Intel Security

インテル セキュリティ、 2015年第4四半期の脅威レポートを発表

  • サイバーセキュリティの専門家500名を対象に、企業によるサイバー脅威インテリジェンスの共有度合いやそのメリットに関する調査を実施、共有された脅威インテリジェンスを活用していると回答したのはわずか42%
  • サイバー脅威インテリジェンスの共有に向けた最大の課題は、企業のポリシー(54%)、業界の規制(24%)、インテリジェンスの活用方法に関する情報不足(24%)
  • 2015年第4四半期に新たなランサムウェアが前四半期比で26%増加
  • 2015年第4四半期に新たなモバイルマルウェアのサンプルが前四半期比で72%増加

2016年3月30日

インテル セキュリティ(日本での事業会社:マカフィー株式会社、所在地:東京都渋谷区、代表取締役社長:ジャン・クロード・ブロイド)のセキュリティ研究機関であるMcAfee Labs(マカフィー ラボ)は、2015年第4四半期の脅威レポートを発表しました。同レポートでは、サイバーセキュリティの専門家500名を対象としたサイバー脅威インテリジェンス(Cyber Threat Intelligence)の共有に関する調査の結果、リモート管理ツール(RAT、Remote Administration Tool)であるAdwindマルウェアの内部構造の調査、2015年第4四半期におけるランサムウェア、モバイルマルウェア、マルウェア全般の急増の詳細について取り上げています。

2015年、インテル セキュリティは、北米、アジア太平洋、欧州のさまざまな業種のセキュリティ専門家500名を対象に調査を実施し、サイバー脅威インテリジェンスの認知度、企業セキュリティにおいてサイバー脅威インテリジェンスを共有することの効果、そしてセキュリティ戦略にサイバー脅威インテリジェンスを組み込むための課題などについて回答を得ました。この調査の結果、回答者からは企業におけるサイバー脅威インテリジェンスの現状や期待できる効果などに関する貴重な実例が示されました。

今回の調査のテーマとなったサイバー脅威インテリジェンスは、IPアドレスや不審なファイルのハッシュなど従来の脅威情報やそのデータベースにとどまらず、より詳細な分析や解析を経て獲得したインサイトを活用して、セキュリティ上の脅威に包括的に対処するための基盤となる情報です。近年、サイバー攻撃がますます複雑化/巧妙化するなか、企業や組織でのサイバー脅威インテリジェンスの共有と活用への関心が高まっています。

調査結果の概要は以下の通りです。

  • 有効性の認識と導入:
    共有された脅威インテリジェンスを活用していると回答した42%のセキュリティ専門家のうち、97%が自社の保護をさらに向上できると考えています。また、インテリジェンスを実際に共有していると回答した担当者の59%は、こうした共有への取り組みが自社にとって「非常に有益である」と認識しており、さらに38%は「やや有益である」と回答しています。
  • 業界固有のインテリジェンス:
    約91%もの回答者が、自社の業界特有のサイバー脅威インテリジェンスに関心があると回答しており、「非常に関心がある」が54%、「やや関心がある」が37%となりました。特にMcAfee Labsが監視してきた脅威のうち、金融サービスや重要社会インフラなど無停止での業務遂行が要求されるミッションクリティカルな業界では高度に専門化された脅威が発生していることから、これらの業界はそれぞれ特有のサイバー脅威インテリジェンスを共有することによる効果を最も享受できるものと考えています。
  • 共有に向けた意欲:
    回答者の63%が、サイバー脅威インテリジェンスの共有を受け入れるだけでなく、安全かつ非公開のプラットフォーム内で共有される場合に限り、実際に自社の脅威データを提供してもよいと回答しています。しかしながら、共有に対して「非常に前向き」であると回答したのは24%、「やや前向き」は39%となり、自社の情報の共有に向けた取り組みは、意欲の度合いによって異なる結果となりました。
  • 共有するデータの種類:
    共有してもよい脅威データの種類については、マルウェアの動作(72%)、URLレピュテーション(58%)、外部IPアドレスのレピュテーション(54%)、証明書のレピュテーション(43%)、ファイルレピュテーション(37%)が挙げられました。
  • サイバー脅威インテリジェンスの共有に向けた課題:
    共有されたサイバー脅威インテリジェンスを自社で採用していない理由については、54%が「企業ポリシー」を理由に挙げており、「業界の規制」(24%)がその後に続きます。また、自社でデータを共有していないその他の理由として、「関心はあるがさらに詳細な情報が必要」(24%)、または「データを共有することで企業や個人の特定につながる懸念がある」(21%)などの回答がありました。これらの調査結果は、業界で活用できるサイバー脅威インテリジェンスを集約するための多様な選択肢に関する経験や知識の不足、さらには、サイバー脅威インテリジェンスを共有することによる法的な影響についての理解不足を示しています。

また、当四半期の脅威レポートでは、Java対応のさまざまなプラットフォームを標的としたJavaベースのバックドア型トロイの木馬であるAdwindリモート管理ツールについても調査しています。Adwindは通常、電子メールにマルウェアが含まれるファイルを添付したスパムのキャンペーン、侵害を受けたWebページ、そして自動ダウンロードなどによって増殖します。McAfee Labsのレポートでは、McAfee Labsの研究者がAdwindとして特定した.jarファイルのサンプル数の急増について取り上げています。2015年第4四半期のAdwindのサンプル数は7,295件となり、2015年第1四半期の1,388件から426%も急増しています。

2015年第4四半期のその他の脅威動向は以下の通りです。

  • ランサムウェアが再び急増:
    新たなランサムウェアは、2015年半ばにわずかに減少した後、再び急増に転じ、2015年第4四半期は前四半期比で26%増加しました。オープンソースのランサムウェアのコードやサービスとしてのランサムウェア(Ransomware as a Service)によって、攻撃がより簡単になったため、TeslacryptおよびCryptoWall 3のキャンペーンの勢いは止まることがなく、ランサムウェアのキャンペーンは引き続き攻撃者にとって金銭的に魅力的な手法となっています。2015年10月に行われたCryptoWall 3ランサムウェアの分析では、たった1つのランサムウェア キャンペーンに起因する被害者の身代金は3億2,500万米ドルに上るとMcAfee Labsの研究者は関連付けており、このことはランサムウェアによるキャンペーンの経済的規模を示しています。
  • モバイルマルウェアの急増:
    マルウェアの作者が新たなマルウェアをより短期間で作成したとみられ、2015年第4四半期の新しいモバイルマルウェアサンプル数は前四半期比で72%増加しています。
  • ルートキットマルウェアの減少:
    新しいルートキットマルウェアサンプル数は、第4四半期に大幅に減少しており、このタイプの攻撃は長期的な減少傾向が続いています。McAfee Labsは、2011年第3四半期から始まったこの減少の一因として、64ビットのインテル®プロセッサーと64ビットのMicrosoft Windowsを組み合わせたシステムの普及が進んでいることがあると考えています。これらのテクノロジーには、Kernel Patch ProtectionやSecure Bootといった機能が組み込まれており、ルートキットマルウェアのような脅威に対して優れた保護を提供しています。
  • マルウェアが再び増加:
    新しいマルウェアのサンプル総数は、3四半期連続で減少した後、この第4四半期に再び増加に転じました。新たに検出された悪意のあるハッシュは4,200万件で、第3四半期よりも10%増えており、McAfee Labsのこれまでの記録で2番目に高い数字となりました。第4四半期の増加の一因は、新たなモバイルマルウェアのサンプル数が230万件となり、第3四半期より100万件も増加したことによるものです。
  • 悪意のある署名付きバイナリの減少:
    新たな悪意のある署名付きバイナリ数は、この1年間、四半期ごとに減少しており、2015年第4四半期は、2013年第2四半期以来最も低い水準でした。より強力なハッシュ関数へとビジネスが移行するなかで、ダークマーケットで重要な位置を占めていた古い証明書の期限が切れた、または無効にされていることが、この現象の一因であるとMcAfee Labsは考えています。また、Smart Screen(Microsoft Internet Explorerの一部、現在はWindowsの別の機能に移行)といったテクノロジーにより、悪意のある署名付きバイナリを通じてマルウェアの作者が利益を得ないよう、信頼性を確認できます。

McAfee Labsのシニアバイスプレジデント ヴィンセント・ウィーファー(Vincent Weafer)は次のように述べています。
「サイバー犯罪者の判断基準を考慮すると、サイバー脅威インテリジェンスの共有は、サイバーセキュリティのパワーバランスを防御側に有利になるように変えられる重要なツールとなるでしょう。しかし、インテル セキュリティの調査によって、優れたメリットを提供するサイバー脅威インテリジェンスの潜在能力が十分に発揮されるためには、組織のポリシー、規制による制約、データ属性に関するリスク、信頼、導入に関する知識不足などの課題を乗り越える必要があることが示されました」

『McAfee Labs Threats Report: March 2016(McAfee Labs脅威レポート: 2016年3月)』の日本語版全文は、以下からダウンロードできます。
http://www.mcafee.com/jp/threat-center/report/download94.aspx

当四半期レポートで解説されている、組織が脅威から自身を保護するためのより優れた方法に関するアドバイスは、Enterprise Blog (英語)をご覧ください。

当四半期レポートに記載されている、消費者が脅威から自身を保護する方法に関するオンラインの安全情報については、Consumer Safety Tips Blog (英語)をご覧ください。

※当資料は、2016年3月22日に米国で発表されたプレスリリースの抄訳です。

■McAfee Labsについて

McAfee Labsは、Intel Securityの脅威調査部門であり、脅威調査、脅威インテリジェンス、サイバー セキュリティに関する世界有数の情報ソースです。McAfee Labsは400名を超える専任研究者を抱え、ファイル、Web、メッセージ、ネットワークなど、主要な脅威ポイントに配置された数百万のセンサーから脅威データを収集しています。そして、それら脅威ポイントから収集された脅威情報の相関性を分析し、そこから得られる脅威インテリジェンスをマカフィー独自のクラウド型リアルタイム脅威データベース「McAfee Global Threat Intelligence(GTI)」を通じて、緊密に統合されたマカフィーのエンドポイント製品やネットワーク製品へと配信しています。さらに、McAfee Labsは、アプリケーション分析、不審なプログラムのリスト管理など、主要な脅威検出テクノロジーを開発し、それらを業界で最も包括的な自社のセキュリティ製品群に統合しています。

■インテル セキュリティについて

インテル セキュリティは、インテル コーポレーション(本社:米国カリフォルニア州)のセキュリティ事業部として、同社のセキュリティに関する取り組みを推進しています。企業、官公庁・自治体、個人ユーザーが安全にインターネットの恩恵を享受できるよう、世界中のシステム、ネットワーク、モバイルデバイスを守るプロアクティブで定評あるセキュリティソリューションやサービスを提供しています。そして、Security Connected戦略、セキュリティにハードウェアを活用した革新的なアプローチ、また独自のGlobal Threat Intelligenceにより、常に全力でお客様の安全を守ります。詳しくは、http://www.mcafee.com/jp/をご覧ください。
インテル セキュリティでは、セキュリティに関するさまざまな研究成果や調査結果をweb上で公開しています。詳しくは下記ページをご覧ください。
http://www.mcafee.com/japan/security/report/default.asp

Intel、インテル、インテルロゴ、McAfee、マカフィー、マカフィーロゴは、米国およびその他の国におけるインテル コーポレーションの商標です。本書中のその他の登録商標及び商標はそれぞれその所有者に帰属します。
(C) 2016 McAfee, Inc. All Rights Reserved.