McAfee Labs脅威レポート: 2018年9月

Size: px

Start display at page:

Download "McAfee Labs脅威レポート: 2018年9月"

ちとらこいまる
5 years ago
Views:

McAfee Labs 脅威レポート 218 年 9 月この四半期の主なトピックロックされた Windows 1 デバイスに侵入できる Cortana の脆弱性 (CVE-218-814) 脅威レポート :

1 McAfee Labs 脅威レポート 218 年 9 月この四半期の主なトピックロックされた Windows 1 デバイスに侵入できる Cortana の脆弱性 (CVE ) 脅威レポート : セキュリティが実装されていないブロックチェーンには参加しない AsiaHitGroup 犯罪グループが再び Google Play のアプリを乗っ取り請求詐欺を行う 1 McAfee Labs 脅威レポート : 218 年 9 月

2 第 2 四半期 McAfee Global Threat Intelligence は 1 日あたり平均で 18 万個の URL と 8 万個のファイルを分析しましたサンドボックスで解析したファイルは 2 万個ですはじめに McAfee Labs 脅威レポート ( 218 年 9 月 ) をご覧いただきありがとうございます今回は McAfee Advanced Threat Research チームと McAfee Labs が 218 年第 2 四半期に収集したと分析結果を報告しますサイバー犯罪者は常に金銭を狙っていますこのことはよくご存知でしょうが以前と同じ対策がいつまでも通じるわけではありません今回の脅威レポートにあるようにより効果的な手法に切り替えた攻撃が増加しています第 1 四半期に続き暗号通貨のマイニングが増加していますこのレポートでは McAfee Labs が第 2 四半期に確認した調査結果の中から 3 つのトピックについて報告しますそれぞれの概要については 5 ページから 7 ページをご覧ください私たちの研究チームはデジタルアシスタントも調査対象としています第 2 四半期は Microsoft の Cortana に存在する脆弱性を分析しましたこの欠陥が悪用されるとロックされた Windows デバイスにログインされ任意のコードが実行される可能性がありますこの調査結果は弊社の脆弱性開示ポリシーに従って Microsoft に通知しましたこの問題は CVE として公開されていますまた四半期はブロックチェーン技術と暗号通貨を狙う攻撃についても分析しましたすぐに利益を得るために攻撃者は様々な脆弱性を利用しています執筆者 : Christiaan Beek Carlos Castillo Cedric Cochin Ashley Dolezal Steve Grobman Charles McFarland Niamh Minihane Chris Palm Eric Peterson Steve Povolny Raj Samani Craig Schmugar ReseAnne Sims Dan Sommer Bing Sun 2 McAfee Labs 脅威レポート : 218 年 9 月

3 キートピックマルウェアの状況を見てみましょう過去 18 か月間猛威を振るったランサムウェアの攻撃は鳴りを潜めています請求詐欺を行う犯罪グループが複数確認されています今回は Google Play などの公式サイトのアプリを乗っ取り 2, 人の被害者を出した AsiaHitGroup による攻撃を調査しました第 1 四半期 McAfee Global Threat Intelligence は 1 日あたり平均で 49 億件のクエリーを受信しました新しいマルウェアの量は 2 四半期連続で減少していますが 217 年の第 4 四半期にマルウェアが急増した例もあり予断は許しません新しいサンプルの数を見ると過去 5 四半期の中で 4 四半期がほぼ横ばい状態になっています第 2 四半期新しいモバイルマルウェアのサンプル数は 27% 増加しましたこの種類のマルウェアは 2 四半期連続で増加していますコインマイナーマルウェアも活発な状態が続いています第 2 四半期このマルウェアのサンプル数の合計は 86% 増加しマルウェアデータベースに新たに 25 万個のファイルが追加されましたまた私たちの調査結果がバージョン 5.1. 以降の McAfee epolicy Orchestrator (McAfee epo ) プラットフォームで利用できるようになりました従来のソーシャルチャンネル McAfee Labs と McAfee Advanced Threat Research のホームページで公開されている情報を epo プラットフォームで使用できます常に最新の情報を入手し安全な状態を維持しましょう Steven Grobman 最高技術責任者 Raj Samani チーフサイエンティスト兼 McAfee フェロー Advanced Threat 3 McAfee Labs 脅威レポート : 218 年 9 月

4 目次前のナンスハッシュデータ 5 6 ロックされた Windows 1 デバイスに侵入できる Cortana の脆弱性 (CVE ) 脅威レポート : セキュリティが実装されていないブロックチェーンには参加しない 7 9 AsiaHitGroup 犯罪グループが再び Google Play のアプリを乗っ取り請求詐欺を行う 4 McAfee Labs 脅威レポート : 218 年 9 月

キートピックこの四半期の主なトピックロックされた Windows 1 デバイスに侵入できる Cortana の脆弱性 (CVE-218-814) McAfee Labs と Advanced Threat Research チームは Microsoft Windows 1 に搭載されている音声アシスタント Cortana に脆弱性を発見しましたこれは未承認のコード実行が可能な脆弱性で

5 キートピックこの四半期の主なトピックロックされた Windows 1 デバイスに侵入できる Cortana の脆弱性 (CVE ) McAfee Labs と Advanced Threat Research チームは Microsoft Windows 1 に搭載されている音声アシスタント Cortana に脆弱性を発見しましたこれは未承認のコード実行が可能な脆弱性で Microsoft は 6 月に修正を公開しましたこの脆弱性を悪用するとすべてのパッチ (6 月のパッチがリリースされる前の RS3 と RS4) が適用された Windows 1 マシンでロック画面からコードを実行することができます今回の調査では Microsoft が他の脆弱性とまとめて公開した問題 ( CVE ) を検証しましたその 1 つが情報漏えいの脆弱性ですデモではロックされた Windows デバイスにログインして完全なコードを実行することに成功しました Advanced Threat Research チームは 4 月開示ポリシーに従ってこの脆弱性を Microsoft に通知しましたこの脆弱性の報告者はサイバーセキュリティアーキテクト兼シニアプリンシパルエンジニアの Cedric Cochin です Microsoft Cortana の脆弱性 PS1 ペイロードを実行 ( AMSI をバイパス式から Defender を削除 UAC をバイパス ) HIGH 整合性 (UAC なし ) で PS1 を実行認証情報をリセットロックされたユーザーセッションにフルアクセスが可能に最初の実行第 1 段階のペイロード第 2 段階のペイロード目的のアクションを実行図 1. この 4 段階の攻撃で攻撃者が Cortana を悪用して Windows 1 システムを乗っ取る 5 McAfee Labs 脅威レポート : 218 年 9 月

6 キートピック脅威レポート : セキュリティが実装されていないブロックチェーンには参加しない暗号通貨の普及に伴いブロックチェーンの進化も加速度を増していますサイバー犯罪者もこの流れを見逃さず不正なコインマイニングやコインの窃盗を試みています McAfee Advanced Threat Research チームは 6 月にブロックチェーン脅威レポートを公開しブロックチェーンの利用と実装に対する脅威の現状について解説しましたブロックチェーンという言葉は聞いたことがなくても暗号通貨特に最も人気の通貨であるビットコインはご存知でしょう暗号通貨はブロックチェーン技術をベースに構築されていますブロックチェーンは取引記録を分散して記録し信頼関係のない参加者の間で信頼された台帳を実装する技術です台帳内各ブロックは次のブロックにしチェーンを生成しますこのチェーンにより誰もが外部ソースを利用することなくすべての取引を検証できるようになりビットコインのようの分散管理の通貨が実現されましたこのレポートではブロックチェーンに対する基本的な攻撃方法 ( フィッシング詐欺マルウェア実装の脆弱性技術 ) の調査結果がまとめられていますハッシュ関数ハッシュ関数前のナンス前のナンス前のナンスハッシュデータハッシュデータハッシュデータブロック有効なハッシュが見つかるまでマイナーがブロックのハッシュを生成するハッシュが生成されるたびにナンスが増分される有効なハッシュは次のブロックに組み込まれる各ブロックの前のハッシュを使用することでチェーンを遡ることができる図 2. 直前のハッシュを利用するブロックチェーンのプルーフオブワーク出典 : 6 McAfee Labs 脅威レポート : 218 年 9 月

キートピック AsiaHitGroup 犯罪グループが再び Google Play のアプリを乗っ取り請求詐欺を行う McAfee Mobile Research チームは 218 年に Google Play に公開された 15 以上のアプリで新たな請求詐欺の手口を確認しました 217 年版の Android Security Year in Review Report(Android

7 キートピック AsiaHitGroup 犯罪グループが再び Google Play のアプリを乗っ取り請求詐欺を行う McAfee Mobile Research チームは 218 年に Google Play に公開された 15 以上のアプリで新たな請求詐欺の手口を確認しました 217 年版の Android Security Year in Review Report(Android 年次セキュリティレポート ) によると Google Play で有害な可能性があるアプリで最も多いカテゴリは請求詐欺を含む料金詐欺ですこの新しい傾向からも明らかなように Google Play などの公式サイトにあるアプリを利用する被害者から金銭を盗み出すためサイバー犯罪者は常に新しい方法を模索しています今回の攻撃の背後にいるのは少なくとも 216 年の後半から活動を続けている AsiaHitGroup という犯罪グループです 216 年このグループは偽のインストーラーアプリ ( Sonvpay.A) を散布しましたこれにより人気のアプリをダウンロードした 2, 人以上のユーザーが被害を受けました ( 主な被害はタイとマレーシアで発生しています ) 1 年後の 217 年 11 月 Google Play を狙った新たな攻撃が発生しましたこの攻撃で使用された Sonvpay.B は IP アドレスと位置情報を利用して被害者の国を確認しロシアのユーザーに請求詐欺を行いましたこの機能が搭載されたことで被害範囲の拡大が懸念されます今回の調査ではこれらの攻撃で使用されたマルウェアを詳しく分析しました図 3. Google Play で確認された AsiaHitGroup の不正なアプリ 7 McAfee Labs 脅威レポート : 218 年 9 月

キートピック統計 McAfee Global Threat Intelligence 弊社では McAfee Global Threat Intelligence(McAfee GTI) のダッシュボードで攻撃パターンを分析し顧客が実際に受けている攻撃の状況を把握して保護対策の改善に努めています McAfee GTI は 1 日あたり平均で 49 億件のクエリーと 13

8 キートピック統計 McAfee Global Threat Intelligence 弊社では McAfee Global Threat Intelligence(McAfee GTI) のダッシュボードで攻撃パターンを分析し顧客が実際に受けている攻撃の状況を把握して保護対策の改善に努めています McAfee GTI は 1 日あたり平均で 49 億件のクエリーと 13 億のテレメトリを受信しましたまた 1 日平均 18 万個の URL と 8 万個のファイルを分析し 2 万個のファイルをサンドボックスで解析しました第 2 四半期 McAfee GTI は 8,6 万個のファイルをテストしこの中で危険な不正ファイル.1%(86, 個 ) でした第 2 四半期 McAfee GTI は 7,3 万個の URL をテストしこの中で危険な不正 URL は.5%(365, 個 ) でした第 2 四半期 McAfee GTI は 6,7 万個の IP アドレスをテストしこの中で危険な IP アドレスは.4%(268, 個 ) でした 8 McAfee Labs 脅威レポート : 218 年 9 月

9 1 マルウェア 17 インシデント 19 Web とネットワークの脅威 9 McAfee Labs 脅威レポート : 218 年 9 月

10 マルウェア 7,, 6,, 5,, 4,, 3,, 新しいマルウェア 9,, 8,, 7,, 6,, 5,, 4,, マルウェアの合計このマルウェアのデータは McAfee のサンプルデータベースに登録された情報に基づいていますこのデータベースには McAfee のスパムトラップクローラーユーザーからの送信業界の他の情報源から収集した不正なファイルが含まれています 2,, 1,, 3,, 2,, 1,, 第 3 四半期第 4 四半期第 1 四半期第 2 四半期第 3 四半期第 4 四半期第 1 四半期第 2 四半期 216 年 217 年 218 年 216 年 217 年 218 年出典 : McAfee Labs, 218 出典 : McAfee Labs, 218 Mac OS を攻撃する新しいマルウェア Mac OS を攻撃するマルウェアの合計 9, 5, 8, 45, 7, 6, 5, 4, 3, 2, 4, 35, 3, 25, 2, 15, 1, 1, 5, 216 年 217 年 218 年 216 年 217 年 218 年出典 : McAfee Labs, 218 出典 : McAfee Labs, McAfee Labs 脅威レポート : 218 年 9 月

11 新しいモバイルマルウェアモバイルマルウェアの合計 3,, 3,, 2,5, 25,, 2,, 2,, 1,5, 15,, 1,, 1,, 5, 5,, 216 年 217 年 218 年 216 年 217 年 218 年出典 : McAfee Labs, 218 出典 : McAfee Labs, 218 地域別のモバイルマルウェアの感染率 ( 感染を報告したモバイルユーザーの割合 ) 世界のモバイルマルウェアの感染率 ( 感染を報告したモバイルユーザーの割合 ) 14% 12% 18% 16% 14% 12% 1% 8% 6% 4% 2% % アフリカアジアオーストラリアヨーロッパ北米南米 217 年第 3 四半期 217 年第 4 四半期 218 年第 1 四半期 218 年第 2 四半期 1% 8% 6% 4% 2% % 第 3 四半期第 4 四半期第 1 四半期第 2 四半期第 3 四半期第 4 四半期第 1 四半期第 2 四半期 216 年 217 年 218 年出典 : McAfee Labs, 218 出典 : McAfee Labs, McAfee Labs 脅威レポート : 218 年 9 月

12 新しいランサムウェア 2,, ランサムウェアの合計 2,5, 18,, 16,, 2,, 1,5, 1,, 5, 216 年 217 年 218 年 14,, 12,, 1,, 8,, 6,, 4,, 2,, 216 年 217 年 218 年出典 : McAfee Labs, 218 出典 : McAfee Labs, 218 新たに検出された Android スクリーンロックマルウェア 1,, 8, 6, 4, 2, 216 年 217 年 218 年新たに検出された Android スクリーンロックマルウェアの合計 2,, 1,6, 1,2, 8, 4, 216 年 217 年 218 年出典 : McAfee Labs, 218 出典 : McAfee Labs, McAfee Labs 脅威レポート : 218 年 9 月

13 1,6, 1,4, 1,2, 1,, 8, 6, 4, 2, 新たに検出された署名付きの不正なバイナリ 216 年 217 年 218 年 3,, 25,, 2,, 15,, 1,, 5,, 署名付きの不正なバイナリの合計 216 年 217 年 218 年バイナリ ( アプリケーション ) がコンテンツプロバイダーによって署名され検証されると認証局がその情報を含むデジタル証明書を発行します署名付きの不正なバイナリにデジタル証明書を取得すると攻撃が非常に容易になります 1,8, 1,6, 1,4, 1,2, 1,, 8, 6, 4, 2, 新しいエクスプロイトマルウェア出典 : McAfee Labs, 218 2,, 18,, 16,, 14,, 12,, 1,, 8,, 6,, 4,, 2,, エクスプロイトマルウェアの合計出典 : McAfee Labs, 218 エクスプロイトはソフトウェアやハードウェアのバグ脆弱性を利用しますゼロデイ攻撃は成功したエクスプロイトの一例です McAfee の記事 Analyzing Microsoft Office Zero-Day Exploit CVE : Memory Corruption Vulnerability (Microsoft Office を攻撃するゼロデイエクスプロイト ( CVE ) の分析 : メモリー破損の脆弱性 ) をご覧ください 216 年 217 年 218 年 216 年 217 年 218 年出典 : McAfee Labs, 218 出典 : McAfee Labs, McAfee Labs 脅威レポート : 218 年 9 月

14 25, 2, 15, 1, 5, 新しいマクロウイルス 1,8, 1,6, 1,4, 1,2, 1,, 8, 6, 4, 2, マクロウイルスの合計マクロウイルスは Word や Excel などの文書に埋め込まれスパムメールや添付された ZIP ファイルによって配信されます受信者が文書を開いてしまうような魅力的なファイル名を使用していますファイルを開いたときにマクロが有効になっているとウイルスに感染します 216 年 217 年 218 年 216 年 217 年 218 年出典 : McAfee Labs, 218 出典 : McAfee Labs, 218 5,, 4,5, 4,, 3,5, 3,, 新しい Faceliker マルウェア 25,, 2,, Faceliker マルウェアの合計 Faceliker は Facebook のクリックを操作するトロイの木馬で特定のコンテンツでいいねをクリックします詳細については McAfee Labs の記事をご覧ください 2,5, 2,, 15,, 1,5, 1,, 1,, 5, 216 年 217 年 218 年出典 : McAfee Labs, 218 5,, 216 年 217 年 218 年出典 : McAfee Labs, McAfee Labs 脅威レポート : 218 年 9 月

15 8,, 7,, 6,, 5,, 新しい JavaScript マルウェア 7,, 6,, 5,, JavaScript マルウェアの合計 JavaScript と PowerShell の脅威については以前の McAfee Labs 脅威レポートのスクリプトベースのマルウェアの急増をご覧ください 4,, 4,, 3,, 3,, 2,, 2,, 1,, 1,, 216 年 217 年 218 年 216 年 217 年 218 年出典 : McAfee Labs, 218 出典 : McAfee Labs, , 16, 14, 12, 1, 8, 6, 4, 2, 新しい PowerShell マルウェア 216 年 217 年 218 年 7, 6, 5, 4, 3, 2, 1, PowerShell マルウェアの合計 216 年 217 年 218 年出典 : McAfee Labs, 218 出典 : McAfee Labs, McAfee Labs 脅威レポート : 218 年 9 月

16 45, 4, 35, 3, 25, 2, 15, 1, 5, 新しい LNK マルウェア 216 年 217 年 218 年 1,4, 1,2, 1,, 8, 6, 4, 2, LNK マルウェアの合計 216 年 217 年 218 年.lnk ショートカットを使用して不正な PowerShell スクリプトなどのマルウェアをひそかに配布するサイバー犯罪者が増加しています出典 : McAfee Labs, 218 出典 : McAfee Labs, 218 3,, 2,5, 2,, 1,5, 新しいコインマイナーマルウェア 6,, 5,, 4,, 3,, コインマイナーマルウェアの合計コインマイナーマルウェアはシステムを乗っ取りユーザーの許可なく暗号通貨を生成 ( マイニング ) します 218 年に入りコインマイナーの脅威が急激に増大しています 1,, 2,, 5, 1,, 216 年 217 年 218 年 216 年 217 年 218 年出典 : McAfee Labs, 218 出典 : McAfee Labs, McAfee Labs 脅威レポート : 218 年 9 月

17 インシデント公開されたセキュリティインシデント ( 地域別 ) ( 公開されたインシデントの件数 ) 217 年 ~218 年に多かった攻撃手段のトップ 1 ( 報告された侵害数 ) セキュリティインシデントのデータは hackmageddon. com privacyrights.org/databreaches haveibeenpwned. com databreaches.net などの複数の情報源から収集しています第 3 四半期第 4 四半期第 1 四半期第 2 四半期第 3 四半期第 4 四半期第 1 四半期第 2 四半期 216 年 217 年 218 年アフリカアジア太平洋複数の地域アメリカ大陸ヨーロッパ不明マルウェアアカウントハッキングリーク不正アクセス窃盗脆弱性 W-2 詐欺サービス拒否改ざん攻撃経路の多くは不明か公開されていません出典 : McAfee Labs, 218 出典 : McAfee Labs, McAfee Labs 脅威レポート : 218 年 9 月

18 北米 / 南米で最も狙われた業界 ( 報告された侵害数 ) 年 ~218 年に狙われた業界のトップ 1 ( 報告された侵害数 ) オンラインサービステクノロジメディア小売業エンターテイメント金融教育複数公共部門医療暗号通貨小売業テクノロジエンターテイメントメディア複数教育金融公共部門医療 217 年第 3 四半期 217 年第 4 四半期 218 年第 1 四半期 218 年第 2 四半期出典 : McAfee Labs, 218 出典 : McAfee Labs, McAfee Labs 脅威レポート : 218 年 9 月

19 Web とネットワークの脅威 2,, 18,, 16,, 14,, 12,, 1,, 8,, 6,, 4,, 2,, 4,5, 4,, 3,5, 3,, 2,5, 2,, 1,5, 1,, 5, 新しい不審な URL 216 年 217 年 218 年新しい不正ダウンロード URL 出典 : McAfee Labs, 年 217 年 218 年 12,, 1,, 8,, 6,, 4,, 2,, 8, 7, 6, 5, 4, 3, 2, 1, 新しい不正な URL 216 年 217 年 218 年新しいフィッシング詐欺 URL 出典 : McAfee Labs, 年 217 年 218 年 McAfee TrustedSource の Web データベースではフィルタリングポリシーで Web アクセスを制御できるように Web レピュテーションに基づいてカテゴリ別に URL (Web ページ ) が登録されています不審な URL は危険度高または危険度中と評価されたサイトの合計数を表します不正な URL はコンピューターの設定やアクティビティを乗っ取る実行ファイルやトロイの木馬などのコードをドライブバイで配布します不正なダウンロードはユーザーに気づかれずにサイトから有害なコードや迷惑なコードをダウンロードさせる行為ですフィッシング詐欺 URL は詐欺メールから誘導しユーザーのアカウント情報を盗み出す Web サイトです出典 : McAfee Labs, 218 出典 : McAfee Labs, McAfee Labs 脅威レポート : 218 年 9 月

20 指令サーバーに接続するマルウェアの上位 ( 第 2 四半期 ) 1% 1% 1% 1% 2% 3% 4% GoScanSSH Wapomi 5% China Chopper Maazben 52% Ramnit 35% Salty Muieblackcat Mirai その他第 2 四半期の主なスパムボットネット 3% 2%1% 1% 7% Gamut Cutwail Stealrat Kelihos Necurs 86% その他第 2 四半期に最も活発だったのは Gamut スパムボットネットで他のボットネットを大きく上回る結果となりました特に多かったのはカナダ歳入庁を装うフィッシング詐欺メールですが最近ではマネーミュールの募集でよく使われる偽の求人情報に関連するスパムも確認されています出典 : McAfee Labs, 218 出典 : McAfee Labs, 218 ボットネット指令サーバーが最も多く存在する国 ( 第 2 四半期 ) 2% 2% 2% 2% 4% 24% 4% 5% 5% 14% 36% 米国ドイツロシアオランダフランス中国日本ブラジル英国香港その他 9% 13% ネットワーク攻撃の上位 ( 第 2 四半期 ) 4% 3% 3% 3% サービス拒否 13% 52% サーバーメッセージブロックブラウザー総当り攻撃 Web DNS スキャン SSL 出典 : McAfee Labs, 218 出典 : McAfee Labs, McAfee Labs 脅威レポート : 218 年 9 月

21 McAfee について McAfee はデバイスからクラウドまでを保護するサイバーセキュリティ企業です McAfee ではより安全なデジタル世界を構築するため個々の力を結集し企業と個人を保護するソリューションを提供しています他社の製品と連携するソリューションを構築することで真に統合されたサイバーセキュリティ環境を整備し脅威の対策検出修復を連動して行うことができます McAfee の個人向けのソリューションはすべての種類のデバイスに対応しています自宅でも外出先でも安心してデジタルライフを楽しむことができます McAfee では他のセキュリティ企業との連携を強化し力を合わせてサイバー犯罪者と戦っています McAfee Labs と Advanced Threat Research について McAfee Advanced Threat Research が率いる McAfee Labs は世界で最先端の脅威研究機関で脅威情報やサイバーセキュリティに関する最新の情報を提供しています世界各地に配備した数百万台のセンサーからデータを収集しファイル Web メールネットワークなどに対する脅威を研究調査し脆弱性の報告を行っています McAfee Labs と McAfee Advanced Threat Research はリアルタイムで脅威情報重要な分析結果専門的な情報を提供し保護対策の向上とリスクの軽減に貢献しています東京都渋谷区道玄坂渋谷マークシティウエスト 2F McAfee および McAfee のロゴは米国法人 McAfee, LLC または米国またはその他の国の関係会社における登録商標または商標ですその他すべての登録商標および商標はそれぞれの所有者に帰属します Copyright 218 McAfee, LLC. 4116_ 年 9 月 21 McAfee Labs 脅威レポート : 218 年 9 月

McAfee Embedded Control データシート

McAfee Embedded Control データシート McAfee Embedded Control 重要なデバイスのシンプルな防護現在サイバー攻撃が集中しつつあるのは非従来型のエンドポイントでこれらは装着型のフィットネストラッカーからデータの生成や分配をつかさどる重要なコネクテッドセンサーまで多岐にわたりますコネクテッドデバイスの数が増えるにしたがってマルウェアやサイバー攻撃のリスクも増えていきます McAfee Embedded Control