| ||||||||||||||||||||||||||||||||||||||||||||||||
ウイルス定義データベース
最新バージョン 30263 (2024/11/23 01:25) |
2013年の脅威のトレンド~モバイルマルウェアの驚くべき成長~
※ リンク先については、特に断り書きがない場合は、英文の記事となっていますので、ご了承ください。 はじめに
年末に差し掛かると、ESETラテンアメリカのラボでは、その年の観察、分析結果に基づいてマルウェア、サイバー犯罪、その他のタイプの悪意のある攻撃のトレンドに関する文書を策定しています。なお、ここでのトレンドとは、インターネット上の脅威やサイバー犯罪の手口の現状を踏まえたESETによる予測であることを念頭に置いておいてください。 これは、ITセキュリティが翌年にどのような方向に向かうとみられるか、私たちが予測するために行う調査の背景となります。本レポートが執筆されている間にも、トレンドは変化し続けています。例えば、2010年の主なトレンドは「クライムウェアの成熟化」、2011年は「ボットネットと動的なマルウェア」は、そして2012年は「モバイルの世界に進出するマルウェア」でした。いずれのテーマも相互に関連しており、そしてその背後には金銭搾取を画策するサイバー犯罪者が常に目を光らせているとはいえ、1つのトレンドに過ぎなかったモバイルマルウェアが短期間に驚くべき急成長を遂げた事実は大きな注目に値します。 2012年は、Android搭載デバイスを狙う不正プログラムが主要なマルウェアとしての地位を確立した年となりました。Android市場の急激な拡大を目の当たりにしたサイバー犯罪者が、こぞって同デバイスをターゲットにしたマルウェアを作成するようになったのです。 IDCの調査によると、Googleが提供するこのモバイルデバイス向けオペレーティングシステムは、2012年第1四半期に市場シェアと売上を大幅に増加させ、前年同期比で145%という高い伸び率を記録しています(※1)。またJuniper Researchは、スマートフォンからオンラインバンキングを利用するユーザーの数が、2013年に5億3,000万人に達すると推定しています(※2)。同じ調査によると、2011年に携帯電話からオンラインバンキングを利用していたユーザーは3億人です。このように、Android搭載デバイスが広く普及し、携帯電話の利用方法が変化しているという事実と、2012年のモバイル向けテクノロジーおよびマルウェアの急激な進化を関連付けて考えると、2013年に予想される最大のトレンドは、モバイルマルウェアの急増と結論付けることができます。また、モバイルマルウェアはさらに複雑化し、感染デバイス上での振る舞いも多様化するものと予想されます。 さらに2013年には、この数年観察されているあるトレンドがさらに加速する見込みです。それは、不正コードの拡散のためにサイバー犯罪者が用いる手段の変化です。拡散にリムーバブルストレージデバイスを使用するマルウェアは減少傾向にあり、新たなユーザーに感染を広げるたるために別の媒体を使用するマルウェアが増えています。その新たな媒体とは、サイバー犯罪者によって乗っ取られたWebサーバーです。サイバー犯罪者は、Webサーバーを乗っ取った上でマルウェアを仕掛け、そのサーバーにユーザーを誘導するためのリンクを広めます。またこの手法では、盗み出した情報はそのサーバーに保存されます。ユーザーのコンピューターにはアンチウイルスソフトウェアが導入されている可能性が高く、マルウェアが検出され駆除された場合、そのデータも同時に削除される恐れがあるためです。 モバイルマルウェアの大幅増
2010年以降、モバイルマルウェアを対象とする市場とテクノロジーは、この種の脅威の今後の方向性を決めることになる大きな転換期に突入しています。まず、Androidが市場で最も人気のあるモバイルオペレーティングシステムという地位を確立するようになりました。同年、Googleのプラットフォームをターゲットとした最初のマルウェアとみられるFakePlayerが登場しています。続いて2011年には、Androidが同年中にマルウェアに最も狙われるプラットフォームになるという、ESETラテンアメリカのラボの予測が現実のものとなりました。 さらに翌年には、Androidを狙う悪意のあるコードと亜種の数の大幅な増加と共にその複雑性も重なり、モバイルマルウェアの作成にサイバー犯罪者が投じる時間やリソースも増えました。市場シェアの64.1%を占めるモバイルオペレーティングシステムは、サイバー犯罪者にとっては願ってもない獲物です。条件が同じならどの犯罪者も、利用ユーザーの少ないOSを狙うより、不正な利益を得るチャンスが多いほうに飛びつくでしょう。 以下のグラフは、最近2年間の主要なモバイルオペレーティングシステムの市場シェアを示しています。 図1:2011年および2012年の第2四半期のOS別スマートフォンの市場シェア(Gartner調べ)。詳細については、こちらを参照のこと。 前年同時期(2011年第2四半期)と比較すると、Androidは20.7%、iOS(Apple)は0.6%、Microsoftは1.1%の成長をそれぞれ達成しています。一方で、他のオペレーティングシステムは、2011年と比べてシェアを落としました。最も大きな減少が確認されたのはSymbian(16.2%)で、次いでBlackBerry(6.5%)が続きます。 Androidの市場シェアの拡大と、個人情報や企業情報を保存したり、またはオンラインバンキングや関連サービスを利用するユーザーの増加に伴い、サイバー犯罪者によるマルウェア開発もより活発化し、情報を盗み出して不正に利益を上げようと試みると考えられます。 この予測に加え、コンピューターをターゲットとするマルウェアで確認されるとおり、サイバー犯罪の主な動機とこの種の脅威の作成へと駆り立てる要因は、相変わらず金銭搾取です。これは、Android搭載デバイス上に特定のマルウェアをインストールするたびに2~5ドルが支払われる、違法の「Pay Per Install(PPI)」モデルを使用する取引スキーム、「Dancing Penguins(スペイン語)」のケースからも再確認できます。 ESETラテンアメリカが実施したモバイルデバイスの用途(スペイン語)に関する調査からは、現在は個人情報やパスワードの保存がモバイルデバイスの主な用途ではなく、一般的な作業が非常に大きな割合を占めることが判明しました。以下は、モバイルデバイスに保存される情報に関するグラフです。 図2:ユーザーがモバイルデバイスに保存する情報のタイプ ※ 項目は、左から順に、「連絡帳」、「SMSメッセージ」、「個人の写真」、「電子メール」、「音声や動画」、「パスワードなどの秘密情報」 Androidマルウェアの検出数の増加
モバイルマルウェアの驚くべき上昇を最初に示した統計データによると、2012年の検出のユニーク数は、2011年と比べて全世界で17倍に成長しています。またこのデータから、Android向けの悪意のあるコードの爆発的な増加が2013年のトレンドになると考えられます。Androidマルウェアの検出において高い成長率(前年と比較して何倍かで判定)を記録した国の中で、顕著だったのはウクライナ(78倍以上)、ロシア(65倍)、イラン(48倍)でした。その反面、前年の数値を無視して2012年のみの検出数に目を向ければ、中国、ロシア、イランが世界で最も検出数の多い国トップ3になります。メキシコはリストの第6位にランクインし、ラテンアメリカをGoogleのモバイルプラットフォーム向けマルウェアの検出数トップの地域へと押し上げる要因となっています。このような背景から、2013年にはAndroidを狙うマルウェアの成長率が急上昇すると結論付けることができます。 Androidを狙うマルウェアファミリー(明確にこのように分類される不正コード)の数は、2011年11月の時点では52種類、現在は56種類とされています。 本文書の後半でも説明しているとおり、この1年でファミリーの数はそれほど増えていないように見えますが、対応するシグネチャや亜種の数は大幅に増加しているのが現状です。そのため2013年には、Windowsマルウェアと同様、ファミリーの数に関係なくAndroidを狙う脅威は増加し続けるものと予想されます。サイバー犯罪者にとって、ゼロから新しい脅威を作成するよりも、既知の悪意のあるコードを修正(亜種)する方がはるかに簡単である点に留意してください。また、検出は必ずしも正確なファミリーの分類と相関関係があるわけではありません。一部の検出は、2つ以上のファミリーに共通している可能性のある不正なコードの要素に基づいています。発見された年と月ごとにグループ分けしたファミリーを、図3で示します。 図3:Androidマルウェアファミリーの発生状況 前述のマルウェアファミリーと、Android搭載デバイス上でマルウェアが行う不正な動作(ペイロード)を基にすると、Androidマルウェアの振る舞いは、情報窃盗(スパイウェア)、SMSを利用した有料情報サービスへの登録、デバイスのゾンビ化(ボット)に大別できます。続いて、次のグラフをご覧ください。 図4:2010~2012年に登場したファミリーの不正な動作 ※ 円グラフは、青色:SMSを利用した有料情報サービスへの登録、黄色:デバイスのゾンビ化、灰色:情報窃盗(スパイウェア) Androidマルウェアファミリーの多くは、SMSを利用した有料情報サービスに登録しようとします。その次に多いのは、デバイスをゾンビ化するマルウェアです。このタイプのマルウェアに感染した場合、サイバー犯罪者にデバイスを乗っ取られ、別のマルウェアをインストールする、機密性の高いデータを外部に送信する、設定パラメーターを変更するなどの操作を遠隔地から実行される恐れがあります。第三に、携帯電話の連絡先リスト、テキストメッセージ、あるいはIMEI番号など、デバイスの特定に役立つその他のデータといった情報を盗み出す悪質なプログラムがあります。 スマートフォンをゾンビ化するマルウェアとは異なり、他のマルウェアは、サイバー犯罪者がマシンを完全に制御することなく情報を盗み出します。最後に、Android/Stampegのような特殊なケースがあります。このマルウェアは、スマートフォンに保存されているJPGファイルに余計な画像を挿入して、メモリーカードの不具合を引き起こします。他にも、ユーザーの同意なしに中国市場から有料アプリを購入することができるAndroid/MMarketPayや、Flashプラグインに見せかけて実際は特定のWebサイトにユーザーをリダイレクトする、Android/FakeFlashも存在します。 亜種の大幅な増加
Androidマルウェアの亜種は2012年も増加しています。亜種とは、既存の特定マルウェアを改変したバージョンのことです。サイバー犯罪者は既存の脅威のコードや構造に手を加えて、悪意ある機能を新たに備え、アンチウイルスプログラムによる検出を回避することを目的とした新種を作成します。下のグラフは、4種類のAndroidマルウェアファミリーの2010~2012年における亜種数を示しています。なおESETのラボでは、主要な亜種ごとに、アルファベットの接尾辞をファミリー名に付けて亜種の名称としています。接尾辞のアルファベットは、新しい亜種が登場するたびに後ろへずれていきます。例えば、架空の悪意あるプログラムの最初のバージョンをThreat.Aと命名した場合、2番目の主要な亜種はThreat.Bという名称になります。亜種の数が英語のアルファベットの総数である26(またはその倍数)を超える場合は、文字を後部に追加して同じ命名規則に従います。すなわち、.AA、.ABと続き、Zに達すると、以降は.AAA、.AABとなります。なお、マルウェアの命名の規則化についてはCAROが懸命に取り組んでいるにもかかわらず、調査手順の違いやマルウェアファミリーの数や複雑さといった混乱を招く要因により、このシンプルなモデルは、特定の場合にはまったく適用されない可能性があります。その上、どちらの名称も同じサンプルに適用されているにもかかわらず、あるベンダーが命名した準亜種から別のベンダーが使用する名称へとたどり着く可能性も最近は低くなっています。 図5:Androidマルウェアの亜種の数 ※ 棒グラフは、灰色:2012年の亜種数、黄色:2011年の亜種数、青色:2010年の亜種数 グラフから確認できるとおり、2011年と比べて2012年に最も成長率の高かったトロイの木馬はTrojanSMS.Agentです。数多く出現したマルウェアファミリーであり、メンバー間に差異は見られるものの、SMSを利用した有料情報サービスに登録しようとする共通の目的を有しています。2011年に新たに登場した亜種はわずか31種でしたが、2012年は153種にまで上昇しました。次点は、Boxerとして知られる別のSMS型トロイの木馬です。このマルウェアとその一風変わった特徴の一部については本文書の後半で説明しますが、2011年にはこのファミリーの亜種が5種だった点を念頭に置いてください。現在までに亜種は36種に増加しており、DroidKungFuでも同様の成長が見られます。2011年には10種でしたが、2012年には33種にまで増えています。最後に、Androidを標的とするマルウェアであるFakePlayerを挙げておきます。2010年の初登場時は亜種は2種で、2011年も変化はなかったのですが、2012年には9種の新しい亜種が確認されました。 モバイルマルウェアを検出するシグネチャの数の増加
Android向けの悪意のあるコードを検出するために、ESETが開発したシグネチャの数も2012年に大幅に上昇しました。これは、上述したとおり、マルウェアの亜種の劇的な成長に起因しています。表1は、4種類のファミリーそれぞれの成長度を示したグラフです。黄色の棒は2012年の成長、青色の棒は2011年の成長を表しています。重要なポイントは、シグネチャは1つ以上の脅威を検出することを目的とするコードの一部分である、ということです。したがって、シグネチャ数の上昇は、適切に検出する必要がある新しい悪意のあるコードが毎日のように出現していることを示しています。ただし、1つのシグネチャは多くのマイナーな亜種を検出する可能性があるので、シグネチャ数は亜種数に直接比例していません。バイナリーファイルのユニーク数は言うまでもないでしょう。 2011年と2012年に追加された各ファミリー用のシグネチャ数
黄色:2012年 青色:2011年 上の表によると、2012年に成長率が最も高く、その修正版をすべて検出するために必要なシグネチャの数が最も多かったトロイの木馬ファミリーはPlanktonでした。この脅威は2011年から35倍に増えています。次に12倍のJSmsHider、9倍のDroidDream、6倍のDroidKungFuと続きます。 一方、2011年から大きな変化が見られなかったのは、BaseBridge(3倍)、LightDD(2倍)、GoldDreamとGeinimi(横ばい)で、追加されたシグネチャ数自体も小さいものでした。 SMS Trojans:スマートフォンで最も多い脅威
SMS型トロイの木馬は、Android搭載デバイスを狙うマルウェアの中では最も多く出回っているタイプで、この種の脅威わずか2種により、亜種数が最も増加しています。2012年には、Googleのオペレーティングシステム向けマルウェアの検出の総ユニーク数に関するレポートにおいて、Android/TrojanSMS.Boxer.AQトロイの木馬がトップに君臨しました。以降は、Android/Plankton.HとAndroid/TrojanSMS.Agent.BY.Genが続きます。次ページのインフォグラフィックは、この種のモバイルマルウェアの一般的な挙動について説明したものです。 図6:SMS型トロイの木馬の挙動
サイバー犯罪者にとって、この種の詐欺ビジネスが有効で容易に利用できる限り、SMS型トロイの木馬は、2013年も引き続き最も活発なモバイル脅威のカテゴリーとなると予測されます。 ラテンアメリカの現況
このマルウェアの検出数の世界トップ3は、中国、ロシア、イランですが、メキシコやアルゼンチン、ペルー、チリなどのラテンアメリカ諸国にもその被害は及んでいます。次の表は、2011年の同時期と比べて2012年に何倍上昇したか、を基に検出数の伸び具合を示しています。
ラテンアメリカ諸国の中でも、ペルーは2011年に比べて28倍も増加し、このトレンドの最大被害国となりました。続いて、メキシコ(16倍)とブラジル(12倍)となっています。一方で、チリとアルゼンチンはそれほど大きな増加を示しませんでしたが(それぞれ10倍と7倍)、Android向けマルウェアが最も検出される地域に属していることに変わりはありません。 Boxer:ラテンアメリカを狙うSMS型トロイの木馬
2012年のモバイルマルウェアの開発におけるもう一つの画期的な出来事は、Boxerと呼ばれる亜種の発見でした。SMS型トロイの木馬であるBoxerの主な目的は、サイバー犯罪者が不正の利益を得られるように、さまざまな有料情報サービスにターゲットを秘密裏に登録させることです。この脅威は、他の類似する悪意のあるプログラムとは異なる2つの特徴があります。世界63か国に感染被害をもたらしているのですが、そのうち9か国がラテンアメリカ諸国です(アルゼンチン、ブラジル、チリ、ペルー、パナマ、ニカラグア、ホンジュラス、グアテマラ、メキシコ)。さらに、Google Playのアプリ22種で発見されています。ユーザーの不注意によりデバイスが感染した場合、このマルウェアはそのデバイスの登録国や携帯電話会社を特定しようとします。次に、問題の国の割増料金の番号に3つのSMSを送信します。以下の図は、Boxerによる被害が確認されたラテンアメリカ9か国を示しています。 図7: Boxerによる被害が確認されたラテンアメリカ9か国 SMS型トロイの木馬は、特定の国や東欧などの特定の地域に被害をもたらすタイプが一般的ですが、Boxerの場合はヨーロッパ、アジア、アメリカに影響を及ぼす能力を備えており、世界規模で拡散する高い潜在能力を秘めた、スマートフォン向けの悪意のあるプログラムの1つとされています。 このマルウェアの詳細については、レポート「Boxer SMS Trojan(スペイン語)」をダウンロードしてください。 前述したとおり、Android搭載スマートフォン向けのマルウェアは、全世界およびラテンアメリカで大流行すると予測されます。しかし、2013年に見られる成長トレンドはこれだけではありません。2012年に特に高い注目を集めたのは、ESETラテンアメリカのラボのブログ(スペイン語)で取り上げた、FlamerおよびGaussマルウェアを利用した世界規模の産業スパイです。とはいえ、マルウェアによる大規模な標的型攻撃の先駆けとなったのはStuxnetで、これは主にイランのウラン濃縮施設に被害をもたらしたワームでした。攻撃は主に中東に集中していますが、本文書の後半で説明しているように、ラテンアメリカの1国でも確認されたとの報告もあります。 Webサイト経由のマルウェア拡散
2001年のWindows XP初の商用版リリースやリムーバブルストレージデバイス(Pen Driveなど)の大容量化は、Windows XPの設計上の脆弱性を悪用(Autorun)し、これらのメディアを介して拡散するワームの時代到来を告げるものとなりました。この問題は2009年に解決され、またユーザーもMicrosoft Windowsの新バージョンに移行しているためか、いまだこの技術を利用する悪意のあるプログラムの数はこの数年で減少しています (パッチが適用されていないシステムがあるかもしれないと期待して、いまなお利用しているマルウェアも存在しますが)。 実際、2012年全体では、この設計上の欠陥を悪用した攻撃(INF/Autorunなど)に関連する全検出数は着実に減少しています。 一方、ESETラテンアメリカで策定している「マルウェア月間ランキング(スペイン語)」によると、HTML/ScrInject.B、HTML/Iframe.B、JS/Iframe、JS/TrojanDownloader.Iframe.NKEといった汎用検出名が、第2位などランキング上位に登場するようになりました。これらのシグネチャの目的はいずれも、攻撃者がマルウェアを拡散するため、乗っ取り、改ざんしたさまざまなWebサイトを検出することです。ほとんどの場合は企業の各部署の正当なページで、脆弱性、不十分な保護、不適切な設定が原因で、ホストしているサーバーにアクセスしたサイバー犯罪者によって改ざんされています。犯罪者は、正規サイトに不正スクリプトやiFrameを挿入し、別のサイトにユーザーをリダイレクトして脅威をダウンロードするように仕向けます。一部のケースでは、盗み出された情報は、この感染サーバーにもアップロードされます。PCを使用すると、これらの個人の特定がはるかに困難になる恐れがあるためです。 次の表は、感染サイトやリムーバブルストレージデバイスを介して拡散する悪意のあるコードを検出するために使用される、一部の汎用シグネチャの2011年と2012年における増加率(%)を示しています。
上の表から、2012年は感染サイトに関連する他のシグネチャが軒並み増加している一方で、Autorunのシグネチャのみ減少したことがわかります。なお、上の数値は各年の月別の検出数の増加率と一致していますが、場合によっては、1年のすべての月を通じてシグネチャで検出されなかったマルウェアもある点に留意してください。 次の図は、2011年全体と2012年の1月~9月の、感染サーバーを介して拡散したAutorunワームや脅威に関連する検出率を示しています。データをよりスムーズに理解できるように、感染サイトを利用する脅威に対するシグネチャは「JS(JavaScript)」や「HTML」として分類し、Autorunのシグネチャの場合は接頭辞の「INF」を省略しています。 図8:感染サイトに対するAutorunの検出率(2011年~2012年9月) ご覧のとおり、2011年の初めには感染サイトを利用する脅威に対するシグネチャは実質存在していませんでした。時系列的に見ていくと、2011年9月頃を境にAutorunの検出率は減少し始め、その後、HTMLの検出率に追い抜かれました。さらに、HTMLとJSの両方は時間をかけて成長を続けています。2013年の第2のトレンドとして、ターゲットを感染させるためにこの技術の利用が増大し続けると予測できます。したがって、感染を目的とするリムーバブルストレージデバイスを悪用するワームの利用は減少するとみられます。 次の図に示すように、このトレンド以前のマルウェア拡散方法は、サイバー犯罪者がさまざまな手段(電子メール、ソーシャルネットワーク、社内リソース、リムーバブルストレージデバイスなど)を介してターゲットのコンピューターに直接、悪意のあるコードを拡散させる、というものでした。 図9:従来のマルウェア拡散方法 ※項目は、左から順に、「電子メール」、「チャット」、「USBデバイス」、「ソーシャルネットワーク」、「悪意のあるWebサイト」 図10:媒体を使用した拡散 ※項目は、左から順に、「マルウェア」、「ボットネット」、「フィッシング」 この種のWebサイト経由の拡散では、サイバー犯罪活動は次のようなステージで構成されています。
この手法が確立される以前は、サイバー犯罪者はこのプロセス全体をスキップし、マルウェアをターゲットに直接配信していました。また盗み出した情報は、自身のコンピュータに送信し、保存していました。 一方、この新たな拡散手法とは別に、ブラックハットSEOと呼ばれる手法にも注意が必要です。この手法では、サイバー犯罪者は、被害者が検索エンジンでキーワード検索を行った際に、悪質なWebサイトが検索結果の最初のページの上部に表示されるよう違法行為を働きます。犯罪者が一般的に使用するのは、悪意のあるページにターゲットをおびき出すのに十分な興味を駆り立てる、トピックに関連するキーワードです。トピックには、悲劇的事件(実際にニュースで取り上げられたものもありますが、まったくのでっち上げもあります)や誰もが関心を寄せる話題が選ばれます。最後に、フィッシング攻撃は、媒体だけでなく、ボットネットと通信(および運営している)C&C(指令)センターを介しても展開しているのが通常だと覚えておいてください。 Medre Operation:ラテンアメリカの産業スパイ
ESETラテンアメリカは、2012年2月以降、ACAD/Medreという極めて特異な悪意のあるプログラムの検出率が大幅に上昇していることを確認しました。また目新しい特徴としては、この感染の大半が特定のラテンアメリカの国で発生したことが挙げられます。その国はペルーで、ESET早期警告システム「Live Grid」で収集された情報によると、検出の96%を占めていました。 その後も調査を続けていくと、このワームは、AutoCADで作成された青写真やプロジェクトを盗み出すよう意図され、ペルーの企業から約1万点のファイルを盗み出していた事実が判明しました。そのためMedre Operationは、既知のラテンアメリカ地域を狙った初めての産業スパイ事件となりました。 図11:ACAD/Medreの分布図 2013年には、産業スパイ事件がラテンアメリカでさらに発覚する可能性があります。とはいえ、必ずしも新たな攻撃手法が利用されるわけではないとみられます。たいていの場合、特定の企業や国を攻撃するように特別設計された悪意のあるコードが使用されるため、発見、検出、対処に長い時間を要する可能性があるためです。組織とITセキュリティ業界の間で連携が取れていたら、事態は大きく改善されていたかもしれません。詳細については、プレゼンテーション「Medre Operation: Industrial Espionage in Latin America?」を参照してください。 引き続き猛威を振るうボットネット
2010年以降、情報を盗み出し、それによって金銭を得るためのマルウェアが猛威を振るっています。2011年に入って一気に増加したボットネットは、2012年も全世界、そしてラテンアメリカの両方で着実に感染を拡大しました。中でもDorkbotワームは、同地域において2012年に最も数多く出現した脅威の1つで、ターゲットのコンピューターをゾンビ化させる能力を備えています。ESETラテンアメリカの分析とリサーチラボのメンバーが感染範囲について調べたところ、チリ(44%)、ペルー(15%)、アルゼンチン(11%)を中心に8万台を超えるゾンビ化されたコンピューターで構成されるボットネットを発見しました。Dorkbotは、拡散するためにソーシャルエンジニアリングを活用します。女優のジェニファー・ロペス、ウゴ・チャベス大統領、サッカー選手のリオネル・メッシやアレクシス・サンチェスが遭遇した事故と称する偽の動画など、さまざまなトピックを用いてターゲットをおびき寄せるのです。また、新たな標的を見つけるために、偽のコンテストや賞をでっち上げるケースもあります。技術的な観点から見ると、この脅威の亜種の一部は、リムーバブルストレージデバイスやソーシャルネットワーク、Windows Live Messengerなどのチャネルを介して拡散します。さらに、さまざまなデータの中でも、とりわけ電子メールのアカウント名やパスワードなどの機密情報を盗み出します。実際、サイバー犯罪者がDorkbotで盗み出した電子メールアカウントの88%が、企業に属していました。残りの12%は、GmailやHotmail、Yahoo!といったサービスでのアカウントでした。次ページの図は、オペレーティングシステム別のゾンビコンピューター数(ボット感染システム)と、ユーザーのタイプを示しています。 図12:オペレーションシステム別の感染システムの数とユーザーのタイプ 赤色:管理者 黄色:管理者権限のないユーザー 図によると、感染ユーザーの大半は、いまだWindows XPのバージョンと管理者権限が付与されたユーザーアカウントを使用しています。この脅威はあらゆるアカウント下で動作することが可能なので、日常的に使用するアカウントの権限は制限しておくことが重要です。一部の悪意のあるコードは実行できなくなる、または機能が制限されるようになります。Dorkbotは大変複雑なボットで、感染したシステムの駆除には、ユーザーが講じる必要のある措置がいくつか追加されます。詳細については、ESETラボのブログ「How can I remove Win32/Dorkbot from my computer?(スペイン語)」を確認することをおすすめします。 2012年には、ボットネットの性質を持つ別のマルウェア、Flashbackが報告されています。Windowsで動作するように設計されている通常のマルウェアとは異なり、このトロイの木馬は、AppleのMac OS Xオペレーティングシステムを搭載しているコンピューターに感染します。ESETが収集した情報によると、Flashbackは約75万人のMacユーザーに感染し、そのうち4万人はラテンアメリカに所在しているとされます。同地域で、この脅威による被害が最も大きかった国は、メキシコ(45%)、ブラジル(17%)、チリ(13%)でした。この状況は、ユーザーがどのオペレーティングシステムを使用しているかに関係なく、安全のための慣習を実践する必要性を改めて訴えています。同時に、2013年にはボットネットの数は全体として増加すると見込まれます。リモートからゾンビ化したシステムに命令を送って金銭を搾取しようとするサイバー犯罪者にとっては、その柔軟性は大きな魅力なのです。 クラウドへの攻撃とそれに起因する情報漏えい
2012年には、クラウドストレージの利用も広まりました。Gartner(※3)によると、一般消費者がクラウドにデータを保存するようになった背景には、タブレット端末やスマートフォンなどのカメラ搭載デバイスの普及が挙げられます。他にも、2012年上半期にタイを襲った洪水で被ったハードディスクドライブ工場の被害も、この技術の成長に影響を及ぼしていると考えられます。 ※3 出典:2012年第2四半期のオペレーティングシステム別のスマートフォンのエンドユーザー向け販売台数、Gartner。詳細については、こちらを参照のこと。 Gartnerのレポートでは、クラウドに保存されたエンドユーザー所有のファイルは2011年はわずか7%でしたが、2016年には36%にまで成長すると予測されています。クラウドストレージには、インターネットに接続できさえすれば、ほぼすべてのデバイスからいつでも必要な情報にアクセスできるというメリットがありますが、その一方でこれらのデバイスが攻撃者に狙われやすくなるというデメリットを抱えています。クラウドストレージを利用しているデバイスが攻撃された場合、データのセキュリティが侵害され、情報漏えいが発生する恐れがあります。これはすでに現実になっている懸念です。2012年には、別のサービスなどから盗み出したログイン情報を使って、Dropboxのアカウントが不正アクセスされるという事件が発生しました。この事件ではDropboxに非があったわけではありませんが、同社はこれを機にサイトのセキュリティを強化せざるを得なくなりました。いずれにせよ他のコンピューターシステムと同様に、クラウドにも幾ばくかの危険性が潜んでいます。技術の利用拡大に伴い、こうしたサービスに攻撃を仕掛けて金銭を巻き上げようとサイバー犯罪者が身を乗り出す可能性も高くなると考えられます。 2012年にはこの他にも、LinkedInやYahoo!、Formspringなどのポータルサイトで、情報漏えいに起因する被害が発生しました。一方、大手クレジットカード会社のVisaとMasterCardは、決済処理システムからの情報漏えいで顧客に注意喚起することを余儀なくされています。このインシデントでは、両社合わせて5万6,455枚のカード情報が漏えいし、そのうち876枚が詐欺行為などに不正使用されました。 ハクティビズム
最近では、一種の社会に対する不満の表れとして、ギリシャやスペイン、チリ、アルゼンチンなどの一部の国で、市民による抗議運動やデモが増加しているようです。いまやテクノロジーやオンライン活動は多くの人にとって日常生活の一部になっており、こうした活動にコンピューターを活用する(ハクティビズム)のも一般化しつつあります。例えば、2012年の初め、ファイル共有サイトのMegauploadの閉鎖に腹を立てたAnonymousというグループのメンバーは、いくつかの関係サイトを攻撃しました。その結果、FBIのサイトはアクセス不能に陥り、長官を務めるロバート・ミュラー氏の機密情報も公開される事態となりました。Sony Music Entertainmentもまた、改正著作権法成立への取り組みに支持を表明したことでAnonymousの怒りを買い、ハッキング攻撃の標的となりました。このケースでハッカーたちは、同社と契約を交わしているアーティストや映画のマルチメディアコンテンツにアクセスし、後にインターネット上で公開しています。 2012年を通して、ハクティビストたちはその他のさまざまな問題にも抗議し、アルゼンチンやチリ、ベネズエラ、ボリビアの政府機関サイトをはじめ、多くの国が攻撃を受けました。ほとんどの場合、攻撃にさらされたWebサイトは一般利用不可となり、インターネットユーザーはアクセスできなくなります。抗議の手段あるいは屈辱を味わせるためにWebサイトが改ざんされるケースもあり、オリジナルコンテンツに手が加えられました。また、さらに深刻な被害を与えた例も数件報告されています。代表的なものには、1,200万件ものiOSデバイス情報を不正入手したとされるAntiSecというハッカー集団、分散サービス妨害攻撃(DDoS攻撃)を開始するためのツールでパーソナライズされたLinuxベースのオペレーティングシステム(Anonymous OS Live)の開発、GoDaddyに対する個人用ボットネットの使用、Lulz Security Peruによるペルーのドメイン20万件からの情報漏えいなどが挙げられます。 ハクティビズムを情報セキュリティの観点から見ると、技術、管理、教育の各レベルでの自社システムの保護に関する課題が依然として数多く残る組織の実態を浮き彫りにしています。市民が社会的な問題に関わる場合、実世界で従来のような抗議活動を行うだけでなく、さまざまな電子メディアを使って自身の不満を吐き出そうと試みる場合もあり、しかもこのトレンドは拡大し続けています。2013年は、利便性の高いサイバーデモの手法がいくつか確立されれば、このような性質の攻撃が確認される可能性は非常に高くなるでしょう。 脆弱性
脆弱性は通常、マルウェアの拡散を容易にする目的で、サイバー犯罪者によって悪用されます。セキュリティ上の何らかの欠陥を利用することで、ユーザーの操作を必要とせずに悪意のあるコードを実行できます。例えば、この種の攻撃が仕掛けられたWebサイトにユーザーがアクセスするだけで、脅威はもちろん、何らかのプログラムをダウンロード、実行していなくても感染させることが可能です。2012年に発見された一部の脆弱性は、如実にその実態を物語っています。ESET NOD32 AntivirusでWin32/Poisonとして検出されるトロイの木馬は、Javaに影響を及ぼすゼロデイ攻撃を利用して拡散しました。サイトが悪意のあるアプレットをホストしている場合、ユーザーはそのサイトにアクセスするだけで感染します。Javaやセキュリティ侵害における問題は、この技術が複数のプラットフォームで利用できる点にあります。そのため、セキュリティ上の問題があると、複数のオペレーティングシステム向けに設計された脅威の拡散につながる恐れがあります。その他のソフトウェアの例では、Internet Explorerも深刻な脆弱性による影響を受けました。IEの欠陥により、サイバー犯罪者はPoisonワームの別の亜種を拡散させることができました。どちらの問題も、その後、両企業がそれぞれ対応にあたっています。これらの攻撃を最適化する方法としてサイバー犯罪者は、いくつかのセキュリティ上の問題と、それらを悪用する方法を含む脆弱性に対するセキュリティキットを開発しています。このトレンドは目新しくありませんが、広く知れ渡っている攻撃キットであるBlackholeの最新バージョン(バージョン2.0)は、攻撃者がマルウェア拡散が容易にするために新たな攻撃手法や機能を積極的に取り入れていることを証明しています。新たなセキュリティ上の脆弱性が発見されるに伴い、その悪用方法はマルウェアを拡散するために最適化されていくと考えられます。 2012年に際立ったもう1つの脆弱性(部分的にAndroidマルウェアの増加に関連)は、一部のGoogleのオペレーティングシステム搭載コンピューターで見つかったセキュリティ上の欠陥で、攻撃者は工場出荷時の設定に戻して、情報を消去することができます。この欠陥が悪用された悪意のあるサイトにアクセスしたユーザーに対して、攻撃者はUSSDコードの実行をするだけでよいのです。ちなみにユーザーを保護する対策として、無償でインストールできるESET USSD Controlを挙げておきます。このツールは、Google Playの公式リポジトリーサイトで入手できます。Androidの脆弱性はWindowsほど活発に悪用されていませんが、金銭を搾取しようと画策するサイバー犯罪者は、こうしたデバイスに影響を及ぼすセキュリティ上の脆弱性を見つけるためにさらに多くの時間を費やすようになると予測されます。 新技術を搭載したマルウェア
技術革新に伴い、ユーザーが通信技術を利用できる機会を創出する目的で、テレビや自動車、ルーター、スマートカードなど、かつてはもっとシンプルだった製品の多機能化が進んでいます。パーソナライズされたコンテンツを表示できるインターネット接続対応テレビや、最適ルートや目的地の情報を教えてくれるGPSを搭載した自動車はその代表例です。いずれも正しく利用されれば、人々の生活を快適かつ豊かにしてくれる技術ですが、一方でサイバー犯罪者によるマルウェアの開発も容易にしています。コンピューター化によりデバイスが進化すると、その機能も複雑さも増すため、セキュリティ脅威の作成を可能にする脆弱性や欠陥も多発するようになります。今のところESETラテンアメリカでは、韓国の大手メーカーのスマートテレビを攻撃するように特別設計されたマルウェアを検出しています。このトロイの木馬はPerl/Agent.Bとして検出され、ネットワーク接続を試みます。接続を確立させると、ユーザーにアップグレード版をインストールするよう促すメッセージを表示し、ユーザーが同意するとテレビの画面表示がオフになります。このマルウェアは永久的な損傷を引き起こしたり、情報を盗み出したりはしませんが、コンピューターやタブレット、スマートフォン以外のデバイスを狙う脅威も開発されている実態を明らかにしています。 2012年3月に報告された、Linux/Hydra.Bとして検出される脅威も似たような様相を呈しています。これは、ゾンビ化したデバイスのネットワークを作成しようとする悪意のあるコードです。ボットネットを形成するために開発された他のタイプのマルウェアとは異なりHydraは、IP監視カメラやホームルーター、VoIP(Voice over IP)システム、スマートフォン、タブレットに見られるような非従来型の組み込みオペレーティングシステムに影響を与えます。発見当初、C&C(指令)センターに報告をしていたボットの数は11,000個にも上り、この悪意のあるコードが非従来型のゾンビデバイスを増殖させて目的を達成していたことが明らかになっています。同業の研究者であるPaul Rascagneres氏は、スマートカードへのリモートアクセスを許可することを目的とする悪意のあるコードを使った攻撃について取り上げています。その目的は、PINを収集し、C&CセンターにUSBデバイスをエクスポートすることで達成されます。最後に、Black Hat 2011セキュリティカンファレンスで発表された他の研究では、次世代自動車のセキュリティシステムに影響を及ぼす可能性について論じられています。特定の条件下では、無線技術を使用して違法に自動車のシステムにアクセスし、自動的にドアロックを解除してエンジンを始動させることが可能でした。これはあくまでも概念実証テストに過ぎず、当該ベンダーは問題について通知を受けましたが、この種の技術を使用すれば車載コンピューターへの攻撃も可能になると示しています。 通話やSMSの送信を行うだけのシンプルな携帯電話から、真のポケットサイズのコンピューターへと進化したスマートフォンに代表されるように、従来型のデバイスはみな一様に変貌を遂げており、その一方で攻撃を仕掛けようとするマルウェアも確認されるとみられます。サイバー犯罪者に人気の高いターゲットであるという事実を抜きにしても、Javaプラットフォームがさまざまなオペレーティングシステムで動作できる点を考慮すれば、この問題は増大していくでしょう。 まとめ:モバイルマルウェアは技術を駆使して次々と拡散
モバイルデバイス向けのマルウェアの台頭と、2013年に予想される、デバイスとそれを狙うマルウェアの爆発的増加は、情報セキュリティの枠だけでは語れません。BlackBerryやiPhoneなどのデバイスの発売(2007年)以来、スマートフォンおよびタブレット市場は各分野で急速に発展してきました。テクノロジー(優れたハードウェア、より最適化されたソフトウェア)、市場(売上、ユーザー数、アプリ数)、コネクティビティとインフラ(3Gおよび4G LTE)などです。モバイルデバイスの成長のあおりを受けて大幅な売上減に直面した「従来型」コンピューター市場とは対照的に、この部門は大きく飛躍しました。実際、2012年のPC市場セグメントの見込まれた成長率はわずか0.9%(※4)であったのに対し、スマートフォンやタブレットの状況は大きく異なります。同じコンサルティング会社によると、タブレット市場セグメントは、2012年第2四半期に最大66.2%(※5)の前年比成長率を達成しました。こうしたデバイス向けの脅威の開発に多大な時間とリソースを投じるサイバー犯罪者にとっては、魅力的な数字に映るでしょう。 スマートフォンの売上増加に伴って、Google PlayやApple Storeからダウンロードされたモバイルアプリの数も時間経過とともに劇的に増加しています。2011年7月時点でApple Storeからのダウンロード数は全世界で150億回でしたが、2012年3月にはほぼ倍増(250億回)し、iPhone、iPod、iPadなどのダウンロード可能なアプリの数は合計55万本にも上ります(※6)。Google Playもこの流れに追随しています。2012年9月には、全世界で250億回のダウンロード数を記録し、アプリとゲームの数は合計で67万5,000本になります(※7)。同時に、1日あたり130万台のAndroid搭載デバイスがアクティベートされています(※8)。1日あたりわずか55万台のデバイスだった2011年と比較すると(※9)、アクティベーションの回数も大幅に増加しています。 モバイルデバイス(タブレットやスマートフォン)は、ハードウェアとソフトウェアの両面で急速な進化を遂げています。市場は現在、NVIDIA Tegraシリーズなどのクアッドコアプロセッサ、2 GBのRAM、より高度なGPU(グラフィックプロセッサ)を搭載したスマートフォンをはじめ、従来以上に複雑なタスクを処理できる機能を備えたスマートフォンが登場しています。同時に、IOSやAndroid、Windows Phoneのようなオペレーティングシステムの新しいバージョンでは、使いやすさ、機能性、パフォーマンス、一部のセキュリティ面で改善が見られます。こうした技術的な進化により、ユーザーはますます、家族や友人、同僚との連絡、ゲームや情報コンテンツへのアクセス、オンラインバンキングなどにモバイルデバイスを利用するようになっています。
現状を総合的に判断し、これらの統計情報の数値が今後数年間は軒並み上昇し続ける可能性を考慮すると、モバイルデバイス向けに設計されたマルウェアの数は、技術が浸透するスピードに比例していると結論できます。すなわち、市場の成長と技術の進化に加え、必要な措置を講じないままモバイルデバイスにますます機密情報を保存しようとするユーザーが増えれば、こうした状況を利用して一稼ぎしようとサイバー犯罪者がセキュリティ脅威を作成すると予測されます。PCの世界でははるかに長い期間にわたり、ゆったりとしたペースで発生してきたことが、まさに今、モバイルの世界で起こっているのです。 モバイルマルウェアの劇的な成長速度を後押しするもう1つの要因は、BYOD(私物端末の使用)です。この傾向は世界の多くの地域で広まっており、ますます高度になるモバイルデバイスの開発と直結しています。BYODとは、自社の社員が企業環境(Wi-Fi無線ネットワーク、VPN、共有ファイルおよびプリンタへのアクセスを含む)にノートPCやスマートフォン、タブレットなどの私物端末を持ち込み、使用することを指します。この場合、十分な戦略を検討していない企業には、必要なセキュリティ対策が取られるまで重大なセキュリティ上の問題が発生し続ける可能性があります。例えば、社員が自らのスマートフォンを介してあらゆる企業リソースにアクセスしている場合、悪意のあるプログラムに感染すれば企業の機密情報が盗み出されてしまいます。このようなトレンドの結果として発生する可能性のあるもう1つの問題はモバイルデバイスの盗難や紛失で、適切に保護されていない場合、第三者がそのデバイス内の、あるいはデバイスを経由して機密情報にアクセスすることが可能になります。 Gartnerが実施した調査(※10)によると、BOYDに用いられているデバイスは、スマートフォン(32%)、タブレット(37%)、ノートPC(44%)と分散しています。同時に、社員のマシンに技術サポートを提供している企業についても地域差があります。次ページに示す図は、サポート体制を敷いている企業から得られた結果を地域間で比較しています。BRICS(ブラジル、ロシア、インド、中国、南アフリカ)と世界のその他の地域について、それぞれパーセントで表示しています(※11)。 図13:BYOD導入を検討している企業の割合 薄い青色:世界の他の地域 39% 濃い青色:BRICSの5国 44%
モバイルデバイスは2013年にはさらに主流かつ多機能になり、このトレンドに追随する企業と従業員の数も多くなると見込まれます。使用禁止を決定した組織もありますが、「コアネットワークから分離したWi-Fiネットワークを使用する」、「スマートフォンのパスワードロックを設定する」、「モバイル向けのセキュリティソリューションをインストール」、「リスクに対処する自社のセキュリティポリシーを実装する」など、利用可能なセキュリティのベストプラクティスもあります。いずれも、不十分な対策のままBYODを導入した場合に発生しかねないリスクを、最小限に抑えることができます。このテクノロジーの進化速度は、モバイルデバイス向けの脅威の開発に影響を与えてきました。例えば、初のAndroidベースのマルウェアであるFakePlayerは、2010年に報告されていますが、それからわずか2年でAndroid向けマルウェアの数は目もくらむようなスピードで成長しています。その代表例はTrojanSMS.AgentやTrojanSMS.BoxerといったAndroidマルウェアの亜種で、2011年に比べて700%以上の伸び率を記録しています。また2012年に劇的に増加した、特定のファミリーの各亜種を検出するために必要なシグネチャの割合に目を向けることも重要です。例えば、2012年の悪意のあるコードであるPlanktonの亜種をそれぞれ検出するシグネチャの数は前年の35倍でした。Androidを標的とするマルウェアは飛躍的に増加しているだけでなく、従来のコンピューターに見劣りしない能力を備えるようになるまで進化し続けるとみられます。良く知られている例には、コンピューターやモバイルデバイスをゾンビ化させる能力を有するトロイの木馬、Zeusのモバイル向けの亜種(Zitmo:Zeus In The Mobile)があります。ここ数年の間に登場したZitmoの亜種は、SMSを介して制御可能で、バンキングシステムの2ファクタ認証も回避します(※12)。上記のすべてを考慮すると、テクノロジーの進化と肩を並べるようにモバイルマルウェアも進化を遂げており、その数も比例して増え続けていくと言えるでしょう。言い換えれば、テクノロジーはいまや大衆化、コモディティ化が進み、日常生活の一部となっており、その一方で、こうしたデバイスを狙うセキュリティ脅威が忍び寄ってくると予測されます。 Androidベースの悪意のあるコードは2013年のセキュリティ脅威の主要トレンドですが、脆弱なサイトを踏み台にするマルウェアの拡散も急速に増加している大きな脅威で、サイバー犯罪者の間では最も人気のある拡散方法の1つとなっています。したがって、従来型PC市場は販売台数の点ではスマートフォンに随分と差をつけられたとはいえ、サイバー犯罪者は今後もPC向けマルウェアを大量に開発し続けることはまず間違いありません。Web経由の拡散が次々と露わになっても、犯罪者は別の攻撃手法を模索するだけです。 コンピューターを活用し続けている限り、ユーザーは、今後もセキュリティ上のリスクにさらされていくことになります。その意味では、セキュリティ上の脆弱性のような、攻撃者がより簡単にシステムに不正アクセスできる侵入経路が存在しているとすれば、2013年に産業スパイ事件やボットネットが増加する可能性は高いでしょう。ユーザーやコミュニティの課題は概して変わりません。所有するモバイルデバイスやPCにセキュリティソリューションを導入するだけでなく、この種の技術に影響を及ぼす情報セキュリティの問題を把握することが大切です。ユーザーの生活を便利にしてくれる反面、注意を怠って使用すると情報セキュリティに関する深刻な問題を引き起こす可能性もあるのです。
ESET社について
1992年に創設されたESETは、企業および個人向けのセキュリティソリューションを提供するグローバルプロバイダーです。ESETは、プロアクティブなマルウェア検出技術のパイオニアであるとともに、この分野で業界をリードし続けています。ESET NOD32 Antivirusは、『Virus Bulletin』誌のVB100アワード最多受賞回数を記録しているほか、1998年の同テスト開始以来、「In The Wild」と呼ばれる実際に感染報告があるワームやウイルスを1つ残らず検出しています。 ESET NOD32 Antivirus、ESET Smart Security、ESET Cybersecurity for Mac、ESET Endpoint Security、ESET Endpoint Antivirusは世界中の数百万のユーザーに利用されており、各方面から極めて高い評価を得ています。 ESETは、スロバキアのブラティスラバにグローバル本社を、米国のサンディエゴ、アルゼンチンのブエノスアイレス、シンガポールに地域流通拠点を構えています。また、ブラティスラバ、サンディエゴ、ブエノスアイレス、シンガポール、チェコ共和国のプラハ、スロバキアのコシツァ、ポーランドのクラクフ、カナダのモントリオール、ロシアのモスクワにマルウェア研究センターを置き、世界180か国にまたがる広範なパートナーネットワークを築いています。 | |||||||||||||||||||||||||||||||||||||||||||||||
|