2018年6月McAfee Labs脅威レポート

レポート

McAfee Labs

脅威レポート

2018

年6月

主要キャンペーン

Gold Dragon

によるオリンピック サイバー

攻撃の拡大

Lazarus

が暗号通貨ユーザーをターゲット

にして再興

高度なデータ窃盗インプラントの

GhostSecret

と Bankshot が世界的に蔓延

フォロー シェア

McAfee Labs

_{が計測したコイン マイナー マルウ}

ェアは第1四半期に629%増加し、サンプル数は

290

_{万件以上。}

はじめに

2018

年6月McAfee

®

_Labs

_{脅威レポートをご覧いただき、ありがとうございます。本号では、McAfee}

Advanced Threat Research

及びMcAfee Labs チームが、2018年第1四半期に行った重要な調査

研究結果及び脅威傾向統計についての情報をハイライトしています。

第1四半期には、世界中のユーザー及び企業システムをターゲットにした複雑な国家的脅威キャ

ンペーンに関する新事実が出てきました。これらのキャンペーンには経済的利益を目的としたサ

イバー犯罪から、政治的転覆、さらに監視やスパイ行為まで、様々な目的があります。前号で暗号

通貨ハイジャックについての調査をお伝えしましたが、本四半期でもこの犯罪行為が拡大し続け

ていることがわかりました。攻撃者の目的は、最小限の労力と最低限の仲介者で、できるだけ短い

期間に、発見されるリスクを最小限にして、この犯罪行為から金銭的利益を手に入れることです。

これらの犯罪者は高度な技術的アジリティとイノベーションを持っています。2017年末にかけて

急増した攻撃スキームの多くは、検出や緩和策を回避するために創造的かつ複雑な方法で強化さ

れています。

本レポート執筆者： • Christiaan Beek • Taylor Dunton • Steve Grobman • Mary Karlton • Niamh Minihane • Chris Palm • Eric Peterson • Raj Samani • Craig Schmugar • ReseAnne Sims • Dan Sommer • Bing Sun

レポート 主要トピック

フォロー シェア

主要キャンペーン

Gold Dragon及び冬季オリンピック

第1四半期初頭、McAfee Advanced Threat Research は、 韓国の平昌冬季オリンピック関連組織をターゲットにした攻 撃について報告しました。この攻撃は PowerShell インプラン ト スクリプトが隠された不正な Microsoft Word添付文書に よって実行されました。このスクリプトは画像ファイルに埋め 込まれ、リモートサーバーから実行されました。 当社のアナリスト チームはまた、最初のファイルレス インプ ラントの効果を持続させ、データの抜き出しやデータへのア クセスを継続できるようにする複数の二次的インプラントの 存在も発見しました。こうして発見されたものの中に韓国語 のインプラント (Gold Dragon) があります。これは二次的ペ イロードの役割をするもので、攻撃の初日に確認されていま す。Gold Dragonには主要な機能が2つあります：偵察ツールと しての働きをし、攻撃チェーンの後続ペイロードをダウンロー ドし実行します。そして他のインプラントが入手したデータを暗 号化しコントロール サーバーに送信します。Gold Dragon は特 に狡猾なファイルレス マルウェアで、検出を回避し、マルウェア 対策に関するプロセスをチェックするように設計されています。 Lazarus及び暗号通貨キャンペーン Lazarusサイバー犯罪リングが再興し、新しい、高度に洗練さ れたビットコイン窃盗フィッシング キャンペーン—HaoBao— を始動しました。これは国際的金融機関とビットコイン ユー ザーをターゲットにしています。.受信者が不正な添付文書を クリックすると、インプラントはビットコインに関するアクティ ビティをスキャンし、インプラントを確立させて継続的にデー タ収集を行います。これらの技術は、Lazarusによって実行さ れたと考えられている他の攻撃に使われた技術に酷似して います。

フォロー シェア 2017年初頭、Lazarusは、リクルーターを装った韓国語及 び英語のフィッシング メール キャンペーンを行いました。 防衛請負業者と金融機関を主なターゲットとし、これらか ら軍事機密情報または金銭を盗むことを目的としていま した。2017年10月に終了したと思われるこのキャンペーンは 主に、不正な添付文書を利用していました。 Dropboxを通して文書が送られた数件の攻撃を調査したと ころ、データ収集と持続性確立のために2つのインプラントを 使用していることがわかりました。これらは通常古いバージョ ンのWord文書に埋め込まれ、Visual Basic マクロを通して実 行されます。これらのアクションが実行されると、マルウェアは コントロール サーバーにデータを送ります。 これらの技術、戦術、手段は、米国防衛請負業者、米国エネル ギー セクター、金融機関、及び暗号通貨取引所をターゲット にした2017年のキャンペーンに酷似しています。HaoBao 暗 号通貨攻撃の今後の報告に気を付けてください。 GhostSecret/Bankshot

McAfee Advanced Threat Researchはさらに、ヘルスケアや ファイナンスから、エンターテイメントやテレコミュニケーショ ンまで、複数のセクターをターゲットにしたもう1つのグロー バル キャンペーンを発見しました 。現在活動中の Operation GhostSecret には、Hidden Cobra として知られる国際的サ イバー犯罪グループが関与していると考えられています。この 非常に複雑なキャンペーンは、一連のインプラントを用いて 感染したシステムからデータを入手し、また検出を回避して 証拠調査をまどわせるという特徴があります。当社のアナリス トはまた、隠れたネットワークの一部であるサーバー インフラ ストラクチャがインドにあり、それらがデータを収集し、その他 の攻撃を起動させていることを発見しました。 このキャンペーンはBankshot インプラントを使い、トルコの 金融機関を最初のターゲットにしました。Bankshot は2017 年12月に米国国土安全保障省によって初めて報告された インプラントです。この種の攻撃によくあるように、これには 不正なWord文書が添付されたフィッシング メールが使用 されました。この Bankshot の新しい変種は、埋め込まれた Adobe Flash エクスプロイトを使い、インプラントの実行を可能 にします。 GhostSecret の最新の変種は Bankshot インプラント技術を 利用するだけでなく、2014年の Sony Pictures への攻撃に使 われた Destover マルウェアの要素、そして2017年中旬から 検出されずに活動を続けていた、これまでドキュメント化され ていなかったインプラントである Proxysvc インプラントの要 素も組み込んでいます。

レポート 主要トピック このようにデータ収集インプラントが組み合わされて利用さ れているということは、Hidden Cobra のような攻撃者は継続 的にツールを改良して磨きをかけ、能力を向上させていると いうことを示しています。GhostSecret は今後も世界中の組 織をターゲットにし続けると思われます。 主要なトレンド：犯罪者は改善努力を続けている 2018年第1四半期に、McAfee Labsは平均して1秒当たり5 件の新しいマルウェア サンプルを記録しました (第4四半期の 1秒当たり8件から減少)。新しいマルウェアの数は前四半期 から31%減少しましたが、2018年第1四半期には著しい技術 的発展がみられました。犯罪者は最新の優れた技術と手段 を用いて、ターゲットの防御の裏をかくために改善をしている のです。 PowerShell から LNKへ：2017年は、PowerShell のような 無害な技術の不正利用が急増しました。2018年第1四半期 は PowerShell エクスプロイトが77%減少し、悪意ある犯罪 者はLNKケーパビリティを利用するようになりました。新しい LNKマルウェアは第1四半期に59%増加しています。

四半期ごとに、McAfee® _{Global Threat} Intelligence (McAfee GTI) クラウド ダッシュ ボードでは、実際に起きている攻撃パターンの 確認及び分析ができ、より良い顧客の保護が 可能になります。ここでは、私たちの顧客が経 験した攻撃ボリュームについての洞察を提供 しています。McAfee GTI は平均して毎日240万 URLと70万ファイルを分析しています。 第1四半期には、当社の顧客に対して以下の 攻撃がありました： ■ 1日あたり平均510億クエリ ■ 1日あたりの不正ファイルへの対応数は、 第4四半期の4,500万ファイルから第1四半 期には7,900万ファイルに増加 ■ 1日あたりの高リスクURLへの対応数は、 第4四半期の3,700万から第1四半期には 4,900万に増加 ■ 1日あたりの高リスクIPアドレスへの対応 数は、第4四半期の2,600万から第1四半期 には3,500万に増加

McAfee Global Threat Intelligence

フォロー シェア Locky から Gandcrab へ：Gandcrab ランサムウェアのアク

ティビティからも、サイバー犯罪者の技術的アジリティを見る ことができます。全般的に見ると、新規ランサムウェアは第1 四半期に32%減少しましたが、Gandcrab は第1四半期の最 初の3週間で50,000 システムに感染、Locky ランサムウェアに 取って代わって第1四半期の最多のランサムウェアになってい ます。Gandcrab はビットコインではなく Dash という暗号通 貨を通して身代金の受け取りをするなどといった新しい犯行 手段を使っています。 暗号通貨ハイジャック - 感染と収集：第1四半期も継続して、 暗号通貨がサイバー攻撃のランドスケープを形作っています。 サイバー犯罪者は暗号通貨ハイジャックの分野へと活動を 広げており、システムを感染させて暗号通貨のマイニング用 にシステムをハイジャックしています。 コイン マイナーマルウェアは驚異的な成長をしており、第4四 半期は約40万サンプルだったものが第1四半期には290万 サンプルになり、629％増加しました。これはつまり、サイバー 犯罪者は、ランサムウェアのように被害者に金銭の要求をす ることなく、金銭的利益を得る手段を使い始めていることを 示しています。データ盗難やランサムウェアなどといった既に 確立されたサイバー犯罪アクティビティに比べて、暗号通貨 ハイジャックはよりシンプルで、単純かつリスクの少ない方法 です。サイバー犯罪者がしなければならないのは、何百万も のシステムを感染させ、そのシステムを使って暗号通貨のマイ ニングを行って、そこから金銭的利益を得るだけです。ここに は仲介者もおらず、詐欺スキームもなく、また支払いを要求さ れる被害者もおらず、また支払いを拒否するために事前にシ ステム バックアップをしなければならなくなるような被害者 もいません。 当社の最新の調査内容を常にご確認いただくには、当社の ソーシャル メディア チャネル (Twitter @McAfee_Labs) をご 覧ください。Twitterでは新しいキャンペーンの分析や、皆さま の環境をより良く保護するために利用できる新しいツールに ついて情報提供しています。 —Steve Grobman、CTO (チーフ テクノロジー オフィサー) —Raj Samani、チーフサイエンティスト兼 McAfee フェロー、 Advanced Threat Research

目次

レポート

Gold Dragon

によるオリンピック

サイバー攻撃の拡大

Lazarus

が暗号通貨ユーザーを

ターゲットにして再興

高度なデータ窃盗インプラント

の GhostSecret と Bankshot

が世界的に蔓延

脅威統計

15

13

10

8

Gold Dragon によるオリンピック サイバー攻撃の拡大

韓国の平昌冬季オリンピック関連組織をターゲットにしたフ ァイルレス マルウェアの一部として McAfee Advanced Threat Research のアナリストが最初に発見した Gold Dragon イン プラントは、攻撃者の間で広まりつつある新種のツールと技 術を差し示しています。多くのファイルレス マルウェア キャン ペーンは、システムへの侵入口を作るために PowerShell を 活用してメモリ内に攻撃を仕掛けます。Gold Dragon が際立 っているのは、これがオリンピックへの攻撃用にカスタマイズ されており、感染したシステム内で持続し、また特に、オリン ピックのインシデントの約1週間後にハッキングされたチリの サーバーへの後続攻撃にも見られたためです。Gold Dragon は特に狡猾なファイルレス マルウェアで、検出を回避し、マル ウェア対策ソリューションに関するプロセスをチェックするよ うに設計されています。 他の多くの攻撃と同様、侵入はユーザー経由です。ソーシャ ル エンジニアリング メールがユーザーに送られ、そこには PowerShell インプラント スクリプトが隠されている不正な Word文書が添付されています。受信者が添付をクリックする と、受信者の持っているWordのバージョンでコンテンツを表 示するためにプロセスを有効にするか聞かれます。マルウェ アは Visual Basic マクロを起動して、リモートサーバーから PowerShell スクリプトを実行します。次にこのスクリプトは画 像ファイルをダウンロードし、追加の PowerShell スクリプト を画像のピクセルに埋め込みます。Gold Dragon はさらなる 技術向上によってソースの難読化を進め、検出が非常に困難 になりました。Gold Dragon がコマンド ラインに入り込んで 攻撃者のコントロール サーバーに接続し、ターゲットになっ たマシンを示すシステム レベルのデータを収集した後は特に 検出が困難になります。 韓国語のインプラントである Gold Dragon は、最初のファイ ルレス インプラントの効果を持続させ、データの抜き出しや データへのアクセスを継続できるようにする二次的インプ ラントです。これには、Ghost419 や Brave Prince などとい った、2017年中旬から観測されているインプラントに類似す る点が多くあります。

フォロー シェア

レポート 主要トピック フォロー シェア Gold Dragon はオリンピックへの攻撃で複数の役割を担いま した： ■ オリンピックへの攻撃の第二段階のペイロード（と考えら れている） ■ 偵察ツール及びその他のペイロードのダウンローダーとし ての機能 ■ ターゲットとなったデバイスのプロファイルを確認し、デスク トップ上のディレクトリや最近アクセスしたファイル、プログ ラム ファイル フォルダー (レジストリ キーやユーザーのラン キーへのバリュー情報) などといった情報を収集 ■ これらのデータを暗号化しリモートサーバーに送信 ■ 検出回避のため、マルウェア対策やウィルス対策ソリューシ ョンに関係するプロセスを検索し終了させる ■ リモート サーバーからその他の攻撃コンポーネントをダウ ンロードし実行する Gold Dragon は、ファイルレス マルウェア攻撃に使用される多 くのインプラントの1つで、持続性を持たせて継続的なデータ 引き出しを可能にするという利点を攻撃者に提供しています。

フォロー シェア Lazarus が暗号通貨ユーザーをターゲットにして再興 Lazarus として知られる国際的サイバー犯罪グループは 2017年後半、短期間活動を休止していましたが、2018年第 1四半期に、高度に洗練されて複雑な暗号通貨スキームで ある HaoBao を伴って再び出現しました。McAfee Labs 脅威 レポートの前号では、ビットコインの評価が増すにつれ、サイ バー犯罪者はランサムウェアによって暗号通貨で身代金を求 めるだけでなく、暗号通貨ハイジャックまたは暗号通貨のマイ ニングにまで活動を広げていくであろうとコメントしました。 HaoBao キャンペーンが起こる前、McAfee の研究者は Lazarus に関係するスピア フィッシング キャンペーンを発見 しました。これは防衛請負業者及び金融機関の従業員をター ゲットにしていました。このキャンペーンは機密データを入手 すること、または資金を盗むことを目的としていました。この キャンペーンは2017年10月まで続いたとみられています。

2018年第1四半期に、McAfee Advanced Threat Research のアナリストは、香港にある大規模な国際的銀行のビジネス 開発エグゼクティブをリクルートしていると見せかけた新しい キャンペーンを発見しました。 このメールは受信者に、感染したWord文書をDropboxからダ ウンロードするよう仕向けます。前項で説明した Gold Dragon の攻撃のように、この文書は古いバージョンのWord文書に埋 め込まれ、現在のWordのバージョンでの操作にみせかけよう とするもので、 Visual Basic のマクロから起動させます。ユー ザーがこの操作をすると、マルウェアはシステムデータを引き 出し、コントロール サーバーに送信します。 図 1: 攻撃の疑似餌の例：古いバージョンに見えるMicrosoft Word文書。

レポート 主要トピック フォロー シェア この種のインプラントは今まで検出されたことはありません でした。このキャンペーンは1回限りのデータ収集インプラン トを使用しており、持続性を持たせるために第2段階のインプ ラントをダウンロードさせます。このインプラントにはハード コードされたワードの haobao が含まれ、Visual Basic マクロ

を用いてデータ流出メカニズムを始動させます。データ収集 の目的は、今後の攻撃のために、ある特定のシステム スキャ ンをして、特にビットコインに関係したソフトウェアを使用して いるターゲットを見つけることです。 図 2: HaoBao インプラントの軌跡。 hxxps://dl.dropboxusercontent.com/ content_link/AKqqkZsJRuxz5VkEgc guqNE7Th3iscMsSYvivwzAYuTZQW DBlsbUb7yBdbW2lHos/file?dl=1 cmd.exe /c start /b <temp_dir_path>\.\ls m.exe /haobao 偽のレジュメ コントロール サーバー www[dot]worker.co.kr www[dot]palgong-cc.co.kr 持続性 “AdobeFlash” %TEMP%\One Drive.exe kLZXlyJelgqUpKzP の値でキーを実行 データ調整 流出 収集したデータ： XORエンコーディング： 0×34 Base64 XORされたデータ スタートアップ フォルダー：

GoogleUpdate.lnk <temp_dir_path>\Job Description.doc投下されたおとり文書 反射型DLL インジェクション攻撃 コンピュータ名 ユーザ名 実行中プロセス ビットコイン ウォレットを探す Software\\Bitcoin-QT

フォロー シェア McAfee のアナリストは、米国国防総省、米国エネルギー省、 金融機関、そして暗号通貨取引所をターゲットにした2017年 のキャンペーンに似た技術をもとに、これが Lazarus に関連 していると判断しました。アナリストは以下の観測をもとに確 信をもってこの結論を出しています： ■ 攻撃者は前回の2017年の Lazarus キャンペーンで不正文 書をホストするために使用したIPアドレスまたはドメインに コンタクトしている ■ 最近の不正文書に出てくる著者が、Lazarus の2017年のキ ャンペーンでも出てきている ■ HaoBaoは、前回の Lazarus キャンペーンと同じ不正文書 の構造と類似の人材募集広告を使用している ■ この技術は、Lazarus グループの暗号通貨窃盗に対する興 味に合致している 当社は、暗号通貨マイニング キャンペーンはさらに牽引力 を増し、ランサムウェアを追い抜くことさえあり得ると考えて います。HaoBao のようなキャンペーンは、より高い利益が 得られ、明白なダメージがないために検出がより難しいこと から、サイバー犯罪者からは非常に有益なものだと考えられ ています。 マルウェアの変異型である CoinMiner は、ユーザーの実行 ファイルに感染して、Coinhive JavaScript をHTMLファイルに 入れ、署名アップデートを止めるためにセキュリティ製品を ブロックし、被害者のコンピューターをコントロールしてコイ ンのマイニングをします。この CoinMiner の増加についての 詳細は、McAfee Labs のポスト「寄生コイン マイニングが富を 築き、システムを破壊する」をご覧ください。 新規コイン マイナー マルウェア (ファミリー別) 1,000,000 0 5,000,000 4,000,000 3,000,000 2,000,000 9月 10月 11月 12月 1月 2月 3月 4月 5月 Dropper-FIY! 2017 2018

GenericRXDV-UK! GenericRXEE-VG! PUP-GSJ! PUP-XDR-HE! PUP-XDT-CH! PUP-XEB-VU! Trojan-FOKC! Trojan-FOKH! Trojan-FOZT! Trojan-FOZU!

レポート 主要トピック フォロー シェア 高度なデータ窃盗インプラントの GhostSecret と Bankshot が世界的に蔓延 国家が後援するサイバー犯罪グループである Hidden Cobra は、世界規模のデータ偵察キャンペーンを最近開始しま した。Operation GhostSecret によって攻撃を受けなかった セクターは無いとみられます。重要なインフラストラクチャ組 織、金融機関、ヘルスケア、テレコミュニケーション、そしてエ ンターテイメント産業がHidden Cobra の攻撃対象です。この キャンペーンで利用された新しいインプラントは、Bankshot や Proxysvc などといった他の攻撃で使用されたものとある 程度類似しています。 留意すべき重要な点は、こういったサイバー犯罪者はツール を進化させ続け、その複雑性を高め機能を向上させ続けて いるということです。当社の調査チームはこれらのケーパビ リティを発見するだけでなく、これらのオペレーションにつな がるインドにあるサーバー インフラストラクチャを発見しま した。Operation GhostSecret の主要目的は、将来の大規模 な攻撃の準備のために、隠れてデータを収集することにある ようです。 最初に検出されたアクティビティは、トルコの金融及び貿易機 関をターゲットにしていました。このキャンペーンで、2017年 に最初に現れた Bankshot インプラントが戻ってきたことがわ かりました。この目的は、将来窃盗を働くために金融機関から データを収集することにあったようです。Bankshot は、パッチ 未適用の Adobe Flash のゼロデイ脆弱性を利用しています。 インプラントは合法的な暗号通貨貸付プラットフォームである Falcon Coin に似せたドメインから配布されています。 このキャンペーンはWord文書を使ったスピア フィッシン グ メールを始点としており、受信者が文書を開くとFlash ファイ ルが実行され、そこに埋め込まれた Bankshot インプラントが 取り込まれます。このバージョンの Bankshot インプラントで は、攻撃者はシステムにリモートアクセスできるようになり、ま た破壊的または不正なアクティビティの痕跡をすべて消すた めにファイルやコンテンツを消去できるようになります。偵察 のための機能としては、コントロール サーバーに転送される ディレクトリ内のファイルのリスト作成から、すべての実行中プ 図 3: Operation GhostSecret で使用されたファイル消去技術。

フォロー シェア Trojan-Bankshot2：MITRE社敵対的戦術、技術、 及び周知の事実 ■コントロール サーバー チャネルからのデータ引 き出し：カスタム プロトコルを使ってコントロール サーバー チャネルからデータが引き出されます。 ■ よく使用されるポート：攻撃者はコントロール サー バーの通信にポート443などの一般的なポートを 使用します。 ■ サービスの実行：インプラントは被害者のマシン上 でサービスとして登録されます。 ■ 自動データ収集：インプラントは被害者についての データを自動的に収集し、コントロールサーバーに 送信します。 ■ ローカル システムからのデータ：マルウェアはロー カル システムを探し出してデータを集めます。 ■ プロセス検出：インプラントはシステム上で実行さ れているプロセスをリストアップできます。 ■ システム タイム検出：データ偵察メソッドの一部と して、システム タイムがコントロール サーバーに送 られます。 ■ ファイル削除：マルウェアは攻撃者が指定したファ イルを消去できます。 図 4: Bankshot インプラントの不正アクセスのサイン ロセスのドメイン及びアカウント名の収集まで、様々です。さら に Bankshot はログオンしたユーザーになりすましてプロセ スを作成し、ファイルをゼロで上書きしたうえで、再起動時に 削除されるようマークしたり、プロセスを完全に終了させるこ とができます。

Hidden Cobra は Operation GhostSecret で、過去のインプラ ントのコーディング構造と機能をある程度引き継いだ新しい クラスのインプラントを作り、活動を金融セクター以外にも広 げました。この新しく発見された、より高度なインプラントは、 コントロール サーバーからの広範なコマンドを受け取ること ができるため、データの偵察と引き出しを行うための堅固な フレームワークの役割を果たすことができます。このインプラ ントはファイルの消去や削除に加え、他のインプラントの実行 や、ファイルからのデータ読み取り、またそれ以上の機能も持 っています。 マルウェア作成者のケーパビリティがさらに洗練されるに つれ、Operation GhostSecret などといったキャンペーンは 近い将来、複数セクターに渡ったさらに大規模でより悪意あ る攻撃を先導するであろうと、弊社は観察と分析に基づいて 確信しています。

レポート

脅威統計

16

_{マルウェア}

23

_{インシデント}

フォロー シェア マルウェア (合計) 100,000,000 0 500,000,000 600,000,000 700,000,000 800,000,000 400,000,000 300,000,000 200,000,000 第 2 四半期 四半期第 3 四半期第 4 四半期第 1 四半期第 2 四半期第 3 四半期第 4 四半期第 1 2016 2017 2018 出典: McAfee Labs, 2018. マルウェア マルウェア (新規) 10,000,000 0 50,000,000 60,000,000 70,000,000 40,000,000 30,000,000 20,000,000 第 2 四半期 四半期第 3 四半期第 4 四半期第 1 四半期第 2 四半期第 3 四半期第 4 四半期第 1 2016 2017 2018 Mac マルウェア (合計) 100,000 0 500,000 600,000 700,000 400,000 300,000 200,000 第 2 四半期 四半期第 3 四半期第 4 四半期第 1 四半期第 2 四半期第 3 四半期第 4 四半期第 1 2016 2017 2018 出典: McAfee Labs, 2018. Mac マルウェア (新規) 50,000 0 250,000 300,000 350,000 200,000 150,000 100,000 第 2 四半期 四半期第 3 四半期第 4 四半期第 1 四半期第 2 四半期第 3 四半期第 4 四半期第 1 2016 2017 2018 マルウェアのデータは McAfee サ ンプル データベースのものです。 これには McAfee スパム トラップ、 クローラー、及び顧客からの報告、 そしてその他の業界情報源から集 めたものを含みます。

レポート 主要トピック フォロー シェア モバイル マルウェア (合計) 5,000,000 0 25,000,000 30,000,000 20,000,000 15,000,000 10,000,000 第 2 四半期 四半期第 3 四半期第 4 四半期第 1 四半期第 2 四半期第 3 四半期第 4 四半期第 1 2016 2017 2018 出典: McAfee Labs, 2018. モバイル マルウェア (新規) 500,000 0 2,500,000 3,000,000 2,000,000 1,500,000 1,000,000 第 2 四半期 四半期第 3 四半期第 4 四半期第 1 四半期第 2 四半期第 3 四半期第 4 四半期第 1 2016 2017 2018 出典: McAfee Labs, 2018. グローバル モバイル マルウェア感染率 (感染を報告したモバイル顧客の割合) 2% 0% 10% 12% 14% 8% 6% 4% 第 2 四半期 四半期第 3 四半期第 4 四半期第 1 四半期第 2 四半期第 3 四半期第 4 四半期第 1 2016 2017 2018 地域別モバイル マルウェア感染率 (感染を報告したモバイル顧客の割合) 5% 0% 20% 15% 10% アフリカ アジア オー ストラリア 欧州 北米 南米 2017 年第 2 四半期 2017 年第3 四半期 2017 年第4 四半期 2018 年第1 四半期

フォロー シェア ランサムウェア (合計) 2,000,000 0 10,000,000 8,000,000 6,000,000 16,000,000 18,000,000 14,000,000 12,000,000 4,000,000 第 2 四半期 四半期第 3 四半期第 4 四半期第 1 四半期第 2 四半期第 3 四半期第 4 四半期第 1 2016 2017 2018 出典: McAfee Labs, 2018. ランサムウェア (新規) 300,000 0 1,500,000 1,200,000 900,000 600,000 2,400,000 2,100,000 1,800,000 第 2 四半期 四半期第 3 四半期第 4 四半期第 1 四半期第 2 四半期第 3 四半期第 4 四半期第 1 2016 2017 2018 出典: McAfee Labs, 2018. Android ロック スクリーン マルウェア (合計) 400,000 0 2,000,000 1,600,000 1,200,000 800,000 第 2 四半期 四半期第 3 四半期第 4 四半期第 1 四半期第 2 四半期第 3 四半期第 4 四半期第 1 2016 2017 2018 Android ロック スクリーン マルウェア (新規) 200,000 0 1,000,000 800,000 600,000 400,000 第 2 四半期 四半期第 3 四半期第 4 四半期第 1 四半期第 2 四半期第 3 四半期第 4 四半期第 1 2016 2017 2018

出典: McAfee Labs, 2018. 出典: McAfee Labs, 2018.

新しいAndroid スクリーンロック マルウェアが81%減少したため、 第1四半期の新規ランサムウェア が大幅に減少しました。

レポート 主要トピック フォロー シェア 不正署名付きバイナリ (合計) 第 2 四半期 四半期第 3 四半期第 4 四半期第 1 四半期第 2 四半期第 3 四半期第 4 四半期第 1 2016 2017 2018 20,000,000 15,000,000 10,000,000 5,000,000 0 25,000,000 出典: McAfee Labs, 2018. 不正署名付きバイナリ (新規) 400,000 0 2,000,000 1,600,000 1,200,000 800,000 第 2 四半期 四半期第 3 四半期第 4 四半期第 1 四半期第 2 四半期第 3 四半期第 4 四半期第 1 2016 2017 2018 出典: McAfee Labs, 2018. 認証局は、コンテンツ プロバイ ダーがバイナリ (アプリケーション) に署名し認証すると、情報を伝達 するデジタル証明書を発行します。 サイバー犯罪者が不正に署名され たバイナリのデジタル証明書を入 手すると、攻撃が非常にしやすくな ります。 エクスプロイト はソフトウェアと ハードウェアのバグや脆弱性を 利用します。ゼロデイ アタックは この成功例です。近年の事例に ついては、McAfee Labs のポスト 「Microsoft Office ゼロデイ エク スプロイト CVE-2017-11826の分 析：メモリー破損の脆弱性」をご覧 ください。 エクスプロイト マルウェア (合計) 2,000,000 0 10,000,000 12,000,000 14,000,000 16,000,000 8,000,000 6,000,000 4,000,000 第 2 四半期 四半期第 3 四半期第 4 四半期第 1 四半期第 2 四半期第 3 四半期第 4 四半期第 1 2016 2017 2018 エクスプロイト マルウェア (新規) 200,000 0 1,000,000 1,200,000 800,000 600,000 400,000 第 2 四半期 四半期第 3 四半期第 4 四半期第 1 四半期第 2 四半期第 3 四半期第 4 四半期第 1 2016 2017 2018

フォロー シェア マクロ マルウェア (合計) 200,000 0 1,000,000 1,200,000 1,400,000 1,600,000 800,000 600,000 400,000 第 2 四半期 四半期第 3 四半期第 4 四半期第 1 四半期第 2 四半期第 3 四半期第 4 四半期第 1 2016 2017 2018 出典: McAfee Labs, 2018. マクロ マルウェア (新規) 50,000 0 250,000 200,000 150,000 100,000 第 2 四半期 四半期第 3 四半期第 4 四半期第 1 四半期第 2 四半期第 3 四半期第 4 四半期第 1 2016 2017 2018 出典: McAfee Labs, 2018. Faceliker マルウェア (合計) 5,000,000 0 20,000,000 25,000,000 15,000,000 10,000,000 第 2 四半期 四半期第 3 四半期第 4 四半期第 1 四半期第 2 四半期第 3 四半期第 4 四半期第 1 2016 2017 2018 Faceliker マルウェア (新規) 600,000 0 3,000,000 3,600,000 4,200,000 4,800,000 2,400,000 1,800,000 1,200,000 第 2 四半期 四半期第 3 四半期第 4 四半期第 1 四半期第 2 四半期第 3 四半期第 4 四半期第 1 2016 2017 2018 Faceliker Trojan は、特定のコン テンツに人為的に「いいね」をつけ るために Facebook を操作します。 詳細はMcAfee Labs のこのポスト をご覧ください。 マクロ マルウェアは通常スパム メールにWordまたはExcelとして 添付されてくるか、Zipファイルとし て送られてきます。クリックしたくな るような偽のファイル名を使って、 被害者がドキュメントを開くように 仕向け、マクロが有効化されると 感染を引き起こします。

レポート 主要トピック フォロー シェア JavaScript マルウェア (合計) 10,000,000 0 50,000,000 60,000,000 40,000,000 30,000,000 20,000,000 第 2 四半期 四半期第 3 四半期第 4 四半期第 1 四半期第 2 四半期第 3 四半期第 4 四半期第 1 2016 2017 2018 出典: McAfee Labs, 2018. JavaScript マルウェア (新規) 1,000,000 0 5,000,000 6,000,000 7,000,000 4,000,000 3,000,000 2,000,000 第 2 四半期 四半期第 3 四半期第 4 四半期第 1 四半期第 2 四半期第 3 四半期第 4 四半期第 1 2016 2017 2018 出典: McAfee Labs, 2018. PowerShell マルウェア (合計) 10,000 0 50,000 60,000 40,000 30,000 20,000 第 2 四半期 四半期第 3 四半期第 4 四半期第 1 四半期第 2 四半期第 3 四半期第 4 四半期第 1 2016 2017 2018 PowerShell マルウェア (新規) 3,000 0 15,000 18,000 12,000 9,000 6,000 第 2 四半期 四半期第 3 四半期第 4 四半期第 1 四半期第 2 四半期第 3 四半期第 4 四半期第 1 2016 2017 2018

出典: McAfee Labs, 2018. 出典: McAfee Labs, 2018.

JavaScript 及び PowerShell に関 する 脅 威 の 詳 細 に つ いて は 、 McAfee Labs 脅威レポートの過 去の記事「スクリプト ベースのマル ウェアの台頭」をご覧ください。

フォロー シェア LNK マルウェア (合計) 150,000 0 750,000 900,000 1,050,000 600,000 450,000 300,000 第 2 四半期 四半期第 3 四半期第 4 四半期第 1 四半期第 2 四半期第 3 四半期第 4 四半期第 1 2016 2017 2018 出典: McAfee Labs, 2018. LNK マルウェア (新規) 50,000 0 250,000 300,000 350,000 200,000 150,000 100,000 第 2 四半期 四半期第 3 四半期第 4 四半期第 1 四半期第 2 四半期第 3 四半期第 4 四半期第 1 2016 2017 2018 出典: McAfee Labs, 2018. コイン マイナー マルウェア (合計) 500,000 0 2,500,000 3,000,000 2,000,000 1,500,000 1,000,000 第 2 四半期 四半期第 3 四半期第 4 四半期第 1 四半期第 2 四半期第 3 四半期第 4 四半期第 1 2016 2017 2018 コイン マイナー マルウェア (新規) 500,000 0 2,500,000 3,000,000 2,000,000 1,500,000 1,000,000 第 2 四半期 四半期第 3 四半期第 4 四半期第 1 四半期第 2 四半期第 3 四半期第 4 四半期第 1 2016 2017 2018

出典: McAfee Labs, 2018. 出典: McAfee Labs, 2018.

不正な PowerShell スクリプトと その他のマルウェアを気付かれな いように送るため、サイバー犯罪者 による .Ink ショートカットの利用が 増加しています。 コイン マイナー マルウェアはシス テムをハイジャックして、被害者 の同意なく、また被害者に気づか れることなく暗号通貨を作成 (マ イニング) しています。新しいコイ ン マイナーの脅威は第1四半期に 1,189% 増加しました。

レポート 主要トピック フォロー シェア 2017-2018年 攻撃方法トップ10 (報告されたセキュリティ侵害数) 50 0 250 300 350 200 150 100 不明 マ ル ウェ ア 漏洩 盗難 脆弱性 フ ィッ シ ン グ 詐 欺 ア カ ウ ント 乗っ 取 り 不 正 アク セ ス サ ー ビス 拒 否 W -2 詐欺 出典: McAfee Labs, 2018. インシデント 地域別公表済みセキュリティ インシデント (公表済みインシデント数) 50 0 250 300 350 200 150 100 第 3 四半期 四半期第 4 第 2 四半期 四半期第 1 四半期第 2 四半期第 3 四半期第 4 2016 2017 2018 アフリカ アジア・パシフィック 米国 欧州 複数領域 第 1 四半期 出典: McAfee Labs, 2018. セキュリティ インシデント データは hackmageddon.com、privacy rights.org/data-breaches、 haveibeenpwned.com、そして databreaches.net を含む複数の ソースから集められています。 攻撃方法の大半は、未知であるか、 または公表されていません。

フォロー シェア 2017-2018年 ターゲット セクター トップ10 (報告されたセキュリティ侵害数) 25 0 125 150 175 200 225 250 100 75 50 ヘ ル ス ケア 教育 多角 パ ブ リッ ク 金融 エ ン ター テイ メ ン ト テ クノ ロ ジ ー リテ ー ル オ ン ラ イン サ ー ビ ス メ デ ィア 出典: McAfee Labs, 2018. 北米および南米でのターゲット セクター上位 (報告されたセキュリティ侵害数) 10 0 50 40 30 80 70 60 20 ヘ ル ス ケア パ ブ リッ ク 教育 金融 メ デ ィア テ クノ ロ ジ ー リテ ー ル 多角 エ ン ター テイ メ ン ト ホ ス ピ タ リ ティ 2017 年第 2 四半期 2017 年第3 四半期 2017 年第4 四半期 2018 年第1 四半期 出典: McAfee Labs, 2018.

レポート 主要トピック フォロー シェア 不正URL (新規) 2,000,000 0 10,000,000 12,000,000 8,000,000 6,000,000 4,000,000 第 2 四半期 四半期第 3 四半期第 4 四半期第 1 四半期第 2 四半期第 3 四半期第 4 四半期第 1 2016 2017 2018 出典: McAfee Labs, 2018. Web及びネットワークでの脅威 不審URL (新規) 3,000,000 0 15,000,000 18,000,000 21,000,000 12,000,000 9,000,000 6,000,000 第 2 四半期 四半期第 3 四半期第 4 四半期第 1 四半期第 2 四半期第 3 四半期第 4 四半期第 1 2016 2017 2018 出典: McAfee Labs, 2018. フィッシング URL (新規) 100,000 0 500,000 600,000 700,000 800,000 400,000 300,000 200,000 第 2 四半期 四半期第 3 四半期第 4 四半期第 1 四半期第 2 四半期第 3 四半期第 4 四半期第 1 2016 2017 2018 不正ダウンロード URL (新規) 500,000 0 2,500,000 3,000,000 3,500,000 4,000,000 2,000,000 1,500,000 1,000,000 第 2 四半期 四半期第 3 四半期第 4 四半期第 1 四半期第 2 四半期第 3 四半期第 4 四半期第 1 2016 2017 2018

出典: McAfee Labs, 2018. 出典: McAfee Labs, 2018.

McAfee® _{TrustedSource}™ _Web

Database にはWebの評判をもと に分類されたURL (Web ページ) が記載されており、Webへのアク セスを管理するためのフィルタリン グ ポリシーとともに利用できます。 不審URLは、高リスクまたは中リ スク スコアを持つサイトの合計数 です。不正URLは、コンピューター の設定またはアクティビティをハ イジャックするように設計された コード (「ドライブ バイ」実行可能フ ァイル及び Trojan を含む) をデプ ロイします。不正ダウンロードは、 ユーザーが、時には知らずに、有害 または迷惑なコードを不注意にダ ウンロードしてしまうようなサイト から行われます。フィッシングURL は、ユーザーのアカウント情報を盗 むために、多くの場合偽メールに記 載されてくるWebページです。

フォロー シェア コントロール サーバーに接続するトップ マルウェア （第1四半期） 43% 35% 5% 3% 8% Zegost Wapomi China Chopper Maazben OnionDuke Ramnit Muieblackcat その他 2% 2% 2% 出典: McAfee Labs, 2018. スパム ボットネット の普及率 (第1四半期) 77% 22% Gamut Necurs Cutwail その他 1% 1% 出典: McAfee Labs, 2018. トップ ネットワーク攻撃 (第１四半期) 41% 14% 10% 10% 7% 5% 5% 4% 4% ブラウザー サーバー メッセージ ブロック サービス拒否 総当たり攻撃 SSL マルウェア ドメイン名システム スキャン その他 ボットネット コントロール サーバーの ホスティング数の多い国 (第１四半期) 41% 19% 4% 4% 3% 3% 3% 17% ドイツ 米国 ロシア 中国 オランダ 日本 カナダ フランス イギリス イタリア その他 2% 2% 2%

出典: McAfee Labs, 2018. 出典: McAfee Labs, 2018.

第1四半期のボットネット スパム のうち約4分の3は Necurs ボッ トネットが占め、再び1位になり ました。ロマンス詐欺、ランサムウ ェア、及びダウンローダーは非常に 多いです。Gamut は2017年第4四 半期から約50%減少しましたが、 依然として2位に位置しています。

McAfee、マカフィーおよびMcAfeeのロゴは米国法人McAfee, LLCまたはその米国及びそれ以外の国の子会社の商標又は登録商標です。その他の名称やブランド はそれぞれ他の所有者に帰属している可能性があるものです。Copyright © 2018 McAfee, LLC. 4054_0618 2018年6月 〒150-0043 東京都渋谷区道玄坂1-12-1 渋谷マークシティウエスト20F www.mcafee.com/jp

McAfee Labs 及び Advanced Threat Research について

McAfee Labs は McAfee Advanced Threat Research が主導

する世界で最先端の脅威研究機関で、脅威情報やサイバーセ キュリティの最新情報を提供しています。主要な攻撃方法 (ファ イル、Web、メール、ネットワーク) にわたって数百万台のセン サーからデータを収集し、McAfee Labs と McAfee Advanced

Threat Research は、リアルタイムで脅威情報、重要な分析結 果、専門的な情報を提供し、保護対策の向上とリスクの軽減に 貢献しています。 www.mcafee.com/jp/mcafee-labs.aspx McAfeeについて McAfeeは、世界で最先端の、独立したサイバーセキュリティ企 業の1つです。協力から生まれるパワーに触発され、世界を安 全な場所にするためにビジネスおよびコンシューマー向けの ソリューションを創出しています。McAfeeは他社製品と連携す るソリューションを提供することで、お客様企業を脅威から保 護し、脅威の検出や修正を連動して行えるような、真に統合さ れたサイバー環境を構築するサポートをしています。McAfeeの 個人向けのソリューションは、すべての種類のデバイスに対応 しています。自宅でも外出先でも、安心してデジタル ライフを楽 しむことができます。McAfeeでは、他のセキュリティ企業との連 携を強化し、力を合わせてサイバー犯罪者と戦っています。 www.mcafee.com/jp