マカフィー、2012年におけるサイバー脅威を総括
マカフィー、2012年におけるサイバー脅威を総括
〜2012年も機密漏えいなど深刻な被害をもたらす「標的型攻撃」が流行、ソフトウェアの脆弱性修正と不審なメールへの対策が効果的〜
マカフィー株式会社(本社:東京都渋谷区)より、2012年におけるコンピュータウイルス、不審なプログラムの検知データの集計を発表します。
以下は、マカフィーのデータセンターで把握している情報をもとにトップ10を算出し、マカフィーの研究機関であるMcAfee Labs (マカフィー ラボ)の研究員が分析をしたものです。分析結果を受け、McAfee Labs東京 主任研究員の本城信輔は、以下のように述べています。
【ウイルス】
Drive-by-Download攻撃 -Blackhole
2012年は、Blackholeといった脆弱性攻略ツールを使った「Drive-by-Download攻撃」が多く見られました。Driver-by-Download攻撃は数年前から数多く見られましたが、特にBlackholeは2010-2011年から現在にいたるまで常にトップ10にランクインするほどの活発な脅威です。
Blackhole攻撃は、HTMLやJavaScriptによる不正なリダイレクトや様々な脆弱性の攻撃から構成されています。
ユーザーがWebブラウザから不正に改ざんされたWebサイトにアクセスすると、攻撃が開始されます。こういった不正なWebサイトにアクセスする経緯には様々なケースがあります。例えば、正当であったWebサイトが不正に改ざんされていたり、検索サイトの検索結果やスパムメールのリンクをクリックして不正なWebサイトに誘導されたりすることもあります。
Webブラウザでこういった不正なサイトにアクセスしてしまうと、Webサイトに仕掛けられたリダイレクトによって、難読化されたJavaScriptがダウンロードされます。このようなリダイレクトやJavaScriptは、JS/Exploit-Blacole.gg(検知会社数年間ランキング4位)、JS/Exploit-Blacole.gc(同7位)、JS/Blacole-Redirect.i(同10位)などのように検知されます。この不正なリダイレクトの実施にはInternet Explorerの脆弱性(例えばExploit-CVE2012-4792)が悪用されることもあります。次に、Flashファイルの脆弱性(SWF/Blacole, Exploit-SWF)、PDFファイルの脆弱性(Exploit-PDF)、JRE(Java Runtime Environment)の脆弱性などが悪用され、最終的にマルウェアがインストールされます。
なお、最近はJREの脆弱性攻撃が多く悪用されている傾向があり、一番新しいExploit-CVE2013-0422の他にもExploit-CVE2012-1723やExploit-CVE2012-0507といった脆弱性は、Blackholeやその他のDrive-by-Download攻撃に悪用されています。また、古くからある脆弱性ですが、Exploit-CVE2011-3544, Exploit-CVE2010-0840なども依然使用されています。
Blackholeやその他のDrive-by-Download攻撃では、最終的にトロイの木馬がインストールされます。その中には、偽セキュリティソフトウェア(検知会社数年間ランキング9位)、オンライン金融サイトの認証情報を盗むZbot、高度なルートキット機能をもつZeroAccessなどが報告されています。
こういったBlackholeやDrive-by-Download攻撃は、今後も続くと予想されます。脆弱性をきちんと修正していれば、たとえ攻撃にさらされても脆弱性攻撃は失敗に終わり、最終的にインストールされるマルウェアに感染することはありません。脆弱性対策は、このような攻撃に対する一番の防衛策であることを理解してください。また、これまであったように、以降ゼロデイ攻撃が関与してくる可能性もあります。脆弱性情報の警報には十分注意するようにしてください。
オートランワームの脅威
外部メディア経由で感染するワームは2012年も活発でした。検知会社数年間ランキング1位であるGeneric!atrや同6位のGeneric Autorun!inf.gは、外部メディアに落とし込まれる不正なautorun.infファイルを対象とした検知名で、月間ランキングでも常にランクインしていました。また、W32/Conficker.wormも外部メディア経由で感染する機能をもっており、W32/Conficker.worm!infが検知会社数年間ランキングの2位になっています。
一方、2010年に比較的多く見られたショートカットの脆弱性を悪用するケース(Exploit-CVE-2010-2568)は、最近では減少している傾向が見られます。2012年でとくに海外で多く見られたのは、フォルダ偽装をするタイプです。感染すると、外部メディア上ですでに存在しているフォルダを隠し、フォルダアイコンをもつ同名のワームがコピーされるという手法です。感染の際に、レジストリ情報を改変し、拡張子や隠し属性のあるフォルダを表示しないようにするなど、ユーザーに感染を気づかせないような細工が施されています。
日本やアジア各国で観測される主なオートランワームはGeneric PWS.ak(検知会社数年間ランキング3位)のようにオンラインゲームのパスワードスティーラーをインストールすることで知られています。その他には、バックドア機能やダウンロード機能をもっているものが多く存在しています。この傾向は、今後も続くと予想されます。
標的型攻撃
標的型攻撃は最近報道される機会が増えましたが、攻撃自体はずっと以前から続いています。日本だけでなく様々な国で攻撃が見られます。標的型攻撃では、特定の限定されたユーザーだけが狙われるため、その性質上検知数がそれほど上がらないことから、検知数がトップ10にランクインすることはありません。しかし、それは決して脅威が小さいという意味ではなく、いったん感染してしまうと、機密漏えいなどの重大な被害が発生し得るので、警戒が必要です。特に、2012年は、PDFの脆弱性(Exploit-PDF)や RTFファイルの脆弱性(Exploit-CVE2010-3333, Exploit-CVE2012-0158)が他の攻撃に比べ比較的多く見られました。
また、脆弱なFlashファイルを悪用したMicrosoftのオフィスファイルによる攻撃も続いています。数は多くはないですが、一太郎の脆弱性を悪用した攻撃もまだ存在しています。PDFファイルやMicrosoftのオフィス、一太郎などの文書ファイルがメールに添付されている場合は、決して安易にクリックしてファイルを開くことのないように注意しましょう。感染すると、多くの場合バックドアがインストールされますが、多くの場合はある限定された数種類のタイプのバックドアが使われています。亜種も非常に多く存在しており、マカフィーでは、標的型攻撃に利用される脆弱性攻撃や、それらに使われるバックドアの検知強化に努めています。なお、一番の効果的な対策は脆弱性の修正と不審なメールに対する対策であることにご留意ください。標的型攻撃の傾向は今後も続くと予想されますので、一層の警戒をお願いします。
|
検知会社数
|
検知データ数
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
検知マシン数
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
【PUP】
PUP(不審なプログラム)は従来と比べて大きな変化はありません。全体的な件数は前年から大きく下がっており、PUPが従来ほど活発でないことがわかります。PUPは、インターネットからダウンロードしたフリーウェア等に付加されていることが多いため、フリーウェアの利用には十分な注意が必要です。
|
検知会社数
|
検知データ数
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
検知マシン数
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
1995年に設立されたMcAfee Labsは、世界30ヶ国、500名ほどの専任研究者を抱え、マルウェアやPUP、ホスト侵入、ネットワーク侵入、モバイルマルウェア、脆弱性の調査に特化した研究チームが、24時間365日、セキュリティを幅広く多面的に研究しています。またマカフィーは、既に全世界で1億台を超えるモバイルデバイスにセキュリティを提供しており、モバイルセキュリティ市場の圧倒的なリーダーであり、コンシューマ向けからエンタープライズ向けまで、最も包括的なモバイルセキュリティを確立しています。
