Intel Security

インテル セキュリティ、 2016年第1四半期の脅威レポートを発表

  • ソフトウェアの更新プログラムの適用が遅れることで、サイバー犯罪者がモバイル アプリを悪用可能に
  • さまざまな悪意のある攻撃を実行可能な“共謀”のためのコードを備えた21種類5,000バージョン以上の消費者向けモバイルアプリを特定
  • トロイの木馬であるPinkslipbotの最新バージョンでは、分析回避と多層型の暗号化の機能を新たに搭載
  • 2016年第1四半期の新たなランサムウェアの数は、前四半期比で24%増加
  • 2016年第1四半期の新たなモバイルマルウェアのサンプル数は、前四半期比で17%増加
  • VSearchアドウェアの増加により、Mac OSを標的としたマルウェアが急増

2016年6月17日

インテル セキュリティ(日本での事業会社:マカフィー株式会社、所在地:東京都渋谷区、代表取締役社長:山野 修)のセキュリティ研究機関であるMcAfee Labs(マカフィー ラボ)は、2016年第1四半期の脅威レポートを発表しました。同レポートでは、サイバー犯罪者が個別では不正に見えない2つ以上のモバイルアプリを連携させて、スマートフォンのユーザーに対して複合的な攻撃を行うモバイルアプリによる共謀型攻撃の動向について解説しています。McAfee Labsでは、モバイル向けのビデオストリーミング アプリ、健康管理アプリ、旅行計画アプリのような便利なサービスを提供する21種類5,000バージョン以上のアプリでこの共謀型攻撃の挙動を発見しました。ユーザーがこれら21種類のモバイルアプリで基本的なソフトウェア アップデートを定期的に実施せず、古いバージョンのアプリを使い続けることで、このような悪意のある攻撃を受ける可能性が高まります。

モバイルアプリ共謀型攻撃は、長年にわたり一般的には理論上の脅威と考えられてきましたが、モバイルOSが共通して備えているアプリ間の通信機能を利用することで、共謀した複数のアプリがユーザーのスマートフォンを攻撃します。これらのモバイルOSでは、アプリのサンドボックスへの隔離、アプリの機能の制限、各アプリの権限に関する詳細レベルの制御を実行するためのさまざまな技術を搭載しています。しかしながら、それらのモバイルOSでは、アプリがサンドボックスの境界を超えて相互通信するための方法を記載したドキュメントも提供されています。共謀するアプリは、このアプリ間通信を悪意のある目的に利用するために連携します。

McAfee Labsは、モバイル アプリの共謀が原因となった可能性がある3種類の脅威を特定しています。

  • 情報の窃盗:
    重要な情報や機密情報にアクセスできるアプリが、意図的であるかどうかに関わらず、1つまたはそれ以上のアプリと連携して、情報を端末の外部へ送信する可能性があります。
  • 金銭的な詐欺行為:
    モバイル アプリの共謀により、特定のアプリから、金銭的な取引や金銭取引を求めるAPIを生成するアプリに情報を送信する可能性があります。
  • サービスの不正利用:
    アプリがシステムサービスを制御し、1つまたは複数の別のアプリから情報や命令を受け取り、さまざまな悪意のある行為を行う可能性があります。

モバイル アプリの共謀には、アクセス制限された情報やサービスへのアクセス権限を持つ少なくとも1つのアプリと、それら権限は持たないものの端末の外部にアクセスできる1つのアプリ、そして相互通信する機能が必要になります。共謀型モバイル アプリでは、これらのアプリが偶然に連携してデータ流出が発生してしまう場合や、意図的に悪意のあるライブラリやソフトウェア開発キット(SDK)が組み込まれている場合もあります。これら共謀型のアプリは共有スペース(すべてのアプリに読み取りが許可されたファイル)を使用して、より上位の権限に関する情報を交換したり、リモートコマンドの侵入口として最適なアプリを判断します。

今回のMcAfee Labsのレポートでは、共謀するモバイル アプリを検出するためのツールについても紹介されており、そのツールはまず脅威研究者が手動で利用し、最終的には共謀型アプリを自動検出できよう開発が進められています。また、一度特定された共謀型モバイル アプリは、モバイル端末が備えるセキュリティ技術でブロックできるようになるかもしれません。このレポートでは、共謀するモバイル アプリからユーザーを保護するためのさまざまな方法も紹介されています。例として、信頼できる提供元からのみモバイルアプリをダウンロードする、広告が埋め込まれたアプリを使用しない、モバイル端末を改造しない、そして最も重要なことは常にOSとアプリをアップデートして最新の状態に保つことです。

ユーザーがこれらの脅威から自身を保護する方法は、消費者を保護するためのヒントを紹介するブログ「Consumer Safety Tips Blog」(英語)でご覧になれます。

今回の四半期のレポートでは、トロイの木馬であるW32/Pinkslipbot(別名:Qakbot、Akbot、QBot)の活動再開についても報告しています。ワームのような能力を持つこのバックドア型トロイの木馬は、2007年に初めて登場し、その後、瞬く間に銀行の認証情報、電子メールのパスワード、デジタル証明書を窃盗する有害かつ影響の大きいマルウェア ファミリーであるという悪い評判を獲得しました。Pinkslipbotマルウェアは、2015年後半に、マルウェア研究者による解析やリバース エンジニアリングを阻止するために分析回避や多層型の暗号化など、新たな機能を搭載して再び登場しました。レポートでは、このトロイの木馬の進化やデータ流出のメカニズムに加えて、Pinkslipbotの感染状況や認証情報の窃盗をリアルタイムで監視するMcAfee Labsの取り組みについても詳細に紹介しています。

最後に、McAfee Labsでは、主要なハッシュ関数の状況を調査するとともに、企業に対して最新かつ最も強固なハッシュ規格を通じて自社システムを最新の状態に保つことを推奨しています。

2016年第1四半期のその他の脅威動向は以下の通りです。

  • ランサムウェア:
    2016年第1四半期の新しいランサムウェアのサンプル数は、初心者のサイバー犯罪者コミュニティへの参入が継続し、前四半期比で24%増加しました。このことは、マルウェアの配布手段としてエクスプロイトキットが幅広く普及したことによるものです。
  • モバイルマルウェア:
    2016年第1四半期の新しいモバイルマルウェアのサンプル数は、前四半期比で17%増加しました。モバイルマルウェアの合計サンプル数は、前四半期から23%、また過去4四半期で計113%増加しました。
  • Mac OSマルウェア:
    Mac OSを狙ったマルウェアは、2016年第1四半期に急増しており、主な原因はVSearchアドウェアの増加によるものです。Mac OSマルウェアのサンプル数は、まだ絶対数は少ないものの、合計サンプル数が前四半期比で68%増加しており、過去4四半期で計559%増加しています。
  • マクロマルウェア:
    マクロマルウェアは、2015年以来、増加傾向が続いており、2016年第1四半期の新しいマクロマルウェアのサンプル数は前四半期比で42%増加しました。マクロマルウェアの新種は、ソーシャルエンジニアリングを通じて収集した情報で本物を装う、高度なスパムによって企業ネットワークを攻撃し続けています。
  • Gamutボットネット:
    Gamutボットネットは、2016年第1四半期で最も増殖したスパムボットネットになり、約50%増加しています。一般的なスパム攻撃では、一攫千金の手口や海賊版医薬品を勧めてきます。Kelihosは2015年第4四半期に最も増殖したスパムボットネットであり、広くマルウェアを拡散させたものの、今四半期では第4位に後退しました。

McAfee Labsのシニアバイスプレジデント ヴィンセント・ウィーファー(Vincent Weafer)は次のように述べています。
「検出技術が向上するにつれて、攻撃手法も巧妙化します。新たな脅威が、周囲に溶け込むことでモバイル セキュリティに対抗したことは、決して意外なことではありません。インテル セキュリティの目標は、共謀するモバイル アプリを検出する、よりスマートなツールと技術を開発し、悪意のあるアプリが個人の端末に忍び込めないようにすることです」

『McAfee Labs Threats Report: June 2016(McAfee Labs脅威レポート: 2016年6月)』の日本語版全文は、以下からダウンロードできます。
http://www.mcafee.com/jp/resources/reports/rp-quarterly-threats-may-2016.pdf

当四半期レポートで解説されている、組織が脅威から自身を保護するためのより優れた方法に関するアドバイスは、Enterprise Blog (英語)をご覧ください。

※当資料は、2016年6月14日に米国で発表されたプレスリリースの抄訳です。

■McAfee Labsについて

McAfee Labsは、Intel Securityの脅威調査部門であり、脅威調査、脅威インテリジェンス、サイバー セキュリティに関する世界有数の情報ソースです。McAfee Labsは400名を超える専任研究者を抱え、ファイル、Web、メッセージ、ネットワークなど、主要な脅威ポイントに配置された数百万のセンサーから脅威データを収集しています。そして、それら脅威ポイントから収集された脅威情報の相関性を分析し、そこから得られる脅威インテリジェンスをマカフィー独自のクラウド型リアルタイム脅威データベース「McAfee Global Threat Intelligence(GTI)」を通じて、緊密に統合されたマカフィーのエンドポイント製品やネットワーク製品へと配信しています。さらに、McAfee Labsは、アプリケーション分析、不審なプログラムのリスト管理など、主要な脅威検出テクノロジーを開発し、それらを業界で最も包括的な自社のセキュリティ製品群に統合しています。

■インテル セキュリティについて

McAfeeブランドの製品を提供するインテル セキュリティは、デジタル化された世界とすべての人々の生活をより安全にするために取り組んでいます。インテル セキュリティは、インテルの事業部門です。詳細はhttp://www.mcafee.com/jp/をご覧ください。

Intel、インテル、インテルロゴ、McAfee、マカフィー、マカフィーロゴは、米国およびその他の国におけるインテル コーポレーションの商標です。本書中のその他の登録商標及び商標はそれぞれその所有者に帰属します。
(C) 2016 Intel Corporation.