={プロトコル バージョン}&r={数字}&n={マシンID}&os={OSバージョン}&bg={文字}&it={数字}&qv ={マルウェアのバージョン}&ec={タイムスタンプ}& av={選択されたウイルス対策製品}&salt={ランダムSALT}

protoversion={製品バージョン}&r={数字}&n={マシンID}&tid={スレッドID}&rc={数字}&rdescr=(null)

McAfee Labs脅威レポート 2016年6月 | 32

このレポートを共有

キートピック

このマルウェアは、指令サーバーから送信されるいくつかのコマンドに対応しています。

コマンド 説明

cc_main 指令サーバーからコマンドを要求し、実行する。

Certssave 証明書を盗み出す。

Ckkill Cookieを削除する。

Forceexec サンプルを呼び出し、/cコマンドライン引数を渡す。

grab_saved_info Internet ExplorerのCookie、インストールされた製品に保存されているパスワード、インストールされている証明書のリストを保存する。

injects_disable Webインジェクションを無効にする。

injects_enable Webインジェクションを有効にする。

Instwd システムに感染し、関連するスケジュール タスクとレジストリ項目を設定する。

install3 URLからファイルをダウンロードして実行する。

Killall パターンで名前を比較し、一致した場合にプロセスを終了する。

Loadconf 新しい制御パラメーターとFTPのドロップ場所を含む設定ファイルを読み込む。

Nattun 新しいSOCKS5プロキシとして、指定されたIPアドレスを使用する。

Nbscan 内部ネットワーク経由でシステムに侵入する。

Reload Pinkslipbotを再起動する。

Rm ファイル名でファイルを削除する。

Saveconf 設定ファイルを暗号化して、ディスクに保存する。

Thkillall Pinkslipbotのすべてのスレッドを終了する。

uninstall Pinkslipbotを削除する。

Updbot 最新のPinkslipbotライブラリを取得する。

Updwf Webに最後に挿入されたコードを取得する。

uploaddata 感染先のFTPサーバーに、盗み出した証明書をアップロードする。

McAfee Labs脅威レポート 2016年6月 | 33

このレポートを共有

キートピック

3月以降、Pinkslipbotのサンプルは指令サーバーとの通信をSSL経由で行うようになりました。ただし、Pinkslipbotは暗号化を行う標準的なライブラリではなく、MatrixSSLを使用してSSL通信を実行しています。Webブラウザーやパケット収集ユーティリティによる識別と復号を防ぐため、XORで暗号化されたプライベート キーのコピーを戻すように、SSLハンドシェイクでのパブリック キーの交換方法を変更しています。

インフラ次の図にように、Pinkslipbotの背後にいるグループは、複数のシステムを利用して個々の作業を行っています。他のボットネットでもよく見られるように、単一障害点を排除しています。

感染したコンピューターに命令を送信しているのは指令サーバーだけです。

Pinkslipbotの各サンプルに直接記述されているIPアドレスがプライマリ プロキシ サーバーとして機能し、Webベースの接続を行っています。外部接続は、Pinkslipbotがプロキシ サーバー経由でルーティングしています。プロキシ サーバーがオフラインになると、FTPドロップ ゾーン経由でセッションが転送されるか、指令サーバーが新しいプロキシ サーバーの情報をプッシュして操作を復元します。

コマンド 説明

Var ボットの内部変数の編集に値を保存する。

Getip 感染したシステムのIPアドレスを取得する。最新のサンプルには何も実行しない。

Wget 指定したURLからファイルをダウンロードし、ディスクに保存する。

Pinkslipbot指令サーバーが発行するコマンドのリスト

感染したコンピューター

FTP 更新クライアント

乗っ取ったFTP サーバーポート 65200/65400指令サーバーのコマンド/

Keep-alive

Transparent proxy Mangled DNS responses

トラフィックの監視不正なコードの挿入

トラフィックのリダイレクト

指令サーバー

プロキシ サーバー Web

以前の亜種が使用していた別名

McAfee Labs脅威レポート 2016年6月 | 34

このレポートを共有

キートピック

ドメイン生成アルゴリズムPinkslipbotは、Mersenne Twisterアルゴリズムを使用してドメインを生成しています。Pinkslipbotが生成するドメインは10日ごとに変わります。マルウェアの研究者を混乱させるため、パケット収集ユーティリティの実行を検出した場合にはMersenne Twisterアルゴリズムの使用間隔を短くし、異なる乱数からドメインを生成しています。Pinkslipbotが監視するプロセスは次のとおりです。

n tcpdump.exe n windump.exe n ethereal.exe n wireshark.exe n ettercap.exe n rtsniff.exe n packetcapture.exe n capturenet.exe n wireshark.exe

Mersenne Twisterアルゴリズムの詳細はJohannes BaderのGitHubページに記載されています。

McAfee Labs脅威レポート 2016年6月 | 35

このレポートを共有

キートピック

Pinkslipbotバイナリの構造

古いバージョンでは、UPXなどの標準的な圧縮ツールだけでなく、口座情報を盗み出すZeusトロイの木馬と類似した難読化技術を使用していました。最新のPinkslipbotバイナリでは、次の図のように独自の方法でバイナリと関連ファイルを圧縮しています。

Pinkslipbotは、%APPDATA%\Microsoft\にある自身のディレクトリ内に2つのコンパニオン データファイルを保持しています。最初のデータファイルには、Pinkslipbot DLL内に暗号化されている最初のリソース ファイルのデータが入ります。このリソース ファイルには、次のようにFTPサーバーのログイン認証情報が記録されています。

圧縮されたサンプル オンライン バンキングサイトのリダイレクト

マルウェアの更新用に難読化された

JavaScript ファイル

乗っ取った FTPの認証情報

シェルコード リソースとして暗号化されたデータ

展開されたEXE リソースとして暗号化された DLL

展開されたDLL

関数ポインターで呼び出し

0110100011011101

関数ポインターで呼び出し

リソースとして暗号化されたデータ

リソースとして暗号化されたデータ

Pinkslipbotのバイナリ レイアウト

<コンテンツのSHA1バイナリ ダイジェスト> cc_server_port=16763 cc_server_pass=iJKcdgJ67dcj=uyfgy)ccdcd ftphost_1==<IPアドレス>:cp@simne[省略].com:<パスワード>: ftphost_2==<IPアレス>:logmanager@iaah[省略].com:<パスワード>: ftphost_3==<IPアドレス>:cp@gilkey[省略].com:<パスワード>: ftphost_4==<IPアドレス>::wpadmin@raymond[省略].com:<パスワード>: ctstmp=1458298480

Pinkslipbotのサンプルにコード化されている設定ファイルの例

McAfee Labs脅威レポート 2016年6月 | 36

このレポートを共有

キートピック

このデータのダンプを生成してみると、Pinkslipbotが最初にインストールされた時間（感染時間）、感染したシステムの内部ネットワーク経由でアクセス可能なシステムのリスト、Pinkslipbotの個々のコンポーネントが実行した処理のタイムスタンプ（自身の更新やFTPサーバーへのアップロードなど）が記録されています。もう1つのデータファイルには、感染したシステムから盗み出されたデータが暗号化され、記録されます。また、Pinkslipbotが簡単な辞書攻撃や総当たり攻撃でアクセスに成功したシステムから盗み出したデータも記録されます。

DLL内に暗号化されている2つ目のリソース ファイルには、オンライン バンキングのURLのリストが記録されています。これらのURLで置換されるページでは、ユーザーにログオフを要求しますが、実際にはセッションはログオフされません。これにより、マルウェアのコントローラーは現在のセッションを使用してオンライン バンキングのアカウントにアクセスしています。このリソース ファイルの抜粋を以下に示します。

DLLの最後のリソース ファイルには、難読化されたJavaScriptが含まれています。このスクリプトが不正なドメインに接続し、暗号化された新しいPinkslipbotのコピーをダウンロードします。

サンプル内にコード化されている銀行のURL。セッションの終了を防ぐために使用される

サンプル内に暗号化され、難読化されたJavaScript

McAfee Labs脅威レポート 2016年6月 | 37

このレポートを共有

キートピック

難読化されたコードは複雑に見えますが、配列をセミコロンで分割すると、問題のドメイン名を抽出できます。

感染の拡大

最後の拡散活動が展開された2015年12月以降、McAfee Labsでは、4,200個を超えるPinkslipbotバイナリを確認しています。検出が報告された主な国は、米国、英国、カナダです。

2015年12月以降、McAfee Labsでは、4,200個を超えるPinkslipbotバイナリを主に米国、英国、カナダで確認しています。

難読化されたJavaScriptが実行され、ダウンロード サーバーに接続する。

感染が報告されたPinkslipbotの分布

McAfee Labs脅威レポート 2016年6月 | 38

このレポートを共有

キートピック

国 感染の割合

米国 73 .6%

英国 23 .1%

カナダ 3 .6%

ドイツ 2 .2%

オーストラリア 1 .7%

Pinkslipbotの検出報告が多い上位5か国

侵害の兆候

DNSキャッシュに次のドメインが存在する場合、Pinkslipbotの感染が疑われます。

n gpfbvtuz.org n hsdmoyrkeqpcyrtw.biz n lgzmtkvnijeaj.biz n mfrlilcumtwieyzbfdmpdd.biz n hogfpicpoxnp.org n qrogmwmahgcwil.com n enwgzzthfwhdm.org n vksslxpxaoql.com n dxmhcvxcmdewthfbnaspnu.org n mwtfngzkadeviqtlfrrio.org n jynsrklhmaqirhjrtygjx.biz n uuwgdehizcuuucast.com n gyvwkxfxqdargdooqql.net n xwcjchzq.com n tqxllcfn.com n feqsrxswnumbkh.com n nykhliicqv.org n ivalhlotxdyvzyxrb.net n bbxrsgsuwksogpktqydlkh.net n rudjqypvucwwpfejdxqsv.org

Pinkslipbotは、%APPDATA%\Microsoft内のコンピューター固有のディレクトリに存在します。このフォルダーに5文字から7文字の不審な名前が付いたサブディレクトリがあり、この中に2つのDLLファイルと、ディレクトリと同じ名前の.exeファイルが1つある場合、Pinkslipbotに感染している可能性があります。

McAfee Labs脅威レポート 2016年6月 | 39

このレポートを共有

キートピック

ボットは、プロキシとして機能する独自のIPアドレスでDNS応答を変更します。DNSクエリーで無効なIPが戻された場合、Pinkslipbotに感染している可能性があります。

対策

Pinkslipbotの場合に限らず、McAfeeはマルウェア対策のシグネチャを常に最新の状態にしておくことを推奨しています。Pinkslipbotと指令サーバーとの通信を阻止するため、次のようなカスタム アクセス ルールを作成することもできます。

McAfee Labsでは、W32/Pinkslipbotの脅威アドバイザリを公開し、防御策を詳しく説明しています。

McAfeeのFoundstoneプロフェッショナル サービスチームは、境界を保護する、McAfee Labs脅威アドバイザリに従ってアクセス保護のカスタム ルールを作成する、Windows OSを更新して最新のパッチを適用する、パッチを管理する、という対策を推奨しています。まったく同じ環境は存在しませんが、次のような問題は多くの環境で見られる共通の問題です。

n システムにパッチが適用されていない n DAT/シグネチャが最新の状態でない

境界を保護するには、ネットワークのすべての出口で未使用のポートを塞ぎ、不正であることが確認されているIPアドレスとの接続要求をブロックする必要があります。また、Pinkslipbotの移動を阻止するため、ネットワーク共有の使用を禁止する必要があります。さらに、自動実行機能を無効にする必要があります。

さらに、自動実行機能を無効にする必要があります。Windows OSに最新のパッチを適用し、マルウェア対策を最新のバージョンに更新することも重要です。

Pinkslipbotの指令サーバーとの通信を阻止するアクセス保護ルール

McAfee Labs脅威レポート 2016年6月 | 40

このレポートを共有

キートピック

システムにパッチを適用しないと脆弱性が悪用される可能性があります。どの環境でもパッチの管理を適切に行う必要があります。ベンダーからパッチがリリースされたら、速やかにテストと検証を行い、実装しなければなりません。古いバージョンの依存関係でパッチが適用できない場所には別の対策を実装し、既知の脆弱性に対する攻撃を回避する必要があります。Pinkslipbotなどのマルウェアを効果的に防ぐには、積極的なパッチ管理が欠かせません。

Pinkslipbotは主に、エクスプロイト キットが存在するWebサイトのドライブバイ ダウンロードで感染しますが、このようなサイトにはフィッシング詐欺メールから誘導されることが少なくありません。メールに「内部」、「外部」というタグを付けることで、偽装メールやフィッシング詐欺メールを区別しやすくなり、未知の不正リンクのクリックを未然に防ぐことができます。

Pinkslipbotの一部はメモリー内で実行されます。システムにパッチを適用するだけでは十分ではありません。フルスキャンを実行し、マルウェア駆除ツールを利用する必要があります。感染した場合には、システムを再起動してメモリーからマルウェアを駆除し、再度スキャンしてマルウェアが存在しないことを確認してください。また、辞書攻撃対策として強固なパスワードの使用し、自動実行を無効にして、高い権限を使用しないことをお勧めします。

Pinkslipbotは攻撃的なトロイの木馬で、有名なZeusトロイの木馬の進化形です。Windowsシステムに脆弱なログイン パスワードが設定されているだけで、エクスプロイト キットを使用したり、ユーザーを騙して操作を実行させなくても、Pinkslipbotの感染に成功することができます。感染すると、システムで実行されたアクティビティが記録され、攻撃者に送信されます。指令サーバーと独自の方法で通信を行うため、Pinkslipbotの検出と分析は難しくなっています。これまでの経緯を見ても、成功を繰り返すたびに危険度を増していくのは間違いありません。自身の環境をよく理解し、推奨事項を実施することで、Pinkslipbotによる被害を最小限に抑えることができます。

McAfeeの製品は、Pinkslipbotなどのトロイの木馬を阻止する有効な手段となります。詳細については、こちらをご覧ください。

McAfeeの製品は、Pinkslipbotなどのトロイの木馬を阻止する有効な手段となります。詳細については、こちらをご覧ください。

統計情報マルウェア

Web脅威

ネットワーク攻撃

McAfee Labs脅威レポート 2016年6月 | 42

このレポートを共有

統計情報

マルウェア

60,000,000

50,000,000

40,000,000

30,000,000

20,000,000

10,000,000

0

新しいマルウェア

第1四半期 第2四半期 第3四半期 第4四半期2014年 2015年 2016年

第1四半期第1四半期 第2四半期 第3四半期 第4四半期

300,000,000

250,000,000

200,000,000

150,000,000

100,000,000

550,000,000

600,000,000

500,000,000

450,000,000

400,000,000

350,000,000

50,000,000

0

マルウェアの合計

2014年 2015年 2016年第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期 第1四半期

出典: McAfee Labs, 2016

出典: McAfee Labs, 2016

McAfee Labs脅威レポート 2016年6月 | 43

このレポートを共有

統計情報

このレポートを共有

より正確なデータを提供するため、この脅威レポートからモバイル マルウェア サンプルの計算方法を変更しました。この変更は、新しいモバイル マルウェアとモバイル マルウェアの合計のグラフに表示されているすべての四半期に反映されています。

1,500,000

1,750,000

2,000,000

1,250,000

1,000,000

750,000

500,000

250,000

0

新しいモバイル マルウェア

2014年 2015年 2016年第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期 第1四半期

6,000,000

5,000,000

4,000,000

3,000,000

2,000,000

10,000,000

9,000,000

8,000,000

7,000,000

1,000,000

0

モバイル マルウェアの合計

2014年 2015年 2016年第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期 第1四半期

出典: McAfee Labs, 2016

出典: McAfee Labs, 2016

McAfee Labs脅威レポート 2016年6月 | 44

このレポートを共有

統計情報

このレポートを共有

12%

14%

10%

8%

6%

4%

2%

0%

地域別のモバイル マルウェアの感染率（2016年第1四半期）（感染を報告したモバイル ユーザーの割合)

アフリカ アジア オーストラリア ヨーロッパ 北米 南米

出典: McAfee Labs, 2016

12%

14%

10%

8%

20%

22%

18%

16%

6%

4%

2%

0%

2014年 2015年 2016年

界のモバイル マルウェアの感染率（感染を報告したモバイル ユーザーの割合）

第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期 第1四半期

出典: McAfee Labs, 2016

McAfee Labs脅威レポート 2016年6月 | 45

このレポートを共有

統計情報

このレポートを共有

Mac OSを狙うマルウェアが急増しました。主な要因はVSearchアドウェアの増加です。

30,000

25,000

20,000

15,000

10,000

40,000

35,000

5,000

0

Mac OSを攻撃する新しいマルウェア

2014年 2015年 2016年第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期 第1四半期

出典: McAfee Labs, 2016

出典: McAfee Labs, 2016

60,000

50,000

40,000

30,000

20,000

80,000

70,000

100,000

90,000

10,000

0

Mac OSを攻撃するマルウェアの合計

2014年 2015年 2016年第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期 第1四半期

McAfee Labs脅威レポート 2016年6月 | 46

このレポートを共有

統計情報

このレポートを共有

この四半期もランサムウェアの勢いは衰えず、24%増加しています。技術力のないサイバー犯罪者がエクスプロイト キットを使用してマルウェアを配備していることが、この急増の要因の一つと考えられます。McAfee Labsでは、この脅威の阻止に役立つリソースを提供しています。『ランサムウェアからの保護』、『ランサムウェアの理解とその対処方法の把握』をご覧ください。

1,200,000

1,000,000

800,000

600,000

400,000

200,000

0

新しいランサムウェア

2014年 2015年 2016年第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期 第1四半期

3,000,000

2,500,000

2,000,000

1,500,000

1,000,000

4,000,000

3,500,000

5,000,000

4,500,000

6,000,000

5,500,000

500,000

0

ランサムウェアの合計

2014年 2015年 2016年第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期 第1四半期

出典: McAfee Labs, 2016

出典: McAfee Labs, 2016

McAfee Labs脅威レポート 2016年6月 | 47

このレポートを共有

統計情報

このレポートを共有

この脅威の詳細については、『信用の悪用: 狙われるオンライン セキュリティの弱点』をご覧ください。

2,500,000

2,000,000

1,500,000

1,000,000

500,000

0

署名付きの新しい不正なバイナリ

2014年 2015年 2016年第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期 第1四半期

12,000,000

10,000,000

8,000,000

6,000,000

4,000,000

16,000,000

14,000,000

20,000,000

18,000,000

22,000,000

2,000,000

0

署名付きの不正なバイナリの合計

2014年 2015年 2016年第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期 第1四半期

出典: McAfee Labs, 2016

出典: McAfee Labs, 2016

McAfee Labs脅威レポート 2016年6月 | 48

このレポートを共有

統計情報

このレポートを共有

マクロ ウイルスは急激な増加を続けています。詳細については、『McAfee Labs脅威レポート: 2015年11月』のキートピックをご覧ください。 50,000

60,000

40,000

30,000

20,000

10,000

0

新しいマクロ ウイルス

2014年 2015年 2016年第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期 第1四半期

300,000

250,000

200,000

150,000

100,000

400,000

350,000

450,000

50,000

0

マクロ ウイルスの合計

2014年 2015年 2016年第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期 第1四半期

出典: McAfee Labs, 2016

出典: McAfee Labs, 2016

McAfee Labs脅威レポート 2016年6月 | 49

このレポートを共有

統計情報

このレポートを共有

Web脅威

30,000,000

25,000,000

20,000,000

35,000,000

15,000,000

10,000,000

5,000,000

0

新しい不審なURL

2014年 2015年

関連ドメインURL

第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期 第1四半期2016年

出典: McAfee Labs, 2016

2,500,000

2,000,000

1,500,000

1,000,000

500,000

0

新しいフィッシング詐欺URL

2014年 2015年

関連ドメインURL

第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期 第1四半期2016年

出典: McAfee Labs, 2016

McAfee Labs脅威レポート 2016年6月 | 50

このレポートを共有

統計情報

出典: McAfee and Microsoft, 2017 このレポートを共有

5

4

3

2

9

8

11

10

7

6

1

0

世界で発生したスパムとメールの量（1兆通単位）

2014年 2015年

正規のメールスパム

第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期 第1四半期2016年

2,500,000

2,000,000

1,500,000

1,000,000

500,000

0

新しいスパムURL

2014年 2015年

関連ドメインURL

第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期 第1四半期2016年

出典: McAfee Labs, 2016

出典: McAfee Labs, 2016

McAfee Labs脅威レポート 2016年6月 | 51

このレポートを共有

統計情報

Fareitの配布手段として最も多く利用されていたのはスパムキャンペーンです。

このレポートを共有

第1四半期は、トップ10常連のGamutボットネットが1位になりました。前の四半期よりも50%増加しています。薬の販売や健康増進を装うスパムが減少し、巧妙なスパムを迅速に配布するボットネットが流行しています。2015年第4四半期に最も普及し、マルウェアを散布したKelihosは4位に転落しています。

1,200

1,400

1,000

800

600

400

200

0

スパム メールを送信するボットネットの上位10（100万通単位）

2014年 2015年 2016年

Kelihos

Darkmailer

Cutwail

Asprox

Slenfbot

Sendsafeその他

Gamut

Lethic

Stealrat

第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期 第1四半期

37%

15%9%

5%

4%

4%

17%

世界のボットネットの分布

Muieblackcat

Wapomi

OnionDuke

China Chopper Webshell

W32/AutoRun Worm

Darkness

その他

Sality

Maazben

Ramnit

3%

3%

3%

出典: McAfee Labs, 2016

出典: McAfee Labs, 2016

McAfee Labs脅威レポート 2016年6月 | 52

このレポートを共有

統計情報

このレポートを共有

ネットワーク脅威の割合は前の四半期とほぼ同じです。最も多かったブラウザー攻撃は、Firefoxの脆弱性を悪用するdata: URI scheme（RFC 2397）でした。

32%

8%

5%5%4%

40%

ボットネットの指令サーバーが最も多く存在する国

ドイツ

米国

ロシア

オランダ

英国

フランス

ウクライナ

その他

3%3%

ネットワーク攻撃

33%

23%

22%

7%

4%

5%

ネットワーク攻撃の上位

総当たり攻撃

ブラウザー

サービス拒否

SSL

スキャン

DNS

その他

バックドア

3%3%

McAfeeについてMcAfeeは、世界で最先端のサイバーセキュリティ企業です。McAfeeでは、より安全なデジタル世界を構築するため、個々の力を結集し、企業と個人を保護するソリューションを提供しています。他社の製品と連携するソリューションを構築することで、真に統合されたサイバーセキュリティ環境を整備し、脅威の対策、検出、修復を連動して行うことができます。McAfeeの個人向けのソリューションは、すべての種類のデバイスに対応しています。自宅でも外出先でも、安心してデジタル ライフを楽しむことができます。McAfeeでは、他のセキュリティ企業との連携を強化し、力を合わせてサイバー犯罪者と戦っています。

www.mcafee.com/jp

本資料は弊社の顧客に対する情報提供を目的としています。本資料の内容は予告なしに変更される場合があります。本資料は「現状のまま」提供するものであり、特定の状況あるいは環境に対する正確性および適合性を保証するものではありません。McAfeeおよびMcAfeeのロゴは米国法人McAfee, LLCまたは米国またはその他の国の関係会社における登録商標または商標です。その他すべての登録商標および商標はそれぞれの所有者に帰属します。Copyright © 2017 McAfee, LLC 3142_05172017年6月

McAfee Labsのリンク

〒 150-0043東京都渋谷区道玄坂 1-12-1 渋谷マークシティウエスト20Fwww.mcafee.com/jp