SPECIAL CONTENTS

特集 | ビジネスやITの最新動向/技術についてセキュリティ観点からレポート

クライムウェアの大規模拡散を振り返る

この記事をシェア

マルウェアによるサイバー攻撃にはある種のトレンドがある。2016年は標的型とランサムウェアが特に目立っているが、2015年は大規模拡散型のクライムウェアが猛威をふるった。今後どういった攻撃がトレンドになるのかは全く予測がつかないが、過去の事例を振り返ることは今後の対策につながる。

この記事は、ESETが発行するホワイトペーパー「ESET Trends 2016 – (In)security Everywhere」の第5章「Crimeware, malware and massive campaigns around the world」を翻訳したものである。

クライムウェアの大規模拡散を振り返る

ITセキュリティの世界において、企業も個人ユーザーも最も心配するものの一つに、自社または自分のシステム(PCなど)や情報ネットワークのセキュリティを侵す「不正コード」がある。この心配は、根拠のないものでは全くない。実際、マルウェアとクライムウェアに関するインシデントの事例が毎日世界中で報告されている。レポートおよび検知の数、各研究所により観測される脅威は日増しに着実に増加しており、かつ多様化している。

昨今は、世界各地でサイバー犯罪が増え、ランサムウェアの激増など、攻撃の性質と種類に変化が起き始めている。

ユーロポール(欧州刑事警察機構)によるレポート「インターネット組織犯罪の脅威の評価」(IOCTA)によると、攻撃者の活動は変化してきており、最も重要な変化の一つとして、攻撃者が政府機関などとの対立を辞さなくなってきた点が挙げられる。例えば、ボットネット (=ゾンビコンピューターネットワーク)がランサムウェアの亜種をユーザーのシステムに感染させ、ユーザーからお金をゆすり取ろうとしたり、サイバー犯罪者が物理的な力をも利用して自らの脅威を世間に公開しないようセキュリティ対策ソリューションベンダーに脅しを掛けたりするようになってきている。

マルウェアの世界において「拡散」という言葉は、標的型攻撃APTではなく、ユーザーや企業から情報を盗むために広く利用されているマルウェアのことを意味している。マルウェアはメールや大容量記憶装置を通じて拡散するほか、セキュリティが侵害されたWebサイトの訪問者がさまざまなエクスプロイトへとリダイレクトされることにより拡散するが、昨今はそのマルウェアの大規模攻撃を特定・防止するためのさまざまな課題に直面している。そのため企業・組織もまた、プログラムコードの急速な変化や多数の脅威に立ち向かっていかなければならない。

犯罪活動はさまざまなモノ・サービスを活用する。彼らの悪質な活動はそういったインフラに支えられている。こうしたサイバー犯罪の攻撃体制には、この犯罪活動の幅広い枠組みをカバーする別の役割の人物が存在する。バンキングトロージャンやRAT(リモートアクセスツール)などを伴う、このような活動は、治安当局の一部の捜査の対象となっている。

しかし、サイバー犯罪者はユーザーにたどり着く道を多種多様に探し続けている。そうした事例として、最初はメールを通じて拡散した「リバピー」(Operation Liberpy)、セキュリティを侵害されたWebサイトがマルウェアのインストーラとして機能し、被害者に感染していく「ブートラップ」(Operation Buhtrap)、日本の銀行のオンラインバンキングを攻撃したトロイの木馬「ブロラックス」(Brolux)のような地域的なマルウェア拡散や、「ドライデックス」(Dridex)のように世界的なインパクトを与えた事例などが挙げられる。

もちろん、これらの拡散は個人ユーザーのみならず、中小企業や大企業にまで影響を及ぼすものである点を強調しておきたい。

プライバシーと情報管理の調査会社であるポネモン研究所の最新レポートによると、2015年上半期における世界中のインシデントの被害額(年間換算、1社当たり)は約8億円(770万USドル)であった。一方、このレポートに取り上げられていたある企業では、セキュリティインシデントの結果として最大約70億円(6,500万USドル)もの被害を被っている。

ボットネット、ゾンビ、そして世界的拡散

ボットネット、ゾンビ、そして世界的拡散

数年の間、サイバー犯罪者の世界では、ボットネットとして知られるゾンビ化したコンピューターによるネットワークは、最重要かつ基盤となる構成要素であった。ボットネットはサイバー犯罪の世界において中心的な役割を果たしており、そこではサービスの購入や販売、情報窃取、ランサムウェアの拡散が、ボットネットによって促進されている。すなわち、ボットネット内の数百、数千というコンピューターはスパム送信、DoS攻撃の実施、またはその他の悪意ある行為を実施するために利用されている。

ボットネットの与える影響は非常に深刻な脅威であったため、ボットネットのふるまいをいかにして特定するのかについての研究や、ボットネットとの通信を検知・ブロックできるようなパターンの特定に関する研究がこれまでセキュリティベンダー各社によってなされてきた。さらに、ESETが提供するようなセキュリティソリューションが存在している。ESETが提供するソリューションでは、ボットネットとの通信を認識し、その通信をブロックし、情報漏えいを阻止することができる(=ボットネットプロテクション)。

ESET研究所は2015年、情報窃取に専念するボットネット、リバピーの行動について発表している。それによると、リバピーはラテンアメリカの2,000台以上の機器(96%はベネズエラ)にキーロガーを感染させ、8カ月以上もの期間にわたって被害者の認証情報を盗もうとするものである。「パイソン/リバピー」(Python/Liberpy)として検知されるこの脅威は、最初はメールを媒介し、その後USB機器を通じて拡散する。別のシステムに感染する際には、Windowsのショートカットファイルを活用する。後者の拡散方法は「ボンダット」(Bondat)、「ドークボット」(Dorkbot)や「レムタス」(Remtasu)といったマルウェア・ファミリーと類似しており、これらは全てラテンアメリカで活発な活動を展開している。

拡散によっては、特定の国を標的にすることなく、なるべく広く多くのシステムに感染することを目的としている場合もある。2015年に報告されたものの中でそのケースに該当するものの一つに、「ワスキ」(Waski)がある。ワスキは、バンキングトロージャンをインストールする世界的拡散であり、「バットディル」(Win32/Battdil)の亜種を用いて被害者のシステムに侵入する。そのキャンペーンは、まず、ユーザーにメールを送り、添付の文書を開かせ、そしてユーザーのシステムに感染する。

ワスキをシステムに感染させる、偽メール

メールは不正コードを拡散する主な手段の一つである。2015年だけでなく2014年も、バンキングトロージャンに関する大量のメールキャンペーンが複数報告されている。例えば、不正のマクロを含んだMicrosoft Office文書を通じて感染を広げた「ドライデックス」(Dridex)はその一例であり、そのほかにも、2016年1月中旬に流行し、多くのユーザーの受信箱に到着した「CTBロッカー」(CTB-locker)などのランサムウェアの拡散などが報告されている。

2015年には、こうした犯罪ネットワークを破壊・解体すべく、治安当局、ビジネス界、そして政府の共同作戦が多数展開されていたが、2016年の間もボットネットは世界中の組織とユーザーにとって脅威であり続けている。

新ファミリーと新技術が登場しても目的は変わらない

新ファミリーと新技術が登場しても目的は変わらない

2015年は、不正コードの新ファミリーが台頭し、さらには従来のトロイの木馬に新たな特徴が組み込まれてきたことが報告されてきた。例えば、「コアボット」(CoreBot)には被害者から銀行の取引情報を盗むことができる機能が追加された。不正コードのファミリーは、繰り返し、新たなモジュールやツールを組み込んで発展を続けている。そして、それはサイバー犯罪の世界に欠かせないものである。

マルウェアの新ファミリーが登場するのはボットネットだけではない。少し日付はさかのぼるが、2015年のトレンドレポートでお伝えした通り、「POSマルウェア」には、「ポセイドン」(PoSeidon)をはじめとして、新種が発生している。ポセイドンは小売店を攻撃し、クレジットカードを扱う端末に不正侵入し、その端末のメモリーをスキャンしてクレジットカード情報を収集する。POSマルウェアには、そのほかにも「パンキー」(Punkey)がある。パンキーはポセイドンの登場より遅れて登場し、75の異なるIPアドレスで報告され、クレジットカードから情報を抽出していた。

この種のインシデントは、サイバー犯罪者が大手小売チェーンにアクセスし、小売店にマルウェアを感染させ、何百万枚ものクレジットカードからデータを盗み出そうとしていることを示している。Home DepotやUPS、Targetなどの事例は、この良い例である。

これらのインシデントの発生により、POSマシーンがどのように守られるべきかについての再検討が加速され、その中で26年間も同一のデフォルトパスワードを利用し続けた特定のメーカーの存在など、興味深い事例にスポットライトが当てられることとなった。

またあるときは、サイバー犯罪者はWebサイトのセキュリティ面での欠陥を悪用したり、またはゲームページを偽装して不正コードのコピーをそのページに埋め込むなどしてきた。CMS(コンテンツマネジメントシステム)のプラグインのセキュリティ面での欠陥を通じて、攻撃者は何千ものWebサイトのセキュリティを侵害し、ユーザーに害をなすコンテンツを仕掛けてきたのである。

サイバー犯罪に対処する鍵は協力体制

世界中の治安当局とセキュリティ業界は、協力してサイバー犯罪に対処し、インターネットをより安全な場所に変えていく取り組みを行っている。2015年においては、サイバー犯罪がいかに脅威となってきたかについてユーロポールがアナウンスし、それに続いてボットネットを破壊・解体する共同作戦を実施してきた。

これらのオペレーションのうちの幾つかは世界中で協力体制をとりながら実施され、結果として、例えばドライデックス、リバピー、ラムニット(Ramnit)の解体や、トロイの木馬「ゴジ」(Gozi)の作成者の逮捕に成功してきた。さらには、特定のマルウェア・ファミリーに対する直接的なアクションに加え、治安当局は犯罪フォーラムに属しているサイバー犯罪者を多数逮捕することに成功した。招待制フォーラム「ダークコード」(Darkode)のケースでは、18カ国に在籍する合計62人を各種コンピューター犯罪の容疑で逮捕した。2016年も引き続き、こうした攻撃は増え続けている。

われわれはどこに向かっているのか?

より汎用的なマルウェアについて、最近の最重要イベントを俯瞰すると、標的型攻撃との明確な境界線がなくなってきていることが分かる。サイバー犯罪者は今後もなるべく多くのシステムに感染を広げるべく、各種拡散技術を活用し続ける。そのために、新たに発見された脆弱性を各種のエクスプロイトのツール群に組み込むか、またはマルウェアの拡散を行う。

サイバー犯罪の発展はユーザーを脅かし、マルウェアの拡散は規模を拡大してさまざまな影響を与えている。これらの活動に対峙すべく、セキュリティ専門家、治安当局をはじめ、各種の関係組織の協力が非常に重要である。そしてこれは、サイバー犯罪を阻止し、ユーザーが不安なく安心してインターネットを活用できるようにするために、必要不可欠なものである。

2016年は、マルウェア・ファミリーが、新種であれ、以前に存在しなかった特徴が既存ファミリーに追加されるのであれ、どちらにせよ、さらなる発展を続けている。サイバー犯罪はその脅威を拡大しており、企業は全世界でセキュリティへの投資を4.7%増加させ、治安当局はボットネットの撲滅やサイバー犯罪者の逮捕に注力している。ランサムウェアのような新たなセキュリティ課題も現れており、サイバー犯罪に対峙するためにより積極的かつ組織的な戦線を張る必要性があるだろう。

この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!