2018年6月McAfee Labs脅威レポート

Size: px

Start display at page:

Download "2018年6月McAfee Labs脅威レポート"

しなつはなだて
5 years ago
Views:

1 レポート McAfee Labs 脅威レポート 218年6月主要キャンペーン Gold Dragon によるオリンピックサイバー攻撃の拡大 Lazarus が暗号通貨ユーザーをターゲットにして再興高度なデータ窃盗インプラントの GhostSecret と Bankshot が世界的に蔓延 1 218年6月McAfee Labs脅威レポート

2 McAfee Labs が計測したコインマイナーマルウェアはに 629% 増加しサンプル数は 29 万件以上はじめに 218 年 6 月 McAfee Labs 脅威レポートをご覧いただきありがとうございます本号では McAfee Advanced Threat Research 及び McAfee Labs チームが 218 年に行った重要な調査研究結果及び脅威傾向統計についての情報をハイライトしていますには世界中のユーザー及び企業システムをターゲットにした複雑な国家的脅威キャンペーンに関する新事実が出てきましたこれらのキャンペーンには経済的利益を目的としたサイバー犯罪から政治的転覆さらに監視やスパイ行為まで様々な目的があります前号で暗号通貨ハイジャックについての調査をお伝えしましたが本でもこの犯罪行為が拡大し続けていることがわかりました攻撃者の目的は最小限の労力と最低限の仲介者でできるだけ短い期間に発見されるリスクを最小限にしてこの犯罪行為から金銭的利益を手に入れることですこれらの犯罪者は高度な技術的アジリティとイノベーションを持っています 217 年末にかけて急増した攻撃スキームの多くは検出や緩和策を回避するために創造的かつ複雑な方法で強化されています本レポート執筆者 : Christiaan Beek Taylor Dunton Steve Grobman Mary Karlton Niamh Minihane Chris Palm Eric Peterson Raj Samani Craig Schmugar ReseAnne Sims Dan Sommer Bing Sun 年 6 月 McAfee Labs 脅威レポート

主要キャンペーン Gold Dragon 及び冬季オリンピック初頭 McAfee Advanced Threat Research は韓国の平昌冬季オリンピック関連組織をターゲットにした攻撃について報告しましたこの攻撃は PowerShell インプラントスクリプトが隠された不正な Microsoft Word 添付文書によって実行されましたこのスクリプトは画像ファイルに埋め込まれ

3 主要キャンペーン Gold Dragon 及び冬季オリンピック初頭 McAfee Advanced Threat Research は韓国の平昌冬季オリンピック関連組織をターゲットにした攻撃について報告しましたこの攻撃は PowerShell インプラントスクリプトが隠された不正な Microsoft Word 添付文書によって実行されましたこのスクリプトは画像ファイルに埋め込まれリモートサーバーから実行されました当社のアナリストチームはまた最初のファイルレスインプラントの効果を持続させデータの抜き出しやデータへのアクセスを継続できるようにする複数の二次的インプラントの存在も発見しましたこうして発見されたものの中に韓国語のインプラント (Gold Dragon) がありますこれは二次的ペイロードの役割をするもので攻撃の初日に確認されています Gold Dragon には主要な機能が 2 つあります : 偵察ツールとしての働きをし攻撃チェーンの後続ペイロードをダウンロードし実行しますそして他のインプラントが入手したデータを暗号化しコントロールサーバーに送信します Gold Dragon は特に狡猾なファイルレスマルウェアで検出を回避しマルウェア対策に関するプロセスをチェックするように設計されています Lazarus 及び暗号通貨キャンペーン Lazarus サイバー犯罪リングが再興し新しい高度に洗練されたビットコイン窃盗フィッシングキャンペーン HaoBao を始動しましたこれは国際的金融機関とビットコインユーザーをターゲットにしています. 受信者が不正な添付文書をクリックするとインプラントはビットコインに関するアクティビティをスキャンしインプラントを確立させて継続的にデータ収集を行いますこれらの技術は Lazarus によって実行されたと考えられている他の攻撃に使われた技術に酷似しています年 6 月 McAfee Labs 脅威レポート

4 217 年初頭 Lazarus はリクルーターを装った韓国語及び英語のフィッシングメールキャンペーンを行いました防衛請負業者と金融機関を主なターゲットとしこれらから軍事機密情報または金銭を盗むことを目的としていました 217 年 1 月に終了したと思われるこのキャンペーンは主に不正な添付文書を利用していました Dropbox を通して文書が送られた数件の攻撃を調査したところデータ収集と持続性確立のために 2 つのインプラントを使用していることがわかりましたこれらは通常古いバージョンの Word 文書に埋め込まれ Visual Basic マクロを通して実行されますこれらのアクションが実行されるとマルウェアはコントロールサーバーにデータを送りますこれらの技術戦術手段は米国防衛請負業者米国エネルギーセクター金融機関及び暗号通貨取引所をターゲットにした 217 年のキャンペーンに酷似しています HaoBao 暗号通貨攻撃の今後の報告に気を付けてください GhostSecret/Bankshot McAfee Advanced Threat Researchはさらにヘルスケアやファイナンスからエンターテイメントやテレコミュニケーションまで複数のセクターをターゲットにしたもう1 つのグローバルキャンペーンを発見しました現在活動中の Operation GhostSecret には Hidden Cobra として知られる国際的サイバー犯罪グループが関与していると考えられていますこの非常に複雑なキャンペーンは一連のインプラントを用いて感染したシステムからデータを入手しまた検出を回避して証拠調査をまどわせるという特徴があります当社のアナリストはまた隠れたネットワークの一部であるサーバーインフラストラクチャがインドにありそれらがデータを収集しその他の攻撃を起動させていることを発見しましたこのキャンペーンは Bankshot インプラントを使いトルコの金融機関を最初のターゲットにしました Bankshot は 217 年 12 月に米国国土安全保障省によって初めて報告されたインプラントですこの種の攻撃によくあるようにこれには不正な Word 文書が添付されたフィッシングメールが使用されましたこの Bankshot の新しい変種は埋め込まれた Adobe Flash エクスプロイトを使いインプラントの実行を可能にします GhostSecret の最新の変種は Bankshot インプラント技術を利用するだけでなく 214 年の Sony Pictures への攻撃に使われた Destover マルウェアの要素そして 217 年中旬から検出されずに活動を続けていたこれまでドキュメント化されていなかったインプラントである Proxysvc インプラントの要素も組み込んでいます年 6 月 McAfee Labs 脅威レポート

このようにデータ収集インプラントが組み合わされて利用されているということは Hidden Cobra のような攻撃者は継続的にツールを改良して磨きをかけ能力を向上させているということを示しています GhostSecret は今後も世界中の組織をターゲットにし続けると思われます主要なトレンド : 犯罪者は改善努力を続けている 218 年に McAfee Labs は平均して 1 秒当たり 5

5 このようにデータ収集インプラントが組み合わされて利用されているということは Hidden Cobra のような攻撃者は継続的にツールを改良して磨きをかけ能力を向上させているということを示しています GhostSecret は今後も世界中の組織をターゲットにし続けると思われます主要なトレンド : 犯罪者は改善努力を続けている 218 年に McAfee Labs は平均して 1 秒当たり 5 件の新しいマルウェアサンプルを記録しました ( の 1 秒当たり 8 件から減少 ) 新しいマルウェアの数は前から 31% 減少しましたが 218 年には著しい技術的発展がみられました犯罪者は最新の優れた技術と手段を用いてターゲットの防御の裏をかくために改善をしているのです PowerShell から LNK へ :217 年は PowerShell のような無害な技術の不正利用が急増しました 218 年は PowerShell エクスプロイトが 77% 減少し悪意ある犯罪者は LNK ケーパビリティを利用するようになりました新しい LNK マルウェアはに 59% 増加しています統計 McAfee Global Threat Intelligence ごとに McAfee Global Threat Intelligence (McAfee GTI) クラウドダッシュボードでは実際に起きている攻撃パターンの確認及び分析ができより良い顧客の保護が可能になりますここでは私たちの顧客が経験した攻撃ボリュームについての洞察を提供しています McAfee GTI は平均して毎日 24 万 URL と 7 万ファイルを分析していますには当社の顧客に対して以下の攻撃がありました : 1 日あたり平均 51 億クエリ 1 日あたりの不正ファイルへの対応数はの 4,5 万ファイルからには 7,9 万ファイルに増加 1 日あたりの高リスク URL への対応数はの 3,7 万からには 4,9 万に増加 1 日あたりの高リスク IP アドレスへの対応数はの 2,6 万からには 3,5 万に増加年 6 月 McAfee Labs 脅威レポート

6 Locky から Gandcrab へ :Gandcrab ランサムウェアのアクティビティからもサイバー犯罪者の技術的アジリティを見ることができます全般的に見ると新規ランサムウェアはに 32% 減少しましたが Gandcrab はの最初の 3 週間で 5, システムに感染 Locky ランサムウェアに取って代わっての最多のランサムウェアになっています Gandcrab はビットコインではなく Dash という暗号通貨を通して身代金の受け取りをするなどといった新しい犯行手段を使っています暗号通貨ハイジャック - 感染と収集 : も継続して暗号通貨がサイバー攻撃のランドスケープを形作っていますサイバー犯罪者は暗号通貨ハイジャックの分野へと活動を広げておりシステムを感染させて暗号通貨のマイニング用にシステムをハイジャックしていますコインマイナーマルウェアは驚異的な成長をしておりは約 4 万サンプルだったものがには 29 万サンプルになり 629% 増加しましたこれはつまりサイバー犯罪者はランサムウェアのように被害者に金銭の要求をすることなく金銭的利益を得る手段を使い始めていることを示していますデータ盗難やランサムウェアなどといった既に確立されたサイバー犯罪アクティビティに比べて暗号通貨ハイジャックはよりシンプルで単純かつリスクの少ない方法ですサイバー犯罪者がしなければならないのは何百万ものシステムを感染させそのシステムを使って暗号通貨のマイニングを行ってそこから金銭的利益を得るだけですここには仲介者もおらず詐欺スキームもなくまた支払いを要求される被害者もおらずまた支払いを拒否するために事前にシステムバックアップをしなければならなくなるような被害者もいません当社の最新の調査内容を常にご確認いただくには当社のソーシャルメディアチャネルをご覧ください Twitter では新しいキャンペーンの分析や皆さまの環境をより良く保護するために利用できる新しいツールについて情報提供しています Steve Grobman CTO ( チーフテクノロジーオフィサー ) Raj Samani チーフサイエンティスト兼 McAfee フェロー Advanced Threat Research 年 6 月 McAfee Labs 脅威レポート

7 目次 8 Gold Dragon によるオリンピックサイバー攻撃の拡大 1 Lazarus が暗号通貨ユーザーをターゲットにして再興高度なデータ窃盗インプラントの GhostSecret と Bankshot が世界的に蔓延脅威統計年 6 月 McAfee Labs 脅威レポート

Gold Dragon によるオリンピックサイバー攻撃の拡大韓国の平昌冬季オリンピック関連組織をターゲットにしたファイルレスマルウェアの一部として McAfee Advanced Threat Research のアナリストが最初に発見した Gold Dragon インプラントは攻撃者の間で広まりつつある新種のツールと技術を差し示しています多くのファイルレスマルウェアキャンペーンは

8 Gold Dragon によるオリンピックサイバー攻撃の拡大韓国の平昌冬季オリンピック関連組織をターゲットにしたファイルレスマルウェアの一部として McAfee Advanced Threat Research のアナリストが最初に発見した Gold Dragon インプラントは攻撃者の間で広まりつつある新種のツールと技術を差し示しています多くのファイルレスマルウェアキャンペーンはシステムへの侵入口を作るために PowerShell を活用してメモリ内に攻撃を仕掛けます Gold Dragon が際立っているのはこれがオリンピックへの攻撃用にカスタマイズされており感染したシステム内で持続しまた特にオリンピックのインシデントの約 1 週間後にハッキングされたチリのサーバーへの後続攻撃にも見られたためです Gold Dragon は特に狡猾なファイルレスマルウェアで検出を回避しマルウェア対策ソリューションに関するプロセスをチェックするように設計されています他の多くの攻撃と同様侵入はユーザー経由ですソーシャルエンジニアリングメールがユーザーに送られそこには PowerShell インプラントスクリプトが隠されている不正な Word 文書が添付されています受信者が添付をクリックすると受信者の持っている Word のバージョンでコンテンツを表示するためにプロセスを有効にするか聞かれますマルウェアは Visual Basic マクロを起動してリモートサーバーから PowerShell スクリプトを実行します次にこのスクリプトは画像ファイルをダウンロードし追加の PowerShell スクリプトを画像のピクセルに埋め込みます Gold Dragon はさらなる技術向上によってソースの難読化を進め検出が非常に困難になりました Gold Dragon がコマンドラインに入り込んで攻撃者のコントロールサーバーに接続しターゲットになったマシンを示すシステムレベルのデータを収集した後は特に検出が困難になります韓国語のインプラントである Gold Dragon は最初のファイルレスインプラントの効果を持続させデータの抜き出しやデータへのアクセスを継続できるようにする二次的インプラントですこれには Ghost419 や Brave Prince などといった 217 年中旬から観測されているインプラントに類似する点が多くあります年 6 月 McAfee Labs 脅威レポート

Gold Dragon はオリンピックへの攻撃で複数の役割を担いました : オリンピックへの攻撃の第二段階のペイロード ( と考えられている ) 偵察ツール及びその他のペイロードのダウンローダーとしての機能ターゲットとなったデバイスのプロファイルを確認しデスクトップ上のディレクトリや最近アクセスしたファイルプログラムファイルフォルダー (

9 Gold Dragon はオリンピックへの攻撃で複数の役割を担いました : オリンピックへの攻撃の第二段階のペイロード ( と考えられている ) 偵察ツール及びその他のペイロードのダウンローダーとしての機能ターゲットとなったデバイスのプロファイルを確認しデスクトップ上のディレクトリや最近アクセスしたファイルプログラムファイルフォルダー ( レジストリキーやユーザーのランキーへのバリュー情報 ) などといった情報を収集これらのデータを暗号化しリモートサーバーに送信検出回避のためマルウェア対策やウィルス対策ソリューションに関係するプロセスを検索し終了させるリモートサーバーからその他の攻撃コンポーネントをダウンロードし実行する Gold Dragon はファイルレスマルウェア攻撃に使用される多くのインプラントの 1 つで持続性を持たせて継続的なデータ引き出しを可能にするという利点を攻撃者に提供しています年 6 月 McAfee Labs 脅威レポート

Lazarus が暗号通貨ユーザーをターゲットにして再興 Lazarus として知られる国際的サイバー犯罪グループは 217 年後半短期間活動を休止していましたが 218 年第 1 に高度に洗練されて複雑な暗号通貨スキームである HaoBao を伴って再び出現しました McAfee Labs 脅威レポートの前号ではビットコインの評価が増すにつれ

10 Lazarus が暗号通貨ユーザーをターゲットにして再興 Lazarus として知られる国際的サイバー犯罪グループは 217 年後半短期間活動を休止していましたが 218 年第 1 に高度に洗練されて複雑な暗号通貨スキームである HaoBao を伴って再び出現しました McAfee Labs 脅威レポートの前号ではビットコインの評価が増すにつれサイバー犯罪者はランサムウェアによって暗号通貨で身代金を求めるだけでなく暗号通貨ハイジャックまたは暗号通貨のマイニングにまで活動を広げていくであろうとコメントしました HaoBao キャンペーンが起こる前 McAfee の研究者は Lazarus に関係するスピアフィッシングキャンペーンを発見しましたこれは防衛請負業者及び金融機関の従業員をターゲットにしていましたこのキャンペーンは機密データを入手することまたは資金を盗むことを目的としていましたこのキャンペーンは 217 年 1 月まで続いたとみられています 218 年に McAfee Advanced Threat Research のアナリストは香港にある大規模な国際的銀行のビジネス開発エグゼクティブをリクルートしていると見せかけた新しいキャンペーンを発見しましたこのメールは受信者に感染した Word 文書を Dropbox からダウンロードするよう仕向けます前項で説明した Gold Dragon の攻撃のようにこの文書は古いバージョンの Word 文書に埋め込まれ現在の Word のバージョンでの操作にみせかけようとするもので Visual Basic のマクロから起動させますユーザーがこの操作をするとマルウェアはシステムデータを引き出しコントロールサーバーに送信します図 1: 攻撃の疑似餌の例 : 古いバージョンに見える Microsoft Word 文書年 6 月 McAfee Labs 脅威レポート

11 この種のインプラントは今まで検出されたことはありませんでしたこのキャンペーンは 1 回限りのデータ収集インプラントを使用しており持続性を持たせるために段階のインプラントをダウンロードさせますこのインプラントにはハードコードされたワードの haobao が含まれ Visual Basic マクロを用いてデータ流出メカニズムを始動させますデータ収集の目的は今後の攻撃のためにある特定のシステムスキャンをして特にビットコインに関係したソフトウェアを使用しているターゲットを見つけることです hxxps://dl.dropboxusercontent.com/ content_link/akqqkzsjruxz5vkegc guqne7th3iscmssyvivwzayutzqw DBlsbUb7yBdbW2lHos/file?dl=1 偽のレジュメ cmd.exe /c start /b <temp_dir_path>\.\ls m.exe /haobao コントロールサーバー www[dot]worker.co.kr www[dot]palgong-cc.co.kr 反射型 DLL インジェクション攻撃スタートアップフォルダー : GoogleUpdate.lnk 投下されたおとり文書 <temp_dir_path>\job Description.doc 持続性 AdobeFlash %TEMP%\One Drive.exe klzxlyjelgqupkzp の値でキーを実行データ調整流出収集したデータ : X O R エンコーディング : 34 Base64 XOR されたデータコンピュータ名ユーザ名実行中プロセスビットコインウォレットを探す Software\\Bitcoin-QT 図 2: HaoBao インプラントの軌跡年 6 月 McAfee Labs 脅威レポート

12 McAfee のアナリストは米国国防総省米国エネルギー省金融機関そして暗号通貨取引所をターゲットにした 217 年のキャンペーンに似た技術をもとにこれが Lazarus に関連していると判断しましたアナリストは以下の観測をもとに確信をもってこの結論を出しています : 攻撃者は前回の 217 年の Lazarus キャンペーンで不正文書をホストするために使用した IP アドレスまたはドメインにコンタクトしている最近の不正文書に出てくる著者が Lazarus の 217 年のキャンペーンでも出てきている HaoBao は前回の Lazarus キャンペーンと同じ不正文書の構造と類似の人材募集広告を使用しているこの技術は Lazarus グループの暗号通貨窃盗に対する興味に合致している当社は暗号通貨マイニングキャンペーンはさらに牽引力を増しランサムウェアを追い抜くことさえあり得ると考えています HaoBao のようなキャンペーンはより高い利益が得られ明白なダメージがないために検出がより難しいことからサイバー犯罪者からは非常に有益なものだと考えられていますマルウェアの変異型である CoinMiner はユーザーの実行ファイルに感染して Coinhive JavaScript を HTML ファイルに入れ署名アップデートを止めるためにセキュリティ製品をブロックし被害者のコンピューターをコントロールしてコインのマイニングをしますこの CoinMiner の増加についての詳細は McAfee Labs のポスト寄生コインマイニングが富を築きシステムを破壊するをご覧ください 5,, 新規コインマイナーマルウェア ( ファミリー別 ) 4,, 3,, 2,, 1,, 9 月 1 月 11 月 12 月 1 月 2 月 3 月 4 月 5 月 Dropper-FIY! GenericRXDV-UK! GenericRXEE-VG! PUP-GSJ! PUP-XDR-HE! PUP-XDT-CH! PUP-XEB-VU! Trojan-FOKC! Trojan-FOKH! Trojan-FOZT! Trojan-FOZU! 年 6 月 McAfee Labs 脅威レポート

13 高度なデータ窃盗インプラントの GhostSecret と Bankshot が世界的に蔓延国家が後援するサイバー犯罪グループである Hidden Cobra は世界規模のデータ偵察キャンペーンを最近開始しました Operation GhostSecret によって攻撃を受けなかったセクターは無いとみられます重要なインフラストラクチャ組織金融機関ヘルスケアテレコミュニケーションそしてエンターテイメント産業が Hidden Cobra の攻撃対象ですこのキャンペーンで利用された新しいインプラントは Bankshot や Proxysvc などといった他の攻撃で使用されたものとある程度類似しています留意すべき重要な点はこういったサイバー犯罪者はツールを進化させ続けその複雑性を高め機能を向上させ続けているということです当社の調査チームはこれらのケーパビリティを発見するだけでなくこれらのオペレーションにつながるインドにあるサーバーインフラストラクチャを発見しました Operation GhostSecret の主要目的は将来の大規模な攻撃の準備のために隠れてデータを収集することにあるようです最初に検出されたアクティビティはトルコの金融及び貿易機関をターゲットにしていましたこのキャンペーンで 217 年に最初に現れた Bankshot インプラントが戻ってきたことがわかりましたこの目的は将来窃盗を働くために金融機関からデータを収集することにあったようです Bankshot はパッチ未適用の Adobe Flash のゼロデイ脆弱性を利用していますインプラントは合法的な暗号通貨貸付プラットフォームである Falcon Coin に似せたドメインから配布されていますこのキャンペーンは Word 文書を使ったスピアフィッシングメールを始点としており受信者が文書を開くと Flash ファイルが実行されそこに埋め込まれた Bankshot インプラントが取り込まれますこのバージョンの Bankshot インプラントでは攻撃者はシステムにリモートアクセスできるようになりまた破壊的または不正なアクティビティの痕跡をすべて消すためにファイルやコンテンツを消去できるようになります偵察のための機能としてはコントロールサーバーに転送されるディレクトリ内のファイルのリスト作成からすべての実行中プ図 3: Operation GhostSecret で使用されたファイル消去技術年 6 月 McAfee Labs 脅威レポート

14 ロセスのドメイン及びアカウント名の収集まで様々ですさらに Bankshot はログオンしたユーザーになりすましてプロセスを作成しファイルをゼロで上書きしたうえで再起動時に削除されるようマークしたりプロセスを完全に終了させることができます Hidden Cobra は Operation GhostSecret で過去のインプラントのコーディング構造と機能をある程度引き継いだ新しいクラスのインプラントを作り活動を金融セクター以外にも広げましたこの新しく発見されたより高度なインプラントはコントロールサーバーからの広範なコマンドを受け取ることができるためデータの偵察と引き出しを行うための堅固なフレームワークの役割を果たすことができますこのインプラントはファイルの消去や削除に加え他のインプラントの実行やファイルからのデータ読み取りまたそれ以上の機能も持っていますマルウェア作成者のケーパビリティがさらに洗練されるにつれ Operation GhostSecret などといったキャンペーンは近い将来複数セクターに渡ったさらに大規模でより悪意ある攻撃を先導するであろうと弊社は観察と分析に基づいて確信しています Trojan-Bankshot2:MITRE 社敵対的戦術技術及び周知の事実コントロールサーバーチャネルからのデータ引き出し : カスタムプロトコルを使ってコントロールサーバーチャネルからデータが引き出されますよく使用されるポート : 攻撃者はコントロールサーバーの通信にポート 443 などの一般的なポートを使用しますサービスの実行 : インプラントは被害者のマシン上でサービスとして登録されます自動データ収集 : インプラントは被害者についてのデータを自動的に収集しコントロールサーバーに送信しますローカルシステムからのデータ : マルウェアはローカルシステムを探し出してデータを集めますプロセス検出 : インプラントはシステム上で実行されているプロセスをリストアップできますシステムタイム検出 : データ偵察メソッドの一部としてシステムタイムがコントロールサーバーに送られますファイル削除 : マルウェアは攻撃者が指定したファイルを消去できます図 4: Bankshot インプラントの不正アクセスのサイン年 6 月 McAfee Labs 脅威レポート

15 レポート脅威統計 16 マルウェア 23 インシデント Web及びネットワークでの脅威 218年6月McAfee Labs脅威レポート

16 マルウェア 7,, 6,, 5,, マルウェア ( 新規 ) 8,, 7,, 6,, 5,, マルウェア ( 合計 ) マルウェアのデータは McAfee サンプルデータベースのものですこれには McAfee スパムトラップクローラー及び顧客からの報告そしてその他の業界情報源から集めたものを含みます 4,, 4,, 3,, 3,, 2,, 2,, 1,, 1,, 出典 : McAfee Labs, 218. 出典 : McAfee Labs, 218. Mac マルウェア ( 新規 ) Mac マルウェア ( 合計 ) 35, 7, 3, 6, 25, 5, 2, 4, 15, 3, 1, 2, 5, 1, 出典 : McAfee Labs, 218. 出典 : McAfee Labs, 年 6 月 McAfee Labs 脅威レポート

17 モバイルマルウェア ( 新規 ) モバイルマルウェア ( 合計 ) 3,, 3,, 2,5, 25,, 2,, 2,, 1,5, 15,, 1,, 1,, 5, 5,, 出典 : McAfee Labs, 218. 出典 : McAfee Labs, 218. 地域別モバイルマルウェア感染率 ( 感染を報告したモバイル顧客の割合 ) グローバルモバイルマルウェア感染率 ( 感染を報告したモバイル顧客の割合 ) 14% 12% 2% 1% 15% 8% 1% 6% 5% 4% % アフリカアジアオーストラリア 217 年第年第 3 欧州北米南米 217 年第年第 1 2% % 出典 : McAfee Labs, 218. 出典 : McAfee Labs, 年 6 月 McAfee Labs 脅威レポート

18 2,4, 2,1, ランサムウェア ( 新規 ) 18,, 16,, 14,, ランサムウェア ( 合計 ) 新しい Android スクリーンロックマルウェアが 81% 減少したための新規ランサムウェアが大幅に減少しました 1,8, 12,, 1,5, 1,, 1,2, 8,, 9, 6,, 6, 4,, 3, 2,, 出典 : McAfee Labs, 218. 出典 : McAfee Labs, 218. Android ロックスクリーンマルウェア ( 新規 ) 1,, 8, 6, 4, 2, Android ロックスクリーンマルウェア ( 合計 ) 2,, 1,6, 1,2, 8, 4, 出典 : McAfee Labs, 218. 出典 : McAfee Labs, 年 6 月 McAfee Labs 脅威レポート

19 2,, 1,6, 1,2, 8, 4, 不正署名付きバイナリ ( 新規 ) 25,, 2,, 15,, 1,, 5,, 不正署名付きバイナリ ( 合計 ) 認証局はコンテンツプロバイダーがバイナリ ( アプリケーション ) に署名し認証すると情報を伝達するデジタル証明書を発行しますサイバー犯罪者が不正に署名されたバイナリのデジタル証明書を入手すると攻撃が非常にしやすくなります出典 : McAfee Labs, 218. 出典 : McAfee Labs, ,2, 1,, 8, 6, 4, エクスプロイトマルウェア ( 新規 ) 16,, 14,, 12,, 1,, 8,, 6,, 4,, エクスプロイトマルウェア ( 合計 ) エクスプロイトはソフトウェアとハードウェアのバグや脆弱性を利用しますゼロデイアタックはこの成功例です近年の事例については McAfee Labs のポスト Microsoft Office ゼロデイエクスプロイト CVE の分析 : メモリー破損の脆弱性をご覧ください 2, 2,, 出典 : McAfee Labs, 218. 出典 : McAfee Labs, 年 6 月 McAfee Labs 脅威レポート

20 25, 2, 15, 1, マクロマルウェア ( 新規 ) 1,6, 1,4, 1,2, 1,, 8, 6, 4, マクロマルウェア ( 合計 ) マクロマルウェアは通常スパムメールにWordまたはExcelとして添付されてくるか Zipファイルとして送られてきますクリックしたくなるような偽のファイル名を使って被害者がドキュメントを開くように仕向けマクロが有効化されると感染を引き起こします 5, 2, 出典 : McAfee Labs, 218. 出典 : McAfee Labs, ,8, 4,2, 3,6, Faceliker マルウェア ( 新規 ) 25,, Faceliker マルウェア ( 合計 ) Faceliker Trojan は特定のコンテンツに人為的にいいねをつけるために Facebook を操作します詳細は McAfee Labs のこのポストをご覧ください 3,, 2,, 2,4, 15,, 1,8, 1,2, 1,, 6, 5,, 出典 : McAfee Labs, 218. 出典 : McAfee Labs, 年 6 月 McAfee Labs 脅威レポート

21 7,, 6,, 5,, JavaScript マルウェア ( 新規 ) 6,, 5,, JavaScript マルウェア ( 合計 ) JavaScript 及び PowerShell に関する脅威の詳細については McAfee Labs 脅威レポートの過去の記事スクリプトベースのマルウェアの台頭をご覧ください 4,, 4,, 3,, 3,, 2,, 2,, 1,, 1,, 出典 : McAfee Labs, 218. 出典 : McAfee Labs, 218. PowerShell マルウェア ( 新規 ) PowerShell マルウェア ( 合計 ) 18, 6, 15, 5, 12, 4, 9, 3, 6, 2, 3, 1, 出典 : McAfee Labs, 218. 出典 : McAfee Labs, 年 6 月 McAfee Labs 脅威レポート

22 35, 3, 25, LNK マルウェア ( 新規 ) 1,5, 9, 75, LNK マルウェア ( 合計 ) 不正な PowerShell スクリプトとその他のマルウェアを気付かれないように送るためサイバー犯罪者による.Ink ショートカットの利用が増加しています 2, 6, 15, 45, 1, 3, 5, 15, 出典 : McAfee Labs, 218. 出典 : McAfee Labs, ,, 2,5, 2,, 1,5, 1,, 5, コインマイナーマルウェア ( 新規 ) 3,, 2,5, 2,, 1,5, 1,, 5, コインマイナーマルウェア ( 合計 ) コインマイナーマルウェアはシステムをハイジャックして被害者の同意なくまた被害者に気づかれることなく暗号通貨を作成 ( マイニング ) しています新しいコインマイナーの脅威はに 1,189% 増加しました出典 : McAfee Labs, 218. 出典 : McAfee Labs, 年 6 月 McAfee Labs 脅威レポート

23 インシデント地域別公表済みセキュリティインシデント ( 公表済みインシデント数 ) 年攻撃方法トップ 1 ( 報告されたセキュリティ侵害数 ) セキュリティインシデントデータは hackmageddon.com privacy rights.org/data-breaches haveibeenpwned.com そして databreaches.net を含む複数のソースから集められていますアフリカアジアパシフィック複数領域米国欧州不明マルウェア漏洩アカウント乗っ取り不正アクセス盗難 W-2 詐欺脆弱性サービス拒否フィッシング詐欺攻撃方法の大半は未知であるかまたは公表されていません出典 : McAfee Labs, 218. 出典 : McAfee Labs, 年 6 月 McAfee Labs 脅威レポート

24 北米および南米でのターゲットセクター上位 ( 報告されたセキュリティ侵害数 ) 年ターゲットセクタートップ 1 ( 報告されたセキュリティ侵害数 ) メディアオンラインサービステクノロジーリテールエンターテイメント金融多角教育パブリックヘルスケアホスピタリティエンターテイメントテクノロジーメディアリテール多角金融教育パブリックヘルスケア 217 年第年第年第年第 1 出典 : McAfee Labs, 218. 出典 : McAfee Labs, 年 6 月 McAfee Labs 脅威レポート

25 Web 及びネットワークでの脅威 21,, 18,, 15,, 12,, 9,, 6,, 3,, 4,, 3,5, 3,, 2,5, 不審 URL ( 新規 ) 不正ダウンロード URL ( 新規 ) 出典 : McAfee Labs, ,, 1,, 8,, 6,, 4,, 2,, 8, 7, 6, 5, 不正 URL ( 新規 ) フィッシング URL ( 新規 ) 出典 : McAfee Labs, 218. McAfee TrustedSource Web Database には Web の評判をもとに分類された URL (Web ページ ) が記載されており Web へのアクセスを管理するためのフィルタリングポリシーとともに利用できます不審 URL は高リスクまたは中リスクスコアを持つサイトの合計数です不正 URL はコンピューターの設定またはアクティビティをハイジャックするように設計されたコード ( ドライブバイ実行可能ファイル及び Trojan を含む ) をデプロイします不正ダウンロードはユーザーが時には知らずに有害または迷惑なコードを不注意にダウンロードしてしまうようなサイトから行われますフィッシング URL はユーザーのアカウント情報を盗むために多くの場合偽メールに記載されてくる Web ページです 2,, 4, 1,5, 3, 1,, 2, 5, 1, 出典 : McAfee Labs, 218. 出典 : McAfee Labs, 年 6 月 McAfee Labs 脅威レポート

26 2% 2% 2% 5% コントロールサーバーに接続するトップマルウェア ( ) 3% 35% 8% 43% Wapomi Zegost China Chopper Maazben OnionDuke Ramnit Muieblackcat その他スパムボットネットの普及率 ( ) 1% 1% 22% Necurs Gamut Cutwail その他 77% のボットネットスパムのうち約 4 分の 3 は Necurs ボットネットが占め再び 1 位になりましたロマンス詐欺ランサムウェア及びダウンローダーは非常に多いです Gamut は 217 年から約 5% 減少しましたが依然として 2 位に位置しています出典 : McAfee Labs, 218. 出典 : McAfee Labs, 218. ボットネットコントロールサーバーのホスティング数の多い国 ( ) トップネットワーク攻撃 ( ) 2% 2% 2% 米国 17% ドイツロシア中国 41% オランダ 3% 日本 3% 3% カナダ 4% フランス 4% イギリス 19% イタリアその他 7% 5% 1% 5% 1% 4% 4% サーバーメッセージブロックブラウザー 14% 41% サービス拒否総当たり攻撃 SSL マルウェアドメイン名システムスキャンその他出典 : McAfee Labs, 218. 出典 : McAfee Labs, 年 6 月 McAfee Labs 脅威レポート

27 McAfee について McAfee は世界で最先端の独立したサイバーセキュリティ企業の 1 つです協力から生まれるパワーに触発され世界を安全な場所にするためにビジネスおよびコンシューマー向けのソリューションを創出しています McAfee は他社製品と連携するソリューションを提供することでお客様企業を脅威から保護し脅威の検出や修正を連動して行えるような真に統合されたサイバー環境を構築するサポートをしています McAfee の個人向けのソリューションはすべての種類のデバイスに対応しています自宅でも外出先でも安心してデジタルライフを楽しむことができます McAfee では他のセキュリティ企業との連携を強化し力を合わせてサイバー犯罪者と戦っています McAfee Labs 及び Advanced Threat Research について McAfee Labs は McAfee Advanced Threat Research が主導する世界で最先端の脅威研究機関で脅威情報やサイバーセキュリティの最新情報を提供しています主要な攻撃方法 ( ファイル Web メールネットワーク ) にわたって数百万台のセンサーからデータを収集し McAfee Labs と McAfee Advanced Threat Research はリアルタイムで脅威情報重要な分析結果専門的な情報を提供し保護対策の向上とリスクの軽減に貢献しています東京都渋谷区道玄坂渋谷マークシティウエスト 2F McAfee マカフィーおよび McAfee のロゴは米国法人 McAfee, LLC またはその米国及びそれ以外の国の子会社の商標又は登録商標ですその他の名称やブランドはそれぞれ他の所有者に帰属している可能性があるものです Copyright 218 McAfee, LLC. 454_ 年 6 月年 6 月 McAfee Labs 脅威レポート

McAfee Labs脅威レポート: 2018年9月

McAfee Labs脅威レポート: 2018年9月 McAfee Labs 脅威レポート 218 年 9 月この四半期の主なトピックロックされた Windows 1 デバイスに侵入できる Cortana の脆弱性 (CVE-218-814) 脅威レポート : セキュリティが実装されていないブロックチェーンには参加しない AsiaHitGroup 犯罪グループが再び Google Play のアプリを乗っ取り請求詐欺を行う 1 McAfee Labs