企業経営を脅かすサイバー攻撃の横行 - Trend Micro...2015/02/26 · 2014 年年間セキュリティラウンドアップ総括 2014 年を通じ、企業経営を大きく脅かすサイバー攻撃が横行しています。

TrendLabsSM 2014年年間セキュリティラウンドアップ

企業経営を脅かすサイバー攻撃の横行

目　次

総括 …………………………………………………………………………… 3

日本セキュリティラウンドアップ

正規サイトでも危険、不正広告が 10万人を脅威へ誘導 ………………… 5

日本を狙うネット詐欺が急増：ネット通販の偽サイトが 10万人以上に影響 7

ネットバンキングを狙う攻撃が倍増、被害は法人でも拡大 ……………… 9

顧客情報を奪う攻撃が企業を脅かす ………………………………………… 11

Android不正アプリの脅威拡大、iOS安全神話にも陰りが ……………… 14

2014年を通じ、不正プログラム検出台数でアドウェアがトップ 3を独占 17

グローバルセキュリティラウンドアップ

企業経営を脅かすサイバー攻撃の横行 …………………………………… 19

脅威の主流となった POSマルウェア ………………………………………22

「Heartbleed」と「Shellshock」が覆した安全神話 ……………………26

セキュリティ上の課題に直面するネットバンキング ……………………… 28

活動範囲を広げ、巧妙化するランサムウェア ……………………………… 31

世界規模で拡大し続けるサイバー犯罪者とアンダーグラウンド経済 … 38

脅威概況：減少傾向の中、フィッシングサイトが倍増 ………………… 40

2014年年間セキュリティラウンドアップ

総括2014年を通じ、企業経営を大きく脅かすサイバー攻撃が横行しています。特に、組織内外の

脅威により企業の持つ情報が侵害されることで、重要情報の損失だけでなく、甚大な金銭的被

害や、企業活動に大きく影響する二次被害がもたらされる事例が、過去にない頻度で発生して

います。企業の安定した事業継続のためにも、自ら保有する情報資産を守るために内外の脅威

に対する対策を進めていくことが、これまで以上に求められていくと言えるでしょう。

海外では特に POSシステムへの攻撃により、大量の決済情報が窃取される事件が 17件発覚し

ました。これらの攻撃では公表されただけでも 6000万件以上のクレジットカード情報が漏えい

しています。12月に米国で発生したハッキンググループによる映画製作・配給会社へのサイバー

攻撃事例では 100TBの極秘情報が侵害され、その損失コストは 100万ドルと試算されています。

日本では内部犯行でおよそ 2900万件の個人情報が漏えいし、被害に遭った教育関連企業は対

策費として 260億円の特別損失を計上したことが明らかになっています。その他にも 6月に米

国で発生した IT企業への攻撃ではクラウド上の顧客データがバックアップごと消失し、企業活動

が停止、廃業に追い込まれています。日本でもネット通販サイトを標的とした攻撃の被害から回

復できず、ネット通販が再開できない状態が続いている事例がありました。

その他、一般のインターネット利用者を狙う攻撃では、「名前解決」、「コンテンツ配信」などイ

ンターネットの根幹の仕組みを悪用したり、「不正広告」、「Web検索結果の汚染」、など、正規

サイトやサービスの信頼に便乗したりして、利用者を脅威へ誘導する攻撃手口が過去にない規

模で発生しています。このような攻撃はインターネット利用者の「怪しいサイトにアクセスしなけ

れば大丈夫」というような、これまでのセキュリティ常識を逆手に取った攻撃と言えます。これら

の誘導手口により、利用者は最終的に「フィッシング詐欺」、「通販関連詐欺サイト」、「オンライ

ン銀行詐欺ツール」など、金銭そのものや、金銭に繋がるオンラインサービスの認証情報を詐

取される被害を受けます。実際、2014年における国内のオンライン銀行詐欺ツールの検出台

数は個人、法人共に 2013年のおよそ 2倍、フィッシング詐欺についても 1年を通じて 217万人

以上がフィッシングサイトへ誘導されたことが確認されています。

またこのような全体の脅威傾向の背景として、特に広く公開サーバに影響を与える Linuxやオー

プンソースソフト脆弱性が相次いで発覚しています。特に 4月に発覚した「Heartbleed」、9月

に発覚した「Shellshock」は、企業の公開サーバで広く使用されている Linuxやオープンソー

スソフトウェアにおける脆弱性が深刻な影響をもたらすことを証明した事例と言えます。

日本セキュリティラウンドアップ

信頼を悪用する攻撃者

はじめに

サイバー犯罪者は、金銭的利益を最終目的とし、インターネット上の様々な金銭に繋がる情報を狙い続けており、彼

らの思惑は実際のセキュリティインシデントとして表面化します。

2014年、広く一般のインターネット利用者に大きな被害を与えた攻撃として、直接金銭的利益に繋がる「ネットバン

キングを狙う攻撃」と、フィッシング詐欺や通販関連詐欺サイトを含む「ネット詐欺」が上げられます。そして、これ

らの脅威へインターネット利用者を誘導する手法としては、正規サイトやサービスへの一般利用者の信頼にただ乗り

する攻撃や、インターネットの根幹の仕組みを侵害する攻撃が顕著に見られました。

また、企業においては、過去最大級と言われる内部犯行事例を含め、企業の扱う顧客情報の盗難事例が多く露見し

ています。これらの攻撃では、規模や業種を問わず被害が発覚しています。また同時に、遠隔操作によるネットワー

ク内部の探索など、これまで標的型サイバー攻撃と呼ばれていたような攻撃手法が使われていた事例も見られまし

た。企業の持つ顧客情報を狙う攻撃は、今後一層巧妙化、大規模化していくでしょう。

脅威の全体像として、2014年にトレンドマイクロのクラウド型セキュリティ技術基盤である SPN（Smart

Protection Network）で集計した日本での脅威ブロック数はおよそ 8億件となりました。これは、2013年の 4億

7千万件の 1.7倍となる件数です。

トレンドマイクロ SPNによる日本の脅威ブロック数推移）

註：本稿に掲載されるデータ等の数値は、特に明記されていない場合、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」が出典となります。

2013年 2014年

8億

4億

0

不正プログラム

スパムメール

不正サイト

568,707,330

290,323,900

180,267,281

61,602,151

43,890,856

121,395,508

TREND MICRO | 2014年年間セキュリティラウンドアップ

5 | 日本セキュリティラウンドアップ

正規サイトでも危険、不正広告が 10万人を脅威へ誘導2014年のサイバー攻撃の中で特に顕著だったのは、インターネットの仕組みを利用し、正規サイトやサービスの信頼を逆手にとって

インターネット利用者を脅威へ誘導する手法でした。該当する攻撃手法として 2013年以前は正規Webサイト改ざんがありましたが、

2014年にはさまざまな手法が国内への攻撃で確認されました。特に正規ソフトの更新機能を侵害し不正プログラムを頒布する攻撃や、

CDN（コンテンツデリバリネットワーク） 1のサービス侵害により複数の正規サイトから不正プログラムが配布された攻撃は国内では初め

て確認された手法です。また、ドメイン情報を書き換えインターネットの名前解決の仕組みを悪用して不正サイトへ誘導する「ドメイン

ハイジャック」でも、新聞社やソーシャルメディアなど、複数の国内著名サイトでの被害が明るみになったのは初めてと言えます。

2014年に確認された主な攻撃事例リスト（トレンドマイクロが独自に調査）

2345678910111213

1 CDN（コンテンツデリバリネットワーク）：Webコンテンツをインターネット経由で配信するために最適化されたネットワーク、およびそのサービス。コンテンツ配信網

2 http://blog.trendmicro.co.jp/archives/84213 http://www.gomplayer.jp/player/notice/view.html?intSeq=3004 http://www9.nhk.or.jp/kabun-blog/200/181449.html5 http://www.cdnetworks.co.jp/pressrelease/2272/6 http://blog.trendmicro.co.jp/archives/93357 http://blog.trendmicro.co.jp/archives/97158 https://jp.emeditor.com/general/%e6%9b%b4%e6%96%b0%e3%83%81%e3%82%a7%e3%83%83%e3%82%af%e3%81%ab%e3%82%88

%e3%82%8b%e3%82%a6%e3%82%a3%e3%83%ab%e3%82%b9%e6%84%9f%e6%9f%93%e3%81%ae%e5%8f%af%e8%83%bd%e6%80%a7/

9 http://blog.trendmicro.co.jp/archives/1038910 http://blog.trendmicro.co.jp/archives/983111 http://jprs.jp/tech/security/2014-11-05-unauthorized-update-of-registration-information.html12 http://blog.trendmicro.co.jp/archives/1009413 http://blog.trendmicro.co.jp/archives/10720

3月

2月

1月

4月

5月

6月

7月

8月

9月

10月

11月

12月

正規ソフトの侵害 3

動画再生ソフトの更新機能から不正プログラムが配信。国内の複数企業で感染を確認

1年を通じ35件の改ざん事例が公表、合わせて6万件以上のアクセスに影響（1～12月)

Yahoo!のリスティング広告汚染で不正プログラムへ誘導。主に欧州での被害だったが日本にも影響

CDNの侵害

正規Web改ざん



5

CDNのサービス侵害により、複数の正規サイト上から不正プログラムが配信。9万8千ユーザに影響

Webアドオンの侵害 7

ソーシャルブックマークボタンのシステムが侵され、国内5万7千ユーザを不正プログラムへ誘導

ネット広告の汚染 4

Yahoo!のリスティング広告汚染でフィッシングサイトへの誘導を確認

ソーシャルメディアからの誘導 9

Facebook上でタグ付機能の悪用による誘導が継続的に発生。4日間で2300人を偽サイトへ誘導(8月以降)

Google検索結果から中継サービスを利用した詐欺サイトへ誘導


Youtube上での不正広告で国内5千ユーザが不正プログラムへ誘導

Web検索結果の汚染 10

有名新聞社など複数国内サイトのドメイン情報が書き換えられ、不正プログラムへ誘導（9～10月)

ドメインハイジャック

ネット広告の汚染 13 Googleでのリスティング広告汚染で国内から8万5千件のアクセスを通販詐欺サイトへ誘導

ネット広告の汚染一般サイトでの不正広告表示により、1万7千アクセスを不正プログラムへ誘導

正規ソフトの侵害 8 テキストエディタソフトの更新機能から不正プログラムが配信


11

https://jp.emeditor.com/general/%e6%9b%b4%e6%96%b0%e3%83%81%e3%82%a7%e3%83%83%e3%82%af%e3%81%ab%e3%82%88%e3%82%8b%e3%82%a6%e3%82%a3%e3%83%ab%e3%82%b9%e6%84%9f%e6%9f%93%e3%81%ae%e5%8f%af%e8%83%bd%e6%80%a7/





8月以降 Facebook上で確認されているタグ付け機能の悪用による誘導例

その他の手法もこれまでは小規模な事例が散見されていましたが、数千以上の利用者やアクセスに影響するような規模の事例は確認さ

れていませんでした。中でもネット広告の汚染は 2014年を通じて拡大し、12月に確認されたWeb検索時に検索キーワードに従って表

示されるリスティング広告の汚染では、1か月間に 8万件以上のアクセスが通販関連詐欺サイトへ誘導されるという大規模被害が確認

されています。また、今やWebサイトのアドオン機能として当たり前になってきたソーシャルメディアへの投稿ボタンが侵害された事例

も 8月に発生しましたが、これも国内から 5万件以上のアクセスを誘導する大規模なものでした。

セキュリティエキスパートの見解

サイバー攻撃者はより大きな利益を求め、効果的な攻撃手法を試し続けています。2014年はその攻撃手法が、正規サイトやサービスといったインターネットの信頼を悪用する方向に向いた年と言えます。これは、一般のインターネット利用者が持つ「正規サイト上の表示は安全」というような「セキュリティ常識」を逆手に取ったものであり、主な事例だけを見ても、このような利用者を騙す手法はサイバー犯罪者にとっての大きな成功に繋がっています。過去の様々な事例の検証から、これまで脅威への誘導手法の主流だったスパムメールにおける誘導の成功率を、0.6％前後とトレンドマイクロでは試算しています。これは100万通のスパムメール送信を行った場合、脅威への誘導が成功するのは6000件程度であるということです。これに比べ、この2014年に台頭した複数の攻撃手法は、短期間に数千から数万規模のアクセスを誘導できる手法だったと言えます。特に「マルバタイジング」とも呼ばれる不正広告の手口は今後常套化していくでしょう。

また、インターネットの信頼を悪用するにあたって、DNS（名前解決）やCDN(コンテンツデリバリネットワーク)といったインターネット自体の根幹にあたる仕組みを侵害する手法も目立ちました。特に名前解決のような根本の仕組みを侵害される攻撃は、サイトやサービスの管理者にもわからないところで脅威への誘導が行われるものであり、利用者にとってもアクセスしたURLは正規サイトそのものと同じ表示になるため、二重に気付くことができない攻撃と言えます。

個人利用者にとって、このようなインターネットの信頼を悪用する攻撃の頻発は、「不審なサイトにはアクセスしない」など、これまで言われてきたセキュリティの心掛けを覆されることを意味します。正規サイトやサービスの表示に対し、個人利用者がそのすべての安全性を確認することは、現実的ではありません。セキュリティ対策ソフトの利用なしにインターネットを利用することは、これまで以上に危険な時代になったと言えるでしょう。また、サイトやサービスの運営者にとっては、自身が提供するサイトやサービスの侵害が利用者に被害を与えないよう、提供側でどのような対策が行われているかを把握することが必要です。また、侵害された場合にも早期に気付く対策が重要になっていくでしょう。



日本を狙うネット詐欺が急増：ネット通販の偽サイトが 10万人以上に影響フィッシング詐欺や通販関連の詐欺サイトなど、日本を狙う「ネット詐欺」が 2014年の後半にかけて急増しています。「ネット詐欺」は

インターネット利用者の使用するオンラインサービスの認証情報や、金銭もしくは決済情報を詐取するサイバー犯罪です。

特に 2014年 8月以降は、「偽サイト」、「なりすましECサイト」などと呼ばれるネット通販関連の詐欺サイトへ、一般利用者を誘導する様々

な不審な動きが顕著でした。8月以降から継続的に確認されたソーシャルメディア上でのタグ付けを利用した誘導 14や 10月に確認され

た中継サービスの手法を用いた「なりすましオンラインショッピングモールサイト事例」 15、12月に確認されたWeb検索の際に表示され

る「リスティング広告の汚染」 16などが顕著な事例でした。これらの事例では判明しただけでも、合わせて 10万以上の利用者が通販関

連詐欺サイトに誘導されたことがわかっています。

また、ネット詐欺の中では既に古典的な手法となっている「フィッシング詐欺」に関しても 4月以降に急増していることが SPNのWeb

レピュテーション（WRS）機能の統計で明らかになっています。1年間を通じ、およそ 176万ユーザがフィッシングサイトへ誘導されま

したが、特に第 3四半期は約 61万、第 4四半期は約 75万と急増しており、上半期と下半期の比較ではおよそ 3倍増となっています。

日本におけるフィッシングサイトへのアクセスブロック数推移

14 http://blog.trendmicro.co.jp/archives/1038915 http://blog.trendmicro.co.jp/archives/983116 http://blog.trendmicro.co.jp/archives/10720

80万

40万

0第 1四半期第 2四半期第 3四半期第 4四半期

13万5千

27万4千

61万2千

75万




「ネット詐欺」の急増の中でも、より直接的に金銭を奪える通販関連の詐欺サイトの事例が目立ってきていることは、サイバー犯

罪者の目的がやはり金銭的利益であることを示していると言えるでしょう。通販関連詐欺サイトへの誘導方法としては、不正広告

やWeb検索結果の汚染（ブラックハットSEO）の手口が確認されています。これは、ある商品のネット上での最安値を調べる際

にWeb検索を利用する消費者の行動をサイバー犯罪者はよく知っており、逆手に取ったものと言えます。

Web検索結果の汚染による、通販関連詐欺サイトへの誘導例

特定のキーワードでの検索結果に偽サイトが混入している

また、インターネットのオンラインサービスで使用される認証情報は、金銭に繋がる標的として狙われ続けています。認証情報

の詐取手法として、既に古典的な攻撃手法であるフィッシング詐欺はいまだ有効性が高いことも、2014年を通じたフィッシング

詐欺の増加に表れています。このようなネット詐欺に関しては技術的な検知と同時に、その手口をよく周知して行くことが重要で

しょう。



ネットバンキングを狙う攻撃が倍増、被害は法人でも拡大2013年に拡大した国内のネットバンキングを狙う脅威「オンライン銀行詐欺ツール」は、2014年を通じてその被害を拡大させてきました。

特に、1月に確認された「AIBATOOK」、5月に確認された「VAWTRAK」、12月に確認された「WERDLOD」など、2013年に主流だっ

た「ZBOT」とは異なる不正プログラムも次々に登場し、全体の検出台数では 2013年の約２倍にまで増加しました。

日本における代表的オンライン銀行詐欺ツールの年間検出台数推移

また、2014年には個人利用者だけでなく、法人ネットバンキング

利用者でも被害が拡大しており、法人利用者での検出台数は 1年

間で 8500件と 2013年の約 2倍になっています。警察庁の公表 17によれば法人口座からの不正送金被害は約 10億 8800万円と、

2013年の約 9800万円からおよそ 11倍の急増となっています。

国内法人利用者における代表的オンライン銀行詐欺ツールの検出台数推移

17 http://www.npa.go.jp/cyber/pdf/H270212_banking.pdf

2万

4万

6万

0

2万

2013年 2014年

2万5,200

4万7,700

第 1四半期第 2四半期第 3四半期第 4四半期2013年

第 1四半期第 2四半期第 3四半期第 4四半期2014年

2,700

1,200

2,200

1,200

700

300

1,800

2,800

1000

2000

0

http://about-threats.trendmicro.com/Search.aspx?language=jp&p=AIBATOOK

http://about-threats.trendmicro.com/Search.aspx?language=jp&p=VAWTRAK

http://about-threats.trendmicro.com/Search.aspx?language=jp&p=WERDLOD

http://about-threats.trendmicro.com/Search.aspx?language=jp&p=ZBOT




ネットバンキングを狙う攻撃が、個人、法人の双方で被害拡大した要因として、活動の巧妙化が上げられます。特に、法人顧客

が認証のために使用する電子証明書の窃取 18 、ワンタイムパスワードを突破する自動送金活動（ATS）19 、そしてプロキシ設定の

変更による中間者攻撃（MitM） 20などの活動が、国内ネットバンキングを対象にしたものとして 2014年に入り初めて確認されま

した。特に、中間者攻撃の事例では、不正なルート証明書を感染環境にインストールすることにより、正規の SSL通信が成立し

ているように見せかけるなど、非常に巧妙な手口が用いられていたことも確認されています。

ATS活動の際に利用者に表示される偽画面例（実際の画面を元にしたイメージ）

MitM攻撃のために被害者のプロキシ設定を変更する設定ファイルの記述例

また、攻撃に使用される不正プログラム「オンライン銀行詐欺ツール」の解析からは、認証情報詐取の対象がネットバンキング

だけではなく、クレジットカード、ネット通販、Webメールなどへ拡大していることが明らかになっています。このような認証情報

詐取目的の不正プログラムを使用した攻撃は、直接金銭を奪える対象としてネットバンキングを中心に狙いながら、攻撃手法の

巧妙化と対象の拡大を続け、常套手段化して行くでしょう。また、ビットコインの取引所や POSシステムなど、データの集積場

所を狙う攻撃傾向と併せて考えると、金融機関のシステム自体を侵害するような大規模な攻撃の発生も予想されます。




顧客情報を奪う攻撃が企業を脅かす2014年に確認されたセキュリティインシデントの中でも日本国内で最も影響が大きかったのは、7月に発覚した教育関連企業での内部

犯行による事例 21でしょう。この事例は 1人のエンジニアによる内部犯行でしたが、約 2900万件という国内史上最大規模の情報漏え

い事例として大きな波紋を呼びました。

この事例を象徴として、決済情報やオンラインサービスを使用する際の認証情報などを含む、顧客情報を企業から奪う脅威が顕在化し

ています。特に注目された内部犯行の事例のほか、外部からのサイバー攻撃の事例でも合わせて 100万件以上の顧客情報が盗難被

害に遭っています。これらの事例は企業が持つ顧客情報がサイバー犯罪者にとって、大きな攻撃目的になっていることを示しています。

2014年に公表された主な情報盗難事例（公表データを元にトレンドマイクロが独自に調査）

発覚時期業種・サービス従業員数種別主な被害

1月ネット通販約 250 外部からの攻撃（公開サーバ）

サイト改ざんにより約 1200件のクレジットカード情報が盗難

1月ネット通販約 200 外部からの攻撃（ネットワーク侵入）

外部からの侵入でおよそ 9万 5千件のクレジットカード情報が盗難

2月仮想通貨約 10 外部からの攻撃（不明）外部からの攻撃により4億円以上の仮想通貨が盗難

4月教育約 10 内部犯行元従業員が持ち出した顧客リストから 109人に対しメール送信

4月情報通信約 200 外部からの攻撃（ネットワーク侵入）

外部からの侵入でおよそ 6万 4千件のアカウント情報が盗難

5月サービス業約 2500 外部からの攻撃（公開サーバ）

サイト改ざんにより不審なプログラムが設置されていたのを発見

7月教育約 3000 内部犯行約 2900万件の顧客情報が盗難

7月製造・小売約 500 外部からの攻撃（公開サーバ）

サイト改ざんにより約 600件のクレジットカード情報と6万件の顧客情報が盗難

8月放送局約 100 外部からの攻撃（ネットワーク侵入）

約 2万件の顧客情報が盗難

8月ホビーショップ約 80 外部からの攻撃（公開サーバ）

サイト改ざんにより約 900件のクレジットカード情報が盗難

9月航空約 1万外部からの攻撃（ネットワーク侵入）

約 74万件の顧客情報が盗難

9月通信約 1万内部犯行顧客情報約 1000人分が盗難

9月情報通信約 9000 外部からの攻撃（ネットワーク侵入）

サイト利用者の認証情報 3件が盗難

10月小売約 1000 内部犯行およそ 500人の個人情報を外部業者へ売却

10月人材紹介約 100 内部犯行 1万 7千人分の顧客情報を持ち出し

11月小売約 160 外部からの攻撃（公開サーバ）

およそ 2万 3千件のクレジットカード情報が盗難

21 http://blog.benesse.ne.jp/bh/ja/news/m/2014/09/25/docs/20140925リリース .pdf

http://blog.benesse.ne.jp/bh/ja/news/m/2014/09/25/docs/20140925リリース.pdf



これらの被害事例の中でも、外部からの攻撃事例においては、これまで「標的型サイバー攻撃」で使用されていたような侵入後の遠隔

操作を中心とする攻撃手法が確認されています。

「標的型サイバー攻撃」で使用される攻撃手法の概念図

法人に対して遠隔操作を狙う攻撃者の目的をはっきりと示すデータとして、トレンドマイクロが法人顧客の調査依頼により解析した不正

プログラムのうち、標的型サイバー攻撃手法に欠かせない遠隔操作型不正プログラム（検出名 BKDR）の割合が増加傾向を示してい

ます。特に 2014年第 4四半期には 5割を超え、1年間でおよそ 5倍の増加率となっています。

端末制御情報集約

情報送出

事前準備初期潜入

内　部　活　動

情報探索

攻撃先決定、偵察、初期潜入用不正プログラム準備、C&C

サーバ準備

メール送信、受信者による添付不正プログラム実行

内部活動ツール送出、LAN

内情報探索

C&C通信による遠隔操作の確立、感染環境確認

収集情報の入手

有益情報の収集

内　部　活　動



法人からの解析依頼における遠隔操作型不正プログラム割合推移

50.0%

25.0%

0第3四半期第4四半期2013年

第1四半期第2四半期第3四半期第4四半期2014年

32.4%

16.4%

9.8%

4.2%

29.5%

54.2%


情報盗難の事例に表れている「標的型サイバー攻撃」の手法とは、具体的には、遠隔操作型不正プログラムを使った社内端末

の遠隔操作、遠隔操作により制御を奪った端末を利用した社内ネットワークの探索やデータベースへのアクセス、データベース

から抜き取った情報の集約、社外への送出、といった手法です。このような攻撃手法は、手間と時間がかかる攻撃であり、これ

までは国家的な機密を狙う攻撃でのみ使用されていると思われてきました。しかし、この 2014年に判明した外部からの情報盗

難事例の傾向からは、企業の持つ顧客情報レベルを目的とした攻撃にも「標的型サイバー攻撃」の手法が広がっていることが

見て取れます。また、被害を受けた企業の規模も従業員数 1万人規模から 10人以下の企業が含まれており、攻撃者の狙う顧

客情報を持っている企業であれば、規模や業種を問わず被害を受ける可能性があることを示しています。今後、企業でのセキュ

リティ対策は、このような内部への潜入と遠隔操作を中心とする「気付けない攻撃」への対策を前提に、侵入にいかに早く気付

き、被害を最小限にとどめるか、が重要になるでしょう。



Android不正アプリの脅威拡大、iOS安全神話にも陰りがモバイルの脅威では、Android向け不正アプリがトレンドマイクロの累計で 400万を越え、拡大は加速度を増しています。トレンドマ

イクロ SPNの統計データによれば、2014年の１年間で 200万件以上の不正アプリ検出を日本から確認しました。不正アプリの活動

分類による検出割合では、情報窃取、アドウェア、遠隔操作などの活動を行う不正アプリが多く確認されています。特に、情報窃取や

遠隔操作を行う不正アプリを使用して感染端末から盗んだ情報を元に、端末利用者に対して架空請求や詐欺、恐喝を行うような事例が

日本国内で発生しており、実際に攻撃者が逮捕された事例もありました。

2014年日本で検出されたモバイル向け不正アプリ活動分類割合

注：活動が重複しているものがあるため合計は 100％を超える

2014年に日本で検出されたモバイル向け不正アプリファミリー TOP10と脅威種別

31.49%

16.56%

7.80%

1.76%0.71%

1.90%

43.65%

0

10%

20%

30%

40%

50%

アドウェア遠隔操作 SMS送信ワンクリックウェア

ハッキングツール

その他情報窃取

GALEAK

SMSROOT

ADRD

MINIMOB

EXPLOITSIGN

ARPUSH

FAKEAPP

SMSREG

PLANKTON

EQA

32.0%

16.6%

8.5%

7.1%

3.9%

3.0%

2.9%

2.6%

2.3%

2.0%

情報窃取

遠隔操作

アドウェア

アドウェア

情報窃取/SMS送信

アドウェア

情報窃取

SMS送信

アドウェア

情報窃取



また、これまで不正アプリに対しては安全であると思われてきた iOS端末についても、今後の不正アプリ被害発生を予兆させる事例が

立て続けに確認されています。これまで iOSは、正規アプリストアであるApp Storeを経由しないアプリのインストールは原則行えな

いこと、また、App Storeの不正アプリに対する審査が非常に厳格であることの、2つの条件により不正アプリから守られてきました。

しかし、9月には App Store上で有名アプリにそっくりな偽アプリを公開する手口を確認 22しました。有名アプリの知名度にただ乗り

する偽アプリは Android向け不正アプリでは定番になっている手口ですが、この iOS向け偽アプリでは不正な活動は含まれておらず、

結果的にオリジナルの有名アプリの知名度を利用して説明通りの動作をしないアプリを購入させようとする、いわば詐欺的行為でした。

この偽アプリの開発者は同様の偽アプリを継続して公開していることが確認されており、中には有名パスワード管理ツールの偽アプリな

ども含まれていました。

確認された偽アプリとオリジナルの比較、App Store上での表示

オリジナル偽アプリ

アプリ名 Akinator the Genie Akinator Genie

発行者 Elokence Jennifer Mendelson

アプリ id id484090401 id878859876

偽アプリは誤解を誘うため、オリジナルとそっくりなアイコンやキャラクターを使用

22 http://blog.trendmicro.co.jp/archives/10058



また、11月に確認された「WireLurker」 23と「Masque Attack」 24の２つの事例では、企業などが自社アプリを展開する際に用いられる

「プロビジョニングプロファイル」の仕組みを用いることで、App Store以外から不正アプリをインストールさせることを実現しています。

続いて 12月には、App Storeの審査から外れた音楽アプリが、「プロビジョニングプロファイル」の仕組みを用いて、一般のインター

ネット上で配信されていた事例も確認 25されました。これらの事例は iOSの正規機能である「プロビジョニングプロファイル」の悪用

によりApp Store以外のインターネットサイトから不正アプリを広く一般の利用者に配信する攻撃が可能であることを証明したものと言

えます。

App Store以外から「プロビジョニングプロファイル」によりアプリをインストールさせる表示例

この画面で「インストール」を選択するだけで Jailbreak されていない iOS端末にアプリがインストールされる




2014年を通じ、不正プログラム検出台数でアドウェアがトップ 3を独占2014年を通じて、アドウェアが検出台数のトップを占めています。これはアドウェアによるアフィリエイト広告への誘導やクリックといっ

た手法に加え、特定ソフトのインストール数により収入を得るPPI（ペイパーインストール）などの手法が定着し、サイバー犯罪者にとっ

ては少額ながらも比較的安全に安定した収入を得るための手法として常套化してきたためと考えられます。

2014年　日本国内で検出された不正プログラム Top3（総計およびセグメント別）（トレンドマイクロ SPNによる）

総計 Top3 検出台数アドウェア以外検出台数

ADW_INSTALLCORE 66万 4千 JS_SENSAVE.A 6万 8千

ADW_SENSAVE 19万 7千 CRCK_GETCPRM 5万

ADW_OPENCANDY 17万 5千 JS_NEVAR.A 2万 7千

大企業検出台数

ADW_INSTALLCORE 2万 9,200

ADW_OPENCANDY 7,400

ADW_DEALPLY 4,800

アドウェア以外

WORM_DOWNAD.AD 3,400

WORM_DOWNAD.FUF 1,100

JS_AGENT.APS 1,000

中小・中堅企業検出台数

ADW_INSTALLCORE 2万 5,500

ADW_ OPENCANDY 4,300

ADW_DEALPLY 3,900


CRCK_KEYGEN 1,100

JS_NEVAR.A 800

JS_AGENT.APS 800

個人ユーザ検出台数

ADW_INSTALLCORE 60万

ADW_OPENCANDY 29万 3千

ADW_DEALPLY 13万 8千


JS_NEVAR.A 5万 3千

CRCK_GETCPRM 5万 1千

CRCK_KEYGEN 2万 5千

グローバルセキュリティラウンドアップ

企業経営を脅かすサイバー攻撃の横行

はじめに

2014年は、個人や企業を問わず、破壊的なサイバー攻撃が行われた年だったといえます。膨大な量の機密情報が

攻撃者の手に渡り、甚大な金銭的被害はもちろん、取り返しの付かない風評被害ももたらされました。こうした状況

は、いつ誰がサイバー攻撃の新たな被害者になってもおかしくない深刻さを物語っています。

大規模な情報漏えいにより、さまざまな企業が、金銭的に法的に、そして業務遂行や生産性の面で大きな損害を

被りました。これらの象徴の一つとして、業界を問わず多くの企業で発生した PoSマルウェアによる PoSシステ

ムからの情報漏えいインシデントは、2014年に急増しました。大規模な情報漏えいだけでなく、「Heartbleed」や

「Shellshock」など、これまで安全と見なされ広く利用されてきたオープンソースソフトウェアの脆弱性を狙った攻

撃や、「Fake ID」や「Same Origin Policy（SOP）」など、モバイルの端末やプラットフォームでの脆弱性を狙った

攻撃も 2014年特筆すべき点です。また、「エメンタル作戦」を企てたサイバー犯罪者の攻撃で示されたとおり、安

全と見なされていた二段階認証も、脅威に対して脆弱なことが浮き彫りにされました。

これらを踏まえると、今後は標的型であるかどうかを問わず、あらゆる対象が致命的な攻撃にさらされる可能性があ

るといえるでしょう。攻撃者は、利益を得ることだけを動機に対象を見定めているからです。今日のサイバー犯罪に

おけるアンダーグラウンド経済の繁栄からも明らかなとおり、窃取した情報は「宝の山」と見なされており、これか

らもサイバー犯罪者は、個人情報や機密情報という「金脈」を狙って見境のない攻撃をしかけてくるでしょう。

脅威に直面してからの事後対応はもはや不十分で、インシデントが発生する前のリスク評価結果に対する事前対応が

不可欠になってきています。攻撃に素早く対処して被害を最小に食い止めるためにも、企業や組織は、サイバーセキュ

リティへの投資を再考する必要があります。業界や規模を問わず、どの企業もこうしたサイバー攻撃の標的になり得

る現在、必要に応じて迅速な対処を可能にするセキュリティプランの策定は極めて重要だといえます。

註：本稿に掲載されるデータ等の数値は、特に明記されていない場合、トレンドマイクロのクラウド型セキュリティ基

盤「Trend Micro Smart Protection Network」が出典となります。

　

何が最も重要であるかを見極め、適切な技術を駆使し、ユーザへの教育を怠らない ――

セキュリティ対策とは、これらすべてをしっかりと実行することに尽きます。企業の中枢となる情報を守ることは、IT技術者だけでなく、企業に属するすべての人々の仕事だからです。

—Raimund GenesトレンドマイクロCTO


19 |グローバルセキュリティラウンドアップ

企業経営を脅かすサイバー攻撃の横行2014年は、大規模な情報漏えい事例がこれまでにないペースで立て続けに発生しました。「ソニー・ピクチャーズエンタテインメント」の漏えい事例は、自社ネットワークのセキュリティを侵害された企業が被る損害を如実に物語っているといえます。

2014年は、大規模な情報漏えい事例が立て続けに報じられた年となりました。 1 小売業、銀行、公共施設、その他、数多くの企業や

組織が、数百万に及ぶ顧客情報を失い、攻撃者の手に渡るという被害に遭い、これらの企業は業界を問わず、金銭的損失だけでなく、

ブランドイメージでもダメージを被りました。2 例えば 2014年第 2四半期、「Code Spaces」は、顧客データベースとバックアップ情

報が攻撃者に削除された結果、業務停止に追い込まれ 3 、「P.F. Chang’s」は、被害後、クレジットカード決済に手動インプリンター

の併用を余儀なくされました。「Home Depot」は、被害の結果、米国とカナダで 44件の民事訴訟に直面しました。米国以外では、

日本の教育・出版・通信販売事業の大手「ベネッセコーポレーション」が大規模な情報漏えい被害に遭いました。この事件では、業務

委託先元社員により約 2,900万件もの顧客情報が持ち出され、名簿業者へ売却されています。同社は、顧客へ謝罪し、補償と「ベネッ

セこども基金」の設立に 200億円を拠出しました。4

2014年に確認されたサイバー攻撃の中でも、「ソニー・ピクチャーズエンタテインメント」へのハッキング事例は、情報漏えいがいか

に莫大な損失を企業にもたらすかを如実に示すケースだといえます。同社は、「Guardian of Peace（GOP）」と名乗るグループにセ

キュリティを侵害された後、自社ネットワークを一時的に閉鎖せざるを得ない状況に陥りました。5 窃取された機密情報は、100テラ

バイトに及んだとも言われ 6、同社は被害額を公表していませんが、米国シンクタンク「戦略国際問題研究所（Center for Strategic

and International Studies, CSIS）」のサイバーセキュリティ専門家によると、その額は 1億米ドルに達するといいます。7 8 9 「Sony」

傘下の他の企業も、同様に大規模攻撃の被害に見舞われました。10 一方では、100万米ドルの被害を防ぐためにセキュリティ技術に 1

千万米ドルの投資は行うことはないと述べたとされる、2007年当時の同社役員のコメントも記事で引用されました。11

1 https://app.trendmicro.co.jp/doc_dl/select.asp?type=1&cid=120&cm_sp=Corp-_-threat_wp-_-prediction_20142 http://www.itgovernance.co.uk/blog/list-of-the-hacks-and-breaches-in-2014/3 http://about-threats.trendmicro.com/us/security-roundup/2014/2Q/turning-the-tables-on-cyber-attacks/4 http://www.benesse.co.jp/customer/ 5 http://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/the-hack-of-sony-pictures-what-you-need-to-know6 http://www.foxbusiness.com/technology/2014/12/18/revelations-from-sony-hack/7 http://fortune.com/2014/12/09/cyber-attack-could-cost-sony-studio-as-much-as-100-million/8 http://www.washingtonpost.com/blogs/the-switch/wp/2014/12/05/why-its-so-hard-to-calculate-the-cost-of-the-sony-pictures-hack/9 http://www.thestar.com/business/2014/12/18/sony_hacker_attack_will_cost_company_tens_of_millions_of_dollars.html10 http://gizmodo.com/why-sony-keeps-getting-hacked-166725923311 http://blog.trendmicro.com/reality-sony-pictures-breach/

IT管理者は、セキュリティ対策において異常を検知する際、自分たちは何を探しているのかをしっかりと理解しておく必要があり

ます。多くの攻撃は、痕跡をほとんど残さないように設計されているため、セキュリティ侵害の可能性を示す指標が何なのかを

把握しておくことは非常に重要になります。

—Ziv ChangCybersafety Solutionsディレクター

攻撃者は、標的にした企業の IT環境やセキュリティ対策の詳細を理解するため、事前調査に多くの時間を費やします。企業の

IT管理者は、こうした攻撃者の傾向を理解した上で、セキュリティ対策を講じる必要があります。すべてのネットワークは異なっ

ており、それぞれに応じて別々の環境設定を施す必要があります。IT管理者は、こうしたネットワークの事情も十分に理解し、

自社の環境に適したセキュリティ対策を講じるべきです。

–Spencer Hsieh標的型攻撃スレットリサーチャー



「ソニー・ピクチャーズエンタテインメント」のハッキング事例を追及する多くの記事は、いずれも決定的な結論に至ってはいません。

米国鉄道大手「アムトラック」と同様、金銭的、個人的理由による内部犯行を指摘する記事もあります。12 13 他方、ハクティビズム（政治・

社会的主張の元のハッキング活動）を理由にあげる記事もあります。動機はどうであれ、どの企業もこうした被害に遭う可能性があり、

大企業はこれら過去の事例を教訓に自社ネットワークを不正侵入から守る必要性を痛感したといえます。 14

同社のセキュリティ対策がどのように突破されたか、その真相はまだ明らかではありませんが、米国連邦捜査局（FBI）が「ソニー・ピ

クチャーズエンタテインメントへのハッキング事件」としてその破壊的な不正プログラムへの注意を促す中、関連したとされる不正プ

ログラム「WIPALL」をトレンドマイクロが解析した限りでは、その手法は「STUXNET」クラスの不正プログラムに比べてあまり洗練

されたものでないことが判明しています。15 16 17むろん、この攻撃に関してまだ公開されていない別のコンポーネントや手法が存在する

可能性も否定できません。

主要な不正プログラムの動作比較

WIPALL STUXNET BlackPOS ZeuS/ZBOT MBR Wipers

コンポーネント

複数のバックドア機能、不正な SYSファイル

ワーム機能、LINKファイル、ルートキット機能

主要なトロイの木馬型不正プログラム複数、情報送出機能

トロイの木馬型スパイウェア、環境設定ファイル

主要なトロイの木馬型不正プログラムのドロッパー

侵入方法・自動実行の手法

不明 USBを介して侵入、LINKファイルによりワームのコピーを実行

4つの脆弱性のエクスプロイト

ソーシャルエンジニアリング、レジストリキー

スピアフィッシング・メールの利用、ハングルのワードプロセッサの脆弱性を利用

隠ぺい手法コンピュータ内リアルタイムスキャナーの無効化

エクスプロイトとルートキットコンポーネントを使用

検出を逃れるため、セキュリティ対策に偽装

亜種により異なる正規のWindowsサービスに偽装

情報探索

事前に定義された情報に基づき、ネットワーク共有ファイルに侵入

クライアントおよびサーバのコンポーネントをインストールし、ネットワークコマンドを実行

不明該当なしルートアクセス用のアカウント向けに保存された SSH情報をチェックする

情報窃取

不明 WinCCサーバのプロジェクトデータベースや情報を、攻撃者から閲覧・変更することが可能になる

POSシステムに保存された顧客のクレジットカード情報を窃取

銀行のログインページのユーザ入力情報を窃取するため、キー操作情報を記録

機密情報のリーク（韓国の原発プラントを標的にした事例の場合）

目的システムの固定・リモートドライブ内のファイルを削除

PLCｓ（制御装置）の制御

支払い情報の窃盗銀行関連の個人情報の窃取

妨害行為

12 http://blog.trendmicro.co.jp/archives/964013 http://blog.trendmicro.co.jp/archives/1054914 http://www.cnet.com/uk/news/sony-hacked-again-this-time-the-playstation-store/15 http://blog.trendmicro.co.jp/archives/1052716 http://blog.trendmicro.co.jp/archives/1064117 http://blog.trendmicro.co.jp/archives/10484



情報漏えいは、さまざまな弱点を突かれることで発生します。「Code Spaces」の事例では、攻撃者が社員の個人情報を入手し、それ

を悪用することで社内ネットワークへ侵入したとされています。この場合、より強固なパスワード管理ポリシーを実施し、社員へのセキュ

リティ教育を徹底することで被害を防げた可能性があります。「Home Depot」の事例では、関連業者から窃取した機密情報が悪用さ

れたことにより侵害を受けたと報告されています。この事例では、関連業者全体を含む規模でのセキュリティ対策実践の重要性が示唆

されます。18 「ソニー・ピクチャーズエンタテインメント」のケースでは、アクセスされたファイル、削除されたファイル、ネットワーク

外に送信されたファイル等の状況を把握できるネットワーク上のセキュリティ対策が導入されていれば、早期の侵入検知に有効であった

可能性があります。19 この場合、事前にベースラインを設定しておくことが重要です。ネットワークの環境設定やシステム構成を事前

に把握しておくことで、不審な動きや情報探索の兆候などを察知することが可能になります。20

　

18 http://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/utilizing-island-hopping-in-targeted-attacks19 http://blog.trendmicro.com/trendlabs-security-intelligence/the-easy-to-miss-basics-of-network-defense/20 http://blog.trendmicro.co.jp/archives/9679



脅威の主流となった POSマルウェア2014年、POSマルウェアによる攻撃は脅威の主流となりました。この攻撃により、複数の大手企業が数百万の顧客情報を失い、その情報が攻撃者の手に渡りました。

さまざまな業界の大手企業が POSマルウェアの攻撃に見舞われ、サイバー犯罪者は、数百万に及ぶ顧客情報を手にしました。POS

システムを狙った攻撃の標的は、もはや小売業だけではなく、ホテル、レストラン、駐車場など、同システムが使用されるあらゆる業

種に及んでいます。21 22 23 24 25 26 27 28 29 30 31 32 33 34 35

トレンドマイクロのデータからも、2014年を通して PoSマルウェアの感染数が増加していることが分かります。また、多数の国々に感

染が及んでいることも確認できます。

21 http://pressroom.target.com/news/target-provides-update-on-data-breach-and-financial-performance22 http://pressroom.target.com/news/target-provides-update-on-data-breach-and-financial-performance23 http://www.whitelodging.com/about/payment-card-issues24 https://sallybeautyholdings.com/questions-and-answers.aspx25 http://www.michaels.com/payment-card-notice-ceo-letter/payment-card-notice-CEO.html26 http://pfchangs.com/security/27 http://www.goodwill.org/press-releases/goodwill-provides-update-on-data-security-issue/28 https://corporate.homedepot.com/MediaCenter/Documents/Press%20Release.pdf29 https://www.jimmyjohns.com/datasecurityincident/index.html30 http://www.kmart.com/en_us/dap/statement1010140.html31 http://www.dairyqueen.com/us-en/datasecurityincident/?localechange=1&32 http://www.spplus.com/sp-acts-block-payment-card-security-incident/33 http://krebsonsecurity.com/2014/12/banks-credit-card-breach-at-bebe-stores/34 http://www.pnf.com/security-update/35 http://press.chick-fil-a.com/Pressroom/LatestNews/PressDetail/databreach

POSマルウェアの検出台数：2014年

200

100

0第１四半期第2四半期第3四半期第4四半期

73

124

156

138



POSマルウェア検出台数の国別分布：2014年

POSマルウェアファミリの分布（2013年と2014年の比較）

　

POSマルウェアは、2013年と比較して、2014年に亜種の数が増えています。また、新たに登場した亜種では、古い亜種を駆逐する

ことになっても敢えて技術的に高度な機能を追加させるなど、POSマルウェア作成が積極的に取り組まれる状況も伺えます。

米国カナダイギリスオーストラリアフィリピン台湾フランスイタリアブラジル日本その他

29.77%

6.71%

6.50%

5.87%

5.66%

3.98%

3.14%

3.14%

2.94%

2.31%

29.98%

BlackPOS

SORAYA

ALINA

Rdasrv

JACKPOS

Vskimmer

BACKOFF

BrutPOS

Chewbacca

DECBAL

50.73%

14.88%

9.64%

7.34%

5.87%

4.40%

2.94%

1.68%

1.47%

1.05%

ALINARdasrvVSkimmer

55.39%43.63%

0.98%

2013年

2014年



2014年に発生した POSマルウェア関連情報漏えい事例（一部被害規模を含む）

サイバー犯罪のアンダーグラウンド市場でも、地域を問わず、窃取した情報の販売は実入りの良いビジネスと見なされており、実際、

POSマルウェアに特化した開発キットも、アンダーグラウンド市場に出回っています。こうした傾向も、POSマルウェアによる攻撃が

成功していることの要因だといえます。36 37

36 http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-pos-ram-scraper-malware.pdf37 http://blog.trendmicro.co.jp/archives/9902

12月2013年

2014年

2015年

2月

1月

3月

4月

5月

6月

7月

9月

8月

10月

11月

12月

1月

小売業4千万人分の顧客の支払いカード情報

小売業約260万人分の顧客の支払いカード情報

小売業335店舗からの顧客の支払いカード情報

小売業支払いカード情報

レストラン216店舗からの顧客の支払いカード情報

ホテルセキュリティコードと期限日を含む支払いカードの番号

小売業35万人分の顧客の支払いカード情報。その

内、9200人分が不正利用

美容最大2万5千人分の顧客のCVV番号（セキュリティコード）を含む2種類の支払いカー

ドデータ漏えいの形跡

レストラン支払いカード情報

宅配業51地域の顧客に関する支払いカード情報

レストラン395店舗からの顧客の支払いカード情報

駐車場17の駐車施設からの顧客の支払いカード情報

駐車場支払いカード情報

レストラン支払いカード情報

小売業5600万人分の顧客の支払いカード情報および、5300万人分の顧客のメールアドレス

小売業支払いカード情報

小売業116万人分の顧客の支払いカード情報

小売業クレジットカード情報

駐車場支払いカード情報



各 POSマルウェアの発生時期と関連性

POSマルウェアでサイバー犯罪者が勢いづく一方、企業は、この攻撃による被害に悩まされ続けました。自社ネットワークのセキュリティ

が侵害された企業では、システムから脅威を排除するため、そして何よりも顧客への信頼を回復するため、数百万ドルのコストを費や

す状況に陥りました。米国では、個人および企業の双方が POSマルウェアの脅威に悩まされ、カナダや英国も例外ではありませんで

した。なお、米国の場合、国内の EMV（ICチップ付クレジットカードの統一規格）技術の導入率が低いこともあり、特にクレジットカー

ド詐欺のリスクにさらされています。

こうした問題に対処するため、「American Express」や、「Visa」、「MasterCard」、「Discover」といった大手金融機関は、販売者

側が EMVの支払い端末を導入していない場合、窃取された情報による詐欺取引で発生した負債は販売者側に負わせるという措置も開

始しています。各種改善案と共に、「Chip-and-PIN」や「EMVカード」のセキュリティ対策の導入が強く推奨されています。これらの

対策は、正しく実施された場合、クレジットカード詐欺による金銭の不正取得を著しく困難にさせることが可能となります。

これまで、POSシステムのような特定の目的に特化した専用システムは、容易にサイバー攻撃の標的にはされないと思われてきました。

しかし今回、これらのシステムへの攻撃の成功が多大な利益をサイバー犯罪者へもたらすことが証明されました。このことは、産業用

制御システム（ICS）や SCADAの端末など、同様の専用システムが新たな標的になり得る可能性を示唆したともいえます。38394041

小売業やホテル、レストラン、その他のサービス業界等、日々の業務を POSシステムに大きく依存している場合、セキュリティ対策では、

攻撃者が利用しそうな侵入経路を入念に検査することが必要です。その際、「使用プログラムを POSシステム関連に限定」するアプリ

ケーションコントロールによるセキュリティの実装だけではなく、ネットワーク全体を俯瞰して侵入可能な経路を精査することも求められ

ます。そのようなアドバンスドネットワークセキュリティによる脅威検知と最新の知見を組み合わせた技術が侵入検知の精度を高めるこ

とに役立つでしょう。

　

38 http://about.americanexpress.com/news/pr/2012/emv_roadmap.aspx39 http://usa.visa.com/download/merchants/bulletin-us-participation-liability-shift-080911.pdf40 http://www.mastercard.us/mchip-emv.html41 http://blog.discovernetwork.com/stories/news/discover-announces-next-steps-for-emv-deployment-across-the-globe/

2009年

2011年

2010年

2012年

2013年

2014年

2015年

Alina BlackPOS

Dexter VSkimmer

Soraya ChewBacca

LusyPOS Decebal

JackPOS BlackPOS 2

Backoff BrutPOS

RawPOS Rdasrv

NewPoSThings GetMyPass



「Heartbleed」と「Shellshock」が覆した安全神話2014年は、これまで安全と見なされてきたソフトウェアやプラットフォームの「安全神話」が覆された年ともいえます。

2014年の主なゼロデイ攻撃の発生数は前年より減少していますが、その深刻度は依然として変わっていません。42広く使用されてい

るソフトウェアやプラットフォームに脆弱性が存在する場合、それらが悪用される状況は変わらず、未防備のまま攻撃の標的にされてい

ます。

2014年に発生した主なゼロデイ脆弱性


1月

3月

2月

4月

5月

6月

7月

8月

9月

10月

11月

12月

CVE-2014-0810

三四郎

CVE-2014-0498

Adobe Flash Player

CVE-2014-0502

Adobe Flash Player

CVE-2014-1776

Internet Explorer

CVE-2014-4113

Windows

CVE-2014-4148

Windows

CVE-2014-3566

SSL 3.0

CVE-2014-0322

Internet Explorer

CVE-2014-0499

Adobe Flash Player

CVE-2014-1761

Microsoft Word

CVE-2014-0515

Adobe Flash Player

CVE-2014-4114

Windows

CVE-2014-6352

Windows

CVE-2014-7247

一太郎

どれだけ多くのゼロデイ攻撃が発生しようとも、「Heartbleed」や「Shellshock」のような攻撃が確認されたとしても、「SQL

インジェクション」や「クロスサイトスクリプティング（XSS）」や「不完全認証」といった基本的な脆弱性攻撃への注意は決し

て怠るべきではありません。多くの場合、大規模な情報漏えいにはこういった脆弱性攻撃が駆使されているからです。もちろん、

データに対するアクセス制御、暗号化の適用、脆弱性への迅速な対応を可能にするセキュリティ製品の導入も、脆弱性利用を

阻止する上で、決して怠ってはならない基本かつ最善の対処法です。

–Pawan KingerDeep Security Labsディレクター



頻繁に脆弱性が悪用されるアプリケーションが注目される中、これまで安全と思われてきたアプリケーションでは、脆弱性へのパッチ対

応が数年間も放置されるような状況が続いていました。しかし、今回2件の大規模な脆弱性の悪用事例を契機に、この種のアプリケーショ

ンも大きく注目されることとなりました。43 「Heartbleed」と「Shellshock」の事例は、（Window®や Adobe®や Java ™等）商

業用アプリケーションと異なり、安全と思われてきた「オープンソースのアプリケーション」の脆弱性を狙う脅威が明らかにされたから

です。44 一連の事例は、Linuxを含む多くの UNIX上のシステムに影響を及ぼすため、Webサーバの 67.7%が UNIXを使用してい

る点が懸念されました。各種の研究機関や大学など、超高速のコンピュータ処理を必要とする機関で使用されているスーパーコンピュー

タの大部分でも、Linuxが使用されています。4546

Linuxがサーバのプラットフォームで広く使用されている事実は、「Heartbleed」や「Shellshock」といった事例により膨大な量のデー

タがリスクにさらされることを意味します。これらのサーバが攻撃を受けた場合、サーバの所有者は甚大な被害に見舞われます。脆弱

性が存在するシステムへの修正適用に莫大なコストを費やさざるを得ず、修正作業に伴うシステムの不稼働時間も、大きな金銭的損失

にもつながります。

オープンソースの取り組みは、多くの利用者による厳しいレビューを実現し、品質管理を保証する上でソフトウェア開発の利点とも見な

されてきました。しかし今回の事例を契機に、影響を受けた企業も個人も、ソフトウェアベンダによる修正パッチ公開までの仮想パッチ

対応など、さらなる脆弱性対策の検討が求められています。

ShellshockとHeartbleedの脆弱性露見までの期間の比較

43 http://blog.trendmicro.co.jp/archives/995744 http://blog.trendmicro.co.jp/archives/892745 http://w3techs.com/technologies/overview/operating_system/all46 http://www.top500.org/statistics/overtime/

2009

2004

1999

1994

1989

2014

攻撃日未特定

深刻度：警告深刻度：危険

脆弱性が放置された日数：9,241日

脆弱性が放置された日数：828日

最初の攻撃から修正パッチが公開されるまでの日数：1日

最初の攻撃から修正パッチが公開されるまでの日数：未特定

BASH(SHELLSHOCK)

OPENSSL(HEARTBLEED)

1989年6月8日

2014年9月26日

2014年9月25日

脆弱性露見までの期間25年強

脆弱性露見までの期間2年強

2011年12月31日

2014年4月7日

脆弱性の存在が確認された日

修正パッチが公開された日

攻撃の確認された日



セキュリティ上の課題に直面するネットバンキングネットバンキングを狙う詐欺や不正アプリが横行する中、「エメンタル作戦」は、重要取引のセキュリティを保証する上で、二段階認証さえも、もはや十分ではないことを示しました。

ネットバンキング、モバイルバンキングは、技術面での先進国を中心に世界的な広がりを見せています。一方、その取引の安全性を

担保するセキュリティ対策は後手に回っています。47 多段階認証は、まだ広く普及したとはいえない状況で、48 利用者側も、金融関

連取引の安全性を保証することの意味をしっかりと理解しなければならない段階といえます。利用者は、巧妙に仕組まれたソーシャル

エンジニアリングの手口に騙され、アカウント番号や、ユーザ名、パスワード等の重要情報を不用意に提供してしまう被害に遭っています。

ネットバンキングは便利さをもたらしましたが、そこにはリスクも伴います。実際、サイバー犯罪者は、利用者から情報を窃取するため、

さまざまな工夫を凝らしています。トレンドマイクロで「エメンタル作戦」と名づけたサイバー犯罪活動もその一例です。トレンドマイ

クロの調査では、二段階認証さえも攻撃者により突破されることが明らかになりました。49

ネットバンキングを狙う詐欺ツールは、2014年の第 4四半期、毎月のように増加し続けました。中でも「ZBOT」といった悪名高い不

正プログラムファミリは、今なおサイバー犯罪者に数百万ドルの儲けをもたらしています。50 これらの不正プログラムは、ネットバン

キングのセキュリティ対策向上に対抗しながら、2014年を通して絶えず巧妙化が図られてきました。この傾向は、個人や企業を問わず、

ネットバンキングやモバイルバンキングの利用者がサイバー犯罪者にとって大きな儲けをもたらす恰好の標的である限り、今後も変わ

ることはないでしょう。

オンライン銀行詐欺ツールの検出台数（2014年）

47 http://mefminute.com/2014/01/24/mobile-payments-driving-global-m-commerce-adoption/48 http://www.rand.org/pubs/technical_reports/TR937.html49 http://blog.trendmicro.co.jp/archives/966950 http://krebsonsecurity.com/2014/06/operation-tovar-targets-gameover-zeus-botnet-cryptolocker-scourge/

15万

7万5千

0第1四半期第2四半期第3四半期第4四半期

10万2千11万2千

14万5千13万7千

攻撃者が利用した不正プログラムは、単一セッショントー

クン（認証キー）によるセキュリティ対策の不十分さを明

らかにしました。銀行やオンラインの決済を行う組織は、

顧客を偽装モバイルアプリへ誘導される危険にさらされ

ています。多段階のトランザクション認証番号（TANs）

や、Photo-TANs（写真を介した読み取り）、物理的なカー

ドリーダーを併用するなど、万全を期したセキュリティ対

策の導入を検討すべきでしょう。

—David Sancho, Feike Hacquebord, and Rainer Link

シニアスレットリサーチャー



ネットバンキングの利用者が注意すべきは、コンピュータ上の脅威だけではありません。モバイル向け不正アプリや高リスクアプリの

脅威からも自身を守る必要があります。モバイルバンキング導入の増加に伴い、利用者の個人情報窃取だけでなく、利用者のアカウ

ントから不正な引き落としをする偽バンキングアプリも増加しています。実際、Android ™端末向け不正アプリや高リスクアプリは、

2014年を通して増加し続け、Androidプラットフォームで確認された銀行・金融関係の不正アプリの数は 4倍に達しました。

2014年の Android向け不正プログラム累積数

モバイルバンキング関連／金融関連の不正プログラム数

註：「モバイルバンキング／金融関連の不正アプリ」とは、偽のバンキングアプリ等、ユーザの金融関連情報の窃取を目的とした不正アプリを意味します。

2014年は、Android端末のユーザだけがリスクにさらされていたわけではありません。「WireLurker」や「Masque Attack」など、ジェ

イルブレイク (脱獄 )を施していない端末に感染することが可能な iOS向け脅威も登場しました。

500万

250万


268万

209万

352万

426万

2,500

1,250

0第1四半期第2四半期第3四半期第4四半期2013年


1,466

952

475561

12513

1,721

2,069



iOS関連不正プログラムの検体数

2014年は、「FakeID」や「SOP（Same Origin Policy:同一生成元ポリシー）」といったモバイル関連の脆弱性も大きな懸念となりま

した。5152 「FakeID」のような脆弱性を悪用すると、不正なモバイルバンキングアプリを正規アプリに偽装させて検出を回避できるため、

大きな被害をもたらす危険性があります。

銀行詐欺の被害が発生した銀行では、被害が詐欺によるものと正式に認められた場合、被害者の顧客への金銭の払い戻し等の甚大な

損失と共に、銀行から守られていないと顧客が感じることで、顧客からの信頼も失うことになります。 53

銀行や金融機関は、多段階認証の導入を検討すべきでしょう。これにより、銀行と顧客との間に介在しようとするサイバー犯罪者の目

論見に対し、さらなる防壁を設けることができます。同様のリスクにさられている銀行は、セキュリティソフトの利用や適切なパスワー

ド管理によるコンピュータのセキュリティ向上に関するノウハウを顧客に共有すると同時に、口座利用者を狙った脅威情報を顧客に周知

することで、より積極的な対策が可能になります。

モバイル端末のユーザは、公式アプリストアからダウンロードしたアプリのみの使用に限定し、ダウンロードする際、Androidでも

iOSでもいずれの場合も、開発者の詳細やアプリのレビューをしっかりと精読することです。

　

51 http://blog.trendmicro.co.jp/archives/964252 http://blog.trendmicro.com/trendlabs-security-intelligence/facebook-users-targeted-by-android-same-origin-policy-exploit/53 http://www.ey.com/Publication/vwLUAssets/EY-global-commercial-banking-survey-2014/$FILE/EY-global-commercial-banking-survey-2014.pdf

10

5

0

10月 11月 12月 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月2013年 2014年

1 1 1

5

4

7

9



活動範囲を広げ、巧妙化するランサムウェアランサムウェアが地域を問わず、悪質化してきました。脅し文句だけで身代金を要求していた従来の亜種と異なり、新たな亜種は、侵入したコンピュータ内のファイルを暗号化して人質に取ります。

いまやランサムウェアは、脅し文句だけではなく、侵入したコンピュータ内のファイルを暗号化して人質に取り、国境を越えて活動を展

開しています。 54 55 56 57 ヨーロッパや中東、アフリカ、日本で猛威を振るったランサムウェアは、現在、オーストラリアやニュージー

ランドでもその存在が確認されています。また、個人ユーザや中小企業にも被害をもたらしています。

ランサムウェアの検出数は、2013年から 2014年にかけて減少傾向にありますが、関連する感染事例ではいまだ大きな被害が報告さ

れています。2013年は、「REVETON」や「RANSON」等の従来型ランサムウェアが全体の 97％を占めていましたが、2014年は、

Cryptoランサムウェアが登場し、そのシェアを 27.35%に拡大させました。

54 http://blog.trendmicro.co.jp/archives/1053055 http://blog.trendmicro.co.jp/archives/1016156 http://blog.trendmicro.com/trendlabs-security-intelligence/torrentlocker-ransomware-hits-anz-region/57 http://blog.trendmicro.co.jp/archives/8801

ランサムウェアの領域で、新しい何かが登場したわけではありませんが、「CryptoLocker」は、従来型ランサムウェアや偽セキュ

リティソフトで駆使されていた「脅しの手口」を、より効果的なものにレベルアップさせたことは確かでしょう。今日、ほとんどのユー

ザは、優れたセキュリティソフトを使用していると思いますが、それと同時に、ユーザ教育、定期的な更新、コンピュータの正し

い使用法等が、「CryptoLocker」やその他の同様の脅威から身を守るための基本であることは、改めて留意しておく必要があ

ります。

–Jay Yanezaスレットアナリスト

ランサムウェア検出台数：2013年と2014年の比較

10万

5万

02013年 2014年

8万4千

４万８千

1万5千2千

ランサムウェア検出台数



ランサムウェア検出台数：四半期ごとの変遷

ランサムウェア検出台数の国別分布：2013年と2014年の比較

3万

1万5千

0

「CryptoLocker」が初登場



９千９千１万１千

１万５千

２万2万１千

１万６千

２万９千

米国日本ドイツオーストラリアトルコイタリアフランスカナダフィリピンイギリスその他

35.93%

19.94%

6.39%

5.67%

3.19%

2.49%

2.00%

1.87%

1.70%

1.64%

19.18%

米国日本オーストラリアドイツトルコインドカナダフランスイギリスイタリアその他

41.81%

16.11%

6.42%

3.98%

3.35%

2.51%

2.24%

2.19%

1.95%

1.85%

17.59%

2013年

８万４千４万

８千

2014年



ランサムウェアのファミリ別分布：2013年と2014年の比較

米国、オーストラリア、トルコ、インド、カナダ、フランスおよびイギリスにおいて、ランサムウェアに感染したコンピュータ数が 2013

年から 2014年にかけて増加しています。

ランサムウェア検出台数の国別分布：2013年と2014年の比較

国 2013年国 2014年割合の増減

米国 35.93% 米国 41.81%

日本 19.94% 日本 16.11%

ドイツ 6.39% オーストラリア 6.42%

オーストラリア 5.67% ドイツ 3.98%

トルコ 3.19% トルコ 3.35%

イタリア 2.49% インド 2.51%

フランス 2.00% カナダ 2.24%

カナダ 1.87% フランス 2.19%

フィリピン 1.70% イギリス 1.95%

イギリス 1.64% イタリア 1.85%

その他 19.18% その他 17.58% 変動

RANSOMREVETONCRILOCKMATSNUCRYPTORその他

76.54%18.21%2.91%1.79%

0.38%0.17%

RANSOMREVETONCRILOCKKOVTERCRYPWALLMATSNUCRIBITCRYPTORFINALDOCRYPDEFその他

32.12%30.65%12.29%8.83%5.17%5.13%1.98%1.03%

0.88%0.87%1.05%

2013年

８万４千４万

８千

2014年

ランサムウェアCryptoランサムウェア



多言語化された CyptoLockerの表記の違い

（オーストラリア）

（スペイン）



（フランス）

（イタリア）



（ドイツ）

ランサムウェアのセグメント別分布：2013年と2014年の比較

ランサムウェアの感染数は、モバイルの脅威動向でも、特に 2014年第 4四半期にかけて同様の傾向が確認されました。攻撃対象範

囲が広がる中、ランサムウェア自体も、攻撃者の匿名保持のため、身代金の支払いに「Bitcoin（ビットコイン）」やその他の仮想通

貨の使用を要求するなどの進化が見られました。

個人ユーザ中小企業中堅・大企業

71.51%9.61%

18.88%

69.75%11.66%

18.59%

2013年 2014年

2014年2013年



モバイル関連のランサムウェア数

ランサムウェアへの対策は、個人ユーザも企業の社員も、何よりもまず、身代金を払わざるを得ない状況を回避するという「予防」が

最善策であり、この点からも以下の注意事項の厳守は重要です。

● 不審なリンクはクリックしないこと ●「3-2-1 ルール」（3箇所に 2種類の方法で 1つはオフサイト）でバックアップしておくこと 58

●メールの送信元は必ずチェックすること ●メッセージの内容には細心の注意を払うこと

　


300

150

05月 6月 7月 8月 9月 10月 11月 12月

29

72

33

999

79

276



世界規模で拡大し続けるサイバー犯罪者とアンダーグラウンド経済「Pawn Storm作戦」等の攻撃で明らかなとおり、攻撃者の活動範囲は、もはや一国の枠に収まることはありません。

トレンドマイクロでは、サイバー犯罪者の動機を深く理解するため、サイバー犯罪のアンダーグラウンド経済の発展を追跡調査してい

ます。世界中にさまざまなサイバー犯罪者の拠点が発生する中、金銭目的は、唯一ではないにしても、最大の動機であることは間違

いありません。現実社会の経済発展と同様、サイバー犯罪のアンダーグラウンドで提供される製品やサービスも、設置からオペレーショ

ン運営まで専門性を特化させながら、絶えず発展し続けています。

製品やサービスの提供者（トロイの木馬型不正プログラムや DDoS攻撃用ツールの闇開発者、クレジットカードの闇市場の運営者など）

が存在する一方、特定のニーズに応じてこれらの製品やサービスをそれぞれの提供者から購入する買い手も存在します。各地域のア

ンダーグラウンドで提供されるこれら製品やサービスの価格は、供給過剰による価格下落など、複数年に渡る市場原理を通して決定さ

れます。

ロシアのサイバー犯罪アンダーグラウンドで売買されるクレジットカードの価格：年ごとの比較

各地域のアンダーグラウンド市場は、共通した傾向と共にそれぞれ異なった特徴も示しています。例えば、ロシアのアンダーグラウンドは、

「トラフィック・ディレクション・システム（Traffic Direction System: TDS）」や「ペイ・パー・インストール（Pay-Per-Install：PPI）」等、

グレイウェアやアドウェアを大量送信するサービスを提供していることで知られています。中国のアンダーグラウンドは、モバイル関連

の詐欺に特化し、数千通に及ぶ SMS関連のスパムメールを 1時間以内に送信するハードウェア設定サービスも提供しています。ブラ

ジルのアンダーグラウンドは、銀行へのフィッシング攻撃で知られていますが、珍しいところでは、新米サイバー犯罪者向けの詐欺トレー

ニングコース（10モジュール）まで提供しています。

2011年 2012年 2013年 2014年

10米ドル

9

8

7

6

4

3

2

1

5米ドル

0

米国

オーストラリア

カナダ

ドイツ

イギリス

2011年

2.50米ドル

7.00米ドル

5.00米ドル

9.00米ドル

7.00米ドル

2012年

1.00米ドル

5.00米ドル

5.00米ドル

7.00米ドル

8.00米ドル

2013年

1.00米ドル

4.00米ドル

6.00米ドル

9.00米ドル

5.00米ドル

2014年

2.50米ドル

4.50米ドル

4.00米ドル

3.00米ドル

4.50米ドル



Web上のサイバー犯罪者同士のやりとりのほとんどは、ソーシャルメディアの暗号化投稿やフォーラムなど、隠ぺいされたかたちで行

なわれています。しかしそれでも、サイバー犯罪者ができるだけ長く活動を続けるためには、匿名性保持は重要な鍵であり、その努力

は、Deep Webの Darknet活用にまで及んでいます。2013年、Deep Web上の闇市場「Slikroad」は閉鎖されましたが、その後、

サイト運営者「Dread Pirate Robers」の後継者登場も危惧されています。サイバー犯罪者に利用されるさまざまな闇市場が登場す

る中、2014年、ユーロポールのサイバー犯罪対策局（EC3）と米連邦捜査局（FBI）は、こうした検索困難なWebサイト上の捜査と

して「Onymous作戦」を展開し 59 、17名を摘発したと発表しました。なお、Deep Web上では仮想通貨が大きな役割を果たしており、

2014年には「Cloakcoins」 60という新たな仮想通貨も登場しました。これは、ビットコインと異なり、取引の痕跡を完全に隠ぺいする

ことが可能だといわれています。

標的型サイバー攻撃の世界では、さまざまなタイプの攻撃者が密かに活動しますが、ここでも国際的に活動を展開する攻撃者が登場

しました。サイバー犯罪の第一の動機は金銭目的ですが、国際的に活動する攻撃者の間では、企業の機密情報や、知的財産、その他

の取引関係の機密情報等を窃取することの価値も認識されて始めています。狙われる標的や、コマンド＆コントロール（C&C）サーバ

の所在地が多様化する中、攻撃の事前調査の段階でも、多種多様な共犯者が関わっています。標的となる業界は、電気通信、製造業、

政府機関、メディア関連等、多岐に及び、地域に関しても、標的型サイバー攻撃のキャンペーン「Regin」はベルギーを標的にし、「Pawn

Storm作戦」は米国やハンガリー、オーストリア、「Plead」は台湾を標的にするなど、こちらも多岐に及んでいます。

こうした点からも、リスク管理を行う企業は、地球上のさまざまな地域から狙われていることを前提として、あらゆる種類の侵入者の可

能性を考慮する必要があります。サイバー犯罪は悪質化の一途を辿り、攻撃自体も、アンダーグラウンドのサービス等により手軽に実

行できるようになってきています。このような状況においては、サイバーセキュリティへの投資を適用範囲と質の面から再検証すること

は急務の課題だといえるでしょう。

59 https://www.cryptocoinsnews.com/operation-onymous-also-shut-down-deep-net-markets-cloud-9-hydra-and-more/60 http://www.cloakcoin.com/

「Pawn Storm作戦」では、米国やその同盟国の軍事施設や大使館、防衛機関等に勤める契約社員のメール情報を最初に入手

しようとした点で、レベルアップしたといえるスピアフィッシング手法が駆使されました。この場合、攻撃者は、スピアフィッシン

グメールや巧妙に細工されたWebメールサービスを組み合わせて契約社員のメールソフトへのアクセスを取得し、標的の組織

内での足場を築こうとしていました。

—Loucif Kharouni, Feike Hacquebord, Numaan Huq, Jim Gogolinski, Fernando Mercês, Alfred Remorin, and Douglas Otis

シニアスレットリサーチャー



脅威概況：減少傾向の中、フィッシングサイトが倍増トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によると、不正ドメインやスパムメール等の脅威項目で量的な減少傾向が確認されました。他方、不正プログラムは、相変わらずサイバー犯罪活動の重要なツールとして利用され、フィッシングサイトは 2014年数が倍増しています。

年間を通して識別・ブロックしてきた脅威状況を振り返ったとき、2014年は、量よりも質の重要性が浮き彫りにされた年だったといえ

ます。Webからの脅威では、複合コンポーネントによる活動が続いています。一方、2014年の主要事例で示されたとおり、攻撃者

側の戦略では、被害者を量的に増やすより、自分たちの目的に即した標的に絞り込むなど、質的な巧妙化の傾向が見られました。

スパムメールの送信元となる IPアドレスのブロックは、感染フローを断ち切る上で重要性なステップとなります。膨大なメーリングリス

トで無差別に送信されるメールは、無害なメールも含まれているものの、脅威を構成する要素の一部といえます。トレンドマイクロの

スパムメールフィルタリングは、これらを識別し、500億に及ぶ Emailレピュテーション・クエリから（2012年・2013年からの減少は

見られるものの十分適正に）スパムメールを検知しています。

トレンドマイクロでは、送信元のレピュテーションと共に、スパムメールのコンテンツにも基づくブロックもしています。トレンドマイクロ

のメールセキュリティ製品からのデータによると、スパムメールの全体量は、2014年第 3四半期に若干増加しているものの、安定し

た傾向を示しています。

スパムメールとしてブロックされた Emailレピュテーション・クエリ数

メールセキュリティ製品によりブロックされたスパムメール数

註：このデータは、トレンドマイクロのメールセキュリティ製品からのフィードバックにもとづいています。

800億

400億

02012年 2013年 2014年

670億

500億

690億12兆

6兆


9兆8兆 8兆

11兆



スパムメールの使用言語トップ 10：2013年と2014年の比較

スパムメール送信者が最も好んで使用する言語は相変わらず英語ですが、2013年の 87.14%から若干減少も確認されます。これは、2014年に英語以外のスパムメールが若干増加したことを意味しているといえます。英語以外では、中国語や日本語を追い抜いて、ドイツが第 2位にランクインしています。

　

英語中国語日本語ドイツ語ロシア語ポルトガル語スペイン語アイスランド語イタリア語フランス語その他

87.14%

2.36%

1.84%

1.48%

1.20%

0.28%

0.21%

0.12%

0.10%

0.10%

5.17%

英語ドイツ語日本語中国語ロシア語ポルトガル語ポーランド語スペイン語フランス語イタリア語その他

85.84%

3.29%

1.87%

1.84%

0.85%

0.41%

0.37%

0.32%

0.29%

0.12%

4.80%

2013年 2014年



スパムメール送信国トップ 10：2013年と2014年の比較

割合は小さいものの、2013年は、米国とスペインが最も活発なスパムメール送信国でした。2014年には、ワードサラダ（自動生成

による文法が正しいが意味が支離滅裂な文章）によるスパムメール急増が、スペイン、ドイツ、イタリア、イランで確認され、2014

年のスパムメール使用言語にも影響しています。 61

2014年、スパムメール送信者は、「より多くの有効なクリックを得る」という目標を達成するため、ソーシャルネットワーキングサイトなど、

他のチャンネルも大いに活用しました。トレンドマイクロが実施した Twitter悪用に関する調査でも 62 、攻撃者がユーザの注意を惹く

ためにソーシャルネットワーキングサイトのプラットフォームを活用する状況を確認しています。Webメールのクライアントも、ネットワー

ク通信は暗号化できることから、スパムメール送信者によるスパムフィルタリング回避の手段として利用されました。

こうした点からも、不正 URL、不正 IP、不正ドメインをブロックする機能が、企業のセキュリティ対策において重要になってくる理由

が分かります。スパムメールがソーシャルメディアやWebメールを利用して侵入してくる中、ユーザの不用意なクリックで不正リモート

サイトへ誘導される前に、それを阻止することができるURLブロッキング等の技術が不可欠となるでしょう。

サイバー犯罪者は、フィッシングサイトの誘導先ページ、リダイレクト先、不正プログラムのダウンロード元などにURLを悪用します。

2014年、トレンドマイクロでは、不正サイトへアクセスしようとする40億に及ぶユーザ・クエリ、毎分 7000にも及ぶ不正 URLへの

クリックをブロックしました。

61 http://blog.trendmicro.com/trendlabs-security-intelligence/kelihos-spambot-highlights-security-risk-in-spf-records/62 http://blog.trendmicro.co.jp/archives/10013

米国スペインインドアルゼンチンイタリア台湾コロンビア中国ペルーメキシコその他

9.91%

6.29%

6.26%

5.37%

4.87%

4.38%

3.69%

3.53%

3.53%

3.29%

48.88%

米国スペインアルゼンチンイタリアドイツベトナムイラン中国ロシアコロンビアその他

8.37%

7.89%

6.35%

5.00%

4.84%

4.27%

3.95%

3.90%

3.58%

3.19%

48.66%

2013年 2014年



不正サイトへのアクセスブロック数

不正サイトへのアクセスブロック数は減少していますが、

フィッシングサイトの数は増加を続けています。2014年は、

88.65%のフィッシングサイト増加を確認しています。一年

間の登録で新ドメインを大量作成する方法は、既存サイトをリ

ニューアルするよりも安上がりであり、アンダーグラウンドでは、

Webサイト作成サービスや作成のためのテンプレート等も出

回っています。

フィッシングサイト数：2013年と2014年の比較

なお、ブロックされた不正 URLの中では、不正プログラム利

用に関連したものが最多数を占めていました。

2013年、ボットネット活動に関連するコマンド＆コントロール

（C&C）サーバが最も多く置かれていた国は米国で、その後に

イギリスとインドが続きます。ただし、C&Cサーバはリモート

での運営が可能なため、C&Cサーバの設置国に攻撃者が滞在

しているわけではない点に注意が必要です。

50億

25億

0

2012年 2013年 2014年

48億7千万

38億9千万

49億9千万400万

200万

02013年 2014年

198万

374万

2014年：C&Cサーバ設置国トップ 10

米国イギリスインドブラジルイランドイツロシアウクライナオランダルーマニアその他

21.08%

9.45%

6.11%

3.14%

2.94%

2.86%

2.85%

2.63%

2.60%

2.47%

43.87%



2014年：C&Cサーバ接続先国別トップ 10

C&Cサーバの接続先であるゾンビ PC（ボット化した PC）は、さまざまな国に分布していますが、米国、日本、インドが上位を占めて

います。

スパムメールやURLのフィッシングのブロックでも対応が不十分な脅威の場合、ファイル普及度やふるまい検知にもとづいて未知のファ

イルが不正であるかどうかの判断が求められます。2014年、トレンドマイクロでは、100億に及ぶ、不正ファイルへのアクセスやダウ

ンロードに関するリクエストをブロックしました。これは 2013年の 2倍の量であり、不正と判断されたファイル・クエリ数としては、毎

分 2万 1千相当に及びます。

ブロックされた不正ファイル数

相変わらず「DOWNAD」が、大企業に感染する不正プログラムのトップ 1を占めています。この事実は、すでにMicrosoftからのサポー

トが終了しているWindows® XPの PCにこの不正プログラムが感染するにも関わらず、いまだこのオペレーティングシステム（OS）

を使用している企業が存在することを意味しています。

米国日本インドオーストラリア台湾フランスドイツマレーシアイタリアインドネシアその他

20.04%

18.99%

6.20%

6.17%

5.84%

5.66%

5.37%

5.27%

3.05%

2.17%

21.24%

120億

60億

02012年 2013年 2014年

20億6千万

62億8千万

109億6千万



攻撃者の使用するツールや攻撃自体の戦略が巧妙化する中、企業は、脅威がユーザのエンドポイントに到達する前に阻止できる多層

的なセキュリティソリューションを導入する必要があります。

2014年第 4四半期のトップ 3不正プログラムとアドウェア

不正プログラムアドウェア

大企業中小・中堅企業個人ユーザ

　

　

10万

5万

0SALITY DOWNAD GAMARUE

9万6千

6万7千

8万

30万

15万

0ADW_

OPENCANDYADW_

INSTALLCOREADW_

SSEARCH

29万9千

11万9千

24万6千

6万

3万

0DOWNAD DUNIHI SALITY

5万9千

3万3千

3万5千

1万2千

6千

0DOWNAD SALITY VOBFUS

1万1千

5千8千

4万

2万

0GAMARUE SALITY VIRUX

4万

2万3千

3万9千



不正プログラム／アドウェアファミリ動作ダメージ度

ADW_INSTALLCORE フリーウェアにバンドルされコンピュータに侵入し、ツールバーとして活動。中

ADW_OPENCANDYサードパーティのアプリケーションにバンドルされてコンピュータに侵入するアドウェア。

中

ADW_SSEARCH不正プログラムにバンドルされてコンピュータに侵入し、不正プログラムのコンポーネントとして活動。

低

DOWNAD複数の動作を通して拡散するワーム。セキュリティベンダのサイトへのアクセスをブロックし、他の不正プログラムをダウンロード。

深刻

DUNIHIスパムメールや不正なWebサイトを介してコンピュータに侵入するワーム。感染したコンピュータをボットとして利用。

中

GAMARUELINKファイルを介して拡散し、感染したコンピュータをボットとして利用。ファイルの隠ぺいも行う。

中

SALITYEXEファイルや SCRファイル、リムーバブルドライブ、ダウンローダ等に感染して拡散するファイル感染型ウイルス。

高

VIRUXクラッキングサイトからダウンロードされ、さまざまなファイルタイプに感染して拡散するファイル感染型ウイルス。FAKEAV（偽セキュリティソフトの手口を使う不正プログラム）もダウンロードする。

高

VOBFUSAutorunを使用し、ドライブへ感染することで拡散するワーム。複製する際に自身のコードを変化させるポリモーフィック型のワームでもある。

高

ブロックされた脅威の総数年間の検知率（検知数／秒）

800億

400億

0

2012年 2013年 2014年

740億

650億

800億

2,600/秒

1,300/秒

02012年 2013年 2014年

2,337/秒

2,065/秒

2,546/秒

制作

Global Technical Support & R&D Center of TREND MICRO

TREND MICRO ™

本書に関する著作権は、トレンドマイクロ株式会社へ独占的に帰属します。

トレンドマイクロ株式会社が書面により事前に承諾している場合を除き、形態および手段を問わず本書またはその一部を複製することは禁じられています。本書の作成にあたっては細心の注意を払っていますが、本書の記述に誤りや欠落があってもトレンドマイクロ株式会社はいかなる責任も負わないものとします。本書およびその記述内容は予告なしに変更される場合があります。

本書に記載されている各社の社名、製品名、およびサービス名は、各社の商標または登録商標です。

〒 151-0053東京都渋谷区代々木 2-1-1　新宿マインズタワー大代表 TEL：03-5334-3600 FAX：03-5334-4008http://www.trendmicro.co.jp

BR-REPO-018

http://www.trendmicro.co.jp

Documents

企業経営を脅かすサイバー攻撃の 横行 - Trend Micro...2015/02/26 · 2014 年 年間セキュリティラウンドアップ 総括 2014 年を通じ、企業経営を大きく脅かすサイバー攻撃が横行しています。

企業経営を脅かすサイバー攻撃の横行 - Trend Micro...2015/02/26 · 2014 年年間セキュリティラウンドアップ総括 2014 年を通じ、企業経営を大きく脅かすサイバー攻撃が横行しています。