McAfee Labs 脅威レポート 2015年2月

McAfee Labs

脅威レポート

McAfee Labs

について

McAfee Labsは、世界各地に配備した数百万台のセンサーか らデータを収集し、ファイル、Web、メール、ネットワークなど に対する脅威を研究・調査し、脆弱性の報告を行っています。 McAfee Labsは、リアルタイムで脅威情報、重要な分析結果、専 門的な情報を提供し、保護対策の向上とリスクの軽減に貢献し ています。 マカフィーはIntel Securityとなりました。 www.mcafee.com/jp/mcafee-labs.aspx

はじめに

前回の脅威レポートで、2015年の9つの脅威予測を発表しまし た。今年に入ってまだ2か月ほどですが、いくつかの予想が現実 のものとなっています。 「小国や海外のテロ集団がサイバー空間で攻撃を仕掛け てくる可能性があります。たとえば、大規模な分散型サー ビス拒否攻撃を実行したり、マスター ブート レコードを 消去して敵のネットワークを破壊しようとするかもしれま せん。」 McAfee Labsのリンク FBIは、ソニー・ピクチャーズ エンタテインメントに対するマ スター ブート レコードの消去を含むサイバー攻撃に北朝鮮 が関与していると結論付けました。 「この脆弱性 [Shellshock] がWindows以外のシステムに 依存している家電や企業のインフラへの侵入口になる可 能性があります。2015年はWindows以外のシステムを狙 うマルウェアが急増することが予測されます。」 Shellshockの脆弱性を悪用するマルウェアは、パッチが適用 されていないQNAPのネットワーク接続ストレージ（NAS）デ バイスを攻撃します。 「信頼できないアプリ ストアや、アプリを直接ダウンロー ドできるWebサイトも数多く存在しています。このような ストアやサイトからアプリを取得すると、マルウェアに感 染する可能性が高くなります。マルバタイジングにより悪 質なアプリ ストアやサイトに誘導される可能性も少なく なりません。モバイル プラットフォームでもマルバタイジ ングが急増しています。2015年も、モバイル ユーザーを 狙ったマルバタイジングやモバイル マルウェアが増加す るものと思われます。」

McAfee Labsは、Technische Universität Darmstadt、Centre for Advanced Security Research Darmstadtとともに、Torrent で拡散するマルウェアを確認しました。このマルウェアは映画 「The Interview」をダウンロードできるAndroidアプリを装 い、オンライン バンキングの情報を盗み出すトロイの木馬 をモバイル端末に感染させました。現在までに20,000台の 端末がこのマルウェアに感染しています。

ザーが

まだSSLの脆弱性の影

響を受けています

術がブラック市場のサイバー犯罪者の手に渡るのは時間 の問題です。2015年はこのような現象が発生するでしょ う。」 1月13日、Microsoftは、Internet Explorerの特権昇格の脆弱 性でサンドボックスが回避され、ゼロデイ攻撃が発生してい ることを発表しました。 サイバー犯罪は予測が可能です。 現在、多くの脆弱なモバイル アプリが専用サイトにアクセスし ています。3月に開催される「Mobile World Congress」の参加 者向けの資料として、ユーザー名やパスワードなどの情報漏え いに関するキー トピックを執筆しました。バルセロナまでの移 動中に熟読していただければ幸いです。また、脅威レポートの 統計情報にモバイル マルウェアに関するグラフを2、3追加しま したので、こちらもご覧ください。 今号では、Anglerエクスプロイト キットに関する興味深い記事 を掲載しました。2013年の終わりにBlacoleの作成者が逮捕さ れましたが、その後、このエクスプロイト キットが急速に勢い を増しています。Anglerは非常に強力で、Blacoleよりも広く利用 されています。Anglerは使いやすく、オンラインの闇市場で簡 単に入手できるため、マルウェアの送信手段として広く利用さ れています。 最後に、不審なプログラム（PUP）の動向を採り上げました。PUP は違法なアプリケーションではありませんが、ユーザーの許可 なくリスクのある処理を実行する可能性があります。悪質な手 口を利用するPUP作成者も増えています。適切な対策を講じる にはPUPポリシーを頻繁に更新する必要があります。 昨年の9月、Intel Securityはセキュリティ ベンダー 3社とCyber Threat Allianceを立ち上げました。 このアライアンスは、セキュリティ業界全体でサイ バー脅威に対する分析と撲滅に取り組み、あらゆ る業界のユーザーや企業により強力な保護対策 を提供することを目的としています。おかげさまで 100社以上のセキュリティ ベンダーがこの趣旨に 賛同し、アライアンスへの参加を表明しています。 このアライアンス効果はあらゆる顧客にとって大き なメリットとなると考えています。 ■最近発表した『人の心理や行動を悪用するハッキ ング_{』レポートでは、ソーシャル エンジニアリング} の概念を分析し、サイバー犯罪者による手口を紹 介しています。ぜひお読みいただき、参考にしてい ただければ幸いです。 ■ 弊社では、脅威レポートに関するアンケートを実施 しています。皆様からの貴重なご意見は今後の参 考とさせていただきます。5分程度で終わりますの で、ここをクリックしてアンケートにご協力ください。 − Vincent Weafer、シニア バイスプレジデント/McAfee Labs

目次

エグゼクティブ サマリー

5

キートピック

6

モバイル ユーザーのリスク: SSL/TLSの脆弱性は

解決されていない

7

Blacole消滅後に人気のAnglerエクスプロイト キット

16

微妙な存在

: 不審なプログラムの現状

25

統計情報

34

McAfee Labs脅威レポート 2015年2月 執筆者: Carlos Castillo Alex Hinchliffe Patrick Knight Chris Miller Rajesh Nataraj KP François Paget Eric Peterson Arun Pradeep Craig Schmugar Rick Simon Dan Sommer Bing Sun Adam Wosotowsky

モバイル ユーザーのリスク: SSL/TLSの脆弱性は解決されていない

最初のトピックとして、人気のモバイル アプリに存在する暗号化の脆弱性を採り上げ ます。この脆弱性が悪用されると、モバイル アプリの専用サイトにサインオンしたとき に仲介者攻撃が実行されます。アプリのプログラミングに問題があるため、BERserk やHeartbleed などのSSL/TLSの脆弱性でセッションが保護されない可能性がありま す。このため、モバイル アプリとそのWebサイト間で行われるすべての通信（ユーザー 名とパスワードを含む）がサイバー犯罪者に盗聴される危険性があります。また、モバ イル マルウェアのソースコードが有料で公開され、その数も増えています。McAfee Labs_{の予測では、モバイル マルウェアの生成キットが出現するのも時間の問題です。} これらの状況を踏まえて、インターネットの信用を悪用するサイバー犯罪に対する対 策を講じる必要があります。

Blacole

消滅後に人気のAnglerエクスプロイト キット

エクスプロイト キットはすぐに使用できるソフトウェア パッケージで、既知の脆弱性や 未知の脆弱性を簡単に攻撃することができます。2013年にBlacoleエクスプロイト キッ トの作成者が逮捕されましたが、その後まもなく、サイバー犯罪者はAnglerエクスプロ イト キットに乗り換え、ペイロードの送信を続けています。Anglerは使いやすく、オンラ インの闇市場で簡単に入手できるため、マルウェアの送信手段として広く利用されて います。Anglerがセキュリティ業界の関心を集めたのは2014年の後半です。このキット は急速な広がりを見せ、ファイルレスの感染、仮想マシン、セキュリティ製品の検出回 避などの機能を提供しています。配布するペイロードも、オンライン バンキングを狙う トロイの木馬、ルートキット、ランサムウェア、CryptoLocker、バックドアなど多岐にわ たっています。本稿の執筆時点で、最も人気のあるエクスプロイト キットの一つになっ ています。

微妙な存在: 不審なプログラムの現状

PUPは違法なアプリケーションではありませんが、ユーザーの許可なくリスクのある処 理を実行する可能性があります。PUPの多くは正規のアプリとのバンドル、ソーシャル エンジニアリング、オンライン広告のハイジャック、不要なブラウザー拡張やプラグイ ンのインストールなどでシステムに侵入しますが、正規のアプリと一緒に強制的にイン ストールされる場合もあります。これらのプログラムは悪質な挙動を示さないため、セ キュリティ製品で検出することは容易ではありません。悪質な手口を利用するPUP作成 者も増えています。適切な対策を講じるにはPUPポリシーを頻繁に更新する必要があ ります。 Blacoleの消滅後、Anglerエクスプロ イト キットが強力な攻撃キットとして 広く利用されています。 不審なプログラム（PUP）は必ずしも 悪質なマルウェアとはいえませんが、 危険度は確実に増しています。 モバイル アプリにSSL/TLSの脆弱性 が存在することをアプリの開発者に 通知して数か月が経過していますが、 多くのアプリは脆弱性が解決されて いません。

フィードバックを共有

キートピック

モバイル ユーザーのリスク: SSL/TLSの 脆弱性は解決されていない Blacole消滅後に人気のAnglerエクスプ ロイト キット 微妙な存在: 不審なプログラムの現状

モバイル ユーザーのリスク:SSL/TLSの脆弱

性は解決されていない

− Carlos Castillo、Alex Hinchliffe、Rick Simon

モバイル アプリの利用度は間違いなく増えています。「There s an app for that」（その ためのアプリがある）というAppleのスローガンも現実味を増しています。 5,000人のスマートフォン ユーザーを対象にNielsenが2014年に実施した調査による と、標準的なユーザーが1か月に使用するアプリの数は2011年の23に対し、2013年は 27に増加しています。さらに注目すべきことは、これらのアプリの利用時間が増えてい る点です。前述の期間で比べると、スマートフォン ユーザーがモバイル アプリを使う 時間が65%も増加しています。1か月当たりの使用時間を見ると、2011年の18時間に 対し、2013年は30時間以上になっています。モバイル アプリに対する依存度が増し、 アプリ自体の魅力も増しています。 30 25 20 15 10 5 0

1人が1か月に使用するアプリの平均数と平均使用時間

出典: Nielsen, 2014 2011年 第4四半期 第4四半期2012年 第4四半期2013年 23.3 18:18 26.5 23:02 26.8 30:15 アプリの数 1人あたりの時間 (hh:mm) 市場関係者や消費者（ビジネス アプリの開発者と消費者）にとって、これは好ましい傾 向であるものの、一方ではセキュリティとプライバシーの問題が大きくなっています。 セキュリティとプライバシー問題の一部は、過激なアプリとそのアプリが組み込まれ た広告ネットワークなどが原因で発生しています。たとえば、Apple App Storeで最

も人気のカテゴリはゲームですが、2014年2月の『McAfee Mobile Security Report』

（McAfeeモバイル セキュリティ レポート）によると、このカテゴリは最も悪用の多い カテゴリでもあります。驚くべきことですが、モバイル アプリの82%はWi-Fiやデータ 接続の利用時、端末の電源を入れたとき、あるいは端末の位置情報の利用時に追跡

モバイル アプリの他のセキュリティ問題は偶発的な要素が強いものです。このキート ピックでは、最も重大な脆弱性について説明することにします。

暗号化の脆弱性: 数も多く非常に重大

この脆弱性自体はモバイル アプリに関係はなく、暗号化プロセスに問題があります。 このプロセスは、モバイル アプリがインターネット上のWebサイトとセキュア接続を 確立する場合に使用されます。 2014年11月、RSA署名の問題点を報告した『McAfee Labs脅威レポート: 2014年11 月』では、BERserkの脆弱性を分かりやすく解説しています。この欠陥はRSAの証明検 証プロセスに存在し、セキュア接続の確立時にモバイルとモバイル以外の端末の両方 で実行されます。BERserkの脆弱性により、攻撃者はRSA証明書を偽装し、ユーザーに 気づかれずに仲介者（MITM）攻撃を実行できます。結果として、ユーザーと最も信頼す るサイトとの関係が崩れる可能性があります。 同様の欠陥がHeartbleedの脆弱性で、これはSSL/TLSプロトコルのOpenSSLの実装部 分に存在します。攻撃者はユーザーとWebサイト間で安全と思われる接続を悪用しま す。通常、モバイルとモバイル以外のアプリケーションは、OpenSSL経由で安全な接続 を確立しています。脆弱性が見つかった時点で、世界の約17%（およそ500,000）の安 全なWebサーバーがHeartbleedエクスプロイトに対して脆弱でした。その普及率から、 Heartbleedは過去最悪とみられています。

McAfee Labsでは、Heartbleedの影響について『McAfee Labs脅威レポート: 2014年8

月』で詳しく説明しています。セキュリティ業界では、データの流出から数日以内にデー タ、人、ツールを共有し、この問題を迅速に解決しています。大量のトラフィックを処理 するWebサイトは迅速にパッチが適用されていますが、トラフィック量の少ないサイト やIP対応デバイスではHeartbleedの脆弱性がまだ解決されていません。 BERserkとHeartbleedはともに、暗号化の脆弱性として最も有名なサンプルです。また、 ユーザーとWebサイト間のセキュア接続は安全のように見えますが、必ずしもそうと は限りません。エクスプロイトによってすでに感染しています。この脆弱性はインター ネットに対する信用を悪用します。

暗号化の脆弱性とモバイル アプリ

このような問題に対し、モバイル アプリのセキュリティはどのような状況なのでしょう か。 モバイル アプリの利用度が上がり、多くのデバイスで暗号化の脆弱性が確認されて います。この脆弱性はインターネットの信頼性に大きな影響を及ぼします。モバイル かどうかに関わらず、アプリケーションの開発者はユーザーのセキュリティとプライバ シーを保護するために万全の対策を講じる必要があります。 カーネギーメロン大学で最初のコンピューター緊急対応チームであるCERTは2014年 8月、CERT Tapioca（透過型プロキシ収集アプライアンス）のリリースを発表しました。 この事前設定の仮想マシン アプライアンスは、ネットワーク層の透過型プロキシとし て機能し、ソフトウェアのMITM分析を行います。その2、3週間後、CERTはモバイル ア プリに存在するSSLの脆弱性をTapiocaで自動検出する方法をブログ記事で公開しまし た。 仲介者攻撃では、攻撃者が通信チャ ネルに侵入し、コードを挿入します。 攻撃者は、盗聴や会話の誘導など、 様々な攻撃を実行できます。MITM攻 撃は、二者間の認証を暗号化するプ ロセスに侵入することで攻撃を開始し ます。SSL/TLSは、暗号化プロトコルと して最も利用されているため、攻撃の 標的として狙われています。 このレポートを共有

この調査結果は2014年9月、VU#582497として発表されました。ここでは、20,000以上 のモバイル アプリがSSL証明書を正しく検証できず、MITM攻撃を受ける可能性がある と報告されています。テストを行ったアプリケーションとその詳細（バージョン、ジャン ル、ダウンロード数、CVE ID、CERT VU# IDなど）はスプレッドシートで公開されていま す。 McAfee Labsでは、このスプレッドシートで最も頻繁にダウンロードされているモバ イル アプリについて、最も基本的なSSLの脆弱性（デジタル証明書チェーン検証の不 具合）が解消されているかどうか検証しました。CERTが9月に脆弱性を確認し、ダウン ロード数の多い上位25個のモバイル アプリをテストし、SSL証明書の検証エラーで ユーザー名とパスワードが漏えいしないかどうかを確認しました。数か月も前にCERT が開発者に注意を促したにも関わらず、25個中18個のアプリが保護されていない接 続で証明書を送信し、MITM攻撃に対する脆弱性が解決されていませんでした。 このグループで最もダウンロード数の多いアプリは、モバイル フォト エディターで、ダ ウンロード数は1億から5億です。このアプリを使用すると、いくつかのソーシャル ネッ トワークとクラウド サービスで写真を共有できます。McAfee Labsでは、1月の終わりに Google Playからこのアプリの最新バージョンをダウンロードしてCERT Tapiocaでテス トを行いましたが、クラウド サービスへのログイン時に入力されたアプリのユーザー 名とパスワードを盗み出し、写真の共有と公開を行うことに成功しました。 2014年9月、CERTはMITM攻撃に対 して脆弱なモバイル アプリのリストを 公開しました。これらのアプリは、SSL 証明書の検証部分に脆弱性が存在し ます。McAfee Labsでは、この中から ダウンロード回数の最も多い25個の アプリを選び、テストを行いました。そ の結果、18個のアプリが脆弱なまま で、保護されていない接続で認証情 報を送信していました。 CERT TapiocaでMITMに対するモバイル アプリの脆弱性を検証した結果。下の方にユーザー名と パスワードが露出している。

同じグループのお天気アプリにもフォト エディターと同じ問題 があり、アプリの開発者が提供するWebサービスで認証情報が 盗まれる可能性があります。非常に人気のあるモバイル端末の ファイル管理アプリの場合、サードパーティのクラウド サービス モバイル端末のファイル管理アプリから流出した認証情報を 使用すると、被害者のアカウントへのアクセスが可能になるた め、Microsoft OneDriveだけでなく、他のMicrosoftサービスにも アクセスすることができます。 （Microsoft OneDrive）のデジタル証明書検証の問題で認証情 報が漏えいしています。 良いニュースもあります。1,000万回以上ダウンロードされてい るモバイル アプリのグループで、昨年8月にCERTが脆弱性を 指摘した3つのアプリが問題を解決しています。これらのアプリ にMITM攻撃を仕掛けると、ネットワーク エラーが発生します。 CERT Tapiocaの出力。脆弱なモバイル ファイル管理アプリから取得したMicrosoft OneDriveの認証情報が表示されている。

SSL/TLSの脆弱性が修正されたモ バイル アプリの例

この警告ではMITM攻撃の発生を確認することはできません が、何かが起きていることは分かります。1,000万回以上ダウン ロードされている残りのアプリでは問題は解決されていませ ん。認証情報を傍受し、2つのソーシャル ネットワークのIDを盗 み出し、アプリのダッシュボードにアクセスしたり、アプリの再生 リストを制御することができます。 傍受したパスワードはキーワードではなく暗号化のハッシュで したが、ユーザーが脆弱なパスワードを設定していれば、レイ ンボー テーブルや総当り攻撃などの攻撃を実行すれば、比較 的簡単にパスワードを取得できます。 500万回以上のモバイル アプリのグループでは、3つのアプリ で脆弱性が解決されていましたが、残りの5つは脆弱なままで す。この中で非常に興味深いアプリが2つありました。これらの アプリでは、WebサイトでHTTPSを使用していても、認証情報が URLで送信されるため、ネットワーク トラフィックをスニッフィン グするだけで認証情報を取得できます。1つのアプリでは、ユー ザー名とパスワードの両方がURLで送信されていました。 2つめの例では、ユーザー名だけがURLで送信されていますが、 アプリがWebサイトのデジタル証明書を正しく検証していない ため、パスワードの特定に成功しました。 ユーザー名と暗号化されたパスワードをURLで送信しているモバイル アプリ。パケット スニッフィングとパスワード クラッカーで認証情報を取 得できる。 ユーザー名をURLで送信するモバイル アプリの例。デジタル証明書の 検証が適切に行われていないため、MITM攻撃で認証情報が盗まれる。

別のモバイル ソーシャル アプリにも興味深い特徴がありました。このアプリは、ログ インにFacebookのシングル サインオン機能を使用して、新しいインターフェースでア プリのFacebook情報を表示していました。下の画面のように、このアプリもデジタル証 明書の検証エラーが解決されていないため、Facebookの認証情報の傍受に成功しま した。 同じ問題がモバイル インスタント メッセージ アプリにもあります。こちらはFacebook の認証情報ではなく、アプリとサービスを使用するユーザーのInstagramの認証情報を 取得できました。 脆弱なモバイル アプリから Facebook、Instagram、Microsoft OneDriveなど、人気のあるサービス の認証情報が盗まれる場合もありま す。 Facebookの認証情報を露出するモバイル アプリ。デジタル証明書の検証が不十分なため、 MITM攻撃が実行される。 Instagramの認証情報を露出するモバイル アプリ。デジタル証明書の検証が不十分なため、 MITM攻撃が実行される。 このレポートを共有

ダウンロード数が500万回のスポーツ関連アプリでは、ヘッドライン、試合予定、結果、 統計などのコンテンツが無料で提供されています。このアプリでは、シーズン パスを 購入すると、公式戦のライブ中継を見ることができます。この機能にアクセスするに は、サービスのユーザ名とパスワードの入力が必要ですが、これらの情報の傍受にも 成功しました。 脆弱なモバイル アプリの最後のグループは、Google Playでのダウンロード回数が100 万回以上のアプリです。このグループには7個のアプリがあり、脆弱性が解決されてい たアプリは1つだけです。本稿の執筆時点で、残りのアプリの脆弱性は修正されていま せん。分析した他のアプリと同様に、このグループでも自身のシステムやサービスの認 証情報だけでなく、InstagramやMicrosoftなど、サードパーティのサービスやソーシャ ル ネットワークの認証情報が盗まれる可能性があります。最後に、出会い系アプリに MITM攻撃を仕掛けたところ、ユーザーに次の通知が表示されました。 ユーザー名とパスワードを露出するスポーツ関連の人気アプリ この脆弱なモバイル アプリは安全でない ネットワークを検出するが、続行オプショ ンしか表示しない。

ただし、ここにはネットワークを信用するためのオプションしかありません。ユーザー がこのオプションを選択すると、攻撃に成功します。 『McAfee Labs脅威レポート: 2014年11月』で、モバイル マルウェアのソースコードが 有料で公開され、その数も増えていることを指摘し、モバイル マルウェアの生成キット が出現することを予測しました。このような簡単に使えるツールが出現すると、特別な スキルがなくても様々なサイバー犯罪を実行できるようになります。 2015年のモバイル セキュリティの予測と、SSLの脆弱性を持つアプリの増加を考える と、サイバー犯罪に対する対策が見えてきます。

問題の解決

CERTとIntel Securityが提起したような問題がソース（脆弱なアプリのコード）で修正さ れれば、エコシステム全体（モバイル、プラットフォーム、アプリ ストア、セキュリティ ベ ンダー、アプリの開発者）にとって朗報となります。修正が部分的になると、前述の出会 い系アプリのように、ユーザーがネットワークを信用してログイン認証情報を流出して しまうケースが発生します。 では、修正がリリースされるまで何が必要でしょうか。 他のセキュリティ問題と同様に、いくつかの対策を講じることができます。ただし、アプ リの開発者、アプリの更新、OSのバージョンなどの要素も考慮する必要があります。 ではまずアプリから見ていきましょう。通常、信頼できるソース（よく知っている企業、 Google Playのような評判の良いマーケットプレース）から評価が高く有名なアプリを ダウンロードするように推奨しますが、今回の場合、このアドバイスでは不十分です。 前述のアプリはすべて信頼されたソースで公開され、評価の高いアプリです。それで この脆弱なモバイル アプリでネットワークを信用するオプションを選択すると、MITM攻撃が実行 され、認証情報が盗まれる。

もなお、このアドバイスは有効です。企業環境で社内のアプリ ストアから取得したアプ リを使用している場合、これらのアプリに本稿で採り上げたような脆弱性が存在する かどうか確認するようにITチームに依頼するべきです。 ユーザーとしては何をするべきでしょうか。分析ツールでコードを分析することはでき なくても、アプリについて自分で調べることはできます。次のようなことを考えてみて ください。なぜログインが必要か。利用するメリット、目的は何か。プロ バージョンで 個人情報が盗まれる可能性はないか。ログインでソーシャル ネットワークのアカウン トを使用している場合には、それによる被害が大きくなることはないか考えて見ましょ う。また、アプリのプライバシー ポリシーでデータ共有の対象、目的、方法を確認する こともできます。つまり、立ち止まり、考えてから接続することが重要です。 パスワードの管理は面倒な作業です。しかし、アプリごとにログインの認証情報を変え ておけばリスクを軽減できます。そのアプリの認証情報は他では使用できないため、 MITM攻撃で盗まれても被害を抑えることができます。認証情報は手動で管理すること もできますが、自動的に管理するアプリケーションもあります。 CERTやIntel Securityから最新の情報を入手すると、脆弱なアプリケーションを確認し たり、新しいアプリの情報を検索することもできます。アプリについて情報を探す場合 には、類似したサービスを提供する他のアプリも確認してみましょう。必要な情報が得 られるかもしれません。 Intel Securityがこの脅威を阻止す る方法

Blacole

消滅後に人気のAnglerエクスプロ

イト キット

− Rajesh Nataraj KP エクスプロイト キットはすぐに使用できるソフトウェア パッケージで、既知の脆弱性 や未知の脆弱性を簡単に攻撃することができます。サイバー犯罪者は、マルウェアの 散布にエクスプロイト キットを使用しています。このツールキットはクライアント側の 脆弱性を攻撃し、主にWebブラウザーやブラウザーからアクセス可能なプログラムを 狙います。エクスプロイト キットは感染状況を追跡し、感染先のマシンをリモートから 密かに制御することができます。 取締機関もエクスプロイト キット対策を強化し、摘発にも成功しています。有名な Blacoleエクスプロイト キットの作成者は2013年の終わりに逮捕されました。しかし、マ ルウェアの作成者はAnglerエクスプロイト キットに乗り換え、ペイロードの散布を続け ています。Anglerがセキュリティ業界の関心を集めたのは2014年の後半です。このキッ トは急速な広がりを見せ、ファイルレスの感染、仮想マシン、セキュリティ製品の検出 回避などの機能を提供しています。配布するペイロードも、オンライン バンキングを 狙うトロイの木馬、ルートキット、ランサムウェア、CryptoLocker、バックドアなど多岐に わたっています。Anglerは、Microsoft Silverlightの脆弱性を悪用してランサムウェアを 散布する最初のエクスプロイト キットです。 Anglerは熟練した技術がなくても使用できます。オンラインの闇市場で簡単に入手で きるため、マルウェア送信の手段としてよく利用されています。 エクスプロイト キットは主にInternet Explorer、Firefox、Chromeの脆弱性を狙います。 また、Adobe Flash Player、Adobe Reader、Javaなどのセキュリティ ホールも悪用しま す。 以下のグラフは、2014年に検出されたエクスプロイト キットの分布を表しています。 強力で簡単に入手できるAnglerエク スプロイト キットを利用する犯罪者 が増えています。 26% 17% 11% 15% 13% 12%

2014年に確認されたエクスプロイト キットの割合

5% 1% Angler Infinity Sweet Orange Neutrino Flashpack Styx Rig Magnitude 出典: McAfee Labs, 2015 このレポートを共有

10 5 15 0

エクスプロイト キットの亜種 (2014年)

エ ク ス プ ロ イト キ ッ ト の亜種の数 2014年 出典: McAfee Labs, 2015 Angler Rig Flashpack Neutrino Infinity Sweet Orange Styx Magnitude 第4四半期 第3四半期 第2四半期 第1四半期 昨年確認されたエクスプロイト キットの亜種の数は次のとおりです。 では、最も利用されているAnglerの機能、標的、隠 方法、変更方法について詳しく見 ていきましょう。

アクティブなAngler

Anglerエクスプロイト キットは非常にアクティブです。セキュリティ製品から自身の存 在を隠すため、パターンとペイロードを頻繁に変更しています。Anglerの主な特徴は 次のとおりです。 ■ランディング ページに到達する前にリダイレクトを2段階で行う。 ■ランディング ページのあるWebサーバーには、1つのIPから1回しかアクセ スできない。攻撃者はホストの監視を積極的に行っています。 ■システムで仮想マシンとセキュリティ製品の存在を確認する。 ■ガベージとジャンク コールのリバース エンジニアリングを難しくしてい る。 ■ダウンロード時にすべてのペイロードを暗号化し、感染先のマシンで復 号する。 ■ファイルレスで感染する（メモリーに直接配備する）。 感染したWebサーバーに脆弱なブラウザーからアクセスすると、中間サーバーに誘導 され、その後、エクスプロイト キットのランディング ページのある不正なサーバーに 移動します。このページでプラグイン（Java、ShockWave Flash、Silverlight）の存在とバー Anglerは様々な回避技術を駆使し、 仮想マシン、サンドボックス、セキュリ ティ ソフトウェアによる検出を逃れて います。

Angler

エクスプロイト キットの感染チェーン

被害者 脆弱なブラウザー 感染システム リダイレクター 1 感染サーバーを不正な サーバーにリダイレクト リダイレクター 2 Angler または感染 サーバーにホスティング Angler エクスプロイト キット ページのあるサーバー 仮想マシンとセキュリティ 製品の存在を確認 サーバーがエクスプロイトと 不正なペイロードを送信 JavaScript 例外 エラーで終了 1 2 3 4 5 6 はい いいえ このレポートを共有

偵察

Anglerエクスプロイト キットは、適切なランディング ページとペイロードを送信する ため、攻撃対象のマシンを調査します。 ■ ユーザー エージェントを使用してブラウザーの名前、バージョン、オペ レーティング システムを確認します。 ■ 脆弱なブラウザー プラグインの存在を確認し、インストールされている場 合にはバージョン情報を取得します。 脆弱なブラウザー コンポーネントが見つかると、Anglerのランディング ページが不正 なコードを実行し、エクスプロイトを送信します。 Anglerは様々なエクスプロイトを用意し、脆弱なアプリケーションに応じて動的に送信 します。AnglerはInternet Explorerに存在する次の脆弱性を攻撃します。 ■ CVE-2013-2551: IEブラウザーのVML図形オブジェクトに存在するメモ リー破損の脆弱性 ■ CVE-2013-0074: Silverlightで参照が二重に解放される脆弱性 ■ CVE-2013-2465: Javaランタイム環境に存在する脆弱性 ■ CVE-2014-0515: Adobe Flash Playerに存在する脆弱性

配布

エクスプロイトと不正なペイロードは、感染したサーバーまたは不正なサーバーから 配布されます。エクスプロイト キットを利用するサイバー犯罪者は、不正なURL（キャ ンペーン）を使用して配布方法を選択します。様々なURLパターンやキャンペーンが存 在している点を見ると、複数の犯罪組織が関与している可能性があります。 Anglerのキャンペーンには次の2種類があり、配信ドメインに応じて分類されていま す。いくつかのサイバー犯罪組織がAnglerを頻繁に使用していることが分かります。 ■エクスプロイト キットの通常のランディング ページ。固有のパターンはな い。 ■ 32x32ゲート形式のランディング ページ – [不正なドメイン/[a-f0-9]{32}.php?q=[a-f0-9]{32}]

エクスプロイト

Anglerエクスプロイト キットの標準的なランディング ページは高度な難読化が施さ れ、リバース エンジニアリングが簡単にできないようになっています。また、検出を回 避するため、コード内に無意味なコンテンツが存在します。次の画像は、エクスプロイ ト コードを含むランディング ページを表しています。 エクスプロイト キットのランディング ページ 暗号化されたコンテンツは、HTMLの<p>タグの部分に保存されています。ここで段落 を定義し、グローバル属性を使用しています。暗号化されたコンテンツは、ランディン グ ページの複数の<p>タグ内に存在します。 <p>タグ内のコンテンツの復号に使用するスクリプトはスクランブルがかけられ、圧縮 されていますが、フォーマットが正しくありません。ランダム変数、分割文字列、ガベー ジ機能で検出を難しくしています。 このレポートを共有

ランディング ページの復号ロジックは非常に単純です。暗号化 されたコンテンツは換字式暗号で復号できます。 前述の例では、20文字のキーが分割され、配列に格納されて います。分割されたキーは昇順でソートされ、別の配列に格納 されています。ランディング ページのスクリプトは、IndexOf ()メ ソッドを使用して2つの配列を比較し、暗号を生成します。この 難読化されたランディング ページ メソッドは指定された文字を配列で検索し、その位置を戻しま す。この位置が暗号化されたコンテンツを解読するキーとなり ます。 復号されたコンテンツにも多くの関数が含まれ、類似した置換 アルゴリズムでエクスプロイトのURL、パラメーター、ペイロー ド情報を生成します。

セキュリティ対策の確認

Anglerは、RES://プロトコルまたはMicrosoft XMLDOM ActiveXコントロール メソッド を使用して、システム ディレクトリ内のファイルを識別します。また、セキュリティ製品 と仮想マシンの存在も確認します。 仮想マシン対策技術により、仮想マシンへの感染を防ぎ、自動分析環境を回避します。 Anglerは次のようなファイルを検索します。 ■ Kasperskyソフトウェアを識別する仮想キーボード プラグイン ■ tmactmon.sys、tmevtmgr.sys、tmeext.sys、tmnciesc.sys、tmtdi.sys、 tmcomm.sys、tmebc32.sys（Trend Micro） ■ vm3dmp.sys、vmusbmouse.sys、vmmouse.sys、vmhgfs.sys（VMware） ■ vboxguest.sys、vboxmouse.sys、vboxsf.sys、vboxvideo.sys（VirtualBox VM） ■ prl_boot.sys、prl_fs.sys、prl_kmdd.sys、prl_memdev.sys、prl_mouf.sys、 prl_pv32.sys、prl_sound.sys、prl_strg.sys、prl_tg.sys、prl_time.sys（Parallels Desktop仮想化ソフトウェア）

ペイロードのインストール

エクスプロイトに成功すると、ブラウザーで確認した脆弱なアプリケーションに合わせ て感染方法を選択します。Anglerでは次の2つの感染方法が確認されています。 ■ファイルレスの感染: Anglerは新しい技術を利用しています。攻撃対象の アプリケーションに新しいスレッドを作成し、対象のプログラム メモリー に直接ペイロードを挿入します。この方法ではディスクにファイルを残す 必要がないため、セキュリティ ソフトウェアの検出を回避する確率が高く なります。このペイロードが別のマルウェアをダウンロードする可能性が あります。 ■ 暗号化されたペイロードの直接ダウンロード: 不正なサーバーに存在す るペイロードは、8バイトのキーを使用したXORで暗号化されています。エ クスプロイトに成功すると、暗号化されたペイロードが標的のマシンにダ ウンロードされ、復号後に実行されます。 脆弱性を検出すると、Anglerは不 正なペイロードのリストを送信します （このリストは適宜更新されていま す）。一部のマルウェアは、簡単に検出 されないようにメモリーに直接挿入 されます。 このレポートを共有

15 10 5 20 0

Angler エクスプロイト キットが配布したペイロード (2014年)

送信 し たペ イ ロ ー ド の亜種の数 2014年 出典: McAfee Labs, 2015 Zbot Ransomware Vawtrak Necurs Simda その他 第4 四半期 第3 四半期 第2 四半期 第1 四半期

Angler エクスプロイト キットの変遷 (2014年)

2014

年第1四半期

2014

年第2四半期

2014

年第3四半期

2014

年第4四半期

• Silverlight エクスプロイト CVE-2013-0074 の使用 • ペイロードの XOR • CVE-2013-2551 IE ブラウザー エクスプロイト • CVE-2013-5330 Flash エクスプロイトを追加 • 32 x 32ゲート形式のランディング ページ • Angler ベースの IP とユーザー情報にリダイレクト • ファイルレスの感染 • シェルコードとペイロードの XOR • VMware とセキュリティ製品の確認 Anglerが散布する主なマルウェア ファミ リは次のとおりです。これらのペイロー ドについては、他の場所で詳しく解説さ れているので、ここでは説明を省略しま す。 ■ Andromeda ■ Cryptowall ■ Necurs ■ Simda ■ Vawtrak ■ Zbot 様々なペイロードを配布している点を 見ると、このエクスプロイト キットが異 なるハッカー コミュニティで広く利用さ れていることが分かります。

対策

Anglerエクスプロイト キットからシステムを保護する方法として、推奨事項をいくつか 挙げておきます。 ■ 強力なスパム対策とフィッシング詐欺対策を実施しているセキュリティ意 識の高いインターネット サービス プロバイダーを利用する。 ■ Windowsの自動更新を有効にするか、Microsoftの更新を定期的にダウン ロードし、オペレーティング システムにパッチを適用して既知の脆弱性を 解決する。ソフトウェア ベンダーが公開したパッチを速やかに適用する。 トロイの木馬やスパイウェアの攻撃を防ぐには、すべてのパッチを適用し たコンピューターをファイアウォールで保護する必要があります。 ■ 添付ファイルを開くときには十分に注意する。メールやインスタント メッ セージの添付ファイルを自動的にスキャンするように、ウイルス対策ソフ トウェアを設定しましょう。また、メール プログラムで添付ファイルを自動 的に開いたり、画像を自動的に表示しないように設定し、プレビュー ウィ ンドウを非表示にしてください。未請求メールや予期しない添付ファイル は絶対に開かないでください。知人からのメールも例外ではありません。 ■スパムを利用したフィッシング詐欺に注意する。メールやインスタント メッセージにあるリンクをクリックしない。 ■ブラウザー プラグインを使用してスクリプトとiFrameの実行をブロックす る。 Intel Securityがこの脅威を阻止す る方法 このレポートを共有

微妙な存在: 不審なプログラムの現状

− Arun Pradeep 一般に、マルウェアはすべて悪質で、ブラックリストに登録すべきものと考えられてい ます。しかし、不審なプログラム（PUP）と言われるマルウェアは厄介な存在です。必ず しも悪質なものとは限らないため、対策も一筋縄ではいきません。アドウェア、スパイ ウェア、破壊的な行為を行わないアプリはPUPと分類されています。リスクをもたらす だけでなく、ユーザーにとって便利な面もあるため、PUPはグレーゾーンに存在すると いえます。正当な理由で開発されているものもありますが、PUPの動作は無害なものか ら極めて危険なものまで様々です。McAfee Labsでは、PUPを精査してその機能を分析 し、駆除に役立つ情報を提供しています。 ユーザーがメリットを感じていても、具体的なリスクを伴うアプリケーションはPUPの 可能性があります。アプリケーションは通常、使用上のリスクをユーザーに通知しませ ん。トロイの木馬、ウイルス、ルートキットなどのマルウェアと異なり、PUPはユーザーの 個人情報やオンラインバンキングの認証情報を盗み出したり、システム ファイルを改 ざんすることはありません。ただし、次のような挙動が見られるアプリケーションはPUP と見なすことができます。 ■ブラウザーなどのシステム設定を許可なく変更する ■ 正規のアプリケーションの中に不要なプログラムを隠す ■ ユーザーの情報、閲覧習慣、システム設定などを密かに収集する ■アプリケーションのインストールを隠す ■ 簡単に削除されないようにする ■ 偽の広告や紛らわしい広告で配布される 不審なプログラム（PUP）は必ずしも 悪質なマルウェアとはいえません。分 類も難しく、検出も容易ではありませ ん。

技術

不審なプログラム

その他のマルウェア: トロイの木馬、ウイルス、

_{ボットなど}

インストール方法 標準のアプリケーション インストール手順。EULAを 表示するものもある。インストールを完了するには、 ユーザーの同意や入力が必要になることが多い。 単独のプログラムとしてインストールされるが、 ユーザーの入力は必要としない。大半は独立した ファイルとして動作する。 パッケージ マルウェアに感染していないアプリケーションにバ ンドルされ、このアプリと一緒にインストールされ る。 追加コンポーネントを含む単独ファイル。インス トーラーはない。 削除 パッケージにアンインストーラーが付いていること もある。削除は可能。ただし、簡単には削除できな いことが多い。 実行ファイルが他のプロセス、プロセス ハンドル、 複雑なリンクをフックするため、簡単に駆除できな い。インストーラー パッケージではないため、コン トロール パネルには表示されない。 動作 不要な広告、ポップアップ、ポップアンダーを表示す る。ユーザーに気づかれずに、あるいはユーザーの 許可なくブラウザーの設定を変更したり、ユーザー とシステムのデータを収集する。リモートからシス テムを制御する場合もある。 個人情報やオンライン バンキングの認証情報を盗 み出す。システム ファイルを改ざんし、システムを使 用不能にする。身代金を要求する。 ステルス性 通常、ステルス性はない。 ファイル、フォルダー、レジストリ エントリ、ネット ワーク トラフィックを隠 する場合がある。 このような動作に基づき、PUPは次の種類に分類できます。 ■アドウェア: 主に、ブラウザーに広告を表示します。 ■ パスワード クラッカー: アプリケーションで非表示 のパスワードを表示します。 ■リモート管理ツール（RAT）: インストールされた マシン上でのユーザーの操作を監視します。ユー ザーに気づかれずに、あるいはユーザーの許可な くシステムをリモートから制御します。 ■キー ジェネレーター: 正規のアプリケーションのプ ロダクト キーを生成します。 ■ブラウザー ハイジャッカー: ホームページ、検索 ページなどのブラウザーの設定を変更します。 ■ハッキング ツール: システムへの侵入や重要な データの流出を容易にする単独のアプリケーショ ン。 ■プロキシ: リダイレクトを行ったり、IP関連の情報を 隠します。 ■トラッキング ツール: ユーザーのキー操作、個人 的なやり取りを記録したり、ユーザーのオンライン 操作を監視するスパイウェアやキーロガー。また、 ユーザーに気づかれずに画面イメージを取得しま す。 PUPと他のマルウェア（トロイの木馬、ランサムウェア、ボット、ウ イルスなど）との主な違いは次のとおりです。 このレポートを共有

拡散

サイバー犯罪者は、フィッシング詐欺メール、SEOのハイジャック、脆弱なWebサー バー、ボットなどを利用してマルウェアを拡散させています。一方、PUPはユーザーの信 用を悪用して拡散します（信用の悪用については『McAfee Labs脅威レポート: 2014 年11月』を参照）。PUPの一般的な拡散方法は次のとおりです。 ■ 正規のアプリケーションの悪用 ■ソーシャルエンジニアリング ■ Facebookの「いいね」 ■ Facebookへの詐欺メッセージの掲載 ■ Google AdSenseのハイジャック ■ 不要なブラウザー拡張やプラグイン ■ 正規のアプリケーションと一緒に強制的にインストール

取り締まりは難しい

トロイの木馬やウイルスは、カスタム パッキング、暗号化、仮想マシンの検出、ステル ス技術を駆使して検出を回避しようとします。このような高度な技術は使用しないも のの、PUPも様々なセキュリティ製品の検出を回避しようとしています。高度な技術を 利用していないのに取締りが簡単でないのはなぜでしょうか。 PUPは、無害に見える拡散技術を利用しているため、ネットワーク侵入防止、ファイア ウォール、マルウェアなど、様々なセキュリティ対策をすり抜け、標的に到達します。個 人だけでなく、組織内にも侵入しています。PUPは、セキュリティ検査を回避するために ステルス性を備える必要はありません。これらのプログラムは正規のアプリにバンド ルされているため、知らないうちにインストールされています。システムに侵入するた めにデジタル署名を持っているアプリもあります。 トロイの木馬、ウイルス、ボットは脅威研究者がファイルを分析すれば簡単に検出でき ます。動的/静的な分析やリバース エンジニアリングで不正な挙動を確認することが できます。しかし、PUPにはこのような特徴はありません。挙動が正規のプログラムと似 ているため、セキュリティ コミュニティではこれらのプログラムをグレー ファイルとし ています。挙動が曖昧なプログラムは、専門家でもPUPか正常なファイルか簡単に判 断することはできません。 何年もの間、PUPは重大な脅威とは見られず、セキュリティ ベンダーの関心も高くあり ませんでした。しかし、現在のPUPはその挙動を進化させています。

Microsoft Windows でのアドウェアの読み込みポイント

ディスク上の ファイル ブラウザー拡張 クロスプラットフォームプラグイン システム サービス ユー ザー モ ード NTDLL.DLL デバイス ドライバー スレッド 仮想メモリー カー ネ ル モ ード KERNEL 出典: McAfee Labs, 2015

悪質なアドウェア

PUPの中でセキュリティ ベンダーの関心を最も集めているのがアドウェアです。迷惑 な広告を表示することではなく、アドウェアが信用を悪用する方法が問題となっていま す。 最近のアドウェアは様々な技術を駆使し、感染先のシステムで持続的に存在するよう になっています。たとえば、次のような技術を悪用しています。 ■メモリーで実行される単独のプロセス ■ファイルアプリ固有の機能が組み込まれたCOM（Component object model）型とCOM型以外のDLL ■ブラウザー ヘルプー オブジェクトのレジストリ キー ■システム プロセスにフックするDLL ■ブラウザー拡張とプラグイン ■ 登録済みのシステム サービス ■デバイス制御を実行するデバイス ドライバー コンポーネント ■ 低レベルのフィルター ドライバー ■ ペイロードとして配布されたトロイの木馬 下の図の赤い部分は、Microsoft Windowsの様々なレイヤーでPUPが狙う領域を表し ています。 PUP、特にアドウェアは危険性を増し、 根絶が難しくなっています。 このレポートを共有

PUP

_の傾向

McAfee Labsの調査では、昨年の第3 四半期にPUP関連のエスカレーション が急増しました。この脅威の多くはアド ウェア技術を使用していました。主要 なアプリは、OutBrowse、SearchSuite、 SearchProtect、Browsefoxです。 700 600 500 400 300 200 100 0

企業の PUP エスカレーション

出典: McAfee Labs, 2015 第3四半期 第4四半期 第2四半期 第1四半期 2014年

Microsoft Windows で検出された PUP

1月 SafeSurf ビットコイン マイナー Amonetize 2月 SafeSurf OpenCandy Bprotect 3月 HideWindow BetterInstaller Bprotect

2014

年第1四半期

2014

年第2四半期

2014

年第3四半期

2014

年第4四半期

5月 OutBrowse MultiDropper Crossrider AddLyrics NewNext 7月 BrowseFox SearchProtect SearchSuite DealPly CoinMiner OneInstaller 9月 BrowseFox SearchSuite Crossrider Amonetize OpenCandy ShopperPro 6月 BrowseFox PriceMeter SearchSuite 10月 BrowseFox SearchSuite Crossrider WebProtect iBryte RocketTab 8月 BrowseFox SearchSuite Crossrider Amonetize AddLyrics 12月 BrowseFox SearchSuite Crossrider 4月 OutBrowse MultiDropper Bprotect Crossrider AddLyrics 11月 BrowseFox SearchSuite Crossrider DealPly AddLyrics 2014年に企業ユーザーからMcAfee Labsに送信されたPUPエスカレーション

主なアドウェア

2014年に最も拡散したアドウェア ファミリは次のとおりです。 ■ Adware-BrowseFox ■ Adware-SearchSuite ■ Adware-SearchProtect ■ Adware-iBryte ■ Crossriderフレームワークを使用するPUP BrowseFoxは感染先のシステムで2つのサービスを実行します。 これらのサービスはTCPポートとUDPポートを介してリモート サーバーに接続します。UDP接続はパケットの配信を保証する ものではありませんが、TCP接続は配信を保証します。この2つ のプロトコルを使用することで、リモート サーバーから送信さ れたデータは感染先のマシンに確実に配信されます。このアド ウェアは、マシンが再起動した後でも継続して実行されます。 McAfee Labsが2014年に分析したSearchSuiteは、さらに攻撃 的です。パッケージ、ブラウザー コンポーネント、システム サー ビスをインストールするだけでなく、Windowsのデバイス制 御APIを使用してデバイス ドライバーを制御します。これは、 セキュリティ製品の検出機能に影響を及ぼします。これらのコ ンポーネントはカーネル モードに侵入し、アプリケーションと ハードウェア デバイスの通信で使用される低レベルのフィル ター ドライバーを作成します。 Crossriderは、クロスプラットフォームのブラウザー プラグイン を簡単に作成できるフレームワークです。一部のアドウェアは Crossrider APIを使用して攻撃対象のマシンに広告を表示して います。これは、エンドポイント セキュリティ製品の検出機能を 回避するためにアドウェアの作成者が使う手法の一つです。

Windows

_{だけでなくAppleにも触手を伸ばすPUP}

Apple製品への侵入に成功するトロイの木馬はまだ多くありま せんが、Bundlore、Aobo Keylogger、Ginieo、SearchProtectなど のPUPファミリはすでにMacへの感染に成功しています。Macで 検出されたマルウェア全体の70%以上はPUPに分類されます。 Macのアドウェアが最初に確認されたのは2012年ですが、現 在では多くのPUPファミリがMacで確認されています。 Windows上での動作と同様に、Macを狙うPUPもビデオ コン バーターやYouTubeのダウンロードなど、正規のアプリケー ションにバンドルされています。攻撃対象のMacに感染すると、 ユーザーの閲覧習慣を密かに監視し、その傾向に基づいて広 告を表示します。

Apple Mac で検出された PUP

出典: McAfee Labs, 2015 9月 Vsearch Yontoo Aobo KeyLogger XForce Adobe クラッキング 11月 NetWeird OpinionSpy SearchProtect Puper Rlogger CoinMiner 10月 FkCodec Crossrider Genieo Bundlore Zako Ventir 12月 Genieo Spigot Backtrack Refog Yontoo CoinMiner

2014

年第3四半期

2014

年第4四半期

このレポートを共有

ある1日のPUPの状況を見てみましょう。下の地図は、McAfee Labsが遠隔測定で収集し た24時間分のデータから作成したものです。 ■ 300,000件を超えるIPアドレ スのホストで何らかのアド ウェア コンポーネントが実 行されています。 ■ PUPは170か国以上で確認 され、感染数が最も多い国 は米国です。 ■ 150万のノードがPUPに感 染しています。 ■ 顧客のマシンでPUPコン ポーネントのハッシュが 373,000も検出されました。 この期間で確認された上位50件のマル ウェア ファミリを見ると、そのほとんど がPUPで、全体の94%を占めています。 94% 6%

24 時間で検出された PUP と他のマルウェアの比率

PUP 他のマルウェア 出典: McAfee Labs, 2015 24時間で確認されたPUPの発生源

McAfee Labsでは、1日に9,100万以上のシステムでPUPを検出しています。

PUP

ファミリ

24

時間で報告された検出数

Adware-BrowseFox 86,683,015 Adware-BProtect 2,063,861 Adware-SearchSuite 1,133,810 PUP-MultiPlug 314,634 PUP-SoftPulse 209,813 Adware-iBryte 73,381 PUP-Crossrider 41,547 PUP-ShopperPro 33,382 その他のPUP 1,102,919 また、2014年に確認したPUPのサンプルは90億を超えています。

Google

のランキング操作で収益を確保

SEO対策でサイトのランキングを上げるとGoogle AdSenseでより多くの収益を得るこ とができます。PUPの作成者はアドウェアは使用してサイトのランキングを上げようと しています。標的のマシンにアドウェアを感染させた後、リモート サーバーが広告に 接続し、感染先での閲覧回数を増やし、サイトのランキングを上げるという仕組みで す。感染先のマシンに表示される広告は、ユーザーの好みに合わせて調整されるた め、クリックされる可能性が高くなります。サイトのランキングが高くなれば、Googleの 検索結果で上位に表示されるので、広告収入が増えます。

1つのアドウェア アプリが数千のマシンに拡散すれば、このような手法はサービスとし て機能し、アドウェア自身が感染媒体となります。

積極的な対策でPUPを封じ込める

PUPファイルはグレーな存在で分類が難しいため、多くのセキュリティ ベンダーはPUP をより体系的に分類できるようにポリシーを作成しています。PUPポリシーには、PUPの 評価、分類、検出を行うためのルールが定義されています。 McAfee Labsでは、PUPの開発者が利用する手口の変化に対応するため、PUPのポリ シーを定期的に見直しています。McAfee Labsの最新のポリシーでは、以下の基準で PUPの判別を行っています。 ■ ユーザーに提供される価値 ■ ユーザーが被るリスク ■ 技術またはコンポーネントのコンテキスト ■ 拡散元と配布方法 ■ 技術が誤使用される確率 McAfee Labsの研究者は、この基準に基づいて以下の調査を行っています。 ■ソフトウェアのリスクがユーザーに通知される程度 ■ ユーザーがソフトウェアの動作に同意する程度 ■ ユーザーがソフトウェアのインストール、操作、削除を制御できる度合い McAfee Labsでは、PUPの可能性があるコンポーネント ファイルを調査し、そのメイン インストーラーを検出しています。インストーラーが完全なパッケージをダウンロード する環境を社内で再現し、これらのダウンロードを徹底的に分析します。さらに、最新 のPUPポリシーに従って、正規のアプリかPUPかを判断します。アプリがPUPに分類され れば、PUPを許可またはブロックするようにエンドポイントの保護製品の設定を変更 できます。PUPに対するエンドポイントの設定ガイドラインについては、こちらをご覧く ださい。 PUPを体系的に分類できるように、 McAfee LabsではPUPポリシーを作 成しています。このポリシーは、マル ウェア作成者が使用する手口の変化 に合わせて定期的に更新しています。 Intel Securityがこの脅威を阻止す る方法

統計情報

モバイル マルウェア マルウェア Web脅威 メッセージングとネット ワークの脅威 フィードバックを共有

モバイル マルウェア

McAfee Labsのモバイル マルウェア データベースに登録されたサンプル 数は増加を続けています。第4四半期 には600万件を突破し、第3四半期よ りも14%増加しています。 900,000 800,000 700,000 600,000 500,000 400,000 300,000 200,000 100,000 2013年 2014年 0

新しいモバイル マルウェア

出典: McAfee Labs, 2015 第4 四半期 第3 四半期 第2 四半期 第1 四半期 四半期第1 四半期第2 四半期第3 四半期第4 7,000,000 6,000,000 5,000,000 4,000,000 3,000,000 2,000,000 1,000,000 0

モバイル マルウェアの合計

2013年 2014年 第4 四半期 第3 四半期 第2 四半期 第1 四半期 四半期第1 四半期第2 四半期第3 四半期第4

モバイル マルウェアの感染率は一 定ではありません。2013年第4四半 期から8%以上増加した時期もあり ます。2013年第4四半期以降は一度 上昇し、その後は下降傾向になって います。これは広告ネットワークの AirPushがPUPと見なされたためで す。 25% 20% 15% 10% 5% 30% 第4四半期 第3四半期 第2四半期 第1四半期 第4四半期 2013年 2014年 0

世界のモバイル マルウェアの感染率

出典: McAfee Labs, 2015 10% 8% 6% 4% 2% 12% 北米 南米 ヨーロッパ オーストラリア アジア アフリカ 0

地域別のモバイル マルウェアの感染率 (2014年第4四半期)

出典: McAfee Labs, 2015 この脅威レポートでは、McAfeeモ バイル セキュリティ製品が実行され ているモバイル端末から報告された データを調査しています。この情報 は、世界中の数百万台のモバイル端 末から収集したものです。 感染率は、情報を戻したモバイル端 末でMcAfee Labsがマルウェアを検 出した回数の割合を示しています。 マルウェアとは、ウイルス、トロイの木 馬、PUPを意味します。 このレポートを共有

マルウェア

McAfee Labsのデータベースに登録 されたマルウェアの数は第3四半期か ら第4四半期で17%増加しています。 このペースで増加すると、2015年の 第3四半期には5億件を超えるでしょ う。 1分間に出現する新しい脅威は387件 で、1秒あたりに換算すると6件を超え ます。 60,000,000 50,000,000 40,000,000 30,000,000 20,000,000 10,000,000 第4 四半期 第3 四半期 第2 四半期 第1 四半期 2013年 2014年 0

新しいマルウェア

出典: McAfee Labs, 2015 第4 四半期 第3 四半期 第2 四半期 第1 四半期 400,000,000 350,000,000 300,000,000 250,000,000 200,000,000 150,000,000 100,000,000 50,000,000 0

マルウェアの合計

2013年 2014年 第4 四半期 第3 四半期 第2 四半期 第1 四半期 四半期第1 四半期第2 四半期第3 四半期第4

新しいランサムウェアの数は4期連 続で減少していましたが、第3四半期 に増加し始めました。第4四半期は 155%増加しています。現在、確認し ているランサムウェアのサンプル数は 200万件を超えています。 400,000 350,000 300,000 250,000 200,000 150,000 100,000 50,000 0

新しいランサムウェア

2013年 2014年 出典: McAfee Labs, 2015 第4 四半期 第3 四半期 第2 四半期 第1 四半期 四半期第1 四半期第2 四半期第3 四半期第4 2,000,000 1,500,000 1,000,000 500,000 2,500,000 0

ランサムウェアの合計

2013年 2014年 出典: McAfee Labs, 2015 第4 四半期 第3 四半期 第2 四半期 第1 四半期 四半期第1 四半期第2 四半期第3 四半期第4 このレポートを共有

100,000 80,000 60,000 40,000 20,000 120,000 0

新しいルートキット マルウェア

2013年 2014年 出典: McAfee Labs, 2015 第4 四半期 第3 四半期 第2 四半期 第1 四半期 四半期第1 四半期第2 四半期第3 四半期第4 1,600,000 1,400,000 1,200,000 1,000,000 800,000 600,000 400,000 200,000 0

ルートキット マルウェアの合計

2013年 2014年 第4 四半期 第3 四半期 第2 四半期 第1 四半期 四半期第1 四半期第2 四半期第3 四半期第4

3,000,000 2,500,000 2,000,000 1,500,000 1,000,000 500,000 2013年 2014年 0

署名付きの新しい不正なバイナリ

出典: McAfee Labs, 2015 第4 四半期 第3 四半期 第2 四半期 第1 四半期 四半期第1 四半期第2 四半期第3 四半期第4 18,000,000 16,000,000 14,000,000 12,000,000 10,000,000 8,000,000 6,000,000 4,000,000 2,000,000 0

署名付きの不正なバイナリの合計

2013年 2014年 出典: McAfee Labs, 2015 第4 四半期 第3 四半期 第2 四半期 第1 四半期 四半期第1 四半期第2 四半期第3 四半期第4 署名付きの新しい不正なバイナリが 再び増加傾向を示しています。第4四 半期に確認されたサンプル数は17% 増加しています。 このレポートを共有

Web

脅威

第3四半期は、不正なサイトを隠 す るために使われた短縮URLの数が倍 になり、フィッシング詐欺のURLも急 増しました。第4四半期は通常の量に 戻っています。 35,000,000 30,000,000 25,000,000 20,000,000 15,000,000 10,000,000 5,000,000 2013年 2014年 0

新しい不審な URL

関連ドメイン

URL 出典: McAfee Labs, 2015

第4 四半期 第3 四半期 第2 四半期 第1 四半期 四半期第1 四半期第2 四半期第3 四半期第4 北米 オーストラリア ヨーロッパ/中東 ラテンアメリカ 46% 35% <1% 1% 15%

不審なコンテンツが存在するサーバーの場所

3% アジア太平洋

第3四半期に新しいフィッシング詐欺 URLが急増した原因としては、ロシア のピル スパムのフィッシング詐欺が 考えられます。この詐欺では、受信者 ごとにサブドメインが作成されまし た。第4四半期は沈静化しています。 3,000,000 2,500,000 2,000,000 1,500,000 1,000,000 500,000 0

新しいフィッシング詐欺 URL

2013年 2014年 関連ドメイン

URL 出典: McAfee Labs, 2015

第4 四半期 第3 四半期 第2 四半期 第1 四半期 四半期第1 四半期第2 四半期第3 四半期第4 米国 ドイツ 英国 フランス ブラジル オランダ 27% 49% 8%

フィッシング詐欺ドメインが存在する国の上位

4% 3% 3% 2% 2% 2% ロシア カナダ その他 出典: McAfee Labs, 2015 このレポートを共有

700,000 600,000 500,000 400,000 300,000 200,000 100,000 0

新しいスパム URL

2013年 2014年 関連ドメイン

URL 出典: McAfee Labs, 2015

第4 四半期 第3 四半期 第2 四半期 第1 四半期 四半期第1 四半期第2 四半期第3 四半期第4 52% 18% 12% 4% 4% 3% 3% 2%

スパム ドメインが存在する国の上位

2% 米国 日本 中国 オランダ ドイツ 英国 ロシア 香港 その他

メッセージングとネットワークの脅威

第3四半期は、正規メールの件数が 急増しましたが、これはデータの収集 方法が改善されたことによるもので す。第3四半期と第4四半期の数字は 直接比較できるものではありません が、時間とともに正確な比較が可能 になります。 12 10 8 6 4 2 0 2013年 2014年 正規のメール スパム 出典: McAfee Labs, 2015

世界で発生したスパムとメールの量

(1兆通単位) 第4 四半期 第3 四半期 第2 四半期 第1 四半期 四半期第1 四半期第2 四半期第3 四半期第4 第4四半期は、既知のボットネットか ら送信されるスパムが大幅に減少し ました。2013年から2014年にかけて 活発に活動していたKelihosボット ネットからのスパム送信が昨年末か ら急速に減少しています。第4四半期 全体としては、薬の販売や健康増進 を装うスパムが減少し、未確認のボッ トネットから不正なペイロードを散布 するスパムが増加しています。 出典: McAfee Labs, 2015 1,500 1,000 500 2013年 2014年 0

スパム メールを送信するボットネットの上位 20

(100万通単位) Kelihos Asprox Gamut Snowshoe Cutwail Festi Darkmailer Slenfbot Darkmailer 2 その他 第4 四半期 第3 四半期 第2 四半期 第1 四半期 四半期第1 四半期第2 四半期第3 四半期第4 このレポートを共有

第4四半期もブラウザー、サービス拒 否、総当り攻撃がネットワーク攻撃の 上位を占めていますが、DoSは第3 四半期から半減しました。SSLは4% 増加し、新たに登場したShellshock が5位に入っています。この結果は、 HeartbleedとShellshock攻撃の影 響が続いていることを反映していま す。 26% 6% 22% 6% 5% 12% 18% 2% 1% 1%

ネットワーク攻撃の上位

サービス拒否 ブラウザー RPC 総当り攻撃 バッファー オーバーフロー SSL バックドア スキャン Shellshock その他 出典: McAfee Labs, 2015