最初の兆候は 5 月 16 日に現れ週末に向けて同じレベルのメッセージ量が観測されています 5 月 20 日月曜日悪意のあるメッセージの量が 60 万通/日から 180 万通/日へ急増しました翌火曜日にはさらに増え少し平衡状態を保った後金曜日にはついにピークを迎え 290 万通/日を記録

Size: px

Start display at page:

Download "最初の兆候は 5 月 16 日に現れ週末に向けて同じレベルのメッセージ量が観測されています 5 月 20 日月曜日悪意のあるメッセージの量が 60 万通/日から 180 万通/日へ急増しました翌火曜日にはさらに増え少し平衡状態を保った後金曜日にはついにピークを迎え 290 万通/日を記録"

いちえいふじた
7 years ago
Views:

1 Proofpoint Threat Report May 2013 本レポートは Proofpoint が注目しお客様および一般企業に対して注意を喚起したいと考えている脅威に関する情報詳細トレンドなどをまとめたものです Threat Models ( 手法 ) 単一の攻撃が悪意のあるメッセージを大量に送信し世界規模で総数が急増 Proofpoint の研究者は 5 月中旬 10 日間にわたる悪意のあるメッセージの急増を観測しました 5 月 13 日月曜日には 11,733 通の悪意のあるメッセージを確認しましたが翌週の火曜日には 2,411,688 通が記録されましたたった 8 日間で 20,000% の増加です下の表は悪意のあるメッセージ量を日次で示した推移です百万 Two Week Trend of Malicious Mail threat protection compliance archiving & governance secure communication THREAT REPORT

2 最初の兆候は 5 月 16 日に現れ週末に向けて同じレベルのメッセージ量が観測されています 5 月 20 日月曜日悪意のあるメッセージの量が 60 万通/日から 180 万通/日へ急増しました翌火曜日にはさらに増え少し平衡状態を保った後金曜日にはついにピークを迎え 290 万通/日を記録しました攻撃は週末にかけて徐々に減りながらも継続しましたメッセージ量は 26 日の日曜日にやっと以前の水準に戻りこの日のメッセージ量は 30,563 通でした以下に悪意のあるメッセージのサンプルを示します Proofpoint が発見した新しい大規模標的型攻撃であるはえ縄型攻撃に特有のメッセージで本文は最小限です一行のテキストとひとつの URL だけでしたこのリンクは以下のサイトに誘導します: [2] 2013 Proofpoint, Inc. Proofpoint is a trademark of Proofpoint, Inc. THREAT REPORT

3 詳しく分析してみるとこのランディングページには URL が埋め込まれていましたが常にこの URL が見つかるわけでは無く一定していないことがわかりました Redkit エクスプロイトキットを埋め込んだサイトへのリダイレクションを有効にしたり無効にしたりしているのですこの攻撃全体のボリュームは非常に大きく 5 月 21 日一日分のボリュームは以下の通りです : メッセージ総数 : 9,337,955 使われた URL: 2,667 使われた送信者アドレス : 3,341 使われた送信 IP: 50,314 送信元 IP の分布を地図で見ると以下の様になります発信源はベラルーシマルウェアに広く門を開いている国です興味深いことにベラルーシは今年の 3 月にスパムランキングのトップ 8 中 5 位に入っていますしかし 2012 年は一度も 13 位よりも上位になったことはありませんでした今年の 4 月には 3 位に浮上しています新規のボットネットや犯罪組織が新たに拠点を築いたようです今月の順位はこのレポートの最後にある国別スパム発信量のランキングをご覧ください Wallmart 攻撃 5 月中旬正確には 5 月 15 日と 16 日に Walmart ブランドを騙った偽の注文メールを使った大規模なはえ縄型攻撃が行われましたこの攻撃は洗練されたソーシャルエンジニアリングの手法を取り入れており URL の使用方法にも特徴があります即ちよく知られたブランドを使い餌として複雑なメールを使っていることそして URL のランダム化技術を使っていることです [3]

4 Walmart は世界的なブランドで小売業として何年もの間首位を維持しており多くの人が名前を知っていますこういった有名ブランドをフィッシングの餌に使うのは目新しいことではありませんいくつか例をあげると CNN Apple そして最近ではアメリカ合衆国内国歳入庁 (IRS) も餌に使われました有名ブランドを使う目的はユーザーが偽メールを信じやすくするためです Walmart と聞くと私たちは有名で安心できる企業と思い警戒を解きます心理学者や攻撃者は学問的な研究や経験から認知と信頼はソーシャルな対話 ( リアルでもバーチャルでも ) において非常に効果的であることを証明しています心理学的な知見に基づき攻撃者は時間をかけて周到に餌を準備します Walmart を使うのは第一歩に過ぎません餌メールは 3D ハイビジョンテレビの注文に関するもので受信者の興味を引かずにはいませんメッセージのサンプルは以下の様なものです [4]

5 メッセージは本物らしく見えますレイアウトや詳細な配置は正確でユーザーは違和感を覚えませんオーダー番号も本物のように見えます実際にはこの番号はメール毎にランダムに生成されておりメッセージの件名と本文に同じ番号が含まれています Walmart のリンクは全て本物の walmart.com サイトにリンクされていますところが Returns Policy と Customer Service だけはエクスプロイトキットをホストしている Web サイトにリンクされています攻撃者は次の 2 種類の反応を予測しているのでしょうひとつは配送日について確認しようもうひとつは頼んだ覚えは無い何かの間違いでは? というものです非常に高度なソーシャルエンジニアリングがこの攻撃に隠されていることがわかりますこのメールの唯一のミスは From: フィールド ( この画面には見えていません ) と本文の左上にある Wallmart という文字で本来 Walmart であるべきところ L が 2 つ続いていますこの小さな間違いがあってもこの攻撃はこれまでで最もクリーンで洗練されたものだということができるでしょう攻撃の巧妙さは URL にも現れていますまず Returns Policy と Customer Service からリンクされている悪意のある URL はランダム化されています一部を以下にリストアップします : [5]

6 全ての URL が Wallmart.html で終わっていますさらに全てのランダム化された URL はさらなる難読化のため 3 つの Web サイトのうちどれかにリダイレクトされています 3 つのサイトはクライアントの Adobe Reader Flash Player Java あるいは Internet Explorer の脆弱性を狙う Blackhole エクスプロイトキットを含んでおりこのうち適切なものがダウンロードされますこの攻撃は高度なソーシャルエンジニアリングが特徴です Walmart という世界的ブランドを使い偽メールは洗練されレイアウトまで精巧に似せられており悪意のある URL の配置も巧妙です URL のランダム化とリダイレクトは最新の攻撃の特徴を浮き立たせています Threat News ( ニュース ) もう一つのツイッターアカウント侵害スピアフィッシングメッセージへの誘導 Onion がハッカー集団 Syrian Electric Army に攻撃されました先月 Associated Press (AP) のツイッターアカウントが乗っ取られたのと同じ手法で Onion のアカウントをコントロール下に置いたのですその後数人の Onion の従業員にスピアフィッシング攻撃を仕掛けましたソーシャルエンジニアリングの技法も模倣しており信頼性の高いサイトのニュース記事へのリンクをレポーターに送っていましたそのサイトは Google Apps のユーザー名とパスワードを必要としておりこれは古くからあるやり口です乗っ取られた Gmail のアカウントはツイッターのアカウントに直接関連づけられていました Onion についての詳細な記事は以下でご覧頂けます : [6]

7 オープンソースの Web サーバーにバックドアの仕掛け Register 誌が報じたところによると今年 4 月オープンソースの Web サーバーとして広く使われている Apache にバックドアが仕掛けられているのをセキュリティ研究者達が見つけたと言うことですこのバックドアは Blackhole エクスプロイトキットをホストする悪意のある Web サイトにリダイレクトさせるものでサーバーログに痕跡を残しませんこれでは Web サーバーの管理者には見つけることができません記事では 400 もの Web サーバーがマルウェアに感染しておりそのうちの 50 サイトは Alexa の人気サイト 10,000 に含まれています記事の詳細は以下で確認することができます : Threat Trends ( トレンド ) Spam Volume Trends ( スパム量のトレンド ) スパム量は悪意のあるまたはその他のタイプのメッセージとは別に集計されます 5 月は月の始めと終わりにスパム量の急増が見られピークは 20 日の週の 1,200 万通でした 2013 年初めからのパターンは月中にピークがあって月末へ向けて減っていくというパターンでしたが 5 月はそれと対照的です百万 Overall Message Volume - May /1 5/6 5/11 5/16 5/21 5/26 5/31 月間スパム量は年間の最多数を更新しました同じレベルのスパム量は 2011 年末に見られたものが最後でそれ以来と言うことになります 4 月から 5 月はスパム量が 11.17% 増加しました 4 ヶ月連続で 2 ケタの増加です前年同月比でも 45.11% の増加となりました [7]

8 百万 Overall Message Volume - May 2012 to May May- 12 Jun-12 Jul-12 Aug-12 Sep-12 Oct-12 Nov-12Dec-12 Jan-13 Feb-13Mar-13 Apr-13 May- 13 Phish Classification Trends ( フィッシング分類のトレンド ) 30 Percentage of Phish - May /1 5/2 5/3 5/4 5/5 5/6 5/7 5/8 5/9 5/10 5/11 5/12 5/13 5/14 5/15 5/16 5/17 5/18 5/19 5/20 5/21 5/22 5/23 5/24 5/25 5/26 5/27 5/28 5/29 5/30 5/31 Proofpoint MLX および Targeted Attack Protection によってフィッシングに分類されたメッセージの割合は一貫して増えています 4 月の 2 つに続いて 5 月には 3 つのピークが見られこの 3 つのピークではフィッシングメールの数が総メッセージ数の 20% に達しました第 4 のピークとなる 5 月日には 20% にわずかに及びませんでした [8]

9 Spam Sources by Country ( スパム発信源 ) スパム発信源として 2013 年 5 月も EU が首位の座を守りましたアメリカは 2 位ですベラルーシは 8 位に後退しましたがまだトップグループにいます台湾がベラルーシに代わって 3 位に浮上しました以下のグラフはスパム発信量上位の国の過去のトレンドを月ごとに示したものです Korea Russia India Brazil EU Ukraine Vietnam UK Taiwan Indonesia USA Romania Belarus Pakistan China Philippines Spain Poland Saudi Arabia Turkey Colombia Peru Mexico Kazakhstan Argentina [9]

10 下の表は 4 月と 5 月のスパム発信量 ( 総数に対しての割合 ) の上位 8 カ国です April 2013 May EU 8.60% 1 EU 6.86% 2 USA 7.60% 2 USA 6.46% 3 Belarus 6.10% 3 Taiwan 5.32% 4 India 5.00% 4 Spain 4.76% 5 Spain 4.00% 5 China 4.10% 6 China 3.70% 6 India 4.00% 7 Taiwan 3.60% 7 Argentina 3.73% 8 Argentina 3.10% 8 Belarus 3.73% Proofpoint, Inc. 892 Ross Drive, Sunnyvale, CA Tel: [10] 2013 Proofpoint, Inc. Proofpoint is a trademark of Proofpoint, Inc. THREAT REPORT

6 Proofpoint Threat Report July 2013 本レポートは Proofpoint が注目しお客様および一般企業に対して注意を喚起したいと考えている脅威に関する情報詳細トレンドなどをまとめたものです Threat Models ( 手法 ) Malvertising

6 Proofpoint Threat Report July 2013 本レポートは Proofpoint が注目しお客様および一般企業に対して注意を喚起したいと考えている脅威に関する情報詳細トレンドなどをまとめたものです Threat Models ( 手法 ) Malvertising Proofpoint Threat Report July 013 本レポートは Proofpoint が注目しお客様および一般企業に対して注意を喚起したいと考えている脅威に関する情報詳細トレンドなどをまとめたものです Threat Models ( 手法 ) Malvertising ( 悪意を持った広告 ) Online Trust Alliance (OTA) は Malvertising