McAfee Labs 1 2 McAfee Labs McAfee Labs Web McAfee Labs Intel Security McAfee Labs Equation Group HDD/SSD Black Hat

McAfee Labs

脅威レポート

McAfee Labs

について

McAfee Labsは、世界各地に配備した数百万台のセンサーか らデータを収集し、ファイル、Web、メール、ネットワークなど に対する脅威を研究・調査し、脆弱性の報告を行っています。 McAfee Labsは、リアルタイムで脅威情報、重要な分析結果、専 門的な情報を提供し、保護対策の向上とリスクの軽減に貢献し ています。 マカフィーはIntel Securityとなりました。 www.mcafee.com/jp/mcafee-labs.aspx McAfee Labsのリンク

はじめに

今回の脅威レポートでは、ファームウェア ベースの攻撃を初め て採り上げました。最初のキートピックでは、Equation Group といわれるグループのマルウェアを詳しく報告します。このグ ループの詳細はまだ分かっていません。この脅威は、ハード ディスクのファームウェアを改変します。私たちの分析では、 ファームウェアが改変されたHDD/SSDはシステムの起動時に マルウェアを読み込むため、ドライブをフォーマットしたり、オ ペレーティング システムを再インストールしても、脅威が駆除 されることはありません。このタイプの脅威は、今年のBlack Hat とDefConでも注目されるでしょう。 本号ではランサムウェアとAdobe Flashエクスプロイトも採り上 げました。McAfee Labsが確認したサンプル数を見ると、いずれ の脅威もこの四半期に急増しています。ランサムウェアについ ては、検出が困難な新しいファミリ（CTB-Locker）の出現が影響 しています。このマルウェアの作成者は、CTB-Lockerを感染さ せるフィッシング詐欺攻撃を迅速に展開するため、闇市場でア フィリエイト プログラムを提供しました。Flashエクスプロイトに ついては、モバイル デバイスを含む多くのプラットフォームに Flashがインストールされ、パッチの適用されていない既知の 脆弱性が存在することが影響しています。検出が難しいFlashエ クスプロイトの存在も、この急増の一因でしょう。

確認した

ランサムウェアの

数は他の四半期の2倍

になっています。

このレポートが公開される頃には、RSA Conference 2015が終了しているでしょう。カン ファレンスでは、Intel Security グループのゼネ ラル マネージャーであるChris YoungがIntel Security_{の基調講演を行っています。カンファレン} スに参加できなかった方は、こちらでご覧くださ い。この講演で、Intel Securityのビジョンを説明し、 ITセキュリティ業界と顧客の脅威情報に対する考 え方を変え、セキュリティ インシデントと攻撃デー タをリアルタイムで利用する重要性を唱えていま す。また、データの収集と処理だけでは十分でない ことも強調しています。新しい手法でデータを分析 することで新しい価値を見出す必要があります。ぜ ひお聞きください。 ■ McAfee Labsは、世界最高の脅威研究でサイバー セキュリティをリードするだけでなく、Intel Security 製品に組み込まれているコアテクノロジを開発し ています。最近、このコアテクノロジに大きな発展 がありました。

– McAfee Global Threat Intelligenceサービ スは、ファイル、Web、IP、証明書、電子メール のレピュテーション情報をIntel Security製品 に提供しています。このサービスは、1日に数 百億のクエリーを処理し、1時間に数百万のシ ステムを保護しています。 タ、レピュテーション タイプを処理できるよう になりました。これは、1時間に100マイル移動 している車のエンジンを交換するようなもの です。また、処理速度、安全性、耐久性を向上 させ、簡単に管理できるように再構築されて います。 –昨年末、Intel SecurityはDATレピュテーション 技術を含むエンドポイント製品の出荷を開 始しました。McAfee Labsは、公開前にシグネ チャ ファイルを十分にテストしていますが、 稀にDATが顧客に影響を及ぼす場合があり ます。弊社のエンドポイント製品の多くは、 DATに起因する問題を迅速に検出し、解決ま たは回避できるようになりました。この機能 強化により、これらの製品の安全性が向上し ています。DATレピュテーション技術の詳細に ついては、こちらでご確認ください。 ■弊社では、脅威レポートに関するアンケートを実施 しています。皆様からの貴重なご意見は今後の参 考とさせていただきます。この脅威レポートに関す るご意見をお寄せください。5分程度で終わります ので、ここをクリックしてアンケートにご協力くださ い。

目次

エグゼクティブ サマリー

5

キートピック

6

Equation Group:

_{ハードディスク/SSDのファームウェア}

の悪用 7

ランサムウェア: 巧妙さを増した新しいファミリの出現 14

Adobe Flash:

_{デザイナーだけでなくサイバー犯罪者に}

も人気のアプリケーション 24

統計情報

34

McAfee Labs_{脅威レポート} 2015年5月 執筆者: Christiaan Beek Alexander Matrosov François Paget Eric Peterson Arun Pradeep Craig Schmugar Rick Simon Dan Sommer Bing Sun Santosh Surgihalli James Walter Adam Wosotowsky

Equation Group:

ハードディスク/SSDのファームウェアの悪用

2月に非常に巧妙な攻撃が報告されました。この攻撃には、複雑な暗号スキーマを使 用するEquation Groupの関与が疑われました。問題となったのは、Equation Groupの マルウェアにハードディスク/SSDの改変モジュールが含まれていたことです。このマル ウェアに感染すると、ハードディスクを再フォーマットしたり、オペレーティング システ ムを再インストールしても、脅威を駆除することができません。また、改変されたファー ムウェアと関連マルウェアがセキュリティ ソフトウェアで検出されることはありません。 このため、McAfee Labs脅威レポートで初めてファームウェア ベースの攻撃を採り上げ ることにしました。

ランサムウェア: 巧妙さを増した新しいファミリの出現

『McAfee Labs脅威レポート: 2014年11月』の2015年の脅威予測で、「ランサムウェア がその拡散方法や暗号化の方法を進化させ、攻撃対象を広げる可能性があります」と 予測しましたが、これが現実のものとなり、新しいランサムウェア ファミリであるCTB-Lockerが出現しました。このマルウェアは、IRC、P2Pネットワーク、ニュースグループ、投 稿、スパム メールなど、様々な方法で散布されています。また、メールの受信者が不審 に感じないように、受信者の言語でメールを送信します。さらに、セキュリティ製品を 回避するため、.zipファイルにダウンローダーを隠しています。.zipファイルを解凍する と、.zipファイルが展開され、この.zipファイルから最終的にスクリーンセーバー ファイ ルが展開されます。このマルウェアの作成者は、CTB-Lockerを感染させるフィッシング 詐欺攻撃を迅速に展開するため、闇市場でアフィリエイト プログラムを提供していま す。第1四半期はランサムウェアのサンプル数が急増しましたが、この新しいファミリが 大きく影響しています。

Adobe Flash:

デザイナーだけでなくサイバー犯罪者にも人気のアプリケー

ション

以前からAdobe Flashを攻撃手段として利用するサイバー犯罪者が少なくありませんで した。このアプリケーションは多くのプラットフォームにインストールされているだけで なく、既知の脆弱性にパッチが適用されていないシステムも数多く存在しています。ま た、検出の難しいエクスプロイトも少なくありません。これらの要素とAnglerエクスプロ イト キットの動向については『McAfee Labs脅威レポート: 2015年2月』で報告しまし たので、このサイバー攻撃の手口についてはすでにご存知でしょう。McAfee Labsが第 1四半期に検出した新しいAdobe Flashマルウェアのサンプル数は約200,000件で、こ れは2014年第4四半期（47,000件）と比べると317%の増加になります。このトピックで は、Adobe Flashの機能、脆弱性とエクスプロイト、悪用の方法、Flashエクスプロイトか ら組織を守る方法について解説します。 McAfee Labsでは第1四半期にラ ンサムウェアの急増を確認しまし た。大半は新しいランサムウェア ファミリ（CTB-Locker）ですが、 このファミリはアフィリエイト プ ログラムを利用してフィッシング 詐欺攻撃を迅速に展開しました。 第1四半期はAdobe Flashのエクス プロイトが317%増加しました。 このアプリケーションは多くのプ ラットフォームにインストールさ れているだけでなく、既知の脆弱 性にパッチが適用されていないシ ステムも数多く存在しています。 また、検出の難しいエクスプロイ トも少なくありません。このた め、攻撃者にとって魅力的な攻撃 手段となっています。 Equation Groupのマルウェアに 感染すると、ハードディスクを再 フォーマットしたり、オペレー ティング システムを再インストー ルしても、脅威を駆除することが できません。これまでの中で最も 巧妙なマルウェアといえます。

フィードバックを共有

キートピック

Equation Group: ハードディスク/SSD のファームウェアの悪用 ランサムウェア: 巧妙さを増した新し いファミリの出現 Adobe Flash: デザイナーだけでなく サイバー犯罪者にも人気のアプリケー ション

Equation Group:

ハードディスク/SSDの

ファームウェアの悪用

̶James Walter、Alexander Matrosov

2月にEquation Groupによる攻撃が新たに報告されました。Equation Groupという名前 は、非常に洗練された暗号化スキーマとマルウェアを使用することから付けられまし たが、これまで確認した脅威の中で最も巧妙な攻撃を実行しています。

Intel Securityの高度脅威研究チームが最も注目した点は、ハードディスク（HDD）とSSD （Solid State Drive）のファームウェアを改変するモジュールの存在です。ファームウェ

アが改変されたHDD/SSDはシステムの起動時にマルウェアを読み込むため、ドライブ をフォーマットしたり、オペレーティング システムを再インストールしても、脅威が駆除 されることはありません。ドライブが感染すると、改変されたファームウェアと関連マル ウェアがセキュリティ ソフトウェアで検出されることはありません。

この数年間、Intel SecurityはファームウェアやBIOSを操作するマルウェアを数多く確 認しいます。この中には、概念レベルのものだけでなく、CIH/Chernobyl、Mebromi、

BIOSkitなど、実世界で被害をもたらしたものもあります。また、『McAfee Labs 2012

年の脅威予測』でもこのような攻撃の出現を予測しています。Equation Groupのサン プルは、これまで確認したファームウェア攻撃の中で最も高度な脅威の一つです。

HDD/SSD

_{のファームウェアを改変するEquation Groupのモジュール}

Equation Groupのマルウェアは複数のモジュールまたはプラットフォームから構成さ れ、それぞれが独立した機能を実行します。 Equation Groupのサンプルは、こ れまで確認されたファームウェア 攻撃の中で最も高度な脅威の一つ です。 このレポートを共有

Equation Group

のモジュール

モジュールの機能

DoubleFantasy 標的の確認、偵察の検証、モジュールと プラットフォームのアップグレード EquationDrug 完全なモジュールで、強固な攻撃プラッ トフォーム。基本的なコンポーネント の一つで、持続性がある。HDDファーム ウェア改変モジュールを格納。 EquationLaser レガシーOS（Windows 95/98）に対応す るモジュール Equestre EquationDrug の別名として使用される Fanny ワーム コンポーネント。特定の地域を 標的にする。 GrayFish レジストリ常駐の攻撃プラットフォーム。 ブートキットを含む。HDDファームウェア 改変モジュールを格納。 TripleFantasy バックドア型で、標的確認を行うトロイ の木馬 この中には非常に古いマルウェアもあり、最も古いものは2001年に作成されていま す。にもかかわらず、これらのモジュールは最も巧妙な攻撃を実行します。また、毎年新 しい挙動が見つかっています。 最近確認されたHDD/SSDファームウェア改変モジュールが最初にコンパイルされた のは2010年です。このプラグインは32ビット版と64ビット版が見つかっています。分析 したサンプルはすべてMicrosoft Windowsを攻撃するものでしたが、Apple iOSやOS X を狙うバージョンもすでに存在しているようです。Windowsを攻撃する新しいモジュー ルは、いまだに威力を発揮するEquation Groupの古いモジュールを利用しています。

これらのモジュールは次の2つの処理を行います。最初のモジュールが、HDD/SSDの メーカー/モデル用に作成されたコードでHDD/SSDのファームウェアを改変します。2 番目のモジュールが、HDDまたはSSDの隠し領域にAPIを保存します。このAPIにより、 改変されたファームウェアは、オペレーティング システムに検出されることなくカスタ ム ペイロードを読み込んで保存し、様々な機能を実行します。この新しいモジュール は、巧妙さという点でEquation Groupの他のモジュールに類似しているため、今後も新 しい動作が検出される可能性があります。 これらの機能は、Equation Groupにとって次のようなメリットがあります。 ■ 持続性: ディスクの再フォーマット、オペレーティング システムの再インス トール、再イメージングが行われても、改変されたファームウェアがなくな ることはありません。 ■ 隠 : ファームウェアしか認識できない隠し領域がストレージに作成され ます。HDD/SSDが再フォーマットされても、ファームウェアが消えることは ありません。 ■ 持続性のあるファームウェア: 改変されたファームウェアの重要な要素が HDD/SSDファームウェアの更新後も生き残ります。 ■ 検出不能: 感染に成功すると、改変されたファームウェアと関連マルウェ アがセキュリティ ソフトウェアで検出されることはありません。 ドライブに感染すると、Equation GroupのHDD/SSDファームウェア 改変モジュールはOSが認識しない ドライブ空間に保存されるため、 ディスクの再フォーマットやオペ レーティング システムの再インス トール後も生き残ります。また、 セキュリティ ソフトウェアに検出 されることもありません。 前述のように、ファームウェア改変コードはHDD/SSDメーカー（Western Digital、 Samsung、Maxtor、東芝、IBM、Seagateなど）ごとに固有です。解析したモジュール （nls_933w.dll）のリソース セクションには、サイズの小さいx86カーネル モード ドラ イバー（約20KB）があり、このドライバーは感染したハードディスクとATAコマンド イ ンターフェースを介して通信を行います1_{。ファームウェアの更新プロセスでは、対象ド} ライブで非公開のATAコマンドを実行する必要があります。このようなコマンド セット はすでに入手可能で2_{、正当な理由（捜査当局による調査、フォレンジック）だけでなく、} 不当な目的でも使用されています。 ATAコマンドは通常、ドライブの機械的/電気的な動作を制御または操作するために 使用されます。また、特定の機能を制御したり、切り替えることもできます。 Maxtorコマンドの例:

■ Check power mode ■ Download microcode ■ Flush cache

■ Device configuration identify

このDLLにATAコマンド インターフェース経由でハードディスクと直接通信を行うコードが含 まれている

多くのATAコマンドはドライブ メーカーで共通ですが、ファームウェア改変モジュール は使用可能なコマンドをすべて利用しています。 nls_933w.dllは2010年にコンパイルされていますが、2001年にコンパイルされた別 のドライバー（win32m.sys − MD5: 2b444ac5209a8b4140dd6b747a996653）をシ ステムに追加します。感染したドライバーは、攻撃先のコンピューターの%WINDIR%\ System32\drivers\win32m.sysディレクトリにドロップされます。新しいHDDモジュール でも、これはバージョン3.0.1になっています。

HDD/SSD

_{ファームウェア モジュールの感染方法}

感染の痕跡と方法はEquation Groupのプラットフォームによって異なりますが、HDD/ SSDファームウェア モジュールの配布方法は類似しています。 最初の感染経路はWebベースのエクスプロイトです。Equation Groupは水飲み場型 攻撃を行い、標的がよく利用するWebサイトに感染します。これらのサイトを閲覧する と、システムがDoubleFantasyの初期段階のマルウェアに感染します。DoubleFantasy は標的の確認を行い、様々な偵察活動を行います。その後、第2段階のマルウェア （EquationDrugまたはGrayFish）を配布します。この第2段階のプラットフォームが HDD/SSDファームウェア改変モジュールのインストールと保守を行います。 このレポートを共有

Equation Group

のHDD/SSD攻撃の流れ

Web

ベース

の攻撃

第1段階の

インストール/侵入

(DoubleFantasy)

第2段階の

インストール/侵入

(EquationDrug

またはGrayFish)

HDD/SSD

ファームウェア

モジュール

作成者

Equation Groupの背後にはどのような人物が存在するのでしょうか。また、他の攻撃に は関与していないのでしょうか。Equation Groupは、Flame、Duqu、Stuxnet、Gaussに 関係しています。我々の分析では、これらの攻撃で使用されたコード（作成スタイルや 構造、方法論）や感染パターンで類似性が確認されています。RC5またはRC6暗号化が 使用されている点も類似しています。他の攻撃と同一の暗号化が使用されている場合 もありました。 文字列のエンコーディング アルゴリズムも同じ思想またはソースが利用されているよ うです。Equation GroupのコードとFlame、TripleFantasyのコードを比較した結果、エン コード/デコードで共通性が確認できました。 Equation Groupマルウェアの文字列を復号したもの

Flameの文字列を復号したもの

TripleFantasyの文字列を復号したもの

このレポートを共有

これらの画面の類似性を見ると、背後に国家が存在する最近の攻撃との関連性 も疑わざるを得ません。

ファームウェア/BIOS操作に対する対策

前述のように、ファームウェアが改変されたHDD/SSDはシステ ムの起動時にマルウェアを読み込むため、ドライブをフォー マットしたり、オペレーティング システムを再インストールして も、脅威が駆除されることはありません。また、脅威に感染する と、改変されたファームウェアと関連マルウェアがセキュリティ ソフトウェアで検出されることはありません。 Intel Securityや脅威研究コミュニティでは、このファームウェア 改変モジュールは特殊なもので、ごく限られた対象を狙う標的 型攻撃で使用されていると見ています。大半の企業は、この脅 威の攻撃を受ける可能性は低いといえるでしょう。

推奨のポリシーと手順

全般 ■ 多重防御: 統合された多層型のセキュリティ対策を使用する。 ■ すべてのエンドポイントにエンドポイント セキュリティ ソフトウェアを配備す る。 ■ OSの自動更新を有効にするか、OSの更新を定期的にダウンロードし、オペレー ティング システムにパッチを適用して既知の脆弱性を解決する。 ■ ソフトウェア ベンダーが公開したパッチを速やかに適用する。 ■ 重要なデータとハードディスクを暗号化する。 フィッシング詐欺 ■ セキュアなゲートウェイ メール フィルタリングで大量配信のフィッシング詐欺 メールを阻止する。 ■ 送信者の本人確認を行い、サイバー犯罪者のなりすましを防ぐ。 ■ 高度なウイルス対策で不正な添付ファイルを検出し、排除する。 ■ 受信時とクリック時メール内のURLをスキャンする。 ■ ユーザーがクリックして感染サイトに誘導される前に、Webトラフィックをスキャ ンしてマルウェアを確認する。 ■ 不審なメールを検出し、対策を講じるためのベスト プラクティスをユーザーに 教育する。 データ漏えい ■ データ損失防止を実装し、侵害発生時のデータ漏えいを防ぐ。 しかし、組織のセキュリティ対策の中で、ファームウェア/BIOS操 作に対する対策を講じておく必要があります。特に必要な対策 は次の2つです。 ■Equation Groupが最初に配布するマルウェアを検 出する方法を確立する。攻撃経路としては、フィッ シング詐欺、CD、USBドライブが確認されていま す。これらの領域に特に注意が必要です。 ■データの漏えいからシステムを保護する。現時点 でファームウェア改変モジュールを検出することは できませんが、この攻撃の目的は偵察活動です。 偵察活動では、指令サーバーと定期的に通信を行 い、データを送信するため、この活動を阻止するこ とが非常に重要です。 Intel Securityがこの脅威を阻止す る方法

ランサムウェア: 巧妙さを増した新しいファ

ミリの出現

̶Christiaan Beek 『McAfee Labs脅威レポート: 2014年11月』で、2015年に発生する主な脅威を9つ予測 しました。ランサムウェアについては、「ランサムウェアがその拡散方法や暗号化の方 法を進化させ、攻撃対象を広げる可能性があります」と述べています。 その後まもなくランサムウェアが急増しました。CTB-Lockerファミリに続き、 CryptoWall、TorrentLockerの新しいバージョンが出現し、BandarChorが急増しました。 また、第1四半期には新しいファミリであるTeslacryptが確認されました。 400,000 350,000 300,000 250,000 200,000 150,000 100,000 50,000 0 450,000 500,000 550,000 600,000 650,000 700,000 750,000

新しいランサムウェア

2013年 2014年 2015年 出典: McAfee Labs, 2015 第1 四半期 四半期第2 四半期第3 四半期第4 四半期第1 四半期第2 四半期第3 四半期第4 四半期第1 McAfee Labsでは、第1四半期に ランサムウェアの急増（165% 増）を確認しました。CTB-Locker ファミリに続き、CryptoWall、 TorrentLockerの新しいバージョン が出現し、BandarChorが急増しま した。また、第1四半期には新しい ファミリであるTeslacryptが確認さ れました。 これらのランサムウェアは比較的裕福な国のユーザーを標的にしています。地下 フォーラムでランサムウェアの効果が議論されていますが、その分析によると、これら の国のユーザーは身代金を支払う傾向にあります。 このレポートを共有

ランサムウェアが利用するフィッシング詐欺メールは巧妙に細工されています。メール の本文と添付ファイル名には標的の国の言語が使用され、その国に実在の企業が送 信したように装います。たとえば、3月にトルコで確認されたランサムウェア攻撃では、 トルコの郵便局や電話会社を装い、住所変更/確認、郵便物の再送先の入力、請求の 支払いなどを依頼するメールが送信されました。 この偽装メールのリンクをクリックすると、ランサムウェアのあるWebサイトにリダイレク トされる。

ランサムウェアの歴史

1996年5月、IEEE Symposium on Security and Privacyでコロンビア大学のAdam Young 氏が「Cryptovirology̶extortion-based security threats and countermeasures」 （暗号ウイルス学: 脅迫によるセキュリティ脅威と対策）という論文を発表しました。こ こで説明されているように、最初のランサムウェアのプロトタイプは非対称暗号のプ ロセスを利用していました。 非対称暗号は、 のペアを使用してファイルの暗号化と復号を行う暗号化技術です。 ランサムウェアでは、攻撃者が標的ごとに固有の公開 と秘密 のペアを生成しま す。ファイルの復号に使用する秘密 は攻撃者のサーバーに格納され、身代金を支 払った場合にのみ被害者に提供されます。身代金を支払っても秘密 が提供されず、 お金もファイルも失った被害者もいます。非対称 を使用した場合、（秘密 ）を相 手に渡さない限り、マルウェアの分析者でもファイルにアクセスすることはできませ ん。秘密 がなければ、ファイルの復号はほぼ不可能です。 前述の1996年の論文の後、多くの研究者が様々なシナリオを報告しています。最初の ランサムウェアであるGpcode.akが検出されたのは2008年です。このマルウェアは、 標的のコンピューター上にある大量のファイルを暗号化しました。最も有名なランサ ムウェアであるCryptoLockerが検出されたのは2013年９月です。主要な配布手段の 一つであるGameOver Zeusネットワークが2014年5月に閉鎖され、CryptoLockerの流 行は収まりました。現在勢いのあるランサムウェアはCryptoWall（バージョン2と3）、 TorrentLockerバージョン2、CTB-Lockerです（McAfee Labsは、『McAfee Labsk脅威レ

ポート: 2014年8月』でCryptoLocker、GameOver Zeus、その閉鎖について詳しく解説し ています）。 この数年で新しい技術が組み込まれ、より強力なランサムウェアが出現しています。 ■ 仮想通貨: 身代金の支払い方法として仮想通貨が利用されるようになりま した。金銭の受け取りに銀行にいく必要がなく、送金が追跡される危険も ありません。 ■ Tor ネットワーク: Torネットワークを利用することで、秘密 のある指令 サーバーの位置を簡単に隠すことができます。Torにより、犯罪インフラを 長期間維持できるようになり、他の攻撃にインフラを貸し出したり、アフィ リエイトプログラムの実施が可能になりました。 ■ モバイルへの移行: 2014年6月、Androidデバイスのデータを暗号化する ランサムウェアが初めて出現しました。Pletorはスマートフォンのメモリー カード上のデータをAESで暗号化し、Tor、SMS、HTTPで攻撃者に接続しま す。 ■ 大容量ストレージに対する攻撃: 2014年8月、SynolockerがSynologyの ネットワーク接続ストレージ（NAS）ディスクとラック ステーションに対す る攻撃を開始しました。このマルウェアは、パッチ未適用のNASサーバー の脆弱性を攻撃し、RSAの2,048ビット または256ビット を使用して サーバー上のすべてのデータをリモートから暗号化します。 こここここここここ

8,000 6,000 4,000 2,000 12,000 10,000 0 16,000 14,000

主なランサムウェア ファミリの新しいサンプル

2013年 第4四半期 出典: McAfee Labs, 2015

CTB-Locker CryptoWall TorrentLocker CryptoLocker 2014年 第1四半期 第2四半期2014年 第3四半期2014年 第4四半期2014年 第1四半期2015年

統計

以下のグラフは、有名なランサムウェア ファミリで新たに見つかったサンプルの数を 表しています。 CTB-Lockerは2014年12月から確認されています。このレポートの執筆時点で、収束の 気配はまだありません。CryptoWallのバージョン1と2のサンプル数は比較的一定して いますが、バージョン3は2014年9月にDyreネットワーク経由で拡散が開始していま す。

Dyre ネットワークの攻撃手順

出典: McAfee Labs, 2015

1

2

3

4

リンクを含 むメールを 送信する Upatreマ ルウェア サンプルを ダウンロー ドする Upatreが Dyreマル ウェアを ダウン ロードす る Dyreマル ウェアが CryptoWall のペイロー ドを読み込 む Dyreネットワークの感染手順

Curve-Tor-Bitcoin-Locker

_{（CTB-Locker）}

この四半期、CTB-Lockerのサンプルが数多く確認されました。この名前の意味は次の とおりです。 ■ Curveは、このマルウェアが楕円曲線暗号を使用し、固有のRSA でファイ ルを暗号化していることを表しています。 ■ Torは、追跡と閉鎖を回避するため攻撃者が指令サーバーをTorネット ワーク上に配置していることを表しています。 ■ Bitcoinは、金銭から追跡を受けないように仮想通貨を使用していることを 表しています。 ■ Lockerは、身代金が支払われるまでファイルがロックまたは暗号化される ことを表しています。 ではCTB-Lockerが成功した理由は何でしょうか。まず、セキュリティ ソフトウェアの検 出を回避するため、巧妙な回避技術が使用されています。次に、CTB-Lockerは他のラ ンサムウェアよりも信憑性が高く感じるフィッシング詐欺メールを使用しています。た とえば、このマルウェアは地元の企業や所在地に関連するファイル名を使用していま す。最後に、CTB-Lockerが急速に広がった背景にはアフィリエイト プログラムの存在 があります。攻撃の検出と封じ込めが可能なセキュリティ ソフトウェアでシステムが更 新される前に、フィッシング詐欺メールでの拡散に成功しました。 CTB-Lockerは、IRC、P2Pネットワーク、ニュースグループ、投稿、スパム メールなど、様々 な方法で散布されています。この四半期は、既知のダウンローダーであるDalexisを 利用する新しい方法が確認されました。スパム対策を回避するため、このダウンロー ダーを.zipファイルに隠しています。.zipファイルを解凍すると、.zipファイルが展開さ れ、この.zipファイルから最終的に.scrファイル（スクリーンセーバー）が展開されます。 CTB-Lockerが実行されると、次のような不吉な画像が表示されます。 CTB-Lockerが成功した理由として は、セキュリティ ソフトウェアの 検出を回避するために巧妙な回避 技術を使用している点が考えられ ます。また、他のランサムウェア よりも信憑性が高く感じるフィッ シング詐欺メールを使用していま す。CTB-Lockerが急速に広がった 背景にはアフィリエイト プログラ ムの存在があります。 このレポートを共有 多くのCTB-Lockerで最初に表示される画像

以降に表示される画面の一つで、5つのファイルまで無料で復号することを伝えるメッ セージが表示されます。残念ながら指令サーバーには接続しないため、ファイルの復 号に必要な秘密 は入手できません。秘密 を入手できないため、そのパターンを解 析することもできません。CTB-Lockerは、5個の秘密 をランダムなファイル名で標的 のコンピューターのディスクに保存します（ファイルのサイズは平均で600バイト）。こ れにより、標的の秘密 が保存されているサーバーに接続しなくてもすむようになっ ています。

CTB-Locker

_{の急激な増加}

CTB-Lockerを使用した攻撃は、2014年12月の初めに開始しましたが、2015年1月には その数が急増しています。これまでに英語、オランダ語、ドイツ語、フランス語、イタリア 語のCTB-Lockerが見つかっています。添付ファイルにも標的の言語が使用されている ため、より本物に近いフィッシング詐欺メールが送信されています。次のように、ファイ ル名にも標的の言語が使用されています。 ■ a_la_clinique_vtrinaire_lavalle.scr ■ aliments_universelles_lolivier.scr ■ alte_poststr_25_72250_freudenstadt.scr ■ an_der_wassermhle_3_28816_stuhr.scr ■ andros_consultants_limited.scr ■ b_n_r_roofing_2000_ltd.scr ■ b_van_brouwershaven_and_zn_bv.scr ■ bill39C6113.scr ■ fairview_rehab_and_sports_injury_clinic.scr ■ fashioncrest_ltd.scr ■ feedback_instruments_ltd914.scr McAfee Labsの調査によると、このマルウェアは多言語に対応しているにもかかわら ず、CTB-Lockerの被害の半数は北米で発生しています。 北米 南米 ヨーロッパ 中米 50% 35% 2% 7%

CTB-Locker の被害者の分布

3% 3% アジア太平洋/中東

CTB-Locker

_{アフィリエイト プログラム}

2014年8月、CTB-Lockerの作成者は、ロシアのいくつかのフォーラムでこのマルウェア を発表しました。この作成者はマルウェアの展開戦略としてアフィリエイト プログラム を採用しました。 スパムを送信するボットネットを含むCTB-Lockerのインフラをアフィリエイトとして提 供し、感染に成功して標的が身代金を支払った場合、その一部を成功報酬として利用 者に提供しました。 ある地下フォーラムで、この作成者はアフィリエイトを使用した理由を話しています。 ランサムウェアを利用したのは、逮捕されるリスクが低く、金銭を簡単に稼ぐことがで きるためで、「CTB-Lockerインフラは第三者が管理し、Torを利用し、支払方法をBitcoin に限定しているため、安全なプログラムになっている」と述べています。このアフィリエ イトは、1か月に$15,000から$18,000の売上があり、手取りで$8,000から$10,000の収 入が見込めると宣伝しています。この収入は、身代金を払う被害者の数によって変わり ますが、エクスプロイト キット、暗号のカスタマイズ、トラフィックのリルートにかかる 費用によっても変わります。この攻撃で最も収益が得られる国は米国、英国、オースト ラリア、ヨーロッパの7か国です。このアフィリエイトによると、被害者の約7%が身代金 の支払いに応じています。

CryptoWall

_{バージョン3の機能}

CryptoWallの最初のバージョンと最新のリリース（バージョン3)を比べると、多くの機 能が変更されています。現在のマルウェアは支払いにTorのみを使用しています。ま た、ハードコードされ、難読化された指令サーバーのURL、I2Pプロトコルをベースにし たP2Pネットワークなど、様々な方法で通信を行います。被害者とセキュリティ業界を 混乱させるため、他の多くのランサムウェアがCryptoLockerという名前を使用していま す。独自の名前を使い始めるまで、CryptoWallも同様でした。 CTB-Lockerと同様に、最新のCryptoWallは難読化されたJavaScriptの添付ファイルを 使用してセキュリティ対策を回避しようとしますが、CryptoWallの場合、.zipファイルで はなく.jpegファイルがダウンロードされます。ただし、被害者を すための画像はな く、ランサムウェアが実行されるだけです。

新しいランサムウェア ファミリ: Teslacrypt

このレポートを共有 第1四半期に出現したTeslacrypt。保存されたゲーム コンテンツも標的に追加されている。

2015年2月、新しいファミリであるTeslacryptが出現しました。TeslacryptはCryptoLocker のコードを利用し、Torによる隠 、Bitcoinによる支払いなど、標準的な機能を備えてい ますが、新しい機能もいくつか追加されています。あるTeslacryptファミリの亜種は、保 存されたゲーム コンテンツとダウンロード可能なコンテンツ ファイルを標的にして います。ゲームに関連する50以上のファイルを暗号化します。 Teslacryptは、PayPal My CashCardsによる支払いにも対応しています。Teslacryptの詳 しい分析結果については、McAfee Labsのブログをご覧ください。

データの復元

ランサムウェアについては、暗号化されたデータを復元可能かどうかよく聞かれます。 基本的には「ノー」です。身代金を支払い、攻撃者から秘密 を取得しない限り、復元 はできません。ランサムウェアの秘密 は犯罪者のサーバーに保存されていますが、 このサーバーかそのコピーにアクセスしない限り、秘密 の取得は不可能です。 司法当局がネットワークの取締りでランサムウェアの指令サーバーを押収する場合が あります。秘密 を含むデータベースにアクセスできれば、暗号化されたファイルの復 旧ツールを作成できます。最近、オランダの国家ハイテク犯罪センターがCoinVaultラ ンサムウェア ファミリの指令サーバーを押収し、Kasperskyと協力して復旧ツールを作 成しました。 CTB-Lockerの場合、ファイルの復元が可能なケースがあります。Windowsのシステム 復元オプションを有効にしていると（大半のシステムではデフォルトで有効になってい ます）、シャドウ ボリュームのコピーからファイルを復元できます。シャドウ ボリューム コピー サービス（VSS）は、ファイルの使用中でもバックアップを手動または自動で実 行できる技術です。Windows XPからWindows 7とWindows Server 2008では、ボリュー ム シャドウ コピー サービスが実装されています。Windows 8以降では、［プロパティ］ ダイアログの［以前のバージョン］タブで、古いバージョンのファイルの参照、検索また は復元ができなくなりました。

Windows 8、Windows Server 2003、Windows Server 2003 R2、Windows Server 2008、 Windows Server 2008 R2、Windows Server 2012 の場合には、組み込みコマンドの Vssadmin list shadowsを実行すると、指定したボリュームで使用可能なコピーを確認 できます。コマンドラインでVSSコピーをマウントしてファイルを参照する方法はいく つかあります。ボリューム シャドウ コピーの参照に使用できるオープンソースのツー ルがあります。これらのツールを使用すると、ランサムウェアで暗号化されたファイル を復元できる場合があります。

ただし、この方法がすべてのランサムウェア ファミリに有効なわけではありません。 CryptoWallバージョン3、Crypto-Fortress、Teslacryptの場合、ランサムウェアの作成者 はマルウェアの実行中に次のコマンドを追加しています。

■

vssadmin delete shadows /all /quiet

このコマンドで、すべてのボリューム シャドウ コピーが確認なしに削除されます。復 元ソフトウェアを使用し、オフセット値が分かれば、削除されたボリュームを復元する ことも可能かもしれません。

今後の予想

新しい技術と機能を使用した新しい亜種とファミリが出現するでしょう。今年の初め、 スイスの研究者がランサムウェアと暗号化を組み合わせたRansomWebという新しい 技術を見つけました。この技術は、Webサーバーのスクリプトとデータベースのフィー ルドを狙った攻撃で、バックアップに値が保存されるまで数週間から数か月潜伏しま す。値が保存されると、サーバーまたはリモートからキーを削除します。これにより、 Webアプリケーションとデータベースが誤動作を始めますが、バックアップもマルウェ アに感染した状態になっています。この状態になると、攻撃者が身代金を要求します。

ランサムウェアを阻止する防衛策

McAfee Labsでは、情報フィードを常に監視し、ランサムウェアの兆候を察知していま す。これにより、大半のランサムウェアを検出し、攻撃を未然に防いでいます。犯罪者の 手にビットコンがわたることもありません。 攻撃を未然に防ぐには、次のような対策を講じる必要があります。 ■データをバックアップする。これは当たり前のように見えますが、バック アップが使用できなかったり、バックアップ プロセスが機能するかどうか テストしていないケースも少なくありません。安価で簡単に使用できるた め、リムーバブル ストレージが広く利用されています。ホームユーザー の場合、このようなデバイスにバックアップを作成し、システムから取り外 し、安全な場所に保管しましょう。クラウドベースのバックアップ サービス の場合、被害者のエンドポイントが暗号化されたファイルをクラウドにコ ピーしている可能性があります。サービスによっては、ファイルの最新バー ジョンを復元できる場合があります。 ■ユーザーの意識向上に継続的に取り組む。大半のランサムウェアはフィッ シング詐欺メールで攻撃を開始します。ユーザーのセキュリティ意識を高 めることは非常に重要です。統計によると、攻撃者が送信した詐欺メール の10通に1通は攻撃に成功しています。未確認の送信元や不明な送信元 から受信したメールと添付ファイルを開いてはなりません。 こここここここここ

■ 不要なプログラムとトラフィックをブロックする。Torの必要がなければ、 ネットワーク上でTorアプリケーションとトラフィックをブロックしてくださ い。Torをブロックすれば、ランサムウェアが指令サーバーからRSA公開 を取得できなくなり、ランサムウェアによる暗号化を防ぐことができます。 ■ 最新のパッチをシステムに常に適用する。ランサムウェアが悪用する脆 弱性の多くはパッチの適用で解決できます。オペレーティング システム、 Java、Adobe Reader、Flash、アプリケーションにパッチを適用し、最新の 状態を維持しましょう。パッチ適用の手順を決め、パッチが正常にインス トールされていることを確認してください。 ■スパム対策を実施する。大半のランサムウェアは、リンクや特定の種類の 添付ファイルを含むフィッシング詐欺メールで攻撃を開始します。.scrファ イルまたは他の不明なファイル形式にランサムウェアが組み込まれてい る場合、これらの添付ファイルをブロックするスパム ルールを簡単に設定 できます。.zipファイルを許可している場合には、.zipファイルを2つ以上の レベルでスキャンし、不正なコンテンツが存在するかどうか確認しましょ う。 ■エンドポイントを保護する。エンドポイント保護と高度な保護機能を使 用しましょう。多くの場合、クライアントではデフォルトの機能しか有効に なっていません。高度な機能（一時フォルダーからの実行ファイルの実行 を阻止する、など）を実行すると、より多くのマルウェアを検出し、ブロック することができます。 Intel Securityがこの脅威を阻止す る方法

Adobe Flash:

デザイナーだけでなくサイ

バー犯罪者にも人気のアプリケーション

̶Arun Pradeep、Santosh Surgihalli

Adobe Flashは、Adobe Flash Playerで表示、再生、実行するベクター グラフィックス、 アニメーション、ゲーム、インターネット アプリケーションの作成に使用するマルチメ ディア/ソフトウェア プラットフォームです3_。

また、サイバー犯罪者がよく利用するマルチメディア/ソフトウェア プラットフォームと も言えます。攻撃者は、Flashの古いバージョンが実行されているデバイスを利用して 攻撃に成功しています。

本稿では、Adobe Flash（旧Macromedia Flash、Shockwave Flash）の機能、脆弱性とエク スプロイト、悪用の方法、Flashを狙うエクスプロイトから組織を守る方法について解説 します。

Adobe Flash

プラットフォーム

Adobe Flashプラットフォームのコア部分は次の3つの要素から構成されます。 ■プラットフォームに依存しないオープンソースのオブジェクト指向言語で あるActionScript。アニメーション、インタラクティブなイベント処理（主に ゲーム開発）、ビデオ ストリーミング、オーディオ ストリーミングなど、マル チメディア アクションの記述に使用します。

■オーサリング ツールであるAdobe Flash Professional。ActionScript言語で

マルチメディア アプリケーションを作成します。ソース コード ファイルに は.flaという拡張子が付きます。コンパイルされたマルチメディア アプリ ケーション（Flash動画ファイル）の拡張子は.swfです。

■ランタイム エンジンであるAdobe Flash Player。.swfファイルを生成しま

す。単独で実行されるバージョンもあれば、Webブラウザーのプラグイン として動作するバージョンもあり、デスクトップ、ラップトップ、タブレット、 スマートフォンなど、様々なエンドポイントで実行されます。 .swfファイルのオーサリング、実行、管理を行うサードパティのツールも存在します。 ベクター グラフィックスとプログラム コードを組み合わせて使用するため、ビットマッ プやビデオ クリップに比べるとFlash動画ファイルのサイズは小さくなります。また、ス トリーミング配信により、使用する帯域幅も少なくなります。このため、Flash Playerはマ ルチメディア コンテンツを再生するアプリケーションとして非常に多くのデバイスに インストールされています。 このようなアプリケーションをマルウェアの作成者が見逃すはずがありません。 このレポートを共有

Flash

_の悪用

ソフトウェアの脆弱性は、National Institute of Standards and TechnologyのNational Vulnerability Databaseに登録されています。確認された脆弱性には CVE（Common

Vulnerabilities and Exposures_{）番号が付いています。}

第1四半期は、Flashに関する42個のCVEが新たにデータベースに追加されました。 2014年の第4四半期に追加されたFlashの脆弱性は28件でしたので、50%の増加率 になります。Flashの脆弱性は、2014年の初めから増加を続けています。直近の期間に は、四半期としては過去最高数の脆弱性が見つかっています。 35 30 25 20 15 10 5 45 40 2014年 2015年 0

新たに検出されたAdobe Flashの脆弱性

出典: National Vulnerability Database 第1 四半期 四半期第2 四半期第3 四半期第4 四半期第1 第1四半期は、Flashに関する42 個の脆弱性が新たに見つかりまし た。2014年の第4四半期に追加さ れたFlashの脆弱性は28件でしたの で、50%の増加率です。四半期に 見つかったFlashの脆弱性の数とし ては過去最高を記録しました。 最近見つかったFlash脆弱性の一部は、Webアプリケーションの脆弱性に対する迅速 なパッチ提供を目的にAdobeが2014年の終わりに始めた脆弱性公開プログラムによ るものです。事実、第1四半期にFlashで見つかった42件の脆弱性に対して、Adobeは CVEの登録と同日に最初の修正を提供しています。 Flashの脆弱性に対する最新の修正情報については、こちらで確認できます。Adobeは、 脆弱性の重大度に応じてAdobe製品の更新を行うためのガイダンスも提供していま す。このガイダンスはこちらで確認できます。

Flash .swfの脆弱性はいくつかのタイプに分類できます。 ■ 回避: Flash Playerでは、メモリー アドレスの参照制限が適切に行われて いません。このため、Windowsに実装されているアドレス空間配置のラン ダム化による保護を回避することができます。 ■ サービス拒否の実行コードによるメモリー破損: この脆弱性が悪用され ると、任意のコードが実行されたり、詳細不明の方法でサービス拒否（メ モリー破損）が実行される可能性があります。 ■ サービス拒否: この脆弱性が悪用されると、サービス拒否（NULLポイン ターの逆参照）が発生します。詳細不明の方法で別の攻撃が実行される 可能性もあります。 ■コードの実行によるオーバーフロー: バッファー オーバーフローの脆弱 性が悪用されると、詳細不明の方法で任意のコードが実行される可能性 があります。 ■コードの実行: 「解放後使用」の脆弱性が悪用されると、詳細不明の方法 で任意のコードが実行される可能性があります。 コードの実行 その他 サービス拒否コードの 実行によるオーバー フローとメモリー破損 回避 コードの実行による オーバーフロー 24% 22% 15% 13% 7% 19%

攻撃された Adobe Flash の脆弱性

サービス拒否の 実行コードによる メモリー破損 出典: McAfee Labs, 2015 このレポートを共有

Flash

_{エクスプロイトの増加}

Flashエクスプロイトは、2014年第4四半期の初めから急激に増え始めました。Flashの 脆弱性は、エクスプロイト作成者が好んで狙う標的の一つになっています。McAfee Labsでは、この背景にはいくつかの要因があると考えています。たとえば、Flashの脆弱 性が増え続けている、Flashの脆弱性を解決パッチをユーザーがすぐに適用しない、エ クスプロイトを効率的に作成する方法が見つかった、.swfファイルに対応したモバイ ル デバイスが増えている、Flashエクスプロイトの検出が難しい、などの要因が挙げら れます。 100,000 50,000 150,000 0 200,000 250,000

新しい Adobe Flash .swf のサンプル

2014年 2015年 出典: McAfee Labs, 2015 第1 四半期 四半期第2 四半期第3 四半期第4 四半期第1 第1四半期、新しいAdobe Flash .swfのサンプル数は317%増加し ました。この数字には、感染した ファイルやマルウェアだけでな く、不明なファイルや安全なファ イルも含まれています。

Flashエクスプロイトを配布するエクスプロイト キットとしてAnglerがよく利用されてい ます。この強力なキットについては、『McAfee Labs脅威レポート: 2015年2月』で詳しく 解説していますが、この簡単なツールキットを使用すると、脆弱性を悪用して様々なペ イロードを配布できます。以下のグラフでも分かるように、Anglerなどのエクスプロイ ト キットの標的は.jar（Javaアーカイブ）やMicrosoft Silverlightの脆弱性からFlashの脆 弱性にシフトしています。 エクスプロイト キットの標的 がJavaアーカイブやMicrosoft Silverlightの脆弱性からAdobe Flashの脆弱性に移行しています。 このレポートを共有 主な4つのエクスプロイト キットでFlashの脆弱性へのシフトが進んでいる

エクスプロイト キットが狙う脆弱性

ANGLER キ ット 2014年 第3四半期 54% 46% 2014年 第4四半期 17% 83% 2015年 第1四半期 17% 83% 2014年 第2四半期 79% 14% NUCLE AR キ ット 78% 100% 100% 81% 19% 7% 22% SWEET OR ANGE キ ット 60% 100% 83% 17% 83% 17% 27% 13% MA GNITUDE キ ット 67% 100% 100% 33% _100% .swf .jar Silverlight

以下のグラフは、エクスプロイト キットが狙う脆弱性の傾向を表しています。 35 30 25 20 15 10 5 45 40 0 出典: McAfee Labs, 2015 .swf .jar Silverlight

エクスプロイト キットが狙う Adobe Flash の脆弱性

2014年 2015年 第1 四半期 四半期第2 四半期第3 四半期第4 四半期第1

マルウェア作成者がFlashを狙う理由

マルウェア作成者がFlashを攻撃する理由の一つは、この脆弱性が増加傾向にあり、脆 弱性に対するパッチをすぐに適用しないユーザーが多いためです。機会が増えれば、 攻撃に成功する確率も高くなります。 また、モバイル デバイスが増えていることも理由の一つと言えます。大半のモバイル デバイスはswfファイルの再生に対応しているので、攻撃手段としてFlashが選ばれる機 会が増えています。 この他にも、この脆弱性が狙われる理由があります。

新たに見つかったFlashの脆弱性

次の.swfには、シェルコードを実行する関数と演算を記述した ActionScriptが含まれています。これはCVE-2014-0497の脆弱 性を悪用するものです。 このマルウェア作成者は、Flash Playerのバージョンを確認し、関 連するROPチェーンを構築するアルゴリズムを使用しています。 これにより、マルウェアは脆弱性を悪用するシェルコードを生 成します。 このレポートを共有 次のコードは、2014年に見つかったPixel Benderエクスプロイ トの一部です。 逆コンパイルしたActionScriptコードを見ると、2つのシェル コード コマンドがハードコードされています（赤い部分）。難読 化を解除した結果、エクスプロイト コードが確認されました。

ROP（Return Oriented Programming）を作成するコード

Flash

_{を攻撃する新しい方法}

RC4アルゴリズムで不正なコードが難読化されている広告が正規のWebサイトで見 つかっています。最近のエクスプロイト（CVE-2015-0311、CVE-2015-0312、CVE-2015-0313）は、この手口でエクスプロイトとシェルコードを難読化しています。 先行するメイン関数の_loc3_変数にジャンク データが格納されています。このデー タ（158l467o395a839d024B304y549t110e672s730）の数字をNULLで置換すると loadBytesになり、これがバイト配列Flash Playerに読み込みます。この配列に.swf、.gif、 .jpeg、.pngなどのファイルが含まれている可能性があります。 _loc1_変数は別のプライベート関数を呼び出し、new Loader()を戻します。 loadBytes関数の暗号化 new Loader関数の変数への割り当て

読み込みに使用されるバイト配列またはバイナリ データはggew変数で、この変数が jytk関数を呼び出します。このパブリック関数のバイナリ データが復号され、ローダー によって読み込まれます。以下のように、RC4アルゴリズムを使用して約60KBのバイナ リ データを復号する必要があります。 難読化を解除すると、次のようになります。 Loader.LoadBytes(RC4_decode(RC4_encrypted_data)) このコマンドが復号後のデータを読み込み、Flash DLLからROPチェーンを生成して、 シェルコードの読み込みとエクスプロイトの実行を動的に実行します。 RC4アルゴリズムの部分

Flashに対する以前の攻撃では、マルウェア対策製品でエクスプロイト コードやシェル コードを簡単に検出できましたが、新しい攻撃は複数のレベルで難読化を行っている ため、高度なセキュリティ製品でも動作の検出が難しくなっています。この手法を見れ ば分かるように、エクスプロイトの巧妙化と高度化が進んでいることは確かです。

Flash

_{の脆弱性を悪用するエクスプロイトの阻止}

McAfee Labsでは、Flashベースの攻撃からシステムを保護するため、いくつかの方法 を推奨しています。 ■ 公開後すぐにFlashのパッチをインストールする。Flash CVEの登録と同じ にパッチが公開されます。Flashのアップデートに関する情報は、こちらで 確認できます。サイバー攻撃を防ぐには、すべてのパッチを適用したコン ピューターをファイアウォールで保護する必要があります。 ■オペレーティング システムの自動更新を有効にするか、更新を定期的に ダウンロードし、オペレーティング システムにパッチを適用して既知の脆 弱性を解決する。 ■メールやインスタント メッセージの添付ファイルを自動的にスキャンする ように、ウイルス対策ソフトウェアを設定しましょう。また、メール プログラ ムで添付ファイルを自動的に開いたり、画像を自動的に表示しないように 設定し、プレビュー ウィンドウを非表示にしてください。 ■ 拡張子が.swfの添付ファイルをブロックするようにウイルス対策ソフト ウェアを設定する。 ■ブラウザーのセキュリティ設定を「中」以上に設定する。 ■ブラウザー プラグインでスクリプトとiFrameの実行をブロックする。 ■ 信頼されていないブラウザー プラグインをインストールしない。 ■ 添付ファイルを開くときは十分に注意する。特に、.swfファイルを開く場合 には警戒が必要です。 ■ 未請求メールや予期しない添付ファイルは絶対に開かないでください。 知人からのメールも例外ではありません。 ■スパムを利用したフィッシング詐欺に注意する。メールやインスタント メッセージにあるリンクをクリックしない。 ■ブラウザーのアドレズ バーにURLを入力するか、URLをコピーし、Web広 告をクリックする前にアドレスを確認する。 ■ 信頼できないサイトにあるFlash動画をクリックしない。 Intel Securityがこの脅威を阻止す る方法

統計情報

モバイル マルウェア マルウェア Web脅威 メッセージングとネッ トワークの脅威 フィードバックを共有

モバイル マルウェア

1,200,000 1,000,000 800,000 600,000 400,000 200,000 2013年 2014年 2015年 0

新しいモバイル マルウェア

出典: McAfee Labs, 2015 第1 四半期 四半期第2 四半期第3 四半期第4 四半期第1 四半期第2 四半期第3 四半期第4 四半期第1 8,000,000 6,000,000 5,000,000 4,000,000 3,000,000 1,000,000 2013年 2014年 2015年 0

モバイル マルウェアの合計

出典: McAfee Labs, 2015 第1 四半期 四半期第2 四半期第3 四半期第4 第1 四半期 四半期第2 四半期第3 四半期第4 四半期第1 2015年第1四半期に見つかった新 しいモバイル マルウェアのサンプ ル数は2014年第4四半期から49% 増加しています。

10% 8% 6% 4% 2% 12% 北米 南米 ヨーロッパ オーストラリア アジア アフリカ 0

地域別のモバイル マルウェアの感染率 (2015年第1四半期)

出典: McAfee Labs, 2015 25% 20% 15% 10% 5% 0

世界のモバイル マルウェアの感染率

出典: McAfee Labs, 2015 2014年 第1 四半期 四半期第2 四半期第3 四半期第4 第4 四半期 四半期第1 2013年 2015年 このレポートを共有

マルウェア

この四半期は新しいマルウェアの 数が減少しました。第4四半期に急 増したSoftPulseアドウェアが通常 の水準に戻ったことが原因と思わ れます。 50,000,000 40,000,000 30,000,000 20,000,000 10,000,000 60,000,000 0

新しいマルウェア

出典: McAfee Labs, 2015 第1 四半期 2013年 2014年 2015年 第2 四半期 四半期第3 四半期第4 四半期第1 四半期第2 四半期第3 四半期第4 四半期第1 400,000,000 350,000,000 300,000,000 250,000,000 200,000,000 150,000,000 100,000,000 50,000,000 0 450,000,000

マルウェアの合計

2013年 2014年 2015年 第1 四半期 四半期第2 四半期第3 四半期第4 四半期第1 四半期第2 四半期第3 四半期第4 四半期第1 2014年第4四半期から2015年第1四 半期で、McAfee Labsのマルウェ ア データベースの登録件数は13% 増加しています。現在のサンプル 数は4億件に達しています。

100,000 80,000 60,000 40,000 20,000 120,000 0

新しいルートキット マルウェア

出典: McAfee Labs, 2015 2013年 2014年 2015年 第1 四半期 四半期第2 四半期第3 四半期第4 四半期第1 四半期第2 四半期第3 四半期第4 四半期第1 1,600,000 1,400,000 1,200,000 1,000,000 800,000 600,000 400,000 200,000 0

ルートキット マルウェアの合計

出典: McAfee Labs, 2015 2013年 2014年 2015年 第1 四半期 四半期第2 四半期第3 四半期第4 四半期第1 四半期第2 四半期第3 四半期第4 四半期第1 このレポートを共有

3,000,000 2,500,000 2,000,000 1,500,000 1,000,000 500,000 0

署名付きの新しい不正なバイナリ

出典: McAfee Labs, 2015 2013年 2014年 2015年 第1 四半期 四半期第2 四半期第3 四半期第4 四半期第1 四半期第2 四半期第3 四半期第4 四半期第1 18,000,000 16,000,000 14,000,000 12,000,000 10,000,000 8,000,000 6,000,000 4,000,000 2,000,000 0

署名付きの不正なバイナリの合計

出典: McAfee Labs, 2015 2013年 2014年 2015年 第1 四半期 四半期第2 四半期第3 四半期第4 四半期第1 四半期第2 四半期第3 四半期第4 四半期第1

Web

脅威

35,000,000 30,000,000 25,000,000 20,000,000 15,000,000 10,000,000 5,000,000 2013年 2014年 0

新しい不審な URL

関連ドメイン

URL 出典: McAfee Labs, 2015

第1 四半期 四半期第2 四半期第3 四半期第4 第1 四半期 第1 四半期 四半期第2 四半期第3 四半期第4 2015年 北米 オーストラリア アフリカ ヨーロッパ/中東 ラテンアメリカ 52% 29% <1% 1% 15%

不審なコンテンツが存在するサーバーの場所

2% アジア太平洋 出典: McAfee Labs, 2015 このレポートを共有 2014年第3四半期は、不正な短縮 URLが増加したため、不審なURLが 急増しました。2015年第1四半期 も急増しましが、これは不正な短 縮URLが原因ではありません。原 因については現在調査中です。

3,000,000 2,500,000 2,000,000 1,500,000 1,000,000 500,000 0

新しいフィッシング詐欺 URL

関連ドメイン

URL 出典: McAfee Labs, 2015

2013年 2014年 第1 四半期 四半期第2 四半期第3 四半期第4 四半期第1 四半期第2 四半期第3 四半期第4 四半期第1 2015年 米国 ドイツ 英国 フランス オランダ カナダ 25% 53% 5%

フィッシング詐欺ドメインが存在する国の上位

4% 3% 3% 2% 2% 3% ロシア ブラジル その他 出典: McAfee Labs, 2015

700,000 600,000 500,000 400,000 300,000 200,000 100,000 0

新しいスパム URL

関連ドメイン

URL 出典: McAfee Labs, 2015

2013年 2014年 第1 四半期 四半期第2 四半期第3 四半期第4 四半期第1 四半期第2 四半期第3 四半期第4 2015年 第1 四半期 54% 24% 5% 5% 3%

スパム ドメインが存在する国の上位

3% 3% 3% 米国 ロシア ドイツ 日本 中国 その他 英国 オランダ 出典: McAfee Labs, 2015 このレポートを共有

メッセージングとネットワークの脅威

12 10 8 6 4 2 0 正規のメール スパム 出典: McAfee Labs, 2015

世界で発生したスパムとメールの量

(1兆通単位) 2013年 2014年 2015年 第1 四半期 四半期第2 四半期第3 四半期第4 四半期第1 四半期第2 四半期第3 四半期第4 四半期第1 第1四半期は、Snowshoe、Festi、 Darkmailer2ボットネットに変わ り、Dyre、Dridex、Darkmailer3 が上位に入りました。Slenfbotは 医薬品、盗まれたクレジットカー ド、悪質なソールメディア マーケ ティング ツールを宣伝し、第1四 半期も引き続きトップを維持して います。 1,400 1,200 1,000 800 600 400 200 2013年 2014年 0

スパム メールを送信するボットネットの上位 10

(100万通単位) Kelihos Gamut Dyre Dridex Darkmailer Slenfbot その他 第1 四半期 四半期第2 四半期第3 四半期第4 四半期第1 四半期第2 四半期第3 四半期第4 四半期第1 2015年

37% 12% 7% 6% 9% 25% 2%

ネットワーク攻撃の上位

2% 総当り攻撃 サービス拒否 バックドア その他 ボットネット ブラウザー SSL Shellshock 出典: McAfee Labs, 2015 このレポートを共有 21% 9% 6% 5% 38% 6% 5%

ボットネット制御サーバーの所在地

5% 4% 3% 3% 3% 3% ウクライナ 米国 スウェーデン アルジェリア 韓国 ロシア オランダ ドイツ 中国 エジプト その他 出典: McAfee Labs, 2015 2014年第4四半期から若干減少し たものの、SSL関連の攻撃はいまだ に続いています。攻撃数が減少し た理由としては、SSLライブラリが 更新され、前の四半期に攻撃され た多くの脆弱性が解決されたこと が考えられます。昨年末に出現し て以来、Shellshock攻撃は衰えを 見せません。

McAfee is now part of Intel Security.Intel Securityは、Security Connected戦略、セ キュリティにハードウェアを活用した革新的なアプロ―チ、また独自のGlobal Threat Intelligenceにより、世界中のシステム、ネットワーク、モバイル デバイスを守るプロア クティブで定評あるセキュリティ ソリューションやサービスを提供しています。Intel Securityは、マカフィーの優れたセキュリティ技術とインテルの革新性と信頼性の融合 により、すべてのアーキテクチャとコンピューティング プラットフォームにセキュリティ を統合します。Intel Securityは、すべてのユーザーが日々の生活でも職場でも、デジタ ル世界を安心して利用できるようにすることを目指しています。 www.intelsecurity.com 本資料は弊社の顧客に対する情報提供を目的としています。本資料の内容は予告なしに変更される場合があります。本資料は 「現状のまま」提供するものであり、特定の状況あるいは環境に対する正確性および適合性を保証するものではありません。 フィードバック。今後の参考にす るため、皆様からのフィードバックを お待ちしています。5分程度で終わり ますので、ここをクリックして脅威レ ポートに関するアンケートにご協力 ください。 McAfee Labsのリンク 1. https://msdn.microsoft.com/en-us/library/windows/hardware/ff559309%28v=vs.85%29.aspx. 2. http://www.cse.scu.edu/~tschwarz/coen252_07/Resources/foi-computer-forensics.pdf. 3. http://en.wikipedia.org/wiki/Adobe_Flash.

McAfee. Part of Intel Security.

東京本社 〒 150-0043 東京都渋谷区道玄坂 1- 12- 1 渋谷マークシティウェスト 20F TEL 03-5428-1100（代） FAX 03-5428-1480