2016 年脅威トピック 5 生き残りをかけた適者生存競争激化生存競争において環境に適応したものは生き残りそうでないのは淘汰される一言でまとめたダーウィンの進化論であるこれは 2016 年セキュリティ脅威の動向にも当てはまる理論であった今年の脅威はシンプルなものから複雑なものへと進化し

Size: px

Start display at page:

Download "2016 年脅威トピック 5 生き残りをかけた適者生存競争激化生存競争において環境に適応したものは生き残りそうでないのは淘汰される一言でまとめたダーウィンの進化論であるこれは 2016 年セキュリティ脅威の動向にも当てはまる理論であった今年の脅威はシンプルなものから複雑なものへと進化し"

しょうりたけすえ
5 years ago
Views:

1 Vol 年脅威トピック 5

2016 年脅威トピック 5 生き残りをかけた適者生存競争激化生存競争において環境に適応したものは生き残りそうでないのは淘汰される一言でまとめたダーウィンの進化論であるこれは 2016 年セキュリティ脅威の動向にも当てはまる理論であった今年の脅威はシンプルなものから複雑なものへと進化し激しい適者生存の中で淘汰されたりより強力な変種に生まれ変わったりしたこれにより変化する IT

2 2016 年脅威トピック 5 生き残りをかけた適者生存競争激化生存競争において環境に適応したものは生き残りそうでないのは淘汰される一言でまとめたダーウィンの進化論であるこれは 2016 年セキュリティ脅威の動向にも当てはまる理論であった今年の脅威はシンプルなものから複雑なものへと進化し激しい適者生存の中で淘汰されたりより強力な変種に生まれ変わったりしたこれにより変化する IT 環境に適応した新たな脅威の登場は現実味を帯びたものとなった今回のプレスアンではアンラボセキュリティ対応センター (AhnLab Security Emergency-response Center 以下 ASEC) が分析した情報を中心に 2016 年の主要脅威動向をまとめた世界を震撼させたランサムウェア様々なメディアを通じて嫌というほど浸透した今年のセキュリティ用語はやはりランサムウェア (Ransomware) だったこれ以上説明する必要もないほど知れ渡ったランサムウェアはここ一年で爆発的に増加して世界のあちこちで甚大な被害を与えた ASEC に入ったデーター数を見ても年初はインシデント全体の 15% に過ぎなかったが 11 月末には 60% 以上を占めて 4 倍に膨れ上がっていた 2

3 2016 年のランサムウェアは変化と消滅を繰り返し最終的に進化する様相を見せていた 2015 年悪名を馳せたTeslaCrypt の場合今年 5 月突然の活動終了を宣言したまた韓国でも被害が大きかった CryptXXX も7 月以降に突如静かになった一方スパムメールを使って拡散された Locky ボイスで感染を知らせるCERBER は未だアップグレードを続けているそしてファイルのみならず MBR(Master Boot Record) まで暗号化してPCの使用そのものを妨げるランサムウェアも登場した特に2016 年はランサムウェアの作成から配布まで代行するランサムウェアサービス RaaS(Ransomware-as-a-Service) も登場しランサムウェアの世界的な拡散に拍車をかけてローカライズまでサポートする始末だった多数のランサムウェアが英語版で作成されているが特に韓国で感染率が高かったTeslaCrypt やCryptXXX Locky CERBER は各国の言語で表示されていた配布や感染方法もメールの添付ファイルから Drive-by-dow nload Malvertising 社会工学的手法と組み合わせたり RDP(Remote Desktop Protocol) を利用するなど多岐に渡っている他にも教育や研究目的のオープンソース EDA2 Hidden Tear などもランサムウェアに悪用され CryptXXX や Locky PETYA 等の悪名高いランサムウェアを模倣したケースも登場したランサムウェアは短期間で金銭的利益が発生することから今後も増加は必至とみられる境界なき標的型攻撃特定の対象を狙って攻撃する標的型攻撃 (target attack) はかける手間と労力に比べて成功率が高いことから近年顕著な増加を見せている通常標的型攻撃の目的は政治と金銭で区分する 2016 年 2 月米国国土安全保障省 (DHS) の人事情報奪取事件はロシアの仕業と疑われており 8 月に起きた米国国家安全保障局 (NSA) のハッキングツール (Shadow Brokers) 流出もまた国家間の諜報活動と関連があるとされる個人を対象とする標的型攻撃の場合も政治絡みのものが多い主に香港ミャンマーシリア UAE カザフスタン等で与党に対立する政治家や社会運動家を狙った標的型攻撃が発生していた民間企業を狙う標的型攻撃は顧客情報 ( 個人情報 ) 目当てが多い今年もまたビジネスメール詐欺 (Busines s scam) と呼ばれるオーソドックスなメール改ざん手法が頻繁に見られヨーロッパや北米企業に大きな被害を与えた FBI によるとメール改ざん事例は米国だけで計 7,000 件被害額は約 740 万ドルに上る今年韓国で発生した某企業のメールハッキングによる貿易代金 240 億ウォンの被害ケースの場合サウジアラビア国営石油会社のメールアカウントがハッキングされたことが原因であったとされる標的型攻撃は被害者が攻撃されたことを認知するまで長い時間がかかり攻撃者の正体を把握することが困難だったり推測に留まる場合が多く攻撃の検知と対応が難しい特に企業や国家機関のメンバーが攻撃された場合は深刻な被害に繋がる可能性があるため継続的なモニタリングが必要だ IoT マルウェアの先制攻撃モノのインターネット (Internet of Things 以下 IoT) 技術の発達とともに脅威も進化を遂げている IoT デバイスはユーザビリティと消費電力を抑えるために軽量化された Embedded LinuxOSを使用するこのためユーザー端末の OSを管理することは容易ではなく特に零細企業である場合はセキュリティまで気を配ることが難しいためこれはまさに攻撃者の思うツボであった 2016 年 9 月有名なセキュリティブログ KrebsOnSecurity とホスティング会社 OVH に対して記録的な規模の DDOS 攻撃が発生したまた 10 月には米国のインターネットホスティングサービスプロバイダー Dyn でもDDOS 攻撃が発生し Twitter The New York Times Airbnb PayPal Netfl ix SoundCloud など多数のサイトからアクセス障害が発生した一連の攻撃には IoT マルウェア Mirai が使用されたことが確認された 3

4 様々な IoT 端末が攻撃に利用され今年だけで 1 万個以上の IoT 関連マルウェアが発見されているこのような状況からメーカー側もセキュリティに関心を持ち始めているが IoT デバイスの場合一度購入インストールした後に継続的なサポートを保証することが容易ではないインストール後約 5 年ほどの使用を目安に今後も数年は IoT デバイスを利用した攻撃ケースが絶えず発生する可能性があるエクスプロイトキットの適者生存エクスプロイトキット (Exploit Kit 以下 EK) とは脆弱性を利用したマルウェアを大量に配布するツールだがランサムウェアの闇市場が活性化されたことでさらにホットなアイテムになったこの EK を巡っても激しい競争と地殻変動が起きているわけだが上半期ランサムウェア第 1 位の悪名を馳せた Angler EKと Nuclear EKが突如姿を消しその後を継いで暗躍していた Neutrino EKもまた下半期に入って活動が減少した一方で Sundow n EK Magnitude などは活動を続けている EKのマルチレベルリダイレクト (Redirection) 技法は Web サイトの広告サーバーを利用してランサムウェアなどのマルウェアを配布するMalvertising 攻撃に主に利用される多様なスクリプト形式のダウンローダーや EKを利用したランサムウェアの拡散は現在も継続的に発生し Windows のシェルプログラム Powershell を利用したマルウェアも多数発見されたまたEKが活性化したことで Internet Explorer Flash Java 等をはじめ様々な脆弱性を狙った攻撃が一層激しくなった特に文書ファイルに関する EPS(Encapsulated POStScript) 脆弱性と Open Type Font の脆弱性を利用したマルウェアも増加しているまた Windows OSの正常な機能の設計上欠陥を利用したコードインジェクション (injection) 技法の AtomBombing は全 OSバージョンの Windows に影響を与えることが分かったモバイルのルーティングアプリ 2016 年にはAndroid ベースの悪意あるルーティング (Rooting) アプリが多数発見された特に 7 月から 10 月までの3ヶ月間アンラボが収集したルーティングアプリ数は上半期 6ヶ月に比べて約 3 割増加している悪意あるアプリはユーザーに知られないようにこっそりアプリをインストールしたりモバイル対策製品の検知削除を迂回して個人情報を奪取したり不正な広告を表示する等の悪質な行為のため root 権限を使用する上半期には主に広告行為や密かにアプリをインストールする悪意あるアプリタイプがメインだったが下半期に入り金融情報の奪取を目的とするルーティングアプリも発見された中国で製作された悪意あるアプリはほとんど追加のアプリインストールや広告の表示回数による収益狙いのroot 権限取得を試みるものが多かったルーティングを試みる悪意あるアプリはまず Android OSの脆弱性を突いてスマートフォンの権限を獲得する上半期に発見された Godless は Android OSバージョン5.1(Lollipop) 以下で root 権限を奪取するために多数の脆弱性を利用していたこのように悪質なアプリが増加するにつれて Google では Android のセキュリティを強化するために多角的な努力を傾けている 2015 年 Stage frig ht 脆弱性が発見されてからは毎月 Android のセキュリティ更新プログラムを提供する一方で各スマートフォンメーカーのアップデート対応ランキングを公開しているまた今年公開された Android OSバージョン 7.0(Nougat) ではルーティングを使ってシステム改ざんを試みる場合起動そのものを不可能にした問題はスマートフォンメーカーや端末の生産年度によってはセキュリティ更新プログラムが提供されない場合がある点だ旧バージョンの OSを使用しているスマートフォンは特にセキュリティについて注意が必要だ 4

http://jp.ahnlab.com/site/main.do http://global.ahnlab.com/site/main.do http://www.ahnlab.com/kr/site/main.

5 アンラボとは株式会社アンラボは業界をリードする情報セキュリティソリューションの開発会社です 1995 年から弊社では情報セキュリティ分野におけるイノベーターとして最先端技術と高品質のサービスをご提供できるように努力を傾けてまいりました今後もお客様のビジネス継続性をお守りし安心できるIT 環境づくりに貢献しながらセキュリティ業界の先駆者になれるよう邁進してまいりますアンラボはデスクトップおよびサーバー携帯電話オンライントランザクションネットワークアプライアンスなど多岐にわたる総合セキュリティ製品のラインナップを揃えておりますどの製品も世界トップクラスのセキュリティレベルを誇りグローバル向けコンサルタントサービスを含む包括的なセキュリティサービスをお届け致します東京都港区芝 4 丁目 13-2 田町フロントビル 3 階 TEL: ( 代 ) 2016 AhnLab, Inc. All rights reserved.

Vol.71 政府機関を狙う連続ターゲット攻撃の目的は?

2019.11 Vol.71 政府機関を狙う連続ターゲット攻撃の目的は? THREAT ANALYSIS State Targeted Attack 政府機関を狙う連続ターゲット攻撃の目的は? 日韓輸出規制北朝鮮の相次ぐミサイル発射ロシア軍用機の領空侵害など韓国を取り巻く周辺国との対立が深刻化していた 7 月再び韓国政府機関を狙った標的型攻撃が発見されたアンラボがサンプルを分析したところ実はこの攻撃が