2 主な調査結果の概要

Size: px

Start display at page:

Download "2 主な調査結果の概要"

ぜんぺいねぎたや
5 years ago
Views:

1 Microsoft Security Intelligence Report 第 19 巻 2015 年 1 月 ~ 6 月主な調査結果の概要このホワイトペーパーは情報提供のみを目的としており明示か暗黙かまたは制定法かを問わずこれらの情報についてマイクロソフトはいかなる責任も負いませんこのホワイトペーパーは現状有姿のまま提供されますこのドキュメントに記載されている情報や見解 (URL 等のインターネット Web サイトに関する情報を含む ) は将来予告なしに変更することがあります本ソフトウェアの使用から生じる危険はお客様が負担するものとします Copyright 2015 Microsoft Corporation.All rights reserved. 記載されている会社名製品名には各社の商標のものもあります

2 2 主な調査結果の概要

3 脆弱性 CERT/CC が Android アプリにおける SSL の脆弱性に関する研究プロジェクトを実施した 2H14 には業界全体での脆弱性の露見が著しく増加しましたが 1H15 には 34.7% 減の 3,000 件未満となりましたこれは前年の 1H14 ときわめて近い水準です 1 図 1. ソフトウェア業界全体での脆弱性 (CVE) の深刻度複雑さタイプ別マイクロソフト製品および非マイクロソフト製品の露見数の推移 (2H12 1H15) 1 このレポートでは半期および四半期を表すために nhyy または nqyy の形式で略称が使用されています yy は暦年を n は半期または四半期のどの期間にあたるかを示します MICROSOFT SECURITY INTELLIGENCE REPORT 第 19 巻 2015 年 1 月 6 月 3

4 エクスプロイト図 2 では 3Q14 から 2Q15 までに Microsoft マルウェア対策製品が検出したさまざまな種類のエクスプロイトの蔓延状況を遭遇率で示しています遭遇率とは Microsoft のリアルタイムセキュリティ製品を実行しているコンピューターのうちマルウェアに遭遇したコンピューターの割合を示したものです図 2. さまざまな種類のエクスプロイトの遭遇率 (3Q14 ~ 2Q15) * エクスプロイトキット Java および Adobe Flash Player のエクスプロイトの数値は多くの脅威との遭遇を未然にブロックする Internet Explorer の IExtensionValidation の影響を受けます詳細については報告書全文をご参照ください 2 種類以上のエクスプロイトを報告するコンピューターは検出した種類ごとにカウントされます 4 主な調査結果の概要

5 4Q14 1Q15 においてエクスプロイトキットとの遭遇回数は 3 分の 1 以上減少しましたが 15 年下期におけるエクスプロイトキットの遭遇率はついで遭遇率の高いエクスプロイトの 3 倍以上ありいまだ最も遭遇しやすいエクスプロイトとなっています 1H15 においてオペレーティングシステムを標的とするエクスプロイトとの遭遇回数はほぼ安定的に推移しており当該期間では 2 番目に多く遭遇するエクスプロイトとなっています Java のエクスプロイトとの遭遇回数は減少傾向にあり 1H15 において 3 番目に多く遭遇するエクスプロイトとなっていますエクスプロイトのファミリ図 3 では 2015 年上期に最も頻繁に検出されたエクスプロイト関連のマルウェアファミリを示しています図 3. 1H15 に Microsoft のリアルタイムのマルウェア対策製品が最も多く検出しブロックしたエクスプロイトファミリの四半期ごとの遭遇率の傾向 (相対蔓延率に応じて色分けしたもの) エクスプロイト JS/Axpergle CVE (CplLnk) JS/Fiexp Win32/Anogre JS/Neclu 種類エクスプロイトキットオペレーティングシステムエクスプロイトキットエクスプロイトキットエクスプロイトキット 3Q14 4Q14 1Q15 2Q % 0.86% 0.85% 0.64% 0.35% 0.35% 0.30% 0.23% 0.31% 0.30% 0.21% 0.05% 0.60% 0.42% 0.22% 0.04% 0.11% 0.06% 0.03% 0.14% HTML/IframeRef ジェネリック 0.10% 0.09% 0.07% 0.05% HTML/Meadgive エクスプロイトキッ 0.15% 0.08% 0.06% 0.05% MICROSOFT SECURITY INTELLIGENCE REPORT 第 19 巻 2015 年 1 月 6 月 5

6 JS/NeutrinoEK トエクスプロイトキット 0.00% 0.01% 0.07% 0.04% Win32/Sdbby その他 0.00% 0.09% CVE オペレーティングシステム 0.03% 0.04% 0.05% 各脆弱性の合計にはエクスプロイトキットの一部として検出されたエクスプロイトは含まれません 1H15 においてエクスプロイトキットは最も多く遭遇したエクスプロイトの上位 10 種類のうち 6 種類を占めています Java Runtime Environment (JRE) を標的とするエクスプロイトは 2H13 には検出されたエクスプロイト上位 10 種類の 7 種類を占めていましたが 1H15 にはゼロとなりました過去 2 年間で Java および Internet Explorer には数多くの修正が適用されたため攻撃者が Java ベースの脆弱性を利用することが難しくなったことがこの著しい減少を説明する有力な要因と考えられます CVE は 1H15 に最も多く標的とされた個別の脆弱性で Windows Shell に存在する脆弱性です別のマルウェアファミリにも脆弱性をエクスプロイトしようとするものはありますが Win32/CplLnk ファミリの亜種として検出されるのが一般的です攻撃者は不正な形式のショートカットファイルを作成して CVE をエクスプロイトしますこれらのファイルは一般的にソーシャルエンジニアリングなどの方法で配信されショートカットアイコンがエクスプローラーに表示されると脆弱性のあるコンピューターに悪意のあるファイルを強制的にロードさせます 2010 年 8 月 Microsoft ではセキュリティ情報 MS を発行しこの問題に対処しています 6 主な調査結果の概要

7 HTML/IframeRef は特別に作成された HTML インラインフレーム (IFrame) タグのジェネリックな検出で有害なコンテンツを含む Web サイトへリダイレクトします実際のエクスプロイトよりも考えて作られたエクスプロイトダウンローダーでありこれらの有害なページはさまざまな手法を使用してブラウザーやプラグインの脆弱性を悪用します唯一の共通性は攻撃者がインラインフレームを使用してユーザーにエクスプロイトを配布するということですこれらのインラインフレームのいずれかによって配布および検出された実際のエクスプロイトは頻繁に変更される可能性があります CVE は Windows Object Linking and Embedding (OLE) における脆弱性で特定の状況下で Internet Explorer を通じてコンピューターにリモート攻撃を開始する際に使用されます 2014 年 11 月 Microsoft ではセキュリティ情報 MS を発行しこの問題に対処しています MICROSOFT SECURITY INTELLIGENCE REPORT 第 19 巻 2015 年 1 月 ~ 6 月 7

8 マルウェアと迷惑なソフトウェア Microsoft ではマルウェアと迷惑なソフトウェアの蔓延状況を測定するため 2 種類の測定方法を使用しています : 2 遭遇率とは Microsoft のリアルタイムのセキュリティ製品を実行しているコンピューターのうちマルウェアに遭遇したコンピューターの割合を示したものです 3 Microsoft へのデータ提供を許可したユーザーのコンピューターだけが遭遇率のカウント対象となります Computers Cleaned per Mille または CCM は感染率を示す指標であり悪意のあるソフトウェアの削除ツール (MSRT) を実行した一意のコンピューター 1,000 台のうち実際にクリーンにされたコンピューターの台数を示すものですこのツールは Microsoft Update サービスを通じて無料で配信され 200 種類以上の最も広く蔓延したまたは深刻な脅威をコンピューターから削除します MSRT はリアルタイムツールではなくコンピューター内に既に存在している脅威のみを検知削除するため感染を未然に防ぐことはできません図 4 ではこれら 2 種類の測定基準の違いを表示しています 2 Brantall Rotbrow および Filcout ファミリは遭遇率と感染率に含みません詳細については報告書全文をご参照ください 3 マルウェア対策ソフトウェアが検知する前に Web ブラウザーによってブロックされた脅威は遭遇率に含みません具体例として Internet Explorer 11 に実装された IExtensionValidation によってセキュリティソフトウェアの機能が拡充されるとエクスプロイトを含むページがブロックされます ( 詳細については報告書全文をご参照ください ) このためコンピューターのユーザーが遭遇する脅威のすべてが遭遇率に反映されているわけではありません 8 主な調査結果の概要

9 図 4. 2Q14 から 2Q15 までの四半期ごとの世界全体の遭遇率と感染率過去 4 四半期において平均して世界全体のコンピューターの約 17.0% がマルウェアに遭遇しましたそれと同時に MSRT は 1,000 台中約 7.1 台 (0.71%) のコンピューターからマルウェアを削除しました MICROSOFT SECURITY INTELLIGENCE REPORT 第 19 巻 2015 年 1 月 ~ 6 月 9

10 世界全体のマルウェアと迷惑なソフトウェア図 5 では 2Q15 の世界各地での感染率と遭遇率を示しています図 5. 国/地域別遭遇率 (上) と感染率 (下) (2Q15) 10 主な調査結果の概要

11 脅威ファミリ図 6 は 1H15 にリアルタイムの Microsoft マルウェア対策製品が世界全体で最も多く検出したマルウェアと迷惑なソフトウェアファミリに関する傾向を示しています図 6. 多くの有名マルウェアファミリの遭遇率に関する傾向 (1H15) MICROSOFT SECURITY INTELLIGENCE REPORT 第 19 巻 2015 年 1 月 6 月 11

12 Win32/Obfuscator は 1H15 に最も多く遭遇した脅威でありマルウェアの Obfuscator ツールによって変更されたプログラムのジェネリック検知の一種です VBS/Jenxcus の遭遇率は過去 4 四半期で減少傾向にありますが 1H15 でもなお 2 番目に多く遭遇したファミリでます Jenxcus は VBScript でコード化されたワームで感染したコンピューターにバックドアを開くことで攻撃者による遠隔操作が可能となります 2014 年 6 月に Microsoft Digital Crimes Unit がテイクダウンを開始し Jenxcus ボットネットを破壊して以降 Jenxcus の遭遇率は著しく減少しています Win32/KipodToolsCby および Win32/IeEnablerCby はブラウザーの設定改変でユーザー同意ダイアログをバイパスするためユーザーの明示的なアクセス許可がなくてもソフトウェアのインストールが可能になります Microsoft では新しいブラウザーのアドオンをインストールする際などに必要なユーザーの同意をバイパスしようとするものを迷惑なソフトウェアの検出基準に加え 1 月から Microsoft のセキュリティ製品でこういったブラウザーの設定改変の検出を開始しました KipodToolsCby および IeEnablerCby は共に Microsoft のセキュリティ製品によって以前よりも多数のインストールが検出削除されており 1Q15 では高い遭遇率でしたその後これらインストールの削除によって 2Q15 には遭遇率が激減しました Win32/CouponRuc はアドウェアプログラムでユーザーの同意なしにブラウザー拡張をインストールしますユーザーはこのプログラムや他のアドオンを通常の作業で削除したり他のブラウザー設定を変更したりすることができなくなります 12 主な調査結果の概要

13 家庭および企業での脅威ホームユーザーと企業ユーザーの使用パターンは大きく異なる傾向がありますこれらの違いを分析すると攻撃者が企業ユーザーとホームユーザーを標的にするさまざまな方法のほかどの脅威が各環境で成功する可能性が最も高いかについても見識を得ることができます図 7. ドメインベースおよび非ドメインベースコンピューターのマルウェア遭遇率 (3Q14 2Q15) 企業環境では一般に一定数のマルウェアがユーザーのコンピューターにアクセスできないようにする企業ファイアウォールなど多層防御の手段を導入していますしたがって企業コンピューターはコンシューマーコンピューターよりもマルウェアの遭遇率が低い傾向があります図 8 では 1H15 にドメイン参加および非ドメイン参加コンピューターで検出された上位 10 種類のマルウェアファミリを表示しています MICROSOFT SECURITY INTELLIGENCE REPORT 第 19 巻 2015 年 1 月 6 月 13

14 図 8. ドメイン参加コンピューター (上) と非ドメイン参加コンピューター (下) で検出された上位 10 種類のマルウェアと迷惑なソフトウェアの四半期ごとの傾向 (1H15) 14 主な調査結果の概要

15 6 つのファミリ-INF/Autorun JS/Axpergle Win32/CouponRuc Win32/KipodToolsCby VBS/Jenxcus および Win32/SaverExtension-は両方のコンピューターに共通していますこれらはすべてドメイン参加コンピューターよりも非ドメイン参加コンピューターで頻繁に検出されましたドメイン参加コンピューターのみで見られた 4 つのファミリはワームファミリ Win32/Conficker ブラウザーの設定改変 Win32/AlterbookSP ダウンローダーファミリ Win32/Upatre およびトロイの木馬ファミリ Win32/Peals でした Conficker は数年前に破壊されたワームですがドメイン環境ではいまだ遭遇することがあり安易なパスワードが設定されているコンピューターで感染が広がるおそれがあります AlterbookSP はブラウザーアドオンで以前は迷惑なソフトウェアのような動作を見せていましたこのアドオンの最新版は Microsoft の検出基準を満たさないため迷惑なソフトウェアと見なされていません Upatre に感染するとユーザーの同意なしにマルウェアと迷惑なソフトウェアがコンピューターにインストールされますスパムメールにファイルを添付して配布されるのが一般的です MICROSOFT SECURITY INTELLIGENCE REPORT 第 19 巻 2015 年 1 月 ~ 6 月 15

16 セキュリティソフトウェアの使用最近の MSRT のリリースではコンピューター上のリアルタイムのマルウェア対策ソフトウェアの状態に関する詳細を収集し報告しています図 9 は 2H14 から 1H15 までの四半期ごとにリアルタイムのセキュリティソフトウェアによって保護されているまたは保護されていないことを MSRT が検出した世界全体のコンピューターのパーセンテージを示したものです図 9. リアルタイムのセキュリティソフトウェアによって保護されていた世界全体のコンピューターのパーセンテージ (3Q14 2Q15) 図 9 の "常時保護" とは MSRT を実行した際リアルタイムのセキュリティソフトウェアが常に有効かつ最新の状態だったコンピューターを指します "断続的に保護" とは MSRT を実行した際セキュリティソフトウェアが有効でない場合があったコンピューターを指します 16 主な調査結果の概要

17 " 非保護 " とは MSRT を実行した際セキュリティソフトウェアが常に無効だったコンピューターを指します過去 4 四半期のそれぞれにおける毎月の MSRT の実行で世界全体のコンピューターの約 4 分の 3 (71.4% ~ 74.3%) が常時保護されている状態だということがわかりました世界全体のコンピューターのうちセキュリティソフトウェアがまったく作動していなかったものは各四半期で 18.8% ~ 19.3% に上りました断続的に保護されているコンピューターは各四半期で 6.4% ~ 9.9% でした図 10 に示されているようにリアルタイムのセキュリティソフトウェアを実行していないコンピューターは実行しているものと比べてマルウェアの感染リスクが格段に高まります図 10. 保護および非保護のコンピューターの感染率 (3Q14 ~ 2Q15) MICROSOFT SECURITY INTELLIGENCE REPORT 第 19 巻 2015 年 1 月 ~ 6 月 17

18 1H15 においてリアルタイムのセキュリティソフトウェアでまったく保護されなかったコンピューターは常に保護されていたコンピューターと比較してマルウェアに 6 倍感染しやすくなるという結果が出ました 1H15 においてリアルタイムのセキュリティソフトウェアで断続的に保護されていたコンピューターは常に保護されていたコンピューターと比較してマルウェアに 3 倍感染しやすくなるという結果が出ました 18 主な調査結果の概要

悪意のある Web サイトフィッシングサイト Internet Explorer の SmartScreen フィルターによるフィッシングインプレッション情報にはフィッシングサイトの疑いがあると報告したクライアントの IP アドレスに関する匿名化された情報のほか実際のフィッシングサイトの IP アドレスに関する情報が含まれています図 11.

19 悪意のある Web サイトフィッシングサイト Internet Explorer の SmartScreen フィルターによるフィッシングインプレッション情報にはフィッシングサイトの疑いがあると報告したクライアントの IP アドレスに関する匿名化された情報のほか実際のフィッシングサイトの IP アドレスに関する情報が含まれています図 11. 世界各地のインターネットホスト 1,000 台あたりのフィッシングサイト数 (1H15) 1H15 において SmartScreen フィルターは世界全体のインターネットホスト 1,000 台あたり約 5.0 件のフィッシングサイトを検出しましたフィッシングサイトの集中率が平均より高い場所としてブルガリア (1Q15 に 1,000 台のインターネットホストあたり 98.5) リビア (15.6) ベリーズ (14.5) が挙げられますフィッシングサイトの集中率が低い場所に MICROSOFT SECURITY INTELLIGENCE REPORT 第 19 巻 2015 年 1 月 6 月 19

20 は台湾 (1.2) アラブ首長国連邦 (1.4) および韓国 (1.6) が挙げられますマルウェアホスティングサイト SmartScreen フィルターはフィッシングサイトに加えマルウェアをホストすることで知られるサイトから保護します SmartScreen フィルターではファイルや URL のレピュテーションデータや Microsoft マルウェア対策技術を駆使して安全でないコンテンツを配信するかどうかを判断します図 12 は 1H15 におけるマルウェアのホストとフィッシングの疑いがあるサイトを報告したコンピューターの地理的分布を示しています図 12. 世界各地のインターネットホスト 1,000 台あたりのマルウェア配布サイト数 (1H15) 1H15 に SmartScreen フィルターは世界全体のインターネットホスト 1,000 台あたり約 16.7 件のマルウェアホスティングサイトを検出しました 20 主な調査結果の概要マルウェアホスティングサイトの集中率が高い場所にはブラジル (1H15 に 1,000 台のインターネットホストあたり 41.0) コスタリカ (38.8) ロシア (23.9) が挙げられますマルウェアホスティングサイトの集中

21 率が低い場所には台湾 (2.8) サウジアラビア (4.3) およびフィンランド (4.4) が挙げられますドライブバイダウンロードサイトドライブバイダウンロードサイトとは Web ブラウザーやブラウザーアドオンの脆弱性を標的とするエクスプロイトを 1 つ以上ホストしている Web サイトのことです脆弱性のあるコンピューターを使用しているユーザーがマルウェアが仕込まれた Web サイトにアクセスするとファイルなどをダウンロードしなくても閲覧しただけで感染してしまうおそれがあります図 13 は世界の国や地域における 2Q15 末時点でのドライブバイダウンロードの集中率を示しています図 13. 2Q15 末に Bing が指標とした各国/地域における 1,000 URL あたりのドライブバイダウンロードページ数 2015 年下半期を通してドライブバイダウンロード URL が集中的に存在する場所として 2Q15 末に 1,000 URL あたり 8.7 のドライブバイ URL が Bing でトラックされたパナマ 3.0 URL のベトナム 1.7 URL のロシアが挙げられます MICROSOFT SECURITY INTELLIGENCE REPORT 第 19 巻 2015 年 1 月 6 月 21

22 22 主な調査結果の概要本書では完全版レポートのうち主要な知見のみをまとめていますから完全版をダウンロードしてより詳細な分析内容をご確認ください 100 以上の国と地域を対象としたセキュリティデータと分析に加えてブラジルにおける銀行を標的としたマルウェアや Microsoft がトラッキングしている攻撃グループに関するインテリジェンスレポートも特集されています

マイクロソフトセキュリティインテリジェンスレポート第 21 版 2016 年 1 月 6 月主な調査結果の概要このドキュメントは情報提供のみを目的としており明示か暗黙かまたは制定法に定められているかを問わずこのドキュメントの情報についてマイクロソフトはいかなる責任も負いませんこ

マイクロソフトセキュリティインテリジェンスレポート第 21 版 2016 年 1 月 6 月主な調査結果の概要このドキュメントは情報提供のみを目的としており明示か暗黙かまたは制定法に定められているかを問わずこのドキュメントの情報についてマイクロソフトはいかなる責任も負いませんこマイクロソフトセキュリティインテリジェンスレポート第 21 版 2016 年 1 月 6 月主な調査結果の概要このドキュメントは情報提供のみを目的としており明示か暗黙かまたは制定法に定められているかを問わずこのドキュメントの情報についてマイクロソフトはいかなる責任も負いませんこのドキュメントは現状有姿のまま提供されますこのドキュメントに記載されている情報や見解 (URL 等のイン