Embed Size (px)
Citation preview
レポート
1 McAfee Labs脅威レポート: 2018年12月
McAfee Labs 脅威レポート2018年12月
この四半期の主なトピック
サイバー犯罪を活性化するアンダーグランド フォーラム
クリプトマイニングのブームは続く
脆弱性、ランサムウェアに対するサポートが追加されたエクスプロイト キット
サイバースパイ活動を目的とした標的型攻撃
レポート
2 McAfee Labs脅威レポート: 2018年12月
リンク
共有
はじめに
McAfee® Labs脅威レポート(2018年12月)をご覧いただき、ありがとうございます。今回は、McAfee Advanced Threat ResearchチームとMcAfee Labsが2018年第3四半期に収集した統計情報と分析結果を報告します。
今回のレポートでは、新しい分析方法とフォーマットを採用しました。私たちは皆様のご意見を伺いながら、ユーザーの皆様が何を重要と考えているのか、私たちがどのような付加価値を提供できるのか考えています。この数か月の間、より多くの脅威情報を収集し、データを相関分析した結果、現在の脅威状況についてより有益な分析情報を得ることができました。McAfeeはMITRE Corporationと協力し、脅威レポートにMITRE ATT&CK™ナレッジベースの手法を採用することにしました。これに合わせてプロセスとレポートの形式を変更しています。皆様により多くの情報をご提供できると思います。新しいレポートについて、皆様からご意見、ご感想をいただけますと幸いです。
第3四半期も闇市場閉鎖の効果が残っていますが、その穴を埋めるべく、他の闇市場が勢力を拡大しようとしています。このような市場が提供するサービスにより、サイバー犯罪の効率や効果は高まっています。この四半期もGandCrabランサムウェア ファミリは活発な動きを見せています。アフィリエイト プログラムの利用、アジャイルな開発、エクスプロイト キットなどの他のサイバー犯罪サービスとの連携などにより、このファミリによる攻撃は勢いを増しています。
第3四半期には主要なセキュリティ カンファレンスが開催されました。McAfee Advanced Threat Researchチームのメンバーがイベントに参加し、研究の成果や分析情報を共有しました。DEF CONのデモンストレーションでは、攻撃者が医療機器を操作する方法を紹介しました。Black Hat USAでは、北朝鮮のマルウェア ファミリによるコードの再利用に関する調査結果を発表し、これまで不明だった関連性を報告しました。
また、ラスベガス、シドニー、東京、ローマで開催したMcAfee MPOWERカンファレンスでは、多くのユーザーやパートナーの皆様に最新の調査結果をご報告しました。この四半期も脅威の分析に忙しい日々を送りました。新しいメンバーも加わり、分析結果をまとめたレポートも公開しました。詳しくは、ブログ ページとチームのページをご覧ください。
このレポートが皆様のお役に立てば幸いです。また、皆様からのご意見、ご感想もお待ちしています。
― Raj Samani、チーフ サイエンティスト兼McAfeeフェロー Twitter: @Raj_Samani
―Christiaan Beek、リード サイエンティスト Twitter: @ChristiaanBeek
ダークウェブの闇市場では、麻薬や違法な商品の販売が中心となっていますが、ハッキング ツールやデータ レコードの販売やハッカーのレンタルなども行われています。
目次
レポート
3 McAfee Labs脅威レポート: 2018年12月
4 サイバー犯罪を活性化する アンダーグランド フォーラム
8 ランサムウェア ファミリの数は 減少
10 クリプトマイニングのブームは 続く
11 偽のモバイル アプリによる脅威が増加
14 見慣れないファイルタイプを使用するバンキング型トロイの木馬
17 脆弱性、ランサムウェアに対するサポートが追加されたエクスプロイト キット
19 シェルコードの実行、特権昇格に利用される脆弱性
20 サイバースパイ活動を目的とした標的型攻撃
23 統計情報
執筆者:
• Alexandre Mundo Alguacil
• Christiaan Beek
• Carlos Castillo
• Taylor Dunton
• John Fokker
• Steve Grobman
• Tim Hux
• Niamh Minihane
• Lee Munson
• Eric Peterson
• Marc Rivero
• Thomas Roccia
• Raj Samani
• Craig Schmugar
• ReseAnne Sims
• Dan Sommer
• Bing Sun
トロイの木馬がIQYファイルを送信
IQYファイルがスクリプト ファイルのURLを照会
PowerShellがDDEを使用
IQYファイル
感染システムが日本にあるかどうかを確認
Ursnifマルウェアをダウンロードして実行
レポート キートピック
4 McAfee Labs脅威レポート: 2018年12月
リンク
共有
サイバー犯罪を活性化するアンダーグランド フォーラムダークウェブの闇市場ダークウェブの闇市場であるHansaとAlphaBayが閉鎖された波及効果は第3四半期も続きました。Dream Market、Wall Street Market、Olympus Marketなどの市場は、昨年の摘発で空いた穴を埋めようと激しい競争を展開しています。
Wall Street MarketとDream Marketは最大手の闇市場になりましたが、これらの市場と競っていたOlympus Marketが第3四半期に突如姿を消しました。市場のベンダーや顧客から金銭を盗み取るために管理者が意図的に閉鎖したという見方もありますが、推測の域は出ません。
McAfee Advanced Threat Researchチームの調査で、ダークウェブ プラットフォームで起きている変化が明らかになりました。何人かの販売者はこのような大手市場から離れ、自分の市場を開いています。当局の取り締まりを逃れ、市場のオーナーによる突然の閉鎖を恐れずに、顧客と信頼関係を構築することがその狙いのようです。この流れによって新しいビジネスも生まれています。たとえば、Webサイト デザイナーが熱心なベンダーに向けて隠れた市場を構築するサービスを提供しています。他のベンダーもTORネットワークから離れ、Telegramなどのプラットフォームを利用して商品やサービスを提供しています。
TOR経由でアクセス可能なダークウェブの闇市場では、麻薬や違法な商品の販売が中心となっていますが、ハッキング ツールやデータ レコードの販売やハッカーのレンタルなども行われています。これらの市場には多くのユーザーがアクセスできるため、見過ごせない存在です。盗まれたデジタル データは大きな利益を生み出すため、今後も重要な要因となるでしょう。このような市場がある限り、データの保護を強化しなければなりません。
アンダーグラウンドのハッカー フォーラムダークウェブの闇市場と異なり、アンダーグランドのハッカー フォーラムは限られた人物しかアクセスできません。トピックもサイバー犯罪に関するものに特化しています。McAfeeでは、これらのフォーラムで第3四半期に注目を集めたトピックを調査しました。
ユーザー認証情報の漏えい: アンダーグランドの世界では、認証情報の悪用は最も人気のあるトピックの一つです。大規模なデータ侵害も後を絶ちません。有効なアカウントが利用できれば、サイバー犯罪者にとって個人のファイルにアクセスし、乗っ取ることは非常に簡単な作業になります。サイバー犯罪者がメール アカウントに関心を示すのは、これらのアカウントが他のオンライン サービスのログイン認証情報の復元に使用されることが多いためです。二要素認証を使用せず、パスワードを定期的に変更しないで使い回していることも、効果的な攻撃を可能にしている主な要因となっています。
レポート キートピック
5 McAfee Labs脅威レポート: 2018年12月
リンク
共有
CVEに関するディスカッション: Common Vulnerabilities and Exposuresに関して多くのディスカッションが行われています。ブラウザー エクスプロイト キット(RIG、Grandsoft、Fallout)やランサムウェア(特に、GandCrab)のディスカッションでは、最近公開されたCVEに関する議論が活発に行われていました。技術的な要素が少ない英語のフォーラムで、Trillium MultiSploitなどの人気のツールに古いCVEを実装する方法を議論しているスレッドをいくつか確認しました。サイバー犯罪者は新しい脆弱性だけでなく、古い脆弱性を武器化する方法についても活発に議論しています。このようなフォーラムで人気のトピックとなっていることを考えると、サイバー レジリエンス プランで脆弱性管理を優先しなければならないことは明らかでしょう。
電子商取引サイトでクレジットカード情報を盗み出すマルウェア: クレジットカード情報を盗み出す大規模な攻撃の標的は、PoSシステムから大手電子商取引サイトの決済プラットフォームにシフトしています。ここ数か月に話題になった多くの窃盗事件はMagecartなどのグループによるもので、被害者のWebサイトから直接、数千のクレジットカード情報がスキミングされました。この事件により、MagentoCoreなどの不正なツールの需要が高まっています。これらのツールは脆弱なMagentoプラットフォームに不正なJavaScriptコードを挿入し、クレジットカード情報を盗み出します。
クレジットカード情報の販売: PoSを狙ったスキミングなどの詐欺行為は減少していますが、最近発生したクレジットカード情報の大規模な盗難事件により、「新しい」カード情報がJokerStash、Trump's Dumps、Blackpassなどのダンプサイトで供給されています。クレジットカード会社と電子商取引サイトは、詐欺検出のためにオンライン購入でIPアドレスの位置情報を確認するなど、セキュリティ対策を強化しています。
図 1. Trump's Dumpsのログイン ページ
すべてのアクションに対してリアクションが実行されます。しかし、盗み出すクレジットカード情報と同じ郵便番号のマシンを乗っ取り、詐欺に利用する攻撃が増えています。リモート デスクトップ プロトコル(RDP)のアクセス情報を販売する闇市場もこの手法を利用しています。
RDPショップ第3四半期の初め、ハッキングしたマシンにRDPでアクセスするための情報を販売するオンライン プラットフォームについて、詳細なレポートを公開しました。犯罪者は世界中のコンピューター システムのログイン情報を提供しています。家庭のPCだけでなく、医療機関や政府のシステムへのログイン情報も販売しています。この四半期もRDPショップの人気は衰えず、クレジットカード詐欺、クリプトマイニング、ランサムウェア、アカウントの乗っ取りを行う犯罪者にサービスを提供しています。BlackpassなどのRDPショップでは、詐欺に必要なすべてのツールを提供しています。RDPのアクセス情報だけでなく、社会保障番号、銀行の詳細情報、オンライン アカウントなどの情報も販売しています。
レポート キートピック
6 McAfee Labs脅威レポート: 2018年12月
リンク
共有
図2. RDPショップのBlackpassでは、Magecart詐欺に関連するオンライン アカウントとクレジットカード情報を提供している。
詐欺師は、アクティブな複数のオンライン アカウントを使用してRDPでアクセス可能なシステムを探しています。このアクセス情報を使用することで、犯罪者は被害者のアカウントからオンラインで商品を注文し、任意の場所に配送を依頼できます。SamSam、BitPaymer、GandCrabなどのランサムウェアを使用してRDP経由で侵入を試みる標的型攻撃の量を考えると、多くの組織にとってRDPは引き続き急所となるでしょう。
サービスとしてのランサムウェアアンダーグランドのフォーラムでは、GandCrabなどのサービスとしてのランサムウェアが注目されています。このようなランサムウェアの開発者は、サービスの強化と感染率の向上のため、暗号化サービスやエクスプロイト キットなどの重要なサービスと戦略的なパートナーシップを築いています。第3四半期の終わりに、比較的新しい暗号化サービス(NTCrypt)と提携したGandCrabの最新バージョンに関する調査報告を公開しました。GandCrabの背後にあるグループが主催した暗号化コンテストでNTCryptが優勝した後、この協力関係が形成されました。暗号化サービスはマルウェアを難読化し、マルウェア対策製品の検知を回避するために使用されます。
レポート キートピック
7 McAfee Labs脅威レポート: 2018年12月
リンク
共有
図3. NTCryptとGandCrabのパートナーシップ。GandCrabのユーザー向けに特別価格を告知している。 Androidマルウェア: ボットネット、銀行詐欺、ランサムウェア、二要素認証の回避など、Androidを中心としたモバイル マルウェアに関する議論が増加しています。
他のマルウェアとボットネット: この2つはサイバー犯罪の根幹となるテーマです。サイバー犯罪者は、これらのトピックに関するディスカッションを定期的に行っています。既知のマルウェア ファミリや大規模なボットネットに関するスレッド以外にも、小規模で名前のないボットネットや暗号通貨のマイニング マルウェア、リモート アクセスのトロイの木馬に関するディスカッションも活発に行われています。GandCrabとその関連サービス以外で、ディスカッションで目立ったマルウェア ファミリはありません。
分散型サービス拒否: 若いサイバー犯罪者の間では、DDoS攻撃の手法、ブースター/ストレッサー サービスが話題になっています。これらは、技術的な要素が少ない英語のフォーラムで活発に議論されています。
レポート キートピック
8 McAfee Labs脅威レポート: 2018年12月
リンク
共有
ランサムウェア ファミリの数は減少この数か月、ランサムウェア ファミリの数は減少を続けています。しかし、ランサムウェアの勢いが衰えたわけではありません。新しいファミリが少なくなったのは、より魅力的なビジネスモデルであるクリプトマイニングにシフトした攻撃者が増えていることが関係しています。
第3四半期に最も活発な動きを見せたのはGandCrabです。複数の新しいバージョンがリリースされ、アフィリエイト プログラムの参加者がキャンペーンを展開しました。セキュリティ業界の対策をかわすためか、多くのバージョンが出現しました。GandCrabのサンプルが大量に発生した結果、第3四半期の新しいランサムウェアの総数が増えています。
このランサムウェアについては、次のような変化が見られます。
■ 感染力強化のためFalloutエクスプロイト キットに追加 ■ 感染力強化のためCVE-2018-8440の脆弱性を悪用(この脆弱性に対しては9月にパッチが公開されています)
■ ファイルの暗号化で5文字のランダムな拡張子を使用 ■ Word、Excel、SQL Server、Oracle、PowerPoint、Outlookなどの関連プロセスを終了する機能を追加
最大の変化は身代金の大幅な増額です。GandCrabバージョン5では、復号キーの代金として$2,400が請求されます。以前のバージョンは$1,000でした。
新しいランサムウェア ファミリ
0
40
20
120
100
80
60
第1四半期 第2四半期 第3四半期2017年 2018年
第3四半期 第4四半期
出典: McAfee Labs, 2018
新しいランサムウェアのサンプル
0
1,000,000
500,000
2,500,000
2,000,000
1,500,000
2016年 2017年 2018年第1四半期 第2四半期 第3四半期 第4四半期第1四半期 第2四半期 第3四半期第4四半期
出典: McAfee Labs, 2018
レポート キートピック
9 McAfee Labs脅威レポート: 2018年12月
リンク
共有
バージョン5と以前のバージョンの類似点は次のとおりです。
■ ロシアのユーザーには感染しない ■ 感染先のシステム情報を送信するURLのリストがハードコードされている
■ 身代金の支払いと復号用のサイトが hxxp://gandcrabmfe6mnef[.]onionのダークウェブに 存在する
■ ハードコードされたキー(jopochlen)を使用して、RC4アルゴリズムで被害者の情報を暗号化する
Advanced Threat ResearchチームはGandCrabバージョン5とその変化について詳しいレポートを作成しました。
第3四半期は、この他にもScarabが活発な動きを見せています。6種類の新しい亜種がリリースされ、多くの更新が提供されました(暗号化されたファイルに付けられる拡張子や、新しい支払い方法の追加など)。このランサムウェアは特定の業種や地域を狙ったものではないようです。
第3四半期の新しい亜種:
■ Scarab-Omerta - 7月 ■ Scarab-Bin - 7月 ■ Scarab-Recovery - 7月 ■ Scarab-Turkish - 7月 ■ Scarab-Barracuda - 7月 ■ Scarab-CyberGod - 8月
第3四半期の更新:
■ Scarab-Please - ランサムウェア ■ Scarab-Bitcoin - ランサムウェア ■ Scarab-Crypt000 - ランサムウェア ■ Scarab-DiskDoctor - ランサムウェア ■ Scarab-Bomber - ランサムウェア
実行 永続化 特権昇格 防御策の回避 認証情報へのアクセス 探索
Windows Management Instrumentation
スタートアップ項目 プロセス インジェクション プロセス インジェクション フッキング ファイル/ディレクトの探索
フッキング スケジュール タスク ユーザー アカウント制御の迂回
入力キャプチャ
レジストリのRunキー/スタートアップ フォルダー
ユーザー アカウント制御の迂回
セキュリティ ツールの無効化
スケジュール タスク DLL検索順序のハイジャック
ファイルの削除
図4. Advanced Threat Researchチームが第3四半期に確認したマルウェアや他の攻撃とMITRE ATT&CK™フレームワークとの対応表。現在使用されていない技術は削除している。背景が暗い技術ほど頻繁に使用されている。
レポート キートピック
10 McAfee Labs脅威レポート: 2018年12月
リンク
共有
クリプトマイニングのブームは続く2018年の大きな話題の一つは、マルウェアによる暗号通貨のマイニングです。コインマイナー マルウェアの合計数は、この 1年で4,000%以上増加しています。
新しいコインマイナー マルウェア
500,000
0
2,500,000
4,500,000
4,000,000
3,000,000
3,500,000
2,000,000
1,500,000
1,000,000
2016年 2017年 2018年第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期第4四半期
出典: McAfee Labs, 2018
セキュリティ研究者のRemco Verhoefがクリプトマイニングのチャット グループでMac OSの脅威(OSX.Dummy)を発見しました。被害者がOSXのターミナルで1行のコマンドを実行するだけでペイロードがダウンロードされ、実行されます。
Slack、Telegram、Discordチャネルには、暗号化問題の解決のためソフトウェアのダウンロードを促すメッセージが残されています。このソフトウェアはBashで1行のコードを実行します。未知のエクスプロイトやエクスプロイト キットはダウンロードしません。実行後、OSX.Dummyは不正なサーバーでリバース シェルを開き、感染したシステムへのアクセスを可能にします。
一部のセキュリティ研究者が指摘しているように、オープンソースのメディア プレイヤーKodiの非公式のリポジトリで、クリプトマイナー マルウェアの配布用に改ざんされたアドオンが提供されています。このような動きは2017年に始まっています。
CVE-2018-14847の脆弱性が悪用され、パッチ未適用のMikroTikルーターが攻撃されました。セキュリティ研究家のTroy Mursch氏はマイナーとして利用されている感染デバイスを3,700台以上確認しています(北米とブラジルが主な標的)。
ルーター、IPカメラなどのIoTデバイス、ビデオレコーダーは、デスクトップやラップトップほど強力なCPUを搭載していないため、悪用されるとは思わないかもしれません。しかし、これらの機器では適切なセキュリティ対策が行われていないため、CPUの速度よりも量を重視する攻撃者に利用される可能性があります。長時間マイニングに利用できる数千台の機器を制御できれば、十分に稼ぐことができるでしょう。
コインマイナー マルウェアはシステムを乗っ取り、ユーザーの許可なく暗号通貨を生成(マイニング)します。2018年に入り、コインマイナーの脅威が急激に増大しています。
実行 永続化 特権昇格 防御策の回避 探索 指令サーバー
モジュールの読み込み による実行
レジストリのRunキー/ スタートアップ フォルダー
ユーザー アカウント制御の迂回
ユーザー アカウント制御の迂回
クエリー レジストリ データの難読化
ローカルのジョブ スケジューリング
フッキング フッキング 一般的でないポート
スケジュール タスク プロセス インジェクション
サードパーティの ソフトウェア
スケジュール タスク
スタートアップ項目
図5. MITRE ATT&CK™フレームワーク。背景が暗い技術ほど頻繁に使用されている。
レポート キートピック
11 McAfee Labs脅威レポート: 2018年12月
リンク
共有
世界のモバイル マルウェアの感染率(感染を報告したモバイル ユーザーの割合)
2%
0%
10%
12%
14%
8%
6%
4%
2016年 2017年 2018年第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期第4四半期
出典: McAfee Labs, 2018
地域別のモバイル マルウェアの感染率(感染を報告したモバイル ユーザーの割合)
4%
2%
6%
8%
0%
18%
14%
16%
12%
10%
アフリカ アジア オーストラリア ヨーロッパ 北米 南米
2017年第4四半期 2018年第1四半期 2018年第2四半期 2018年第3四半期
出典: McAfee Labs, 2018
偽のモバイル アプリによる脅威が増加第3四半期に新たに確認されたモバイル マルウェアの数は24%減少しました。McAfeeモバイル セキュリティの利用者からの情報を見ても、この四半期の感染数は36%減少しています。全体としては減少傾向にあるものの、第3四半期はこれまでと異なる脅威が増加しています。新たな傾向として、Fortniteゲームのアプリを装い、マルウェアをインストールして詐欺行為を行う攻撃や、モバイル バンキングを狙うトロイの木馬、不要な広告を表示するアプリなどが増加しました。イスラエル国防軍の関係者に対して、マッチング アプリを装ってデバイスへの感染を試みる攻撃も発生しています。この偽のアプリは、位置情報、連絡先リストなどのデータを収集し、通話の傍聴、カメラの不正使用を行いました。
新しいモバイル マルウェア
500,000
0
2,500,000
3,000,000
2,000,000
1,500,000
1,000,000
2016年 2017年 2018年第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期第3四半期第4四半期
出典: McAfee Labs, 2018 出典: McAfee Labs, 2018
レポート キートピック
12 McAfee Labs脅威レポート: 2018年12月
リンク
共有
McAfeeモバイル リサーチ チームが第3四半期に検出した脅威の中には、少なくとも5,000台以上のデバイスに感染したものもあります。この脅威(Android/TimpDoor)はSMSを使用してフィッシング詐欺を行うもので、ユーザーを騙して偽の音声メール アプリをダウンロードさせようとします。感染したデバイスは知らないうちにネットワーク プロキシとして悪用されます。この偽アプリがインストールされると、バックグラウンド サービスがSocksプロキシを開始し、他のサーバーからセキュアなシェル トンネル経由で送信され、暗号化されたネットワーク トラフィックをリダイレクトします。これにより、ファイアウォールやネットワーク モニターなどのネットワーク セキュリティに検知されることなく、内部ネットワークにアクセスすることが可能になります。
TimpDoorに感染したデバイスは、企業や家庭のネットワークに侵入するバックドアとして利用されます。不正なトラフィックやペイロードは暗号化されているため、検知されることはありません。さらに、感染デバイスがネットワーク化され、スパムやフィッシング詐欺メールの送信、広告クリック詐欺、分散型サービス拒否攻撃など、さらに規模の大きい攻撃で利用される可能性があります。
この不正なアプリは、正規の音声メール アプリに見えますが、ボタンや機能は偽物です。
\
図6. 音声メール アプリを装うAndroid/TimpDoor
図7. SSH接続を持続する機能。これはAndroid/Timpdoorで最も興味深い部分。
レポート キートピック
13 McAfee Labs脅威レポート: 2018年12月
リンク
共有
このアプリは、接続を維持するためのアラームを搭載し、デバイスに関する情報を絶えずアップロードしています。
Cisco Talosのグループは、不正なモバイル デバイス マネージャーを使用して13台のiPhoneに感染したキャンペーンを確認しました。感染方法はいまだに不明ですが、デバイス マネージャーをインストールするには、デバイスに直接アクセスするか、何らかのソーシャル エンジニアリングを行う必要があります。感染の流れと機能は次のとおりです。
図8. 出典: Cisco Talos Intelligence Group
レポート キートピック
14 McAfee Labs脅威レポート: 2018年12月
リンク
共有
この攻撃者は、BOptionsのサイドローディングによって動的ライブラリにコードを挿入し、インストールされている正規のアプリケーションに機能を追加しました。この攻撃からも分かるように、適切な防御策を講じていなければ、開発環境やフレームワーク環境も悪用される可能性があります。
初期アクセス 永続化 防御策の回避 探索 収集 送出 指令サーバー
スピアフィッシング用の添付ファイル
動的ライブラリ ハイジャック アクセス トークンの操作 アカウントの探索 音声キャプチャ 自動送出 よく使用されるポート
スピアフィッシングのリンク コードの署名 アプリケーション ウィンドウの探索
自動収集 データの圧縮 リモートへのファイル転送
サービスを利用したスピアフィッシング
ブラウザーのブックマークの探索
クリップボードのデータ データの暗号化 アプリケーション レイヤーの標準プロトコル
ファイル/ディレクトの探索 情報リポジトリのデータ データ転送のサイズ制限
システム オーナー/ユーザーの探索
ローカル システムのデータ 代替プロトコルによる送出
システム サービスの探索 メール収集 指令チャンネルを介した送出
システム時刻の探索 入力キャプチャ 他のネットワーク媒体を介した送出
画面キャプチャ 物理的な媒体を利用した送出
スケジュールによる転送
図9. MITRE ATT&CK™フレームワーク。背景が暗い技術ほど頻繁に使用されている。
見慣れないファイルタイプを使用するバンキング型トロイの木馬バンキング型トロイの木馬は、その効率性と収益性から、1年を通じて一定の勢いを維持しました。第3四半期は、珍しいファイルタイプを使うスパム攻撃が増加しました。メールの保護対策の多くは、よく使われるOffice文書、アーカイブ、スクリプトなどのファイルを分析し、ブロックするように設定されています。この攻撃は、一般的でないタイプを使用することでメールの保護機能を回避しようとする手口です。この四半期は、複数の攻撃でIQYファイル(Excelのフォーマット)が確認されました。これらの攻撃メールで複数のマルウェア ファミリが散布されました。この攻撃では、ユーザーに添付ファイルをクリックさせるため、ソーシャル エンジニアリングでよく使われる「photos sent」(写真を送りました)、「payment」(お支払い)、「please confirm」(ご確認ください)などの文言が使用されています。このスパム キャンペーンでは世界中に約50万通のスパム メールが配信されました。
レポート キートピック
15 McAfee Labs脅威レポート: 2018年12月
リンク
共有
スパム キャンペーン
トロイの木馬がIQYファイルを送信
IQYファイルがスクリプト ファイルのURLを照会
PowerShellがDDEを使用
IQYファイル
感染システムが日本にあるかどうかを確認
Ursnifマルウェアをダウンロードして実行
図10. この攻撃では、IQYファイルの他にDDEとPowerShellを使用して、UrsnifやBlebohなどのマルウェアが散布されている。
第3四半期は、特定の業種を狙った詐欺メールが数多く確認されています。
ここ数年、多くの金融機関がセキュリティを強化しています。その中で効果的な対策の一つが二要素認証で、他の口座への送金やアカウントへのログインに利用されています。第3四半期、Advanced Threat Researchチームはよく知られたバンキング型マルウェア ファミリで変化を確認しました。新しいバージョンでは、Webインジェクションの方法が変更され、特定の金融機関に対する攻撃で二要素認証の操作が組み込まれています。
レポート キートピック
16 McAfee Labs脅威レポート: 2018年12月
リンク
共有
図11. Zeus PandaマルウェアのWebインジェクション ファイル。出典: Cofense
Zeus Pandaは、金融機関が採用した最新の保護対策を回避するため、Webインジェクションの方法を頻繁に変更しています。
この他にも、有名なマルウェア ファミリで変化が確認されています。2014年に確認されたバンキング型トロイの木馬Kronosですが、TORネットワーク上の指令サーバーを使用する新しいバージョンが出現しました。このバージョンはOsirisと名を変え、闇市場で販売されています。また、ドイツのユーザーを標的に、不正な.docファイルを使用した新たな攻撃が発生しました。このファイルには、Kronosをダウンロードさせるマクロが含まれています。第3四半期は、かつてZeus PandaをドロップしていたRIGエクスプロイト キットもKronosの拡散に利用されています。
ブラジルでは以前からバンキング型トロイの木馬がよく利用されています。第3四半期、この国を狙った新たなファミリ(CamuBot)が検出されました。CamuBotは標的とする銀行で必要なセキュリティ モジュールを装います。ブラジルで発生した他のマルウェアと比べると、CamuBotとの類似点はわずかです。CamuBotは、TrickBot、Ursnif、Dridex、Qakbotなど、ブラジル以外で見つかったマルウェア ファミリと似ています。ブラジルを狙ったマルウェアで、この点は大きな変化といえます。他の国で猛威を振るいバンキング型トロイの木馬と比べると、これまでの脅威の大半はそれほど洗練されたものではありません。ブラジルの犯罪集団は、自国のユーザーを狙った攻撃を頻繁に行っています。これらの犯罪者は、東欧の犯罪者から多くのことを学び、よく利用されている手口を自分たちのマルウェアに組み込んでいます。
レポート キートピック
17 McAfee Labs脅威レポート: 2018年12月
リンク
共有
実行 永続化 防御策の回避 認証情報へのアクセス
探索 侵入拡大 収集 データ漏えい 指令サーバー
クライアント実行の悪用
ブートキット コードの署名 フッキング アプリケーション ウィンドウの探索
分散コンポーネント オブジェクト モデル
クリップボードのデータ
データの圧縮 データのエンコード
PowerShell カーネル モジュールと拡張機能
DCShadow 入力キャプチャ ファイル/ディレクトの探索
ハッシュの転送 メール収集 代替プロトコルによる送出
一般的でないポート
Windows Management Instrumentation
ローカルのジョブ スケジューリング
ファイルの削除 ネットワーク サービスのスキャン
リモート デスクトップ プロトコル
Officeアプリケーションのスタートアップ
レジストリの変更 周辺機器の探索
レジストリのRunキー/スタートアップ フォルダー
プロセス インジェクション
プロセスの探索
サービス レジストリ権限の脆弱性
スクリプト クエリー レジストリ
ソフトウェアの圧縮 セキュリティ ソフトウェアの探索
システム情報の探索
システム時刻の探索
図12. MITRE ATT&CK™フレームワーク。背景が暗い技術ほど頻繁に使用されている。
脆弱性、ランサムウェアに対するサポートが追加されたエクスプロイト キットエクスプロイト キットは多くのサイバー犯罪で利用されています。当局の取り締まりで閉鎖されたものもありますが、活動を継続しているものもあります。第3四半期で目だった新しいエクスプロイト キットは次の2つです。
Fallout: このエクスプロイト キットは8月に見つかりました。Adobe Flash PlayerとMicrosoft Windowsの欠陥を利用します。感染に成功すると、攻撃者は感染先のコンピューターにマルウェアをダウンロードします。このエクスプロイト キットは、Nuclearエクスプロイト キットと似ています。Falloutは日本の組織を調査しているときに見つかりましたが、特定の地域を狙ったものではありません。このキットが利用する脆弱性はCVE-2018-4878とCVE-2018-8174の2つだけで、後者はGandCrabバージョン5の散布に使用されています。
次のグラフは、McAfee® Global Threat Intelligenceの利用時計情報に基づいて作成されたものです。GandCrabバージョン5ランサムウェアの4つのサンプルについて、9月の終わりから10月にかけて実施した測定結果を表しています。これらのサンプルがFalloutエクスプロイト キットによって散布されたことはまず間違いないでしょう。このグラフを見ると、エクスプロイト キットによ
レポート キートピック
18 McAfee Labs脅威レポート: 2018年12月
リンク
共有
る拡散の典型的なパターンを示しています。感染率は最初が最も高く、その後、短期間で急速に減少しています。これは、インストール時または固定時間で使用料金を支払うという、エクスプロイト キットの一般的なビジネス モデルにも当てはまります。 9月28日に増加しているのは、アフィリエイトから別のサンプルがリリースされたことが原因と考えられます。
GandCrabバージョン5に関する10日間のMcAfee GTIレポート
9/24 9/25 9/26 9/27 9/28 9/29 9/30 10/1 10/2 10/3
ハッシュ
e168e9e0f4f631bafc47ddf23c9848d7
96ead54f6aacd7c40e2d060cb303fa83
884f86d79065d97244eea7ab68b129ce
07fadb006486953439ce0092651fd7a6
Underminer: このエクスプロイト キットは7月に見つかりました。自身のコードと指令サーバーのトラフィックをRSA暗号で保護し、Microsoft Internet ExplorerとFlash Playerの脆弱性を悪用して、クリプトマイナー、ブートキットなどの様々なランサムウェアを感染させます。このエクスプロイト キットはアジア太平洋地域を標的にしています。第3四半期、このキットに2つの脆弱性が追加されました。1つはCVE-2018-4878(Adobe Flash Player 28.0.0.137の解放後メモリ参照の脆弱性により、リモートから任意のコードが実行可能な脆弱性)、もう1つはCVE-2018-8174(Windows VBScriptエンジンで、リモートからコードが実行される脆弱性)です。後者については、次のセクションで詳しく説明します。
初期アクセス 実行 特権昇格 防御策の回避
ドライブバイ侵害 クライアント実行の悪用 悪用による特権昇格 ユーザー アカウント制御の迂回
外部に接続しているアプリケーションの悪用
スクリプト 悪用による防御策の回避
図13. MITRE ATT&CK™フレームワーク。背景が暗い技術ほど頻繁に使用されている。
レポート キートピック
19 McAfee Labs脅威レポート: 2018年12月
リンク
共有
シェルコードの実行、特権昇格に利用される脆弱性第3四半期に新しいマルウェア ファミリやキャンペーンで最も利用された脆弱性は次の3つです。
Windows VBScriptエンジンで、リモートからコードが実行される脆弱性(CVE-2018-8174)。この欠陥に対するパッチは5月に公開されていましたが、第3四半期に発生した攻撃キャンペーン「Operation Personality Disorder」で利用されました。攻撃者はVBScriptを含む不正なRTF文書を使用し、Internet Explorerの欠陥を悪用してシェルコードを実行しました。このコードはバックドアのペイロードをドロップし、感染先のシステムを乗っ取ります。このキャンペーンはCobaltグループによって実行されましたが、このグループのリーダーと見られる人物がスペインで逮捕されています。
この脆弱性は、第3四半期に見つかった新しいエクスプロイト キット(FalloutとUnderminer)にも追加されています。この欠陥は、Fallout経由でGandCrabバージョン5を感染させる目的でも使用されています。マルバタイジング キャンペーンの背後にいる攻撃者が正規の広告サイトを利用し、エクスプロイト キットが潜むランディング ページに被害者を誘導しました。このランディング ページには、Base64でエンコードされ、JavaScriptの関数で復号されるVBScriptコードが存在します。復号されたコードがVBScriptエンジンの欠陥を悪用してシェルコードを実行します。さらに、シェルコードがペイロードをダウンロードし、感染先のメモリーにGandCrabを読み込みます。
Windows ALPCの特権昇格の脆弱性(CVE-2018-8440)。この脆弱性のパッチは9月に公開されました。8月の終わり、この欠陥を発見したセキュリティ研究者が概念検証の詳細をTwitterとGitHubに投稿した後、このゼロデイの欠陥に注目が集まり、Microsoftは9月のアップデートでパッチを提供しました。この欠陥のため、ローカル アクセス権があるユーザーは誰でもシステム特権を取得することができます。この脆弱性はGandCrabの感染に利用されました。このランサムウェアはWindowsの特権昇格の欠陥を悪用し、必要な数のファイルを暗号化します。この脆弱性は、Windows タスク スケジューラーがALPC(Advanced Local Procedure Call)を処理する方法に存在します。マルウェア コードのコンパイル方法のため、エクスプロイト コードの1つのバージョンはWindows 7からWindows 10 Serverで動作しますが、Windows XPとVistaでは、呼び出しに必要なファイル(xpsprint.dll)が存在しないため、コンパイル後のコードは動作しません。
スクリプト エンジンのメモリ破損の脆弱性(CVE-2018-8373)。Internet Explorerのスクリプト エンジンに存在するリモート コード実行の脆弱性の1つが悪用され、QuasarRATが配布されました。このエクスプロイトはすべての環境で機能するわけではなく、マルウェアの配布に成功するとも限りません。McAfee Advanced Threat Researchチームを含む複数のセキュリティ アナリスト グループが、このキャンペーンとマルウェアの動作に関する情報を公開しました。あるチームの報告によると、VBScript!AccessArrayがスタックの配列要素のアドレスを格納します。次に、VBScript!AssignVarがスクリプトのDefault Property Get関数を呼び出し、配列の長さを変更します。これにより、VBScript!AccessArrayがスタックに格納しているアドレスのメモリ要素が解放されます。パッチの適用後、SafeArrayLock関数が追加され、VBScript!AssignVarの実行前に現在の配列がロックされます。このため、Default Property Get関数で配列の長さが変更されることはなくなりました。
レポート キートピック
20 McAfee Labs脅威レポート: 2018年12月
リンク
共有
次の図は、第3四半期に発生したマルウェア キャンペーンでそれぞれの脆弱性が使用された頻度を表しています。多くの攻撃者がこれらの脆弱性を利用して文書を武器化し、不正なプログラムをインストールして実行しています。
第3四半期のマルウェア攻撃で各脆弱性が1週間に利用された平均回数
10
5
15
20
0
40
35
30
25
CVE-2017-11882
CVE-2017-0147
CVE-2017-0199
CVE-2012-0158
CVE-2010-2568
CVE-2014-6332
CVE-2018-4878
CVE-2008-2551
CVE-2008-0015
CVE-2016-4273
CVE-2017-8464
出典: McAfee Labs, 2018
サイバースパイ活動を目的とした標的型攻撃Advanced Threat Researchチームの記録では、第3四半期に公表された標的型攻撃は35件を超えています。その大半はサイバースパイ活動を目的としたものでした。これらの活動の多くは、政治的緊張の高い一部の地域で発生しているため、政府に支援されたグループが情報収集目的で行ったものと考えられます。
レポート キートピック
21 McAfee Labs脅威レポート: 2018年12月
リンク
共有
第3四半期に実行されたいくつかのオペレーションはロシア政府の支援を受けたグループによるものとMcAfeeは見ています。この四半期に最も活発な動きを見せたグループは、APT28、Dragonfly、Sandwormで、これらのグループは政府機関、研究所、エネルギー施設、軍関連の組織を狙った攻撃を実行しています。
ESETの研究者がUEFI(Unified Extensible Firmware Interface)を悪用する最初のルートキットを発見しました。ESETによると、このマルウェアはAPT28によって開発され、使用されています。LoJaxと称するこのマルウェアは、UEFIに感染するとマシンを再起動しても消滅しません。ハードディスクを交換しても生き続けます。このマルウェアを配布するため、盗難対策ソフトウェアのLoJackがトロイの木馬として利用されています。研究者の利用統計情報によると、このマルウェアによる攻撃ではバルカン半島、中欧、東欧の政府機関が標的になっています。
マクロやスクリプトではなく、オープンソース ツールを活用するグループもありますが、それ以外のグループのコードには、基本的な機能強化を除き、目新しさはありません。
金融機関を狙った主な攻撃としては、次の2つのキャンペーンがあります。
Operation Double Infection: この攻撃は8月に確認されました。2種類のバックドアをインストールするため、2つの不正なURLを含むスピアフィッシング詐欺メールが使用されました。攻撃者は金融機関を装うメールで被害者から金銭を盗み取ろうとしました。このキャンペーンでは東欧とロシアの企業が標的になっています。
Operation Personality Disorder: この攻撃では、More_eggsバックドアをドロップするため、不正な添付ファイルまたはメール内のURLが使用されました。攻撃に成功すると、攻撃者はコンピューターを乗っ取り、システム情報にアクセスして最終的なペイロードであるCobalt Strikeをインストールします。この攻撃で使用されたフィッシング詐欺メールは、ヨーロッパの正規の金融機関を装っていました。攻撃で使用された不正なRTFファイルの一部には、CVE-2018-8174を含む様々な脆弱性を悪用するエクスプロイトが含まれています(詳細は「脆弱性」を参照)。
この2つのキャンペーンには次の共通点があります。 ■ 東欧とロシアの金融機関を標的にしている。 ■ 正規の金融機関またはベンダーを装うフィッシング詐欺メールが使用されている。 ■ VBAコードを含む不正なWord文書を利用し、ユーザーがマクロの実行を許可した後にシステムに感染している。 ■ テキスト ファイルを装うJavaScriptカスタム コードのバックドアを使用して、感染先のシステムを乗っ取っている。 ■ コマンドライン ツールのcmstp.exe(Microsoft接続マネージャー プロファイル インストーラー)と不正なインストール情報ファイルを使用して、Microsoft Windows AppLockerを回避し、リモートからコードをダウンロードして実行している。
■ regsvr32.exeを使用してWindows AppLockerを回避している。 ■ 有名なCobalt Groupが実行している。このグループは少なくとも2013年から活動を続け、世界の金融機関に対する100件以上の攻撃に関与していると見られています。
■ 3月にグループのリーダーと見られる人物が逮捕されたが、その後も攻撃が実行されている。
レポート キートピック
22 McAfee Labs脅威レポート: 2018年12月
初期アクセス 実行 永続化 特権昇格 防御策の回避 認証情報へのアクセス
探索 侵入拡大 収集 送出 指令サーバー
ドライブバイ侵害 CMSTP COMのハイジャック ユーザー アカウント制御の迂回
ユーザー アカウント制御の迂回
総当たり攻撃 アカウントの探索 リモート サービスの悪用
音声キャプチャ 自動送出 よく使用されるポート
外部に接続しているアプリケーションの悪用
コマンドライン インターフェース
アカウントの作成 DLL検索順序のハイジャック
CMSTP 認証情報のダンプ ファイル/ディレクトの探索
ログオン スクリプト 自動収集 データの圧縮 接続プロキシ
リムーバブル メディアを介した複製
APIを介した実行 DLL検索順序のハイジャック
悪用による特権昇格 コードの署名 ファイル内の認証情報 ネットワーク サービスのスキャン
リモート デスクトップ プロトコル
情報リポジトリのデータ
データの暗号化 指令用のカスタム プロトコル
スピアフィッシング用の添付ファイル
クライアント実行の悪用
隠しファイルとディレクトリ
フッキング COMのハイジャック フッキング ネットワーク共有の探索
サードパーティのソフトウェア
ローカル システムのデータ
代替プロトコルによる送出
データのエンコード
スピアフィッシングのリンク
グラフィカル ユーザー インターフェース
フッキング 新しいサービス 難読化/ファイルまたは情報の復号
入力キャプチャ 周辺機器の探索 Windows管理共有 データのステージング 指令チャンネルを介した送出
データの難読化
サプライチェーンの侵害
LSASSドライバー ログオン スクリプト プロセス インジェクション
DLL検索順序のハイジャック
入力プロンプト プロセスの探索 メール収集 他のネットワーク媒体を介した送出
マルチステージ チャネル
信頼関係 PowerShell LSASSドライバー スケジュール タスク 悪用による防御策の回避
クエリー レジストリ 入力キャプチャ マルチバンド通信
Regsvr32 既存サービスの変更 ファイルの削除 セキュリティ ソフトウェアの探索
マンインザブラウザ 複数の暗号化
Rundll32 新しいサービス 隠しファイルとディレクトリ
システム情報の探索 画面キャプチャ リモート アクセス ツール
スケジュール タスク レジストリのRunキー/スタートアップ フォルダー
ツールの痕跡の削除 システム ネットワーク構成の探索
ビデオ キャプチャ リモートへのファイル転送
スクリプト スケジュール タスク 偽装 システム オーナー/ユーザーの探索
アプリケーション レイヤーの標準プロトコル
サービスの実行 システム ファームウェア
レジストリの変更 システム サービスの探索
標準の暗号化プロトコル
サードパーティのソフトウェア
難読化されたファイル/情報
システム時刻の探索
ユーザーによる実行 プロセス ドッペルギャンギング
Windows Management Instrumentation
プロセス インジェクション
Regsvr32
ルートキット
Rundll32
スクリプト
ソフトウェアの圧縮
信頼された開発元のユーティリティ
有効なアカウント
図14. MITRE ATT&CK™フレームワーク。背景が暗い技術ほど頻繁に使用されている。
レポート
23 McAfee Labs脅威レポート: 2018年12月
統計情報24 McAfee Global Threat Intelligence
25 マルウェア
30 インシデント
32 Webとネットワークの脅威
レポート
24 McAfee Labs脅威レポート: 2018年12月
リンク
共有
統計情報
統計情報
McAfee Global Threat Intelligence
弊社では、McAfee® Global Threat Intelligence(McAfee GTI)のダッシュボードで攻撃パターンを分析し、顧客が実際に受けている攻撃の状況を把握して、保護対策の改善に努めています。McAfee GTIは、1日あたり平均で490億件のクエリーと130億のテレメトリを受信しました。また、1日平均560万個のURLと70万個のファイルを分析し、20万個のファイルをサンドボックスで解析しました。
■ McAfee GTIは、770億個の不審なファイルをテストし、7,300万個のファイルを危険と報告しました(0.01%)。
■ McAfee GTIは160億個の不審なURLをテストし、6,300万個のURLを危険と報告しました(0.4%)。
■ McAfee GTIは150億個の不審なIPアドレスをテストし、6,600万個のアドレスを危険と報告しました(0.4%)。
レポート
25 McAfee Labs脅威レポート: 2018年12月
リンク
共有
統計情報
マルウェアの合計
0
500,000,000
900,000,000
800,000,000
600,000,000
400,000,000
700,000,000
300,000,000
200,000,000
100,000,000
2016年 2017年 2018年第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期第4四半期
出典: McAfee Labs, 2018
マルウェア
新しいマルウェア
0
70,000,000
60,000,000
50,000,000
40,000,000
30,000,000
20,000,000
10,000,000
第1四半期 第2四半期 第3四半期 第4四半期
2016年 2017年 2018年第1四半期 第2四半期 第3四半期第4四半期
Mac OSを攻撃するマルウェアの合計
50,000
0
250,000
450,000
400,000
350,000
300,000
500,000
200,000
150,000
100,000
2016年 2017年 2018年第1四半期 第2四半期 第3四半期 第4四半期第1四半期 第2四半期 第3四半期第4四半期
出典: McAfee Labs, 2018
Mac OSを攻撃する新しいマルウェア
10,000
0
60,000
50,000
40,000
30,000
20,000
2016年 2017年 2018年第1四半期 第2四半期 第3四半期第4四半期 第1四半期 第2四半期 第3四半期第4四半期
出典: McAfee Labs, 2018
出典: McAfee Labs, 2018
このマルウェアのデータは、McAfeeのサンプル データベースに登録された情報に基づいています。このデータベースには、McAfeeのスパム トラップ、クローラー、ユーザーからの送信、業界の他の情報源から収集した不正なファイルが含まれています。
レポート
26 McAfee Labs脅威レポート: 2018年12月
リンク
共有
統計情報
新しいマクロ ウイルス
20,000
40,000
0
160,000
140,000
120,000
100,000
80,000
60,000
2016年 2017年 2018年第1四半期 第2四半期 第3四半期 第4四半期第1四半期 第2四半期 第3四半期第4四半期
出典: McAfee Labs, 2018
添付されているマクロの多くは、アナリストがマクロの機能が簡単に理解できないように、複雑な難読化が行われています。たとえば、Vba2Graphの実行フローを視覚化して、何が行われているか確認してみましょう。
図15. AutoOpen関数が攻撃先のシステムでシェルを開き、PowerShellを開いてファイルをダウンロードしている。
マクロ ウイルスはWordやExcelなどの文書に埋め込まれ、スパムメールや添付されたZIPファイルによって配信されます。受信者が文書を開いてしまうような魅力的なファイル名を使用しています。ファイルを開いたときにマクロが有効になっていると、ウイルスに感染します。
レポート
27 McAfee Labs脅威レポート: 2018年12月
リンク
共有
統計情報
この例は一般的なもので、このような埋め込みは日常的に行われています。もう少し複雑な例を見てみましょう。
図16. このマクロは新しいファイルを作成して実行するが、関数名が難読化されている。
この例では、いくつかのアクションが実行されていることはすぐに確認できますが、実際にどのような処理が行われているのかを特定するには時間がかかります。関数名が難読化されているため、関数名(Auto_Open)だけを調べる単純な機械学習では問題は解決しません。Advanced Threat Researchチームで行っているように、複数の分類器を使用することで、不正なマクロを特定する機械学習モデルを構築できます。
レポート
28 McAfee Labs脅威レポート: 2018年12月
リンク
共有
統計情報
新しいIoTマルウェア
2016年 2017年 2018年
40,00045,000
15,00010,000
25,00020,000
35,00030,000
5,0000
50,000
第1四半期 第2四半期 第3四半期 第4四半期第1四半期 第2四半期 第3四半期第4四半期
出典: McAfee Labs, 2018
新たに検出された署名付きの不正なバイナリ
400,000
600,000
200,000
0
1,400,000
1,200,000
1,000,000
800,000
2016年 2017年 2018年第1四半期 第2四半期 第3四半期 第4四半期第1四半期 第2四半期 第3四半期第4四半期
出典: McAfee Labs, 2018
バイナリ(アプリケーション)がコンテンツ プロバイダーによって署名され、検証されると、認証局がその情報を含むデジタル証明書を発行します。署名付きの不正なバイナリにデジタル証明書を取得すると、攻撃が非常に容易になります。
モノのインターネットを狙う脅威は、IPカメラ、ホームルーター、スマートデバイスなど、様々なハードウェアに影響を及ぼします。これらの脅威は主にLinuxベースのシステムを標的にしています。
レポート
29 McAfee Labs脅威レポート: 2018年12月
リンク
共有
統計情報
新しいPowerShellマルウェア
2,0000
14,00016,000
20,00018,000
12,000
8,00010,000
6,0004,000
2016年 2017年 2018年第1四半期 第2四半期 第3四半期 第4四半期第1四半期 第2四半期 第3四半期第4四半期
出典: McAfee Labs, 2018
エクスプロイトは、ソフトウェアやハードウェアのバグ、脆弱性を利用します。ゼロデイ攻撃は、成功したエクスプロイトの一例です。McAfee Labsの記事「Analyzing Microsoft Office Zero-Day Exploit CVE-2017-11826: Memory Corruption Vulnerability」(Microsoft Officeを攻撃するゼロデイ エクスプロイト(CVE-2017-11826)の分析: メモリー破損の脆弱性)をご覧ください。
JavaScriptとPowerShellの脅威については、以前の『McAfee Labs脅威レポート』の「スクリプト ベースのマルウェアの急増」をご覧ください。
新しいエクスプロイト マルウェア
200,000
0
1,000,000
1,800,000
1,600,000
1,400,000
1,200,000
800,000
600,000
400,000
2016年 2017年 2018年第1四半期 第2四半期 第3四半期 第4四半期第1四半期 第2四半期 第3四半期第4四半期
出典: McAfee Labs, 2018
出典: McAfee Labs, 2018
新しいJavaScriptマルウェア
0
6,000,000
8,000,000
12,000,000
10,000,000
4,000,000
2,000,000
2016年 2017年 2018年第1四半期 第2四半期 第3四半期 第4四半期第1四半期 第2四半期 第3四半期第4四半期
レポート
30 McAfee Labs脅威レポート: 2018年12月
リンク
共有
統計情報
2017年~2018年に多かった攻撃手段のトップ10(報告された侵害数)
50
0
200
250
300
350
400
450
150
100
不明
アカウント
ハッキング
リーク
マルウェア
不正アクセス
脆弱性
W-2詐欺
窃盗
サービス拒否
改ざん
出典: McAfee Labs, 2018
インシデント
公開されたセキュリティ インシデント(地域別)(報告された侵害数)
50
0
250
300
350
200
150
100
2016年 2017年 2018年
アフリカ アジア太平洋アメリカ大陸 ヨーロッパ
複数の地域
第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期第4四半期
出典: McAfee Labs, 2018
セキュリティ インシデントのデータは、hackmageddon.com、privacyrights.org/data-breaches、haveibeenpwned.com、databreaches.netなどの複数の情報源から収集しています。
攻撃経路の多くは不明か、公開されていません。
レポート
31 McAfee Labs脅威レポート: 2018年12月
リンク
共有
統計情報
2017年~2018年に狙われた業界のトップ10(報告された侵害数)
50
0
200
250
300
150
100
医療
複数
教育
公共部門
金融
エンターテイメント
メディア
小売業
テクノロジ
オンライン
サービス
出典: McAfee Labs, 2018
北米/南米で最も狙われた業界(報告された侵害数)
10
0
50
40
30
80
70
60
20
公共部門
医療
複数
教育
エンターテイメント
暗号通貨
メディア
金融
ホスピタリティー
小売業
2017年第4四半期 2018年第1四半期 2018年第2四半期 2018年第3四半期
出典: McAfee Labs, 2018
レポート
32 McAfee Labs脅威レポート: 2018年12月
リンク
共有
統計情報
新しい不正なURL
2,000,000
0
10,000,000
12,000,000
8,000,000
6,000,000
4,000,000
2016年 2017年 2018年第1四半期 第2四半期 第3四半期 第4四半期 第1四半期第2四半期第3四半期第4四半期
出典: McAfee Labs, 2018
Webとネットワークの脅威
新しい不審なURL
0
15,000,000
20,000,000
25,000,000
10,000,000
5,000,000
2016年 2017年 2018年第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期第3四半期第4四半期
出典: McAfee Labs, 2018
新しいフィッシング詐欺URL
0
500,000
600,000
700,000
1,000,000
900,000
800,000
400,000
200,000
100,000
300,000
2016年 2017年 2018年第1四半期 第2四半期 第3四半期 第4四半期第1四半期 第2四半期 第3四半期第4四半期
新しい不正ダウンロードURL
500,000
0
2,500,000
2,000,000
1,500,000
1,000,000
2016年 2017年 2018年第1四半期 第2四半期 第3四半期 第4四半期第1四半期 第2四半期 第3四半期第4四半期
出典: McAfee Labs, 2018 出典: McAfee Labs, 2018
McAfee® TrustedSource™のWebデータベースでは、フィルタリング ポリシーでWebアクセスを制御できるように、Webレピュテーションに基づいてカテゴリ別にURL(Webページ)が登録されています。不審なURLは、危険度高または危険度中と評価されたサイトの合計数を表します。不正なURLは、コンピューターの設定やアクティビティを乗っ取る実行ファイルやトロイの木馬などのドライブバイコードを配布します。不正なダウンロードは、ユーザーに気づかれずにサイトから有害なコードや迷惑なコードをダウンロードさせる行為です。フィッシング詐欺URLは、詐欺メールから誘導し、ユーザーのアカウント情報を盗み出すWebサイトです。
レポート
33 McAfee Labs脅威レポート: 2018年12月
リンク
共有
統計情報
指令サーバーに接続するマルウェアの上位(第3四半期)
GoScanSSH
Wapomi
China Chopper
Salty
Maazben
Ramnit
Sdbot
Muieblackcat
その他
50%
29%
10%
6%
1%1%1%1%1%
出典: McAfee Labs, 2018
第3四半期の主なスパム ボットネット
Stealrat
Gamut
Cutwail
Kelihos
その他
Lethic
1% 1%3% 1%
53%41%
出典: McAfee Labs, 2018
ネットワーク攻撃の上位(第3四半期)
46%
17%
10%
9%
8%
5%2%
2%ルーター
サーバー メッセージブロック
ブラウザー
サービス拒否バッファーオーバーフロー
総当り攻撃
スキャン
SSL
ボットネット指令サーバーが最も多く存在する国(第3四半期)
ドイツ
米国
フランス
アルジェリア
ロシア
オランダ
エジプト
中国
英国
香港
その他
31%
11%
30%
6%5%4%3%
2%
3%3%
2%
出典: McAfee Labs, 2018 出典: McAfee Labs, 2018
スパム ボットネットで最も多かったGamutは、性的脅迫(被害者の閲覧習慣を暴露すると脅して金銭を要求)を行っています。スパム ボットネットで2番目に多かったのはStealRatで、全体の41%を占めています。StealRatスパムの大半は出会い系に関連するものでした。Necursボットネットは過去2年間で初めて圏外になりました。2017年第4四半期から2018年第1四半期の発生量を考えると、この現象は一時的なものとみられます。
34 McAfee Labs脅威レポート: 2018年12月
McAfeeおよびMcAfeeのロゴは米国法人McAfee, LLCまたは米国またはその他の国の関係会社における登録商標または商標です。その他すべての登録商標および商標はそれぞれの所有者に帰属します。Copyright © 2018 McAfee, LLC. 4195_12182018年12月
McAfee LabsとAdvanced Threat Researchについて
McAfee Advanced Threat Researchが率いるMcAfee Labsは世界で最先端の脅威研究機関で、脅威情報やサイバーセキュリティに関する最新の情報を提供しています。世界各地に配備した数百万台のセンサーからデータを収集し、ファイル、Web、メール、ネットワークなどに対する脅威を研究・調査し、脆弱性の報告を行っています。McAfee LabsとMcAfee Advanced Threat Researchは、リアルタイムで脅威情報、重要な分析結果、専門的な情報を提供し、保護対策の向上とリスクの軽減に貢献しています。
www.mcafee.com/jp/mcafee-labs.aspx
McAfeeについて
McAfeeは、デバイスからクラウドまでを保護するサイバーセキュリティ企業です。McAfeeでは、より安全なデジタル世界を構築するため、個々の力を結集し、企業と個人を保護するソリューションを提供しています。他社の製品と連携するソリューションを構築することで、真に統合されたサイバーセキュリティ環境を整備し、脅威の対策、検出、修復を連動して行うことができます。McAfeeの個人向けのソリューションは、すべての種類のデバイスに対応しています。自宅でも外出先でも、安心してデジタル ライフを楽しむことができます。McAfeeでは、他のセキュリティ企業との連携を強化し、力を合わせてサイバー犯罪者と戦っています。
www.mcafee.com/jp
〒 150-0043東京都渋谷区道玄坂 1-12-1 渋谷マークシティウエスト20Fwww.mcafee.com/jp
