コンピューターウイルスは「検知ツールの目をかいくぐろう」と考えている

2017年10月13日 11時00分更新

文● せきゅラボ

 コンピューターウイルスを始めとする悪意のあるソフトウェア、マルウェアへの対策として、「ウイルスなどを検知するセキュリティーソフトを導入しよう」とよく言われる。もちろん、これはとても大切なことだ。

 しかし、マルウェアを制作する側も、それを頭に入れているものだ。さまざまな手を講じて、検知ツールの目をかいくぐろうとしている。

 たとえば、「サンドボックス」(sandbox)と呼ばれる、マルウェアを検知する手法がある。子どもの遊び場としての「砂場」を意味する単語で、これが語源になったと言われている。

 サイバー攻撃に対して、シグネチャベースといわれるファイルを排除する方式がある。これは、過去に認識された攻撃パターンをデータベース化し、1つの攻撃パターンを1つのシグネチャとして管理した上で排除する。しかし、この対策で阻止できるのは、存在が知られていて、分析が完了した攻撃のみだ。つまり、初めて見つかった未知のマルウェアは検出できないことになる。

 当然、マルウェアを開発する側とすれば、「マルウェア対策の対策」でシグネチャベースの検査を回避できるように意図して開発する。ターゲットとなる企業や組織に合わせてマルウェアを用意することも珍しくはなく、このような攻撃を回避するにはシグネチャベースでは難しい。

 そこでサンドボックスは、「攻撃されてもよい環境」を仮想環境として構築し、その中で未確認ファイルや疑わしいファイルを隔離した上で動作させ、振る舞いを詳細に分析する。例えば、メールに含まれているURLをクリックしたり、添付ファイルを実行したりといった作業をさせる。そこで、悪意のあるような動きが確認されたら、ブロックしたり通知したりするわけだ。

 しかし今では、サンドボックスと関連する動作が存在するかを検知し、それを回避するようにふるまうマルウェアも出てきている。例を挙げれば、仮想環境上では挙動を変えて実マシン上でのみ動くといった動作をしたり、特定の時間にしか動作しないといったロジックなどが組み込まれていたりする場合がある。セキュリティーの世界では、新しい対策が出てきたら、それを逃れようとする、いたちごっこが繰り返されているというわけだ。

 今回は、McAfee Blogから「マルウェアの自己防衛および自己保護機能の概要」を紹介する。少し専門的な内容を含んでいるが、さまざまなマルウェアの被害が報じられることも多い中、マルウェアがセキュリティツールの検知をかいくぐる術を知ることは、セキュリティへの理解を深めるうえでとても重要だろう。

マルウェアの自己防衛および自己保護機能の概要

 マルウェアの作者の多くは、複雑なコードを開発するために多大な時間と労力をかけています。彼らの成功は、脅威として長時間検出されず、サンドボックス
での解析、アンチウイルス対策、またはマルウェアの解析者を回避できるかにかかっています。このブログでは、検知を回避するためにマルウェアが使用するメカニズムの概要を紹介します。

 マルウェアが簡単に検知されると、データを盗み取りインパクトを最大化するための時間がなくなります。ITセキュリティの市場は成熟しており、現在のセキュリティ対策ツールやアプリケーションの性能は非常に向上しています。ただし、攻撃者もセキュリティツールの動作を理解し、監視を続けています。また、企業や組織は必ずしもベストプラクティスを実践していません。マルウェア対策ツールが最新状態ではない場合も多く、サンドボックスが設定ミスにより簡単に検知されることもあります。

マルウェアの自己防衛機能

 マルウェアは検出や解析を回避するために複数のメカニズムを利用しています。メカニズムの技術は、以下の3つのカテゴリに分類することができます。

  • アンチセキュリティツール:ウイルス対策、ファイアウォール、および環境を保護するその他のツールによる検出を回避するために使用されます。
  • アンチサンドボックス:自動解析機能の検知を行い、マルウェアの挙動を報告するエンジンを回避するために使用されます。
  • アンチアナリスト:マルウェア解析者を検知し、欺くために使用されます。たとえば、リバースエンジニアリングを回避するため、Process ExplorerやWiresharkなどの監視ツールを検知すると同時に、いくつかのプロセス監視の手法やパッカーを使用します。

 これら3つのカテゴリに共通するマルウェアの技術もいくつかあります。RunPE(メモリ上の自身とは異なるプロセスで実行する)などの技術を使用すると、マルウェアはウイルス対策ソフトウェア、サンドボックス、または解析者を回避することができます。

サンドボックスの回避

 サンドボックスはマルウェアを迅速に検出し把握する上で効果的なツールですが、適切に構成しなければ、マルウェアにより簡単にサンドボックスを検知されます。マルウェアは以下の複数の基本的なチェックを実施する場合があります。

 MACアドレスの検知:VMwareやVirtualBoxなどの仮想環境では既知のMACアドレスが使用されます。このアドレスはしばしばレジストリの次の場所に保存されます(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}\0000\NetworkAddress)。マルウェアは、レジストリキーを要求するか、GetAdapterInfo APIを使用するかの2つのいずれかの方法でMACアドレスを検知できます。

DWORD GetAdaptersInfo(
_Out_ PIP_ADAPTER_INFO pAdapterInfo,
_Inout_ PULONG pOutBufLen
);

 プロセスの検知:マルウェアはサンドボックスと関連する動作中のプロセスが存在するかを検知することができます。たとえば、VmwareService.exeなどのプロセスの場合、CreateToolHelp32Snapshot APIを使って現在動作中のプロセスのスナップショットを取得してから、API関数のProcess32FirstとProcess32Nextでスナップショットの各プロセスを一覧化することで、容易に検知することができます。

HANDLE WINAPI CreateToolhelp32Snapshot(
_In_ DWORD dwFlags,
_In_ DWORD th32ProcessID
);BOOL WINAPI Process32First(
_In_ HANDLE hSnapshot,
_Inout_ LPPROCESSENTRY32 lppe
);BOOL WINAPI Process32Next(
_In_ HANDLE hSnapshot,
_Out_ LPPROCESSENTRY32 lppe
);

 レジストリの検知:マルウェアが検知可能なシステムのレジストリキーは、仮想環境により作成されます。以下のリストは完全ではありませんが、マルウェアがチェックする可能性があるレジストリキーの一覧です。

“HARDWARE\\DEVICEMAP\\Scsi\\Scsi Port 0\\Scsi Bus 0\\Target Id 0\\Logical Unit Id 0”
“SOFTWARE\\VMware, Inc.\\VMware Tools”
“HARDWARE\\Description\\System”
“SOFTWARE\\Oracle\\VirtualBox Guest Additions”
“SYSTEM\\ControlSet001\\Services\\Disk\\Enum”
“HARDWARE\\ACPI\\DSDT\\VBOX__”
“HARDWARE\\ACPI\\FADT\\VBOX__”
“HARDWARE\\ACPI\\RSDT\\VBOX__”
“SYSTEM\\ControlSet001\\Services\\VBoxGuest”
“SYSTEM\\ControlSet001\\Services\\VBoxMouse”
“SYSTEM\\ControlSet001\\Services\\VBoxService”
“SYSTEM\\ControlSet001\\Services\\VBoxSF”
“SYSTEM\\ControlSet001\\Services\\VBoxVideo”

 また、マルウェアは以下のいくつかの高度な技術を使用してサンドボックスの検知を行う場合があります。

 フック関数のチェック:フック関数は、OSやアプリケーションの内部関数の振る舞いを変更するための基本的なテクニックです。サンドボックスはフックの技術を使用してサンプルの挙動の変更を行います。たとえば、DeleteFile関数にフックすることで、サンドボックスに捕まったファイルをマルウェアは削除しようとします。このような種類の関数はメモリ上(カーネル空間)の特定の場所に配置されています。

 マルウェアは、呼び出す関数のアドレスをチェックしてフックを検知する場合があります。たとえば、返されるアドレスがカーネルの中にない場合、現在その関数はフックされていることになります。

 マルウェアはハードウェアのサイズチェックや特殊な命令など別の技法を使用して、特定のレジスタを検知することができます(「Red Pill」手法、または「No Pill」手法)。これらのテクニックは、マシン上にあるレジスタは一意なものであり、仮想環境では再配置する必要があるという事実に基づいています。

ウイルス対策の回避

 ウイルス対策ツールが使用する基本機能は、シグネチャ、スキャン、およびヒューリスティックの3つです。

  • シグネチャは、サンプルのハッシュ値を変更することで回避することができます。これは非常に簡単であり、実行ファイルを1バイト変更するだけで実現可能です。
  • スキャンは、大きなファイルを作成してエミュレータを混乱させることで回避することができます。
  • ヒューリスティック分析はより複雑ですが、背後にある関数をフックすることで回避することができます。

 マルウェアがウイルス対策ツールを回避するための別の方法は、ツールを無効化するか例外を追加することです。ポリモーフィック型のコードは特に検知が困難です。

アンチデバッグ

 コード解析時、マルウェア解析者はしばしば深く調査する必要があります。アンチデバッグは、デバッガによるリバースエンジニアリングを回避するための別の技法です。Windows APIを使用すると、デバッガの存在を検知することは比較的容易です。

 IsDebuggerPresent関数:この関数は、PEB(Process Environment Block)構造体の中の特定のフラグであるIsDebuggedをチェックし、デバッガ内でプロセスが実行されていない場合、0を返し、デバッガがアタッチされている場合、0以外を返します。

BOOL WINAPI IsDebuggerPresent(void);

 FindWindow関数:この関数は名前やクラスからウィンドウを検索することができます(例:OllyDbg)。この関数は、WiresharkやProcess Explorerなどのツールを検知することもできます。

HWND WINAPI FindWindow(
_In_opt_ LPCTSTR lpClassName,
_In_opt_ LPCTSTR lpWindowName
);

 CsrGetProcessId関数:この関数は、システムプロセスの1つであるcsrss.exeのプロセスIDを検索することができます。デフォルトではプロセスのアクセストークンのSeDebugPrivilegeの権限は無効になっています。しかし、OllyDbgやWinDbgなどのデバッガによりプロセスがロードされると、SeDebugPrivilegeの権限が有効化されます。プロセスによりcsrss.exeが開かれていることは、プロセスのアクセストークンの権限がSeDebugPrivilegeであることを意味し、対象のプロセスはデバッガであることが推測されます。

アンチ逆アセンブル

 アンチ逆アセンブルは、リバースエンジニアリングによる解析を回避するための別の手法です。逆アセンブルツールを妨害する方法は以下のように数多くあります。

  • APIの難読化を行うと、特定の関数の呼び出しを隠すことができます。その結果、たとえば、API関数の名前を使わずに関数が呼び出されます。解析者はどの関数が利用されたか把握するためにリバースエンジニアリングする必要があります。この作業には時間がかかります。
  • ジャンクコードの挿入:ジャンクコードをマルウェアに挿入することで解析者を欺き、使用しないコードのリバースエンジニアリングに時間を浪費させることができます。ジャンクコードは全く実行はされないため、サンプルの挙動には変化ありません。

「Unprotect Project」について

 マルウェアの解析を回避する方法はたくさんあります。これらの技法は公開されているいくつかのプロジェクトで一覧化されています。Unprotect Projectは、マルウェアの保護と自己防衛技術を集めて一覧化した公開のWikiです。このプロジェクトには、マルウェアの保護機能の理解を促すため、技法を一覧化したマインドマップが載っています。

 このプロジェクトの目標は、コミュニティに対して、検出されずに滞在し、セキュリティ保護を迂回し、解析を回避するためにマルウェアで使用される技術への理解を深めるサポートをすることです。このウェブサイトには次のようなカテゴリがあります。

  • サンドボックスの回避テクニック:サンドボックス解析を回避する。
  • ウイルス対策の回避テクニック:ウイルス対策の検出を回避する。
  • アンチデバッグのテクニック:デバッガを欺き、解析を回避する。
  • アンチ逆アセンブル:逆アセンブルツールを使用したリバースエンジニアリングの回避、およびマルウェアの挙動を理解する。
  • プロセスのトリック:システム上でマルウェアのプロセスを隠ぺいし、検出を回避する。難読化とデータのエンコード:マルウェア内のデータや一部のコードを隠ぺいする。
  • パッカー:マルウェアのコードの保護、および他の回避機能を追加する。

 このWikiは継続的に更新されています。

まとめ

 マルウェアは検出を回避するため、ますます賢くなり、技術の進化が続いています。これらの技法を理解し、情報セキュリティのコミュニティで体験を共有することはマルウェアと戦う上で効果的な方法です。


※本ページの内容は 2016年12月19日更新のMcAfee Blog の抄訳です。
原文: An Overview of Malware Self-Defense and Protection
著者: Thomas Roccia(Principal Consultant at Intel Security Foundstone Services)

【参考資料】
Unprotect Project

■関連サイト



カテゴリートップへ

‘;
} else if(google_ads[0].type == “image”) {
s += ‘

    ‘;
    s += ‘

  • ‘;
    s += ‘

‘;
} else if (google_ads[0].type == “flash”) {
s += ”;
} else if (google_ads[0].type == “html”) {
s += google_ads[0].snippet;
} document.write(s);
return;
}
//–>

「Siri」「Googleアシスタント」は超音波でハッキングできる!?

2017年09月15日 09時00分更新

文● せきゅラボ

 「Siri」や「Googleアシスタント」などの音声アシスタント機能を利用している人は多いだろう。話しかけるだけで操作できる上に、人の声を使うため、他人が悪用しようとしてもすぐに気付くはず。ところが、音声アシスタントを「人には聴こえない音」で操作する方法があるという。

 中国の浙江大学の研究チームが開発した「DolphinAtack」は、超音波を利用して音声アシスタントをハッキングするものだ(論文、外部リンク)。仕組みとしては、人にはほとんど聴こえない20kHz以上の周波数の音声コマンド信号を変調し、小型アンプで増幅して、超高音を再生するスピーカーから鳴らすもの。

 これにより、デバイスのマイクの振動板は、人の声を受け取ったときと同じように振動。そこから生まれた電気信号を認識することで、音声アシスタント機能が、あたかも持ち主の音声で操作されたように誤動作してしまうという。DolphinAtackはSiriやGoogle Homeのみならず、Microsoft Cortana、Amazon Alexaなどのアシスタントも動作させることに成功している。

 ただ、DolphinAtackを使った実験では対象のデバイスに近づかないと動作させることができないため(範囲はおよそ1メートルとのこと)、すぐに悪用されて端末が遠隔操作されるような事態が多発するとは考えにくい。そもそも、音声アシスタントの機能を有効な状態にしておかなければ使えないため、デバイス側で機能をオフにすればこのハッキングは防げる。

 なおこの論文では、デバイスのマイクは20kHz以上の周波数には反応させないようにする、変調した信号を検出したらブロックする仕組みを取り入れるなど、超音波を利用した音声ハッキングについて対策も提案している。

 さて、一般のスマホユーザーは、DolphinAtackの事例から何を学べるだろうか? 超音波で自分のスマホがハッキングされるかもしれない……という恐怖をいたずらに抱くだけでは不十分だろう。最新テクノロジーに精通した犯罪者が新しい攻撃を考える可能性がある以上、スマホユーザー自身がセキュリティ問題を意識することが重要なのだ。

 たとえばスマホのデータをこまめにバックアップして、セキュリティ対策のアプリをインストールしておけば、悪意のある攻撃に対処しやすくなる。また最新のOSやアプリのアップデートをしておけば、報告されている不具合を突いた攻撃を未然に防げるはずだ。

 今回はMcAfee Blogの「Androidスマホの80%にリスク! 暗号化によりセキュリティを確保」を紹介しよう。

Androidスマホの80%にリスク! 暗号化によりセキュリティを確保

 ポケットにスマートフォンを入れたままタイムトラベルをしたとします。中世の農民が初めてこのデバイスを目にしたら、当然、興味を持つでしょう。そのとき、農民にスマートフォンの仕組みを説明できますか。スマートフォンは仕組みを知らなくても簡単に使えるため、ほとんどの人は説明できないでしょう。そして、これこそまさに問題の原因になっているのです。中世の農民と同じように技術的知識のない消費者は、最新テクノロジに精通した犯罪者にとって格好の標的です。そのため、最近のサイバー犯罪では特に、Androidスマホに利用されているLinuxカーネルという技術コンポーネントをベースにした新しい戦術(英文)が使われるケースが増えています。

 その手法を理解するには予備知識が必要です。まず、ソフトウェアは複数の層で構築されています。家を建築する方法を思い浮かべてください。屋根は壁、足場、基礎によって支えられています。Androidなどのオペレーティングシステムも同じです。つまり、AndroidデバイスではLinuxカーネルが基礎の層となり、それによって、アプリケーションとデバイスのハードウェアの通信方法が定義されます。

 そのため、サイバー犯罪者はLinuxカーネルを悪用できれば(英文)、直接携帯電話を悪用できます。これはユーザーのデバイスに不正な命令を送信するためにWebサイトに侵入していた従来の攻撃に比べると格段に進歩しています。この新しい方法ならそのような方法は必要ありません。Webサイトを経由しなくてもデバイスのふるまいを変更することができるのです。

 これは何を意味するのでしょうか。たとえば、見たこともないWebサイトが表示されることがあります。その保護されていないWebサイトに突然、ログインプロンプトが表示されます。ユーザー名とパスワードを入力すると、その情報が犯罪者の手に渡る仕組みになっています。犯罪者はユーザーのデバイスのソフトウェアを悪用して、デバイスのふるまいを制御していたのです。専門家は、Linuxカーネルの問題はAndroidスマホの80%までに影響を与える可能性があると推定しています。それは14億台のデバイスに相当します(英文)!

 パニックが起こらないよう、Androidスマホを安心して使用するための重要な注意点(英文)をお教えしましょう。まず、犯罪者は単純にスマホにリモートアクセスすることはできません。そのような不正行為を行うには、Webサイトやメッセージ、ニュースフィードの共有リンクを悪用して、ユーザーのデバイスからの接続に侵入する必要があります。つまり、IPアドレスと送信元の情報を入手する必要があります。さらに、接続のテストに10秒かかり、不正なコードの注入に45秒かかります。そのため、平均的な市民に対してこのような攻撃が大規模に仕掛けられる可能性はほとんどありません。

 また、ユーザー自身が大小のセキュリティ問題を意識することが重要です。ユーザーの知識が多ければ多いほど、より適切に自分自身を保護することができます。たとえば、Linuxカーネルのハッカーがスマホの接続にアクセスする必要があることを知っていれば、その抜け穴を悪用から防御できます。暗号化された通信を使用すれば、最初からサイバー犯罪者の侵入を拒否することができます。Android 端末を保護する方法を含め、ヒントを以下で紹介します。

モバイルでWebサイトを表示する場合、「https」の「s」があることを確認します。
接続の安全を保証するWebトラフィックの標準(英文)はいくつかありますが、すべてのWebサイトが従っているわけではありません。しかし、スマホで安全に利用できるWebサイトを特定することは可能です。Webサイトアドレスが「https」で開始していることを確認するだけです。ブラウザによってはその部分が非表示になっていますが、その場合は通常、サイトが安全であるかどうかを知らせる機能が組み込まれています。
評判のよいWebアプリケーションやモバイルアプリを使用します。
ユーザーもリソースも多い大企業では、アプリケーションの保護が重視されます。たとえば、Gmailではメッセージの内容だけでなく、トランジット接続も暗号化されます。不明な点が多いサードパーティ製のアプリケーションは避けてください。
Androidは必ず更新します。
セキュリティの問題が検出されたら、ソフトウェアをアップデートして新しい防御を適用します。Linuxカーネルのように、Androidの古いバージョンではなく新しいバージョンに影響するような問題は例外的なケースです。一般的にはデバイスは常に更新すべきです。暗号化技術が改善された場合は特に、更新は重要です。

 そして、もちろん、マカフィー公式Twitterをフォローして、消費者とモバイルセキュリティに対する最新の脅威を確認してください。また、マカフィー公式Facebookの「いいね!」もお願いします。


※本ページの内容は 2016年8月19日更新のMcAfee Blogの抄訳です。

原文: 80% of Android Phones Are at Risk! Luckily, People Can Use Encryption for Safety
著者: Gary Davis(Chief Consumer Security Evangelist)

■関連サイト



カテゴリートップへ

‘;
} else if(google_ads[0].type == “image”) {
s += ‘

    ‘;
    s += ‘

  • ‘;
    s += ‘

‘;
} else if (google_ads[0].type == “flash”) {
s += ”;
} else if (google_ads[0].type == “html”) {
s += google_ads[0].snippet;
} document.write(s);
return;
}
//–>

サイトを見ただけで感染!? 「ステガノグラフィー」とは

2017年07月14日 09時00分更新

文● せきゅラボ

 マカフィーはMcAfee Labs脅威レポート 2017年6月を公開している。そのレポートには、脅威統計情報だけではなく、最近のセキュリティー事情についてのトピックも含まれている。

 2017年上半期において目立ったセキュリティーのトピックといえば、世界中で流行したランサムウェアだろう。また、IoT機器を狙った攻撃も話題になることが多い。これらについては、報道などで聞いている、ある程度の知識を持っている……という人もいるはずだ。

 では、「ステガノグラフィー(steganography)」をご存知だろうか。ギリシャ語で「隠された」を意味するstegosと、「記述」を意味するgrafiaに由来する言葉。秘密のメッセージを隠すための理論や方法のこと。マカフィーは今回のレポートで、この手法を利用した攻撃について解説している。

 デジタルの世界におけるステガノグラフィーとは、画像、音声、動画、テキストファイルにメッセージを隠蔽することを指す。たとえば音声による隠蔽では、人間の聴覚範囲を超えた周波数を利用し、オーディオファイルにノイズとしてメッセージを埋め込み、秘密の情報を伝送できる。

 デジタルのステガノグラフィーで最も一般的な形態は、画像を使用するものだ。カバー画像のピクセル値を直接操作したり、画像の一部の明るさ(輝度)を変更したりすることで、データを隠蔽、またはマスキングする。

 このステガノグラフィーを使って感染するマルウェアもある。たとえば、バナー広告の画像にコードを埋め込むというパターンだ。ユーザーがウェブサイトを閲覧しているとき、不正コードの含まれたバナーが表示されたとする。すると画像内に埋め込まれたスクリプトが、コンピューターの情報を悪意のある攻撃者のサーバーに送り、そこからウェブブラウザーの脆弱性を突いた攻撃がスタート。最終的に、コンピューターにマルウェアが送り込まれてしまうというものだ。

 このように、お気に入りのサイトを見るだけで感染してしまうケースもあるステガノグラフィー。古くからある手法だが、最近では、この方法による攻撃の有効性が注目されている。

 一部のマルウェアは検出を回避するため、ステガノグラフィーを利用し、無害に見えるカバーファイルに不正なコンテンツを隠す。ほとんどのマルウェア対策は構成ファイル内の不正なコンテンツを検出するのだが、ステガノグラフィーでは、構成ファイルがカバーファイルに埋め込まれていたり、メインメモリーに展開される場合があるため、検出は困難になる。

 つまり、ステガノグラフィーは、マルウェア対策による検出を回避できることが多いのだ。セキュリティーシステムの検知から逃れやすいとなれば、この手法を使用する攻撃が増加することが予想される。

 もちろん、セキュリティーベンダー側も黙ってみているわけではない。セキュリティーソフトでステガノグラフィーコードを含む既知のマルウェアを検知するだけでなく、未承認のアプリケーションとコードをブロックできるようにするなど、さまざまな対策を講じている。

 セキュリティーを取り巻く状況は日々移り変わっている。最新のデータを知り、セキュリティーへの意識を持つことが大事になってくるだろう。今回はMcAfeeの最新レポート概要を紹介しよう。レポートの詳細には、ステガノグラフィーについての解説と対策も載っているので、ぜひチェックしてほしい。

マルウェアやランサムウェアなど、83ページにおよぶMcAfee Labsの概要

 マカフィーは、McAfee Labs脅威レポート 2017年6月(対象期間:2017年1月~3月)を公開しました。今回のレポートは83ページという大作で、通常の脅威統計情報のほか、次の3つの興味深いトピックが含まれています。

  • マルウェア作成者が目的を達成するために、どのようにマルウェア検知回避技術を使用するかについて広く分析しています。主な内容は、回避技術に関する30年以上の歴史、入手可能な検知回避技術が流通する闇市場、現代のマルウェアファミリーによる検知回避技術の使用例、機械学習やハードウェアベースの検知回避などです。
  • 我々は、デジタル世界におけるステガノグラフィーについて研究しています。ステガノグラフィーとは、秘密のメッセージを隠すための理論や方法です。デジタルの世界では、画像、音声、動画、テキストファイルにメッセージを隠蔽することを指し、マルウェア作成者がセキュリティ システムの検知を逃れるために利用されます。マカフィーはこれを最新かつ重要な検知回避技術と考えており、具体的にどのように回避が行われるかを解説しています。
  • 我々は最も悪名高いパスワード窃取マルウェアであるFareitを分析しています。その起源や典型的な感染経路、アーキテクチャーや内部的な挙動、進化の過程、そして2016年のアメリカ合衆国大統領選挙を前に注目を集めた民主党全国委員会(DNC)の情報漏洩事件でどのように使用されたと考えられているか、などを解説しています。

 これらの重要な各トピックについて、McAfee製品がこれらの脅威に対しどのような保護機能を提供できるかを詳しく解説したソリューション概要資料も提供しています。

 次に、2017年第1四半期(2017年1月~3月)における脅威活動の広範な分析から、ハイライトをご紹介します。

マルウェア:新規マルウェアサンプル数は、過去3四半期は減少傾向にありましたが、2017年第1四半期は3,200万個に再度増加しました。そしてマルウェアサンプルの総数は、前年同期より22%増の6億7,000万個に達しました。

ランサムウェア:2017年第1四半期に新規ランサムウェアが再度増加したのは、主にAndroid OSを標的としたCongur系ランサムウェア攻撃によるものです。過去1年間のランサムウェアの合計サンプル数は、59%増の960万個に達しました。(私たちは次回のレポートで“WannaCry”についてお伝えする予定です)

モバイルマルウェア:アジア地域からのモバイルマルウェアの報告が倍増し、世界の感染率が57%上昇しました。過去4四半期で検知されたモバイルマルウェアの合計サンプル数は、1,670万個で前年同期比79%増を記録しました。

セキュリティインシデント:2017年第1四半期に公表されたセキュリティインシデントは、前期比53%増の301件を記録し、そのうち50%以上は医療、公共、教育部門で発生しました。また、第1四半期に公表されたすべてのセキュリティインシデントの78%がアメリカで発生しました。

 詳細はMcAfee Labsの脅威レポート 2017年6月をご覧ください。



カテゴリートップへ

‘;
} else if(google_ads[0].type == “image”) {
s += ‘

    ‘;
    s += ‘

  • ‘;
    s += ‘

‘;
} else if (google_ads[0].type == “flash”) {
s += ”;
} else if (google_ads[0].type == “html”) {
s += google_ads[0].snippet;
} document.write(s);
return;
}
//–>

身代金を要求する「ランサムウェア」新型は拡散力がヤバイ!

2017年07月07日 09時00分更新

文● せきゅラボ

 2017年5月に猛威を振るったランサムウェア「WannaCry」攻撃の1ヵ月後、新たなランサムウェアによる攻撃が世界中で再び発生している。

 ランサムウェア(Ransomeware、身代金を意味する「Ransom」と「Software」による造語)とは、パソコンやスマートフォンなどのデータ、もしくは端末自体を暗号化して使用不能にし、それらを復号化することと引き替えに身代金を要求する不正プログラムのこと。

 今回、新たに出現したランサムウェアは「Petya」または「Petwrap」と呼ばれるものだ。感染先のコンピューター上のファイルを暗号化するだけでなく、パソコンを起動する際に参照されるマスターブートレコード(MBR)をも暗号化し、コンピューターを使用不能に陥れる。そして暗号の解除と引き換えに、300ドル相当の仮想通貨Bitcoin(ビットコイン)を支払えと要求する。

 ヨーロッパを中心に感染が広がっており、とくにウクライナでは中央銀行や空港などにも被害が広がっているほか、チェルノブイリ原子力発電所のシステムに感染したという報道もあった。

 実はこのPetya、2016年3月頃に一度確認されているもの。しかし、WannaCryにも見られた感染拡大の仕組みに似た特徴が付加され、さらに悪質な亜種となっている。

 まず、WannaCryと同様にETERNALBLUE(MSの脆弱性:CVE-2017-0145を突いて感染を広げるツール)が活用されている(関連記事)。また、Windows端末のリモートからの管理に使用される管理共有と、WMIC(Windows Management Instrumentation Command-line)の仕組みを利用してマルウェアの実行を試みるように、感染機能が強化されている。

 ネットワーク経由で侵入・拡散できるため、組織内のシステムが脆弱性を抱えていた場合、その組織内の1つのシステムに感染することで、同じ脆弱性を持つその他の多くのシステムにも拡散し、影響を与えてしまう。

 対策としては、セキュリティソフトの更新ファイルを最新の状態にすること、OSやアプリケーションを最新の状態にアップデートすることはもちろん、パソコンとは違うデバイスにバックアップを取っておくことが肝心。また、このランサムウェアはフィッシングメールで送られてくる可能性もあるので、スパムやフィッシングメールに注意することも重要だ。

 WannaCryによる大被害を繰り返さないためにも、このPetyaについてしっかりと知っておきたいもの。今回はMcAfee Blogの「WannaCryを手掛かりにしたPetyaランサムウェアの新しい亜種が登場を紹介しよう。

WannaCryを手掛かりにしたPetyaランサムウェアの新しい亜種が登場

 悪名高いWannaCry攻撃の1ヵ月後の今日現在、新たなランサムウェアによる攻撃が世界中で再び発生しています。このランサムウェアはPetyaまたはPetwrapと呼ばれるもので、ウクライナの政府機関、電力網、銀行、公共交通機関などを含む、ヨーロッパ各地の企業や組織を攻撃し、ビットコインで300米ドルの身代金を要求します。

 WindowsサーバーやPCを標的としたPetyaランサムウェアによるサイバー攻撃は、2016年3月頃に一度確認されているPetyaランサムウェアの新しい亜種です。5月に猛威を振るったWannaCryと同様に、WindowsのSMB(Server Message Block)の脆弱性(通称Eternal Blue)を利用していますが、暗号化する対象が異なります。

 このPetyaの新しい亜種では、ファイルの暗号化だけでなく、PCを起動する際に参照されるマスターブートレコード(MBR)も暗号化されるため、被害者のPCが使用不能になります。感染した際に表示されるメッセージでは、ユーザーにシステムのリブートを推奨しますが、リブートするとシステムにアクセスできなくなります。つまり、システムのOSが起動ファイルをみつけられなくなるのです。

Petyaランサムウェアへの注意喚起と対策

 このPetyaランサムウェアに対して、ユーザーが安全を保つための対応を以下にご紹介します。この攻撃は主に企業を対象としているものですが、企業や個人を問わず、十分な注意を払って、予防措置を取ることが重要です。

– アンチウィルス ソフトウェアを最新の状態にアップデート
常に最大限の防御策を取るために、あなたのアンチウイルス ソフトウェアが最新のものになっていることを確認してください。

– メールにあるURLのクリックに注意
このランサムウェアはフィッシング詐欺メールで送られてくる可能性もあるので、いかなるときでも電子メールが正規のものかどうかを確認してください。リンク上にカーソルを合わせ、信頼できるURLかどうかを確認しましょう。もしメールの内容や送信元が知らないものであった場合は、素早くGoogle検索を行い、メールの正当性について確認出来るものを探しましょう。

– 十分なバックアップを取る
すぐにすべてのマシンのバックアップを取ってください。マシンがPetya ランサムウェアに感染すると、データが完全に消去される可能性があります。そのため、すべての拠点で、データを外付けHDDや他の場所に保存するようにしてください。

– システムおよびアプリケーションのアップデートを適用
ランサムウェアの拡散を防ぐため、OSが最新のものであることを確認してください。PetyaはWannaCryと同じ技術(WindowsのSMBの脆弱性)を悪用して組織内で拡散し、OSが最新になっていないシステムに感染します。

 引き続き最新の情報を入手次第、ブログなどで更新していきます。

■関連サイト



カテゴリートップへ

‘;
} else if(google_ads[0].type == “image”) {
s += ‘

    ‘;
    s += ‘

  • ‘;
    s += ‘

‘;
} else if (google_ads[0].type == “flash”) {
s += ”;
} else if (google_ads[0].type == “html”) {
s += google_ads[0].snippet;
} document.write(s);
return;
}
//–>

私のAndroidスマホをランサムウェアから守りたい!

スマホとPCをサイバー攻撃から守る術
第2回

PCからのリンク送信を活用してマカフィー リブセーフを速攻導入

2017年06月28日 13時00分更新

文● 二瓶朗 編集●村山剛史

巷を賑わせているランサムウェアやフィッシングサイトといったネット上の脅威から身を守る術をご紹介! たった1本で家族全員のパソコンとスマホすべてを守ってくれるセキュリティ対策製品「マカフィー リブセーフ」とその周辺サービスを駆使していこう。

セキュリティ対策製品「マカフィー リブセーフ」の基本的な使い方からちょっとおトクな小ワザまでお届け!

ランサムウェアはスマホも標的にする! 脅威から逃れる術は?

 Androidスマホも、さまざまな脅威に晒されている。データを人質に取られてしまう最近流行りのランサムウェアをはじめ、公式のGoogle Playからダウンロードできるアプリにマルウェアが仕込まれていた、よく使う通販サイトのURLかと思ったらじつはフィッシングサイトだった、なんて話はよく聞くところだ。

 また、どこかに置き忘れたり、盗難されたりして行方不明! という不測の事態に陥りかねないのもモバイルデバイス全般の弱点といえる。そういった“スマホならでは”の脅威にも「マカフィー リブセーフ」は有効なのだ。

 アプリやSDカードなどから侵入してこようとするウイルスへの対策、怪しいURLへのアクセスをブロック、安全確保されていないWi-Fiへの接続を切断するなど、Androidスマホを安全に使うための機能が揃っている。

 機能の詳細についてはおいおい解説することとして、まずはAndroidスマホへマカフィー リブセーフをインストールする手順について解説していこう。

インストールは簡単! PCからAndroidスマホにリンクを送信でOK

 インストールの前に、まずはマカフィーアカウントを取得しておいてほしいので第1回の記事を参照していただきたい。1本で家族全員のデバイスを守ってくれるのがマカフィー リブセーフ最大の特徴なのだから、この機会にスマホだけでなく手持ちのPCやタブレットにも入れてしまうのが吉だ。

 また、インストール方法はいくつかあるが、PCからマイアカウントにログインして、スマホへダウンロードリンクを送信する方法がラクチンだ。

 Androidスマホへのマカフィー リブセーフのインストールは、PCからのリンク送信を活用すれば、このような感じで一気に済ませることができる。なお、マカフィー リブセーフの機能は多彩なので、それぞれについてはまた改めて解説していくこととしよう。お楽しみに!

■関連サイト



カテゴリートップへ

‘;
} else if(google_ads[0].type == “image”) {
s += ‘

    ‘;
    s += ‘

  • ‘;
    s += ‘

‘;
} else if (google_ads[0].type == “flash”) {
s += ”;
} else if (google_ads[0].type == “html”) {
s += google_ads[0].snippet;
} document.write(s);
return;
}
//–>

1本で家族全員守ってくれるマカフィー リブセーフのインストール方法

スマホとPCをサイバー攻撃から守る術
第1回

パソコン・スマホを手軽でリーズナブルに守る第一歩

2017年06月21日 13時00分更新

文● 二瓶朗 編集●村山剛史

巷を賑わせているランサムウェアやフィッシングサイトといったネット上の脅威から身を守る術をご紹介! たった1本で家族全員のパソコンとスマホすべてを守ってくれるセキュリティ対策製品「マカフィー リブセーフ」とその周辺サービスを駆使していこう。

セキュリティ対策製品「マカフィー リブセーフ」の基本的な使い方からちょっとおトクな小ワザまでお届け!

“セキュリティは敷居が高い”は都市伝説
スマホ・パソコンは手軽でリーズナブルに守れる

 このところ、ランサムウェアの脅威がニュースなどで取り上げられることが多くなっている。自分の大切なデータが人質に取られるなんて恐ろしいことだガクブル。ランサムウェア以外にも、ウイルスだのフィッシングサイトだのと、パソコンやスマートフォンの周囲には脅威があふれている(らしい)。

 そういった脅威から身を守るには、セキュリティ対策製品を導入するのが近道だ。しかし、「設定が難しそう」「お高いんでしょう?」と、セキュリティ製品は敷居が高いと思い込み、その導入をためらっている人もいるのでは。

 しかし! そんな心配は無用というものだ。「マカフィー リブセーフ」なら導入も設定も簡単で、さまざまな脅威からすぐに身を守ることができる。また1ライセンスを家族全員で使えるという経済的メリットもある。1年版・1ライセンスの価格は8208円(執筆現在は特別価格5746円!)。これで家族全員が持っているすべてのパソコンやスマホを守れるなら安いもの。

 細かい話はおいおい解説していくこととして、さっそくマカフィー リブセーフを導入していくこととしよう。その最初の一歩は、ユーザー登録をしてマカフィーの「マイアカウント」を作成することだ。

 このマイアカウントさえ作ってしまえば、以降は自分の好きなタイミングでマカフィー リブセーフをインストールできるからだ。また、1つのアカウントを使って、Windowsパソコン、Mac、スマホ、タブレットなどなど複数のデバイスへのインストールも可能になる。何はともあれ今回はまずマイアカウントの作成とインストールを試してみよう。

ダウンロードファイルを準備しよう

 まずはWindowsパソコンへのインストールを進めて行くこととしよう。なお、マカフィー リブセーフは30日間、無償で利用することが可能なのでまずはお試しでインストールするのもアリだろう。

 そしてマカフィー リブセーフは、マカフィーのWebページのそこここからインストールできるのが大きな特徴だ。マイアカウントにログイン後の「ダウンロード」ページのほか、無料体験版の紹介ページから「体験版を入手」をクリックすることでもダウンロードできる。もちろん、製品購入ページの「今すぐ購入」からでもOKだ。

30日間の無料体験版でお試ししたいなら画面右上に注目

リブセーフなどの無料体験版をダウンロードできるページに飛ぶ

メールアドレスを入力して、アカウント登録を始めよう

氏名、メールアドレス、パスワードを入力して「同意する」をクリック。使用許諾ももちろん確認しておこう

登録が完了したら、ファイルのダウンロードが可能となる

 マカフィーの「マイアカウント」を作成したのなら、その流れでインストールファイルをダウンロードできる。

未ログインの場合は、まず前回登録したメールアドレスとパスワードを入力してログインしておこう

Windowsパソコンにマカフィー リブセーフをインストールする

 と、意気込んではみたものの、じつはインストール操作もカンタンだ。ダウンロードしたインストールファイルをダブルクリックしてインストールを始めよう。

インストールファイルをダブルクリックすると、まずはこの画面が表示されるはず。さっそく「インストール」をクリックしよう

システムチェックなどが実行される。古いバージョンのマカフィー リブセーフやほかのセキュリティソフトがインストールされている場合はここでアンインストールを促されることも

古いマカフィー リブセーフが残っていた筆者の環境。再起動を促されたので従う

左上のパーセンテージの上昇とともにインストールが進んでいく

最後にパソコンを再起動すればインストール完了だ! これでサイバー攻撃も怖くない

 再起動後、晴れてあなたのパソコンはマカフィー リブセーフで保護済みとなった。「ね、カンタンでしょう?」と言いたくなるほど、インストールはすんなり完了する。そしてマカフィー リブセーフのメリットは、このまま特に操作しなくても“いい感じ”に守ってくれること。後ほど各種機能について解説しようと思うが、基本的にはインストール完了時点で安心して大丈夫なのだ!

 次回はAndroidスマホへのインストール方法を紹介しよう。

■関連サイト



カテゴリートップへ

‘;
} else if(google_ads[0].type == “image”) {
s += ‘

    ‘;
    s += ‘

  • ‘;
    s += ‘

‘;
} else if (google_ads[0].type == “flash”) {
s += ”;
} else if (google_ads[0].type == “html”) {
s += google_ads[0].snippet;
} document.write(s);
return;
}
//–>

Mac OSのマルウェアが245%増加ってマジ?

2017年05月05日 09時00分更新

文● せきゅラボ

 マカフィーは4月6日(現地時間)、脅威インテリジェンスの共有に向けた課題、攻撃の検証結果などを報告した、最新の脅威レポート「McAfee Labs脅威レポート: 2017年4月」を発表した。

 それにあわせて、4月17日には、レポートをもとにした報道関係者向け勉強会が開催された。マカフィー セールスエンジニアリング本部 本部長 櫻井秀光氏によると、2016年第4四半期は「世界中で1分あたり176件のサイバー上の脅威」を検知したという。

 櫻井氏も「驚いた」というのが、Mac OS(ここでは、アップルが開発・販売するオペレーティングシステムのmacOS、OS X、Mac OS Xをまとめて指す)のマルウェアが急増している点。合計サンプル数は前期比245%の増加を記録。2016年通年でのMac OSマルウェア合計数は、実に前年比744%の増加となっている。

 増加の原因は、アドウェアの急増によるもの。フリーツールなど広告を表示してサイトに誘導するものやメールの添付ファイル、ウェブの脆弱性、不審なウェブサイトを経由して感染が広がったと分析している。件数自体はWindowsやAndroidに及ばないものの、Mac OSもセキュリティーへの対策がきわめて重要といえる。

 また、ランサムウェアの被害も相変わらず報告されている。変わった例では、オーストラリアのラグジュアリーホテルがランサムウェア攻撃を受けた結果、ホテル側が1500ユーロ相当のビットコインを支払い、カードキーから物理的な「鍵」に変更せざるを得なくなったという事件が発生した。

 攻撃者は、ホテルの予約システムと管理システムに攻撃をしかけ、ランサムウェアで両システムをロックした。そのため、ホテル側は宿泊客用のルームキーの新規発行、再発行ができなくなり、攻撃者の要求を受け入れざるを得ない状況になったという。

 とはいえ、第4四半期に検知されたランサムウェアはおよそ37万件。これは前期比で約71%減という数字。2016年通年で発見されたランサムウェアの合計サンプル数は前年比88%の増加を記録しているとはいえ、その勢いには減少傾向もみられるようだ。

 このように、セキュリティーを取り巻く状況は日々移り変わっている。最新のデータを知り、セキュリティーへの意識を持つことが大事になってくるだろう。今回はMcAfeeの最新レポートを紹介しよう。これを読んで、今日の脅威動向についての知識を高めてほしい。

McAfee Labs脅威レポート: 2017年4月

  • データの量、検証、品質、速度、相関分析が、脅威インテリジェンスの共有に向けた障壁になっていることが判明
  • 2016年第4四半期中、1分あたり176件、1秒あたり3件近くのサイバー上の脅威をMcAfee Labsが新たに検知
  • 2016年第4四半期中、ランサムウェア ファミリー「Locky」と「CryptoWall」の活動は衰退したものの、2016年全体ではランサムウェアが前年比88%増加
  • 2016年を通じてモバイル マルウェアは前年比99%増加するとともに、2016年通年で発見されたマルウェアのサンプル合計数は6億3,800万個で前年から24%増加
  • Windowsへの脅威との比較ではまだ極めて少ないものの、第4四半期の新規Mac OSマルウェアのサンプル数は245%の急増、2016年通年のサンプル合計数は744%の増加を記録
  • McAfee Labsは、毎分5台のIoTデバイスで、IPアドレスがMiraiに感染していると試算

 米国マカフィー(McAfee LLC、本社:米国カリフォルニア州)は本日、脅威インテリジェンスの共有に向けた課題、IoTデバイスを標的としたMiraiボットネットの詳しい構造と内部的な挙動、さまざまな業界で報告されている攻撃の検証結果、マルウェア、ランサムウェア、モバイル マルウェアを含む、2016年第4四半期に確認された脅威の増加傾向について報告する最新の2016年第4四半期の脅威レポート「McAfee Labs脅威レポート: 2017年4月」を発表しました。

 本レポートでは、脅威インテリジェンスの構成要素、情報源、共有モデル、すなわちセキュリティ運用チームで脅威情報の共有を強化する方法や、セキュリティ業界が解決すべき極めて重要な課題など、脅威インテリジェンス共有の背景やそれを促進する要因などについて説明しています。レポートで紹介されている脅威インテリジェンス共有に関する主な課題は以下の通りです。

  • データの量:現在でも、大量の情報から不要なデータを取り除くという課題が原因で、防御側が取り組むべき最優先のセキュリティ インシデントに対し、優先度や対応範囲を決め、対処する、といったことができていません。
  • データの検証:攻撃者が、脅威インテリジェンス システムを騙し、混乱させるために偽の情報を送信する可能性があります。その結果、これらの偽の情報が正しく処理されない場合、正規の情報源からの脅威情報が改ざんされる可能性があります。
  • データの品質:セキュリティ ベンダーは、脅威データをより多く収集し、共有することだけにこだわると、大量の重複データが生成され、貴重な時間と労力が無駄になる危険性があります。センサーを通じて、持続型攻撃の構造上の重要な要素を識別できるデータを取得する必要があります。
  • データの速度:脅威インテリジェンスを受け取るのが遅れてサイバー攻撃を阻止できなかったとしても、その情報は感染後のクリーンアップ プロセスに役に立ちます。一方で、セキュリティ センサーやシステムは、攻撃の速度に対応するためにほぼリアルタイムのスピードで脅威インテリジェンスを共有する必要があります。
  • データの相関分析:組織に関連するパターンや重要なデータ ポイントを特定できない場合、そのデータをインテリジェンスへと変換し、その後、セキュリティ運用チームの役に立つ情報として提供することができません。

 脅威インテリジェンス共有の効率や効果を向上させるため、McAfee Labsは以下の3つの点に注力することを提案しています。

  • イベントの優先度判断:イベントの優先度を簡単に設定し、セキュリティ担当者が優先度に応じて対処できる環境を用意する。
  • 関連付け:さまざまな侵害の兆候を相互に関連付けて分析し、防御側でサイバー攻撃の関係性を把握する。
  • 共有モデルの強化:自社製品間だけでなく、他社製品の間でも脅威インテリジェンスの共有を強化する。

Miraiボットネットの急増
 第4四半期に大きな話題となった、米国の大手DNSサービス事業者のDyn社を狙ったDDoS攻撃には、Miraiが関与していました。Miraiは、脆弱なIoTデバイスを検出して感染し、そのデバイスを標的型攻撃用のボット化して攻撃に利用します。

 マカフィーのCEOであるクリス・ヤング(Christopher Young)は次のように述べています。「現代のあらゆるものがインターネットに接続された時代において、サイバーセキュリティは最大の課題であり、家族、企業幹部、そして世界の指導者にとって大きな負荷となっています。明確な目的を持った独立企業となるマカフィーは、世界共通の脅威に対して人材、技術、組織を統合するための俊敏性を獲得するとともに、テクノロジーが導く未来の安全を実現するために取り組みます」

 10月にMiraiのソース コードが一般公開されたため、そこから派生型のボットが急増する結果となりましたが、大多数はスクリプト キディ(他人の作成したプログラムを悪用する比較的技術レベルの低いハッカー)によるものと思われ、その影響は比較的限定されています。しかし、ソース コードが公開されたことで、Miraiをベースにした「サービスとしてのDDoS(DDoS as a Service)」が出回るようになり、洗練されたものではないものの、意欲的な攻撃者が、セキュリティが脆弱な他のIoTデバイスを利用したDDoS攻撃を実行しやすくなりました。Miraiボットネットを利用したDDoS攻撃は、サイバー犯罪市場のサービスとして1日あたり50~7,500米ドルで購入することができます。

 McAfee Labsは、2016年第4四半期末までに250万台のIoT デバイスがMiraiに感染したと予測しています。これは、1分あたり約5台分のIoTデバイスのIPアドレスがMiraiボットネット化していたことになります。

 Miraiボットネットの詳細については、このトピックに関する当社のブログ(英語)や動画(英語)をご覧ください。

2016年第4四半期の脅威動向
 2016年第4四半期中、McAfeeの世界規模の脅威データベースであるGTI(グローバル脅威インテリジェンス)ネットワークは、さまざまな業界におけるサイバー脅威の増加とサイバー攻撃のインシデントで顕著な傾向を確認しました。

  • マルウェアの増加:第4四半期、マルウェアの新規サンプル数は前期比で17%減少しましたが、2016年通年で発見されたサンプルの合計数は6億3,800万個と、前年比24%の増加を記録しました。
  • モバイル マルウェア:第4四半期、モバイル マルウェアの新規サンプル数は前期比で17%減少しましたが、2016年通年で発見されたモバイル マルウェアの合計数は前年比99%の増加を記録しました。
  • ランサムウェアの増加:第4四半期、ランサムウェアの新規サンプル数は前期比で71%減少しました。主な理由は、一般的なランサムウェアの検出数が減少したことと、「Locky」および「CryptoWall」のランサムウェア ファミリーが活動を衰退させたことによるものです。2016年通年で発見されたランサムウェアの合計サンプル数は前年比88%の増加を記録しました。
  • Mac OSマルウェア:Windowsの脅威と比較するとまだ数は少ないものの、アドウェア(広告を表示するソフトウェア)が電子メールやWebサイト経由で拡散したことなどが原因で、第4四半期に新たに発見されたMac OSマルウェアの合計サンプル数は前期比245%の増加を記録しました。2016年通年でのMac OSマルウェア合計数は前年比744%の増加となっています。
  • スパム ボットネット:第4四半期に10大ボットネットから配信されたスパム電子メールやメッセージの数は、前期比24%減の1億8,100万件でした。2016年通年では、これらボットネットから9億3,400万件のスパム メッセージが生成されました。
  • セキュリティ インシデントの報告:マカフィーは、第4四半期に一般開示されたセキュリティ インシデントを197件確認しました。2016年全体では、974件のセキュリティ インシデントが一般開示されています。セキュリティ インシデントとは、情報資産の完全性、機密性、または可用性が危険に曝された出来事を意味します。こうしたインシデントには情報漏洩が含まれます。情報漏洩とは、データの開示が確認されたインシデントを意味します。
  • 公的機関へのサイバー攻撃:現時点で最大のインシデント件数が確認されているのは公的機関を標的としたものですが、この原因はインシデント報告要件の厳格さに加え、大多数は投票者データベースに関するインシデントや選挙ウェブサイトへの迷惑書き込みなど、アメリカ大統領選に関わる攻撃の増加によるものではないかとマカフィーでは考えています。
  • 金融とゲーム関連の攻撃:第3四半期にソフトウェア開発部門でインシデントが急増した原因は、ゲーム プラットフォームへの攻撃の増加にあります。金融部門では、金融部門へのSWIFT攻撃が原因で、第2四半期のインシデント数が急増しました。
  • ボットネットの活動:医薬品やロシア製自動車部品(「格安の冬用タイヤと夏用タイヤ」など)を装う「KelihosC」ボットネットが原因で、第4四半期にボットネットの合計数が増加しました。

 マカフィーのMcAfee Labs担当バイス プレジデントであるヴィンセント・ウィーファー (Vincent Weafer) は、「セキュリティ業界では、企業間、ベンダーの提供するソリューション間、また、ベンダーの製品ポートフォリオ間でも、脅威インテリジェンスの共有に極めて大きな問題が発生しています。マカフィーの掲げるTogether is Powerのコンセプトのもと、この問題に対処することで、サイバーセキュリティ チームは検知の自動化やインシデント対応を効率的に行うことができ、これが最終的に、サイバーセキュリティ戦争で防御側が優位に立てるかどうかを決定します」と述べています。

 また、ウィーファーは、「巧妙さを増す攻撃者は、従来のようなサイロ化された防御システムから巧みに逃れます。サイロ化されたシステムでは情報が共有されないため、他の場所では阻止されている脅威であっても、別の場所で侵入されてしまいます。脅威情報を共有することで、企業は各所で発生している脅威の経験から学び、さまざまな特徴に基づく情報を得て、サイバー上のイベントの流れをより確実に把握できるようになります」と述べています。

『McAfee Labs Threats Report: April 2017(McAfee Labs脅威レポート: 2017年4月)』の日本語版全文は、以下からダウンロードできます。
https://www.mcafee.com/jp/resources/reports/rp-quarterly-threats-mar-2017.pdf

■関連サイト



カテゴリートップへ

‘;
} else if(google_ads[0].type == “image”) {
s += ‘

    ‘;
    s += ‘

  • ‘;
    s += ‘

‘;
} else if (google_ads[0].type == “flash”) {
s += ”;
} else if (google_ads[0].type == “html”) {
s += google_ads[0].snippet;
} document.write(s);
return;
}
//–>