チェック・ポイント サイバー攻撃トレンド2017年下半期レポート

CHECK POINT

R E S A R C H

チェック・ポイント

サイバー攻撃トレンド

目次

はじめに ……… 3

グローバル・トレンド ……… 4

世界のマルウェア統計 ……… 8

マルウェア・ファミリー・ランキング ……… 8

ランサムウェア・ランキング ……… 10

バンキング・マルウェア・ランキング ……… 11

モバイル・マルウェア・ランキング ……… 12

マイニング・マルウェア・ランキング ……… 13

マルウェア・カテゴリ別の感染状況（地域別） ……… 14

Global Threat Index Map

（グローバル脅威インデックス） ……… 14

悪用された脆弱性のグローバル・ランキング ……… 15

2017

_{年に発生したデータ侵害 ……… 16}

2018

年のセキュリティ動向予測 ……… 17

その他の傾向とまとめ ……… 19

付録1 – 2017年下半期に発生した主なセキュリティ侵害 ……… 20

北中南米地域 ……… 20

EMEA

……… 20

APAC

……… 21

付録2 – マルウェア・ファミリーの解説 ……… 22

はじめに ｜ 3

はじめに

2017

_{年は、サイバー・セキュリティ業界にとって大変な1年となりました。サイバー攻撃の発生件数は増加}

の一途を り、技術レベルも高度化する一方です。攻撃者とセキュリティ専門家の間で繰り広げられる

つばぜり合いは、依然として終わる気配がありません。

攻撃者は、この飽くなき競争の中で常に一歩先を行こうと模索しており、その試みは今のところ成功して

います。防御側の組織が攻撃を防ぐためにすべきことは山積みです。実のところ、2017年下半期に確認

された傾向は、決して目新しいものばかりではありません。同年上半期、さらには2016年から継続的に

観察されている傾向も多く含まれています。

継続的に確認された傾向の中で、特に顕著だったのはランサムウェアの猛威です。ランサムウェアは今も

主要な攻撃手段として使用され続けており、2017年前半に出現したWannaCryのように不特定多数を

対象にした無差別型の攻撃と、特定の組織を狙った標的型攻撃の両方で使用されています。

以前から使用されている強力な攻撃手段としてもう1つ挙げられるのは、マルウェアを利用したスパム・

キャンペーンです。スパム・メールを大量送信し、巧妙な詐欺行為を行うこの種の活動は、2017年下

半期も世界中のユーザを悩ませており、最近になってエクスプロイト・キットによる攻撃を上回る頻度

で発生するようになりました。

ハッカー・グループShadow Brokersによって、NSAが開発したとされるサイバー・ツールがリーク

された問題も、いまだに世界の情報セキュリティ・コミュニティに大きな影を落としています。このリークの結果、

EternalBlue

_{とEternalRomanceというSMBエクスプロイトを利用し、ネットワーク内を水平移動して}

感染を拡大する攻撃が激増。大規模攻撃による甚大な被害が発生しています。

そして、IoTボットネットのMiraiやランサムウェアのWannaCryのように、既存の不正コードを流用した

極めて高度なマルウェアが出現するという好ましくない傾向も確認されています。このようなトレンドの

背景には、新しいマルウェアをゼロから開発するよりも、既存マルウェアの一部を流用して、より高機能

なマルウェアを作った方が効率的であるという攻撃者側の意図があります。

2017

年下半期に新たに確認された傾向や興味深い傾向としては、仮想通貨を不正に採掘するマイニング・

マルウェアの増加が挙げられます。このタイプのマルウェアは世界的に猛威を振るい、金銭目的の攻撃

手段として広く使われるようになりました。マイニング・マルウェアはまったく新しいタイプのマルウェア

というわけではありませんが、仮想通貨の人気と価値の高騰を受け、検出数が大幅に増加しています。

またこれに伴い、さらに新しい種類のマイニング・マルウェア、つまりWebベースのマイニング・マルウェア

も出現しています。ユーザのコンピューティング・リソースを勝手に利用するこのマルウェアは、一部では

オンライン広告に取って代わりつつあります。

本レポートでは、過去数年間におけるマルウェア動向を幅広く紹介すると共に、2018年も継続すると予想

される傾向を示します。本レポートは、2017年7月∼12月に

ThreatCloud World Cyber Threat Map

で

収集された脅威情報データに基づいて作成されています。

グローバル・トレンド

マイニング・ツールの猛威

過去数か月に世界を席巻した一大トレンドが、仮想通貨のマイニング・ツールの急激な台頭です。その中でも、Webベースのタイプ は大きな問題となりました。マイニング・ツール自体は、仮想通貨のユーザが一般的に使用しているプログラムです。しかし、仮想 通貨の普及により採掘に時間がかかるようになったことで（採掘に要する時間は、仮想通貨保有者の数に比例します）、採掘に 必要な処理能力が増大しました。 その結果サイバー犯罪者は、他人のコンピューティング・リソースを悪用して採掘を行うさまざまな方法を模索するようになって います。スパム・メールやエクスプロイト・キット経由でマイニング・ツールを拡散させるキャンペーンは、過去数年、とりわけ2017年 に多数発生しています。しかし最近になって、インターネット中に広まっている手法があります。それは、ユーザに通知することなく、 またCPUパワーの使用量を抑えるなどの配慮をすることなく、オンラインのマイニング・ツールを主要Webサイトに埋め込むとい うものです（Webサイト運営者が意図的に行う場合も、第三者によって行われる場合もあります）。Webサイト運営者は、顧客 体験を改善する目的で、広告をマイニング・ツールに置き換えようと考えるかもしれませんが、これはユーザにとって大きなリスク となります。マイニング・ツールの提供者は、できるだけ多くのコンピューティング・リソースを使用したいという明確な意思を持って おり、そのアクセス権を利用してユーザのマシンに対する権限を昇格させようとする可能性さえあります。マイニング・ツールに感 染している組織の増加傾向は、チェック・ポイントが世界中に設置しているセンサーによっても確認されており、ピークに達した 2017年12月には、20.5%の組織が影響を受けていました。

エクスプロイト・キットの減少

エクスプロイト・キットは、1年前まで、主な攻撃手段として広く使用されていました。ダークWebやクリアWebの各種フォーラムで 購入でき、総合的なコントロール・パネルを使用して、特別な技術がなくても容易に管理できます。NuclearやAnglerなど の主立ったエクスプロイト・キットなら、常に最新の状態にアップデートされ、新たに見つかった脆弱性にも対応していました。 しかし2017年になって、検出数が大幅に減少しています。それには、次の理由があります。 まず挙げられるのは、攻撃対象として狙われていたプラットフォームのセキュリティ強化が進んだ点です。Internet Explorerなど の主要Webブラウザには、新たなセキュリティ機能が搭載され、高度な技術を持つ攻撃者でも、新しい脆弱性を発見してエクス プロイトを作成することは困難になっています。また、セキュリティ・ベンダーや主要Webブラウザの開発元による脆弱性への対 応スピードの向上と、新しいバージョンへの自動アップデート機能の普及も、エクスプロイトの有効期間を大幅に短縮する効果を もたらしています。 Webブラウザのゼロデイ脆弱性の発見が困難になった結果、ゼロデイ脆弱性の情報が滅多に公開されなくなったという事情も あります。代わりに、これらの情報は各種のバグ報奨金制度などで最高額での買い手に売却されるようになりました。買い手は、 プログラムの運営者、エクスプロイトの買い取り業者（Zerodiumなど）、国家機関などさまざまです。 また、2017年になってFlashのゼロデイ脆弱性が減ったことも大きな要因です。Flashに見つかった脆弱性は、2016年が266件 だったのに対し、2017年は71件にとどまっています。一般に、エクスプロイト・キットの開発者は、ゼロデイ・エクスプロイトを 購入したりはません。このため古いエクスプロイトを使い続けざるを得ず、ほとんどのWebブラウザでブロックされる結果となり ます。引き続き広く利用されているエクスプロイト・キットもありますが、ここで述べた理由によって、ドライブバイ攻撃による 感染率は徐々に低下しており、新しいキットの使用や開発も停滞気味となっています。ただし、ドライブバイ攻撃が減少傾向に ある一方、感染プロセスの一部として不正広告が依然として重要な役割を果たしている点には注意が必要です。不正広告を表示 したユーザはランディング・ページにリダイレクトされ、そこでマルウェアに感染します。

詐欺行為とマルウェア・スパムの増加

以前はエクスプロイト・キットなどによるドライブバイ攻撃が大半を占めていた感染手法は、現在では間違いなくマルウェア・ スパムが主流となっています。マルウェア・スパムに分類される攻撃手法には、各種のフィッシング手法、詐欺行為、スパム・メール の大量送信が含まれます。 2017年、不正な電子メールの流通動向には興味深い傾向が見られました。これには、不正な電子メールを拡散させているグループ の活動停止、あるいは活動再開という動きが関係しています。

2017年におけるHTTPとSMTPのマルウェア感染比率は、上半期はSMTPが55%、下半期は62%と、年間を通じてSMTPが増加 傾向にありました。これに伴い、Microsoft Officeなど各種文書ファイルの脆弱性を突く高度な攻撃手法を活用したサイバー 攻撃が増加しています。 この結果、以前とは異なり、高度な攻撃者の間にも、特定の組織を狙った標的型攻撃ではなく、不特定多数を標的とした巧妙な 詐欺活動を展開し、単純なマルウェアを拡散させる動きが広がりました。 このタイプの攻撃の増加は、脆弱性の攻撃および悪用の増加につながっていますが、特に狙われるケースが多いのはMicrosoft Officeです。2017年、チェック・ポイントは、RTFファイルの脆弱性（CVE-2017-0199）、マウス・ホバリングによるマルウェア 感染、大きな話題となったDDE（Dynamic Data Exchange）プロトコルの悪用など、次々と発覚する脆弱性への対応を迅速に 行いました。また、多様なファイル・タイプ、それもMicrosoft OfficeやAdobeなど主要製品の特定バージョンを狙った攻撃も 数多く確認されています。 .xlamや.xlbなど、これまであまり悪用されてこなかったファイル・タイプが追加マルウェアのダウンロードや実行に使用され始め たのも2017年の特徴です。この種の攻撃では、特定の組織を狙うケースも、事情をよく知らない不特定多数を一般的なテーマで だまそうとするケースもあります。

検出数の多かったファイル・タイプ – 2017年下半期

ファイル・タイプ別の検出数の推移 – 2017年下半期

グローバル・トレンド ｜ 5

ネットワーク内の水平移動の増加

ネットワーク内の水平移動とは、1つの入口からネットワークに侵入し、そのネットワーク中を移動することを意味します。 このところ、攻撃者が使用する主な感染手法には変化が見られますが、ネットワーク内の水平移動を使用した攻撃は増加傾向に あり、さらに斬新な手口も観察されています。

2017年に確認された、水平移動を行うマルウェア・ファミリーのうち主な例としては、Wannacry、NotPetya、BadRabbitが挙げ られます。この3つのファミリーはいずれも、民間企業や政府関連の組織を狙った大規模攻撃で使用されていました。IoTマル ウェアでは、IoTroopボットネットや、Huawei製の家庭用ルータを攻撃し、ペイロードとしてSatoriを利用するボットネットが この機能を備えています。どちらのマルウェアも、チェック・ポイントの研究者が最初に発見しました。

ネットワーク内の水平移動という手口が急増した最大の理由は、NSAが開発したとされるツールが、2017年4月にShadow Brokersというハッカー・グループによってリークされたことです。公開された一連のツールのうちEternalBlueとEternalRomanceは、 MicrosoftのSMB（Server Message Block）プロトコル実装に存在する脆弱性を悪用します。

どちらのツールも、脆弱性のあるシステムにアクセスし、同じネットワーク内に同様のシステムがあるかどうかを調査するために 使用されます。見つかったシステムは、最初のシステムと同じ方法で感染します。 水平移動によって感染を広げる最大のメリットは、入口は1つでもネットワーク全体に感染を拡大できる点です。このため、パッチ 未適用のシステムやセキュリティが不十分なシステムの間に瞬く間に感染が広がり、組織全体が麻痺状態に陥る可能性があり ます。

既存マルウェアのコードの流用

1年間に出現する新種マルウェアは膨大な数に上りますが、その多くは、過去に大きな成果を上げたマルウェア・ファミリーといわ ば血縁関係にあります。つまり、既存マルウェアのコードを流用していたり、複数のマルウェアのコードを組み合わせたハイブリッ ド種であったりするのです。その目的は、過去のものよりも優れたマルウェアを作り出す点にあります。 2016年8月、ここ数年で最も大規模なボットネットの1つ、Miraiによる攻撃が発生し、大きな話題となりました。Miraiは、 脆弱性のあるInternet of Things（IoT）デバイスを乗っ取ってボットネットを形成、複数回にわたり大規模な分散サービス妨害 （DDoS）攻撃を実施しました。

1年あまり後、チェック・ポイントの研究者が2つの大規模IoTボットネット、IoTroopとSatoriを発見します。短期間のうちに数十 万台のボットを確保した両ボットネットは、従来のボットネットよりも高度な感染機能とC&C通信機能を備えていました。それも そのはずです。2つのボットネットは、Miraiの改良版であったからです。 例えばIoTroopは、コードのかなりの部分をMiraiから流用しています。その一方、感染デバイスにアクセスする際には、Miraiのよ うに総当たりでパスワードを破るのではなく、脆弱性スキャンを行います。後者の方法では、消費するリソースが少なくて済むため、 検出の可能性を前者よりも小さくすることが可能です。 既存のコードを流用していたその他の主要な例としては、ワーム型ランサムウェアのWannaCryとNotPetyaが挙げられます。 どちらも、NSAから流出したとされるDoublePulsarバックドアとEternalBlueエクスプロイトを利用しています。 マルウェア・コードを流用すれば、開発作業に要する時間を節約し、攻撃キャンペーンの計画に力を注ぐことができます。攻撃 キャンペーンを短期間のうちに効果的な方法で開始できるのはもちろん、検出回避の手口をさらに洗練させることもできるでしょう。 コードの流用は、技術レベルの高くない開発者にとって、ハッカーとしてのキャリアを開くことにもつながります。コードを「コピー＆ ペースト」するだけで、新たなマルウェアを作り出せるからです。こうしてハッカーの数が増えれば、当然、ハッキング行為の件数 も増えることになります。

モバイル・ボットネットによるDDoS攻撃

Google Play経由で拡散した初のAndroidボットネット、Viking Hordeを発見して以来、私たちは、Androidボットネットを利用 したDDoS攻撃の発生は時間の問題だと考えてきました。

そして2017年、Wirexという新たなモバイル・ボットネットがGoogle Play経由で感染を広げました。Wirexは、アプリケー ション層での大規模DDoS攻撃を実行するために使用され、世界中のWebサイトをダウンさせました。モバイル・ボットネットは、 Google Playで配布するアプリに不正なコードを埋め込むだけで容易に感染を広げることができます。大規模DDoS攻撃に最適 なこの種のモバイル・マルウェアは、今後も私たちを悩ませ続けることになるでしょう。

企業を攻撃するモバイル・マルウェアの増加

2017年は、モバイル・デバイス経由で企業を攻撃する事例が複数確認されました。このうち、特に目を引いたのは次の2つのタイ プのマルウェアです。 1つは、モバイル・デバイスをプロキシとして利用し、企業ネットワークから社内データを収集するタイプです。MilkyDoorなどが これに該当します。もう1つは、Switcherに代表される、ルータなどのネットワーク・コンポーネントを攻撃し、ネットワーク・トラ フィックを攻撃者のサーバにリダイレクトするタイプです。巧妙なこのタイプのマルウェアは、パスワードを推測してルータの認証 を突破し、設定を変更することで、内部ネットワークのトラフィックを攻撃者のサーバに転送します。 グローバル・トレンド ｜ 7

世界のマルウェア統計

以下のセクションで紹介するデータは、2017年の7月∼12月にチェック・ポイントのThreatCloud Cyber Threat Mapで収集され たデータに基づいています。

マルウェア・ファミリー・ランキング

グローバル

図1：マルウェア・ランキング（グローバル）：各マルウェアが検出された企業ネットワークの割合 以下に紹介する地域別のデータでは、2つのグラフを示します。1つ目のグラフは、当該地域で特に多く検出されたマルウェアを示 しています。2つ目のグラフは、他の地域と比較して当該地域で最も多く検出されたマルウェア・ファミリーを示しています。

北中南米地域

図2：マルウェア・ランキング（北中南米地域） 図3：標的型マルウェア・ランキング（北中南米地域）

ヨーロッパ、中東、アフリカ地域（

EMEA

_）

図4：マルウェア・ランキング（EMEA） 図5：標的型マルウェア・ランキング（EMEA）

アジア太平洋地域（

APAC

_）

図6：マルウェア・ランキング（APAC） 図7：標的型マルウェア・ランキング（APAC）

マルウェア・ランキングの総合分析

• CoinHive_{：仮想通貨のMoneroを採掘するWebベースのマイニング・ツールです。2017年9月に登場したばかりですが、すでに} マルウェア総合ランキングの第2位にランクインしており世界中の12%の組織が影響を受けています。これほど急速に CoinHiveの検出数が増加した理由は、主要なストリーミング・サイトやメディア・ポータルを含め、多くのWebサイトがオンラ イン広告の代わりにCoinHiveのJavaScriptをページに埋め込んでいるからです。多くのサイトはユーザに通知しておらず、 マイニング・ツールが消費するリソース量を制限することもしていません。ただし、このサービスをマルウェアに分類するのは チェック・ポイントの主観的な判断となります。ユーザへの通知や同意の取得を怠っているサイトがほとんどとはいえ、ユーザ から完全な合意を得ているサイトも存在する可能性があるためです。 • RoughTed：不正なインターネット広告キャンペーンを大規模展開するRoughTedは、不正なWebサイトやペイロードを用 意するために使用されています。このマルウェアは、2017年のマルウェア・ランキングで4位の座を維持しました。5月後半か ら急増し始め、6月にピークを迎えたRoughTedは、教育や通信、小売、卸売業界をはじめ、世界150か国の組織で検出されて います。ただし7月に入ると、同マルウェアが検出された企業ネットワークは、28%から18%へと3分の2以下に減少して います。RoughTedは、年間を通じて感染数が急増することがありますが、これは、攻撃者が拡散のための大規模システムを 維持する必要がなく、オンライン広告の配信業者を1社侵害するだけで広範囲に感染を拡大できることが理由です。 • Necurs：現時点で世界最大規模のスパム・ボットネットですが、グローバル・ランキングでは圏外であり、APACのランキング にのみランクインしています。2017年9月、Lockyランサムウェアがチェック・ポイントの月間マルウェア・ランキングへのカ ムバックを果たしていますが、これはNecursが同ランサムウェアを拡散させたことが理由です。また2017年11月、Necursは 米国の感謝祭の時期に、比較的新しいランサムウェアScarabを大規模スパム・キャンペーンで拡散させています。 世界のマルウェア統計 ｜ 9

ランサムウェア・ランキング

ここでは、各ランサムウェアによる影響を受けた組織の割合をグラフで示します。グローバルと地域別の両方でランサムウェア・ ランキングを示します。

グローバル

北中南米地域

図8：ランサムウェア・ランキング（グローバル） 図9：ランサムウェア・ランキング（北中南米地域）

EMEA

APAC

図10：ランサムウェア・ランキング（EMEA） 図11：ランサムウェア・ランキング（APAC）

ランサムウェア・ランキングの総合分析

• ランサムウェア・ランキングでは、2016年2月に出現したLockyランサムウェアがグローバル・ランキングと地域ランキング の両方で返り咲きを果たしています。同マルウェアは、2016年下半期にランキングを席巻した後、2017年上半期はランキング 圏外となっていました。ランサムウェア・ランキングで他に動きが目立つのは、Globeimposterです。Globeimposterは、Necurs ボットネットなどによるスパム・キャンペーンや不正広告キャンペーンで拡散するGlobeの亜種です。Globeimposterの活動 が見られたのは2017年5月だけですが、グローバル・ランキングでは第3位、EMEAとAPACの各ランキングでは第2位にラン クインしています。

バンキング・マルウェア・ランキング

ここでは、各バンキング・マルウェアによる影響を受けた組織の割合をグラフで示します。グローバルと地域別の両方でバンキング・ マルウェア・ランキングを示します。

グローバル

北中南米地域

図12：バンキング・マルウェア・ランキング（グローバル） 図13：バンキング・マルウェア・ランキング（北中南米地域）

EMEA

APAC

図14：バンキング・マルウェア・ランキング（EMEA） 図15：バンキング・マルウェア・ランキング（APAC）

バンキング・マルウェア・ランキングの総合分析

• 2017年下半期のバンキング・マルウェア・ランキングで特に目を引くのは、Trickbotです。Trickbotは、ZeusやRamnitと同様、 ユーザが銀行Webサイトにアクセスしたタイミングを狙い、キーロガーやWebインジェクトでログイン情報やその他の機密 情報（暗証番号など）を窃取します。Trickbotが出現したのは2016年のことですが、ランキング入りを果たしたのは今回が初め てです。特に2017年半ば頃、不正な.docxファイルを添付したスパム・メールで大量に拡散しました。同マルウェアの最大の 特徴は、SMBエクスプロイトを利用して感染先ネットワーク内を水平移動する点です。 世界のマルウェア統計 ｜ 11

モバイル・マルウェア・ランキング

ここでは、各モバイル・マルウェアによる影響を受けた組織の割合をグラフで示します。グローバルと地域別の両方でモバイル・ マルウェア・ランキングを示します。

グローバル

北中南米地域

図16：モバイル・マルウェア・ランキング（グローバル） 図17：モバイル・マルウェア・ランキング（北中南米地域）

EMEA

APAC

図18：モバイル・マルウェア・ランキング（EMEA） 図19：モバイル・マルウェア・ランキング（APAC）

モバイル・マルウェア・ランキングの総合分析

• 広告の表示を主な目的とするAndroidマルウェアHiddadは、2017年上半期に初めてモバイル・マルウェア・ランキングに 登場し、その後もグローバル・ランキングと北中南米地域のランキングでトップの座を維持しています。また今回は、2つの モバイル・マルウェア・ファミリーが新たにランキング入りを果たしました。中国のiOSユーザを標的とし、アプリ子検査を潜り 抜けApple App Storeにも掲載されたZergHelperは、APACのモバイル・マルウェア・ランキングを席巻しています。Android を狙って情報を窃取するバンキング・マルウェアで、ランサムウェア機能も備えるLokibotは、全体に占める検出数は5%なが らEMEAのランキングにランクインしています。

マイニング・マルウェア・ランキング

ここでは、各マイニング・マルウェアによる影響を受けた組織の割合をグラフで示します。グローバルと地域別の両方でマイニン グ・マルウェア・ランキングを示します。

グローバル

北中南米地域

図20：マイニング・マルウェア・ランキング（グローバル） 図21：マイニング・マルウェア・ランキング（北中南米地域）

EMEA

APAC

図22：マイニング・マルウェア・ランキング（EMEA） 図23：マイニング・マルウェア・ランキング（APAC）

マイニング・マルウェア・ランキングの総合分析

• グローバルのマイニング・マルウェア・ランキングで第2位に入ったCrypto Lootは、Moneroを採掘するJavaScript型のマイ ニング・ツールです。CoinHiveとほぼ同じように動作し、CoinHiveの競合サービスとして提供されています。Crypto Lootは、 2017年10月に登場したばかりのサービスです。ツールの運営者によると、同ツールは特定の条件の下、「ユーザが気づかないよ うに」動作します。過去のマイニング・ツールはBitCoinの採掘を目的としていましたが、興味深いことに、今回ランクインした マイニング・ツールはいずれもMoneroを対象としています。 世界のマルウェア統計 ｜ 13

マルウェア・カテゴリ別の感染状況（地域別）

図24：マルウェア・カテゴリ別の感染状況（地域別）

Global Threat Index Map

_{（グローバル脅威インデックス）}

悪用された脆弱性のグローバル・ランキング

以下では、チェック・ポイントのIPSソリューションが2017年7∼12月に収集したデータに基づき、特に多く確認された脆弱性攻撃 を示します。また、チェック・ポイントの研究者が同期間に把握した主な攻撃手法とエクスプロイトについても解説します。

• SMB_{経由の拡散（CVE-2017-0143、CVE-2017-0144、CVE-2017-0145） – 2017年4月、EternalBlueやEternalRomance}

など、NSAが発見、開発したとされる複数のSMBエクスプロイトが、ハッカー・グループShadow Brokersによってオンラインに 流出しました。これらの脆弱性を悪用すると、ネットワーク上のシステム間を水平移動して、ネットワーク全体に感染を広げる ことが可能となります。これらの脆弱性は、WannaCry、NotPetya、BadRabbitなどのマルウェアによる大規模攻撃で使用 され、世界中で深刻な被害を引き起こしました。

• Apache Struts 2（CVE 2017-5638）– Apache Struts 2に見つかった複数の脆弱性は、その後の脅威動向に大きな影響 をもたらしました。この脆弱性が大きな注目を集めたのは、信用調査会社Equifaxのネットワークで稼働する脆弱なApache Strutsが攻撃を受け、クレジット・カード番号20万件と米国民1億4,300万人のデータが漏洩するという、ここ数年で最大規模 の標的型攻撃が発生したためです。この脆弱性はファイル・アップロードのリクエスト処理に存在し、悪用された場合、シス テム上で任意のコードを実行されるおそれがあります。

• IoTの脆弱性（CVE 2017-8225）– 2017年は、IoTに関する複数の脆弱性がメディアで大きく取り上げられ、複数の攻撃で標的と されました。IoTの脆弱性を狙った攻撃活動で最も目立ったのは、2017年に出現した大規模IoTボットネットIoTroopによるも のです。IoTroopは、それ以前のIoTマルウェアのように総当たりでパスワードを破るのではなく、脆弱性スキャン機能を備えて おり、脆弱性のあるWIFICAM IPカメラやDLINKルータを探し出します。

• RTF_{（CVE 2017-0199、CVE 2017-11882）– 2017年は、Microsoft Officeのリッチ・テキスト形式（RTF）の脆弱性を悪用す}

る攻撃が年間を通じて発生しました。これらの脆弱性を悪用すると、エンドユーザに不正な文書を開かせるだけで、PowerShell コマンドを含む不正なスクリプトを標的のマシンにダウンロードして実行できます。各脆弱性は主にマルウェア・スパム・キャン ペーンで使用されており、各種マルウェアのダウンローダである文書ファイルの中で悪用されています。

• DDE – _{マクロレスのコード実行 – Microsoft Dynamic Data Exchange（DDE）は、Microsoftが提供する正規の機能で}

すが、2017年後半には攻撃手段として広く悪用されました。DDEの本来の目的は、Officeアプリケーションのデータを他の Officeファイルに読み込むことです。攻撃者は、不正なペイロードを標的のマシンに送りつけるためにこの機能を悪用してい ます。この機能を使えば、一般的な攻撃手法と異なり、ユーザにマクロを有効にさせたり不正なコードを明示的に実行させた りする必要がなくなるからです。ただしMicrosoftは、この問題を脆弱性とは見なしていません。DDEフィールドを含むファイル をユーザが開こうとすると、「文書には他のファイルへのリンクが含まれている」というメッセージが表示される、というの がその理由です。 しかし、この機能を悪用するマルウェア・キャンペーンが多発すると、Microsoftは、12月の定例パッチの一環として、Word アプリケーションのDDE機能を無効にするアップデートを公開しました。DDE攻撃自体は1990年代から存在していまし たが、金融機関に特化したハッキング・グループFIN7などが利用し始めたことで、2017年にリバイバルを果たしています。 チェック・ポイントが世界中に設置しているセンサーによると、2017年下半期に確認された攻撃の実に93%は、2016年以前に 確認された脆弱性を利用しています。さらに4分の1以上は、10年以上前に見つかった脆弱性を悪用していました。 悪用された脆弱性のグローバル・ランキング ｜ 15

2018

年のセキュリティ動向予測

ブロックチェーンに対する攻撃 - マイニング・ツールの進化

ブロックチェーンに対する攻撃手法として現在最も多く確認されているのは、Webベースのマイニング・ツールですが、2018年に は、仮想通貨の採掘や取引システムの仕組みを利用した新たな攻撃手法がこの他にも多数登場すると予想されます。 大手の仮想通貨取引所では、すでに多額の窃盗被害が発生しています。例えば、世界最大規模の取引所であるBitfinexは、2件 のハッキング活動によって顧客数百万人の資金を失いました。2016年8月に発生した1件目のインシデントでは、同取引所の口座 構造に存在する脆弱性が原因で、12万BTC（当時のレートで6,600万ドル相当）を窃取されています。 2017年11月に発生した2件目のインシデントでは、Tether Limitedが発行する米ドル連動型の仮想通貨USDT 3,000万ドル相当 が同社のウォレットから窃取されています。 2018年に一般化する可能性があるこの他の攻撃手法やマルウェアとしては、仮想通貨のウォレットや認証情報の窃取、仮想通貨 の取引の改ざん、ウォレットの認証情報を収集するバンキング型トロイの木馬などが挙げられます。 2017年6月には、取引処理中に送金先Bitcoinアドレスを別のアドレスに書き換えるマルウェアによって、13 BTCを窃取されたと するユーザの報告がRedditに投稿されました。さらに2017年10月には、感染先マシンのクリップボードを監視して仮想通貨のウ ォレットIDを攻撃者のアドレスに書き換えるマルウェアCryptoShufflerが、14万ドル相当のBitcoinを窃取した事件が明らかにな っています。 モバイルの世界も、仮想通貨を狙った攻撃と無縁ではいられないでしょう。2018年には、仮想通貨を違法に採掘するモバイル・ ボットネットが登場すると予想されます。モバイル・デバイスであっても、数さえそろえれば、採掘に必要な処理能力は十分に確 保することが可能です。

クラウドに対する攻撃の増加

2017年6月、過去3回の米大統領選挙で収集され、Amazon S3のデータベースに保存されていた有権者1億9,800万人分の情報 （データ量にして1.1 TB）が、設定ミスにより誰でもアクセス可能な状態になっていることがセキュリティ研究者により発見され ました。 この例に代表されるように、2017年には、設定ミスによって重要なデータが正しく保護されずにいたという事例が多数発覚して います。 実際、Microsoftも最近、クラウドのアカウントに対する攻撃が過去1年間で3倍に増加していると報告しています。同社の Security and Protectionチームの主張によると、確認されている攻撃被害のほとんどは、不適切なパスワード管理や推測可能 なパスワードの使用が原因で発生しています。2018年には、クラウド・ベースのストレージやデータベース、アカウントに対する 攻撃が一層増加することになるでしょう。 ただし、それよりも注意が必要なのは、2017年に発生したクラウド攻撃のほとんどは設定ミスやセキュリティの欠落を突いていた のに対し、2018年にはより高度な攻撃が行われるようになると予測される点です。グローバルなストレージ・サービスを狙った専 用のエクスプロイト、特定企業のクラウド・インフラストラクチャを狙った組織的な標的型攻撃、データ侵害活動などが発生する と考えられます。クラウド上の企業データベースのデータをほんのわずか改ざんされただけで、甚大な被害が発生してもおかしく ありません。 昨今では、クラウドに対する信頼が高まり、多くの企業が重要データをクラウド・インフラストラクチャに保存するようになりまし た。この結果クラウドは、攻撃者にとって格好のターゲットになりつつあり、高度な攻撃ツールや攻撃手法の開発が加速していま す。その一方、多くの企業は、自社のセキュリティ対策やセキュリティ・ソリューションをクラウドに適応させることに依然として苦 労しているのが現状です。このため当面は、重要データの安全性が以前よりも低下することになるでしょう。 2018年のセキュリティ動向予測 ｜ 17

IoT

_{攻撃の高度化}

過去最大規模のIoT攻撃となったMiraiマルウェアは、脆弱なIoTデバイスを乗っ取り、世界有数のインターネット・サービス企業 に対してDDoS攻撃を実行しました。Miraiは、初期設定のパスワードやハードコードのパスワードを利用してIoTデバイスをボッ ト化していましたが、そのMiraiのコードを流用したボットネットIoTroopsは、脆弱性のあるデバイスをあらかじめスキャンし、既 知の脆弱性9件を利用して多様なデバイスに感染を広げていました。 IoTは今後、さらなる高度化を遂げるのはもちろん、より多くのIoTデバイスが私たちの日常生活に不可欠な存在となっていきま す。それに伴ってデバイスのセキュリティが強化され、前述のような単純な攻撃には利用されなくなるはずです。しかしその結果 として、IoTデバイスに対するさらに高度な攻撃手法が開発されるでしょう。 IoTデバイスのゼロデイ脆弱性を調査する動きは、今後ますます盛んになり、アンダーグラウンドなフォーラムを舞台とした新た な売買市場が形成される可能性さえあります。新たな攻撃手法によって、感染デバイスやその収集データを利用する新たな手口 が生み出されるでしょう。IoTデバイスを利用した攻撃活動のうち、現時点で最も大規模に展開されているのはDDoS攻撃です。 しかし、IoTデバイスに特定種類の個人情報が記録されるようになるにつれ、特定のデバイスを狙った専用の攻撃手法が開発され るはずです。その結果、データ侵害や恐喝行為が多発し、一般ユーザにも多大な被害が及ぶようになると予想されます。

複数のプラットフォームを狙う攻撃

過去2年間には、病院や企業、大手サービス・プロバイダを狙った標的型のランサムウェア攻撃が相次ぎ、ネットワーク全体が 麻痺して、患者の生命が危険にさらされるなどの被害が発生しました。ある意味では、史上最悪のサイバー攻撃といえるかもしれ ません。 しかし、病院のネットワークがダウンするだけでなく、職員の携帯電話やWebベースの医療機器がすべて使えなくなったとし たら、さらに大きな被害が生じるおそれがあります。 複数のプラットフォームを狙った攻撃では、上記のシナリオが現実のものとなる可能性があります。このような攻撃を実行するた めには、侵入先のネットワークで水平展開を行うだけでなく、異なるプラットフォーム間で感染を広げることのできるマルウェア が必要となります。このようなマルウェアが使用された場合、組織で使用しているあらゆる通信手段が失われかねません。 クロスプラットフォームのマルウェアは、近年では数える程度しか確認されていません。そのうち複数回にわたって使用が 確認されているのがAdwindです。サービスとして有償提供されているリモート・アクセス型トロイの木馬（RAT）であるAdwindは、 Javaさえインストールされていれば、Windows、Mac OS X、Linux、Androidなどあらゆるマシンに感染することが可能です。 ネットワーク接続を必要とするデバイスが増加している点、そして計画的なランサムウェア攻撃がますます多発している点を踏ま えると、複数のプラットフォームを狙った攻撃は、これから手口の改良、多様化が進むと考えられます。 複数のプラットフォームを狙った攻撃では、企業のネットワークとクラウド・データセンター、一般家庭のネットワークとIoTデバイス （家庭用警報器など）、病院のカルテ情報と医療機器など、標的のあらゆるリソースを対象とする包括的な攻撃が実行可能とな ります。 また2017年には、企業を狙ったモバイル・マルウェアも高度化の一途を りました。社員の私物デバイスを経由して財務データ ベースや顧客データベースに侵入するなど、このタイプの攻撃は、企業全体に感染を広げる格好の手段となります。

Android

_{のパッチ問題}

Googleは、同社のモバイルOSの最新バージョンAndroid 8.0 Oreoをリリースしましたが、その導入率はわずか0.3%にとどまっ ており、多くのAndroidユーザは現在も旧バージョンを使用しています。

このような現状が続く限り、2018年も、旧バージョンのAndroidを標的にした古いエクスプロイトやマルウェアによる攻撃が有効に 機能し続けるでしょう。古いAndroidに対しては、もはやセキュリティ・アップデートは提供されていないからです。この問題に 悩まされるのは、デバイスの所有者だけではありません。古いデバイスが接続されるネットワークの管理者にとっても頭痛の種と なります。脆弱なデバイスが1台でもあれば、そこを起点にネットワーク全体に被害が広がりかねません。

その他の傾向とまとめ ｜ 19

その他の傾向とまとめ

2017

_{年は、深刻な新種マルウェアや攻撃手法がいくつも登場しました。これらのマルウェアや手法は登場}

して間もないにもかかわらず、すでに脅威動向やインターネット全体に大きな影響をもたらしています。

これまで深刻な脅威とは見なされず、セキュリティ・コミュニティでは比較的軽視されていたアドウェアは、

Fireball

_{マルウェアの世界的な感染拡大によって、大きな注目を集めるようになりました。}

仮想通貨市場の拡大と新たな通貨の登場は、手っ取り早く収益を得るための新ツールの開発を促して

おり、その動きがサイバー空間に大きな流れを作り出しています。主要なWebサイトに埋め込まれ、サイト

訪問者のコンピューティング・リソースを利用して仮想通貨を採掘するWebベースのマイニング・ツールは、

多くの場合、ユーザに通知する、CPUパワーの使用量を抑えるなどの配慮をせずに採掘を行うという、

実質的にマルウェアのような動作をします。

またShadow BrokersがリークしたNSAのツールは、2017年を通じて大きな問題を引き起こし続けま

した。WannaCryやIoTroopsなどによる大規模攻撃キャンペーンでは、リークされたツールやエクスプ

ロイトが使用され、またネットワーク内を水平移動するためのNSAのエクスプロイトは、さまざまなマル

ウェアによって広く活用されています。このようにShadow Brokersによるリークは、広範囲にわたって

甚大な被害をもたらしています。

2017

_{年には、感染手法にも変化が見られました。新しいセキュリティ対策の導入やFlashのゼロデイ}

脆弱性の減少によって、エクスプロイト・キットの使用が減少傾向にある一方、大規模な詐欺活動は

相変わらず猛威を振るっています。本格的な攻撃グループは、攻撃手法をマルウェア・スパムへと変化

させ、Microsoft Officeなどを利用した高度なエクスプロイト攻撃を実行しています。

2016

_{年には、Confickerボットネット、Cryptowallランサムウェア、Zeusバンキング・マルウェアなど、}

比較的古いマルウェア・ファミリーがグローバル・マルウェア・ランキングの上位を占めていました。

その一部は

2017

_{年の上半期レポート}

_{、下半期レポートの両方にランクインしていますが、検出数は減少し、}

Locky

_{ランサムウェアやJaffランサムウェア、RoughTed不正広告キャンペーンなどの新種マルウェアに}

取って代わられています。この新種マルウェアの一部は、世界最大規模のスパム・ボットネットNecurs

によって拡散されています。

ランサムウェアは、3つの地域すべてで最も多く検出されたマルウェアとなりましたが、今回はバンキング・

マルウェアも急増しています。バンキング・マルウェア・ランキングの中で特に注目されるのは、2016年

後半に出現し2017年半ばに急増したTrickbotです。Trickbotは、大規模なスパム・キャンペーンとSMB

経由の水平移動で感染を拡大します。

サイバー犯罪阻止を目的とした業界最大規模の協調型ネットワークであるチェック・ポイントの

ThreatCloud

は、グローバルな脅威センサー・ネットワークを使用して、セキュリティ脅威に関する最新

のデータやサイバー攻撃のトレンド情報を配信します。ThreatCloudのデータベースには、1日あたり

数百万件のマルウェア情報が追加されるほか、ボット発見を目的として分析された2億5,000万件以上

のアドレスや1,100万件以上のマルウェア・シグネチャ、550万件以上の不正Webサイトの情報が登録さ

れています。

付録1

–

2017

年下半期に発生した主なセキュリティ侵害

北中南米地域

• 7_{月：国際的な通信事業者であるVerizonの米国内顧客情報1,400万件以上が、インターネット上でアクセス可能な状態になって} いることが発覚しました。この顧客情報は、企業向けソフトウェア企業Nice Systemsが管理する無防備なサーバ上に保存さ れていました。このサーバは、顧客管理のために使用されており、顧客情報には氏名、電話番号、アカウントのPINコードが含ま れています。 • 7∼8月：攻撃グループが米国のテレビ局HBOのサーバを侵害し、人気テレビドラマ『ゲーム･オブ・スローンズ』の最新の台本 とエピソード全体を流出させました。攻撃グループは、1.5 TB以上に及ぶデータを盗み出したと主張しています。HBOは、 同社が言うところの「バグ報奨金」を攻撃グループに支払うため、Bitcoinで25万ドル相当を確保しようとしていました。一部 では、これは時間稼ぎが目的だったとも言われています。攻撃グループは、数百万ドルの金銭を要求し、HBOが保有する多数 の番組、『ゲーム･オブ・スローンズ』の第5話の台本、同ドラマ出演者の個人情報を流出させました。 • 9_{月：米コロンビア・フォールズ学区のサーバがセキュリティ侵害を受け、米FBIとモンタナ州の治安部隊が}捜査を実施しま した。サーバを侵害した攻撃者は、生徒、保護者、職員らの電話番号とその他の連絡先情報を入手し、脅迫状を送りつけてい ました。攻撃発生を受け、同学区の全30校は数日間、休校措置となりました。学区の職員には、7万5,000∼15万ドルを要求 する脅迫状が送りつけられましたが、脅迫状には「TheDarkOverlord」を名乗るグループの署名が付けられていました。 同グループは、この事件の前に発生したHBOとNetflixに対するセキュリティ侵害にも関与していると見られています。 • 9_{∼10月：大手信用調査会社}Equifaxでセキュリティ侵害が発生し、米国の顧客1億4,500万人、英国の顧客1,520万人、カナダ の顧客数万人の個人情報が流出しました。このインシデントでは、クレジット・カード番号約20万9,000件と、個人情報を含む 係争関連の文書18万2,000件が侵害されています。窃取されたファイルには、2011∼2016年の顧客情報（パスワードやセキュ リティの質問に対する答えなど）が含まれています。インシデント発生後、Equifaxは、最高情報責任者（CIO）と最高セキュリ ティ責任者（CSO）はすでに辞任したと発表しました。報道によると、VisaおよびMastercardは、漏洩したクレジット・カード 番号20万件の不正利用を防ぐ措置を講じているとのことです。Equifaxの全CEOは、米規制当局による聴聞会において、セキュ リティ侵害に対する全責任を認めると共に、侵害の原因であり、2017年3月の時点で判明していたApache Strutsの脆弱性を 把握していなかったと述べました。 • 11_{月：数百件のフォーラムを運営し、4,000万人以上のユーザを擁するカナダの企業、VerticalScopeが}侵害を受け、少なくと も270万人のユーザ・アカウント情報が窃取されました。窃取されたアカウント情報は、ダークネットで販売されていることが 確認されています。同社がセキュリティ侵害を受けたのは、2016年6月に4,500万人のアカウント情報を窃取されて以来、 この2年間で2回目となります。

EMEA

• 7_{月：スウェーデン政府の請負業者から国民ほぼ全員の個人情報が流出しました。事件の発覚後、同国政府は混乱状態に} 陥り、2人の大臣が辞任しています。2015年、スウェーデンの運輸局は、データベース管理業務をIBMのスウェーデン法人 に委託し、同社はさらにそれを東欧の複数の企業に委託していました。最終的な請負企業の社員は、アクセス制御なしでデー タベースの情報にアクセスできていたということです。問題のデータベースには、軍事用を含む国内の全車両の情報、全国民 （秘密捜査を行う警察官、証人保護の対象となる人物など、保護すべき人物を含む）の写真を含む免許情報、国家インフラに 関する情報が含まれていました。 • 8_{月：複数のレポートによると、国家レベルの攻撃者がアイルランドの送電会社EirGridを}侵害し、同社のネットワークに対する 完全なアクセス権限を取得しました。この攻撃者の目的は明らかになっていませんが、アイルランド全域で大規模停電を引き 起こすことが目的の1つだった可能性があります。

付録1 – 2017年下半期に発生した主なセキュリティ侵害 ｜ 21 • 8月：2016年の米大統領選挙で民主党全国委員会の文書を窃取、流出させたことで知られるロシアのハッカー・グループ APT28（Fancy Bear）が、中東およびヨーロッパの複数のホテルを侵害した可能性が明らかとなりました。同グループは、ホ テルのネットワークへのアクセス権を利用して認証情報を窃取し、ホテルのWi-Fiを使用する宿泊客のコンピュータを乗っ取り ました。APT28は、NSAが開発したSMBのゼロデイ・エクスプロイトEternalBlueを使用していました。 • 9_{月：アドウェアなどの好ましくないプログラム（PUP）をブロックするフリーウェアCCleanerが}改ざんされ、攻撃に悪用され ました。Avastの子会社Piriformが開発を手がける同プログラムは、コンピュータにバックドアを組み込んで任意のコードを実 行可能にするよう攻撃者によって改変されました。Piriformは、CCleanerの自動アップデートを通じて不正な機能を削除し、 バックドア部分を取り除きました。

APAC

• 9_{月：シンガポールの生命保険会社AXA Insuranceのヘルス・ポータルが攻撃を受け、顧客5,400人の個人情報が窃取されま} した。窃取された情報の中には、電子メール・アドレス、携帯電話番号、誕生日が含まれています。 • 10月：6,000を超えるインド企業のサーバにハッカーが不正アクセスし、当該企業のネットワークがダウンしたほか、窃取され たデータがダークネットで売りに出されました。他にアクセスを受けた企業から判断して、最初に侵害を受けたのはインドの国 別インターネット・レジストリ（IRINN）であると考えられています。またハッカーは、IPアドレスの割り当てプールを操作したと も主張しており、場合によっては深刻な障害が発生していた可能性があります。インターネット・サービス・プロバイダ、官公庁、 民間企業がこの攻撃の影響を受けました。窃取されたデータには、認証情報、業務文書、個人情報などが含まれています。 • 10_{月：国際的なホテル・チェーンHyatt Corp.で再びクレジット・カード情報の侵害が発生し、同社は顧客に通知しました。こ} のインシデントでは、11か国41のホテルのフロントで入力またはスワイプされたカード情報が攻撃者によって収集されていま す。被害を受けたホテルが最も多かったのは中国です。Hyattは2015年後半にもセキュリティ侵害を受けており、そのときは50 か国250のホテルのクレジット・カード・システムが影響を受けています。 • 11_{月：マレーシアで4,500万件の携帯電話アカウントが}窃取され、ダークネットで販売されました。複数の携帯事業者のアカウ ントが被害を受けており、侵害元は明らかになっていません。マレーシアの人口は3,200万人であることから、同国のすべての 携帯電話アカウントが窃取されたと考えられます。 • 11_{月：香港の旅行代理店大手WWPKG Holdingsが}侵害を受け、顧客データベースの情報20万件が不正アクセスされた挙げ 句、データベースが暗号化されました。侵害されたデータには、顧客の氏名、ID、パスポート番号、クレジット・カード情報など が含まれています。同社は、攻撃者からの身代金要求を拒否し、警察の協力を得てデータベースの復号化にあたりました。

付録2

–

_{マルウェア・ファミリーの解説}

• Adwind - Adwindは、Java Runtime Environmentをサ ポートするシステムを標的とするバックドアです。システム 情報を送信し、リモートの攻撃者からコマンドを受け取り ます。コマンドを使用して、システム上にメッセージを表示 する、URLを開く、マルウェアをアップデートする、ファイル をダウンロード/実行する、プラグインをダウンロード/読み 込む、などの活動を行います。ダウンロード可能なプラグイン を通じて、遠隔操作オプションやシェル・コマンドの実行を 含む幅広い追加機能を実装します。 • Andromeda - Andromedaは不正な活動を行うモジュール 型ボットで、2011年に初めて確認されました。主にバック ドアとして使用され、感染ホストに別のマルウェアを配布し ますが、さまざまなタイプのボットネットを作成するように 改ざんされている場合もあります。正規のプロセスにコード を挿入するなど、さまざまなサンドボックス対策やアンチウ イルス対策が施されており、タスク・マネージャには表示さ れません。 • Angler - Anglerは、2013年後半に出現しました。2015年 初め頃までには実環境で最も広範囲に拡散しているエクス プロイト・キットとなり、2016年に入っても依然として活発 に活動しています。Anglerは、早期からのゼロデイ脆弱性 の利用で知られています。最初に開示されてから数日もし ないうちに使用する場合もあります。高度に難読化された JavaScriptが組み込まれたランディング・ページにブラウザ がリダイレクトされると、感染が始まります。ランディング・ ページでは感染マシン上で見つかったプラグインのバー ジョンを確認するため、その脆弱性を突いた攻撃を仕掛け られます。また、システムが脆弱だとしても仮想マシンでな いか確認しようとします。主に攻撃を受けているプログラム はFlashですが、Java、Silverlight、Acrobat、中には旧バー ジョンのInternet Explorerを狙うアクティブなエクスプロ イトも存在します。

• Badjoke - Badjokeは、Microsoft Windowsオペレー ティング・システム上で動作するジョーク・プログラムです。 その主な目的は、ユーザを苛立たせたり、楽しませたりする ことです。

• BadRabbit - Worm.Win32.BadRabbitはWindows プラットフォームを標的とするワームで、実際の攻撃での使用 が報告されています。ネットワーク内の他のシステム 上のSMB共有にアクセスして拡散するために使用できる ユーザ名/パスワードのリストを保持しています。また、 EternalRomanceエクスプロイトを介して拡散することも 可能です。感染システム上の特定の拡張子を持つファイル を暗号化し、そのファイルの復号化と引き換えに金銭を支 払うようユーザに要求します。元のMBRは不正なMBRに 置き換えられます。さらに、タスク・スケジューラにタスクを 追加して、システムを再起動しても残存できるようにし ます。 • Bancos - Bancosは、金融情報を窃取するマルウェアです。 ユーザが特定のオンライン銀行Webサイトで認証情報を 入力したとき、キーロガーでその情報を記録します。また、 銀行Webサイトのログイン・ページを偽のページに置き換え たり、別の要素を挿入する場合もあります。2006年に初めて 確認されたこのトロイの木馬は、主に南米地域、特にブラ ジルで活発に活動しており、ほとんどの場合、フィッシング 経由で感染を拡大します。 • Bosuoa - 正規のモバイル・アプリを装ったAndroidマル ウェアです。特定の電話番号宛に割増料金のSMSメッセージ を複数送信し、高額な料金を発生させます。 • Cerber - 2016年2月に初めて確認されたCerberは、C&C サーバと通信することなく感染マシン上のファイルを暗 号化できるオフライン型のランサムウェアです。ほとん どの場合、エクスプロイト・キットを利用した不正なイン ターネット広告キャンペーンで感染を広げますが、スパム・ キャンペーンで拡散する場合もあります。一部のレポート によると、Cerberの背後にいる攻撃者は、ファイルを 復号化するために1ビットコインの支払いを要求しま す。Ransomware-as-a-Serviceというビジネス・モデル を採用しており、Cerberの感染を広げる協力者を募って、 身代金による利益を分配しています。 • Cloudhopper - 中国のAPT攻撃グループAPT10による キャンペーンで使用されているマルウェアです。ネットワーク にアクセスして滞在し、機密情報を収集することを目的とし ており、多くの場合でマネージドITサービス・プロバイダを 踏み台にします。 • CoinHive - ユーザがWebページにアクセスしたときに、 密かに仮想通貨のMoneroを採掘するWebベースのマイ ニング・マルウェアです。埋め込まれたJavaScriptにより、 エンド・ユーザの大量のコンピューティング・リソースを悪用 してマイニングを実施し、システムのパフォーマンスに悪影響 を及ぼします。 • CoinNebula - ユーザがWebページにアクセスしたとき、 密かに仮想通貨の採掘を行うWebベースのマイニング・ マルウェアです。埋め込まれたJavaScriptにより、エンド・ ユーザの大量のコンピューティング・リソースを悪用して マイニングを実施し、システムのパフォーマンスに悪影響を 及ぼします。ユーザが悪用の事実に気づいても報告できな いように設定されています。

付録2 – マルウェア・ファミリーの解説 ｜ 23 • Conficker - Confickerは、Windows OSを標的とするワーム

です。OSの脆弱性を悪用し、辞書攻撃で管理者パスワードを取得 して拡散しながら、ボットネットを構築します。感染に成功 すると、攻撃者は、銀行情報、クレジット・カード番号、パス ワードなどのユーザの個人情報にアクセスできるようにな ります。このワームは当初、Facebook、Skype、Webメール などのネットワーキング・サイトのユーザを標的としていま した。 • Crypt - Cryptは、不正なファイルや好ましくないコンテンツを リモート・サーバから標的のマシンに水面下でダウンロー ドし、インストールするダウンローダ型トロイの木馬です。 • Cryptoload - Cryptoloadは、ランサムウェアのダウンロード を主な目的とするスクリプトの汎用名です。多くの場合、アーカ イブ・ファイルに格納され、スパム・メールに添付されて拡 散します。過去には、CryptowallやTeslaCrypt、Locky、 情報窃取型マルウェアのFareitのダウンロードに使用され ていました。 • Cryptolocker - Cryptolockerは2013年に初めて検出さ れたランサムウェア型トロイの木馬ファミリーで、Windows プラットフォームを標的としています。バックグラウンドで 実行され、感染ホスト上にあるさまざまなファイルを暗号 化します。続いて、そのファイルの復号化と引き換えに金銭 を支払うようユーザに要求します。主に感染サイトやスパム・キ ャンペーンを介して感染します。現時点までに、支払い以 外で暗号化ファイルを復元する手段は判明していません。 2 015年5月、複数の国の法執行機関が実 施した作戦 「Operation Tovar」によってGameover Zeusボットネット と共にCryptolockerは鎮圧されました。そして作成者は逮 捕され、Cryptolockerの感染は終息しています。 • Cryptoloot - ユーザがWebページにアクセスしたときに、 密かに仮想通貨のMoneroを採掘するWebベースのマイ ニング・マルウェアです。埋め込まれたJavaScriptにより、 エンド・ユーザの大量のコンピューティング・リソースを悪用 してマイニングを実施し、システムのパフォーマンスに悪影響 を及ぼします。 • CryptoShuffler - CryptoShufflerは、2017年11月に最初に 確認されたマルウェアです。標的マシンのクリップボードを 監視し、仮想通貨のウォレットIDを攻撃者のアドレスに置き 換え、14万米ドル相当のBTCを盗み出しています。Bitcoin 以外にも、Dogecoin、Litecoin、Dash、Ethereum、Monero、 Zcashが狙われました。

• DLoader - DLoaderは、Microsoft Windowsのすべて のバージョンに感染するトロイの木馬です。任意のソフトウェ アをダウンロードして実行することが可能で、通常は古いソフ トウェアまたはオペレーティング・システムに存在する脆弱 性を悪用します。ユーザがWebサイトや電子メール内の不 正なリンクをクリック、または不審なフリー・ソフトウェアをイ ンストールすると、多くの場合で秘密裏に感染が始まります。 永続性を維持しているほか、検出をすり抜けるために名前 と所在地の両方を頻繁に変更します。

• Donoff - Donoffはマクロを使用してMicrosoft Wordを 悪用し、標的のマシンに不正なペイロードをダウンロード するダウンローダ型マルウェアです。仮想マシン上での実行 やセキュリティ・ツールによる解析を回避する能力を備えて います。また、マクロのコマンドは難読化されています。

• Dorvku - Dorvkuは、Windowsプラットフォームを標的と するトロイの木馬です。システム情報を収集してリモートの サーバに送信します。また、標的のWebブラウザから機密 情報を収集するほか、攻撃者からの命令に従い感染システ ム上で不正な活動を行います。

• Dridex - Dridexは、Windowsプラットフォームを標的とす るトロイの木馬です。スパム・メールに添付されるファイル を介したダウンロードが報告されています。感染システム に関する情報をリモートのサーバに送信して共有します。 さらに、リモートのサーバから受け取った任意のモジュール をダウンロードして実行できます。

• Dyreza - Dyreは、Windowsオペレーティング・システム を標的とするバンキング型トロイの木馬です。Chrome、 Firefox、Internet Explorerの3大ブラウザから銀行の認 証情報とパスワードを盗み出します。他のバンキング型ト ロイの木馬とは異なり、標的をFareitなどの別のマルウェア に感染させます。通常は、請求書や銀行からの書類、ファッ クスに見せかけたファイルを添付した電子メール経由で拡散し ます。このファイルを開くと、マシンが感染し、Upatreダウンロ ーダがインストールされます。Upatreはセキュリティ・ ソフトウェアを無効にし、Dyreをダウンロードします。 最近になってGameover Zeus、Ramnit、Shylockなどの 大規模なバンキング型トロイの木馬が鎮圧されてからは、 Dyreがユーザにとって主要な脅威の1つとしての地位に就き ました。主に英語圏が狙われています。 • Fireball - Fireballは、デジタル・マーケティングを展開す る中国企業Rafotechによって広範囲に拡散しているアド ウェアです。ブラウザ・ハイジャッカーとして機能し、デフォ ルトの検索エンジンの変更やトラッキング・ピクセルのイン ストールを実行しますが、フル機能のマルウェア・ダウン ローダへと拡張可能です。感染マシン上で任意のコードを 実行できるため、認証情報の窃取から別のマルウェアの ドロップまで、さまざまな活動を行うことができます。多く の場合、バンドルという形で拡散します。たいていは水面下で、 ユーザの目的のプログラムと一緒に標的のマシンにインス トールされます。