McAfee Labs脅威レポート 2016年12月

McAfee Labs

脅威レポート

2016

年12月

McAfee Labs について

McAfee Labs は世界で最先端の脅威研究機関で、脅威情報や サイバーセキュリティに関する最新の情報を提供しています。 世界各地に配備した数百万台のセンサーからデータを収集し、 ファイル、Web、メール、ネットワークなどに対する脅威を研究・ 調査し、脆弱性の報告を行っています。McAfee Labs は、リアル タイムで脅威情報、重要な分析結果、専門的な情報を提供し、 保護対策の向上とリスクの軽減に貢献しています。 マカフィーはIntel Securityとなりました。 www.mcafee.com/jp/mcafee-labs.aspx McAfee Labsのリンク

はじめに

Intel Securityにとってこの秋は比較的忙しい季節となりました。 8月の終わり、Intel Securityの研究者と各国の捜査機関が協力 し、WildFireランサムウェアのボットネットを閉鎖しました。さら に、Intel SecurityはWildFireによって暗号化されたファイルを復 号する無料ツールを開発しました。WildFireランサムウェアの詳 細と復旧方法については、こちらをご覧ください。 9月7日、来年の春にIntel Securityがインテルから分社化されるこ とが発表されました。これにより、セキュリティ業界で最大規模と なる、独立したサイバー セキュリティ専業会社が誕生します。イ ンテルは引き続きIntel Securityの株式を49%所有し、世界的な 投資会社であるTPG社が51%の株式を保有します。私たちは再 びMcAfeeに戻ります。 新しいMcAfeeのCEOには、2014年以来、Intel Securityのシニア バイスプレジデント兼ジェネラル マネージャーを務めるChris Youngが就任します。昨年のFOCUS 15セキュリティ カンファレン スで発表した製品戦略に変更はありません。今回の組織変更で、 McAfeeによる注力領域のさらなる強化、技術革新、そしてさらな る成長に向けた理想的な体制が整います。ぜひご期待ください。

ランサムウェアの年

になりました

いについて報告しています。誰がどのようなデータを盗み出し ているのか。盗まれたデータはどうなっているのか。詳しく説明 しています。個人の医療記録はクレジットカードのように簡単 に取り消したり、変更することはできません。このような情報の 窃盗は大きな問題になります。また、研究データの窃盗は、製 薬業界全体の経済モデルに重大な脅威となります。 11月の初めには、ラスベガスでFOCUS 16セキュリティ カン ファレンスを開催しました。90以上のセッション、12のテーマ 別の会議、数十のTurboTalksが開催されました。Nightlineで25 年間アンカーを務め、ベストセラーとなった『Lights Out』（機能 停止）の著者であるTed Koppel氏が基調講演を行い、米国の 電力網に対するサイバー攻撃とその対策について話しました。 最終日にはGoo Goo Dollsのショーもありました。

先月は『McAfee Labs 2017年の脅威予測』を公開しました。こ のレポートでは、ランサムウェア、ハードウェアに対する脅威、ハ クティビズム、脅威インテリジェンスの共有など、14のテーマに ついて脅威予測を行いました。また、Intel Securityのソートリー ダーにインタビューを行い、クラウドとIoTについて長期的な脅 威予測を行いました。どのような脅威や侵害が発生する可能性 があるのか。地政学的な問題、法規制、取り締まりがクラウド環 境にどのような影響を及ぼすのか。クラウド サービス プロバイ ダーやセキュリティ ベンダーやIoTデバイスの製造元はどのよ うに対応するのか。このような疑問に答えながら予測を行って いきます。詳細については、こちらをご覧ください。 年末年始の休暇前に、この『McAfee Labs脅威レポート 2016年 12月』をお届けします。今回のトピックは次の3つです。 ■まず、Intel Securityが調査したセキュリティ オペ レーション センターの運用状況について報告しま す。調査結果から変化を分析し、今後の展望を予測 します。 かし、問題は数だけではありません。攻撃の手口が 高度化しています。このトピックで詳しく説明しま す。 ■最後のトピックはトロイの木馬です。長期にわたり 検出を回避し、最大の効果を得るため、正規のコー ドに感染して潜伏するトロイの木馬が増えていま す。長期間検出を逃れるマルウェアの作成方法を 解説します。 この3つのキートピックの後に、通常どおり、四半期ごとの統計 情報をまとめています。

さらに...

ゼロデイ マルウェアは急増を続けています。従来のウイルス対 策はシグネチャでマルウェアを検出していますが、このような ゼロディ マルウェアにシグネチャの効果はありません。この問 題を解決するため、McAfee Labsはゼロデイ攻撃を検出する新 しいプロアクティブな技術を開発しました。

■McAfee Real Protectは、機械学習技術を利用し て統計的相関分析を行い、ウイルス対策のシグネ チャでは対応できないマルウェアをプロアクティ ブに識別します。この技術は2015年に無料のベー タ版としてリリースされ、スタンドアロンのアプリ ケーションとMcAfee Stingerの組み込み機能とし て公開されました。今月、この技術は、McAfee ENS 10.5でサポートされるようになりました。この製品 は、弊社のエンタープライス エンドポイント向け の基幹製品で、McAfee ePolicy Orchestratorから インストールし、管理することができます。 ■アプリケーションの動的管理は、エンドポイントで の不審なアプリケーションによる変更を阻止しま す。また、ファイルやレジストリに対するアクション、 子プロセスの作成、他のプロセスへの挿入も阻止 します。攻撃者による最初の攻撃をブロックできる ので、ネットワークへの感染を未然に防ぎ、エンド ポイントでのビジネスの継続性を維持できます。こ の機能もMcAfee ENSに組み込まれました。

います。弊社では、McAfee GTI Cloudのダッシュボードで攻撃 パターンを確認し、顧客の保護対策の改善に利用しています。 この情報を見ると、顧客が受けている攻撃の実情が分かりま す。第3四半期の状況は次のとおりです。 ■ 第3四半期にMcAfee GTIが1日に受信したクエ リーは平均441億件です。 ■ 第3四半期にMcAfee GTIで阻止した不正なURLは 減少しました。第2四半期は1日あたり1億件でした が、第3四半期は5,700件に減少しています。 ■ 第3四半期にMcAfee GTIで阻止した不正なファイ ルは増加しました。第2四半期は1日あたり1億400 万件でしたが、第3四半期は1億5,000件に増加し ました。前年の同時期は減少しています。 ■ 第3四半期にMcAfee GTIで阻止した不審なプロ グラムの数は第2四半期よりも若干増加しました。 ただし、2015年の第3四半期と比べると劇的に減 少しています。2015年第3四半期は1日あたり1億 7,500万個でしたが、2016年第3四半期は3,200万 個に減少しています。 ■ 第3四半期にMcAfee GTIで阻止した危険なIPアド レスは若干減少しました。第2四半期は1日あたり 2,900件でしたが、第3四半期は2,700万件でした。 2015年の第2四半期から第3四半期も減少してい ますが、これよりも落ち込みが大きくなっていま す。 この脅威レポートに関するご意見をお寄せください。5分程度 で終わりますので、ここをクリックしてアンケートにご協力くだ さい。 良いお年をお迎えください。

− Vincent Weafer、バイスプレジデント/McAfee Labs

目次

エグゼクティブ サマリー

6

キートピック

8

SOCの現状と今後 9

猛威を振るうランサムウェア 24

トロイの木馬にされる正規のソフトウェアが増加 33

統計情報

41

McAfee Labs脅威レポート 2016年12月 執筆者: Christiaan Beek Douglas Frosst Paula Greve Barbara Kay Bart Lenaerts-Bergmans Charles McFarland Eric Peterson Raj Samani Craig Schmugar Rick Simon Dan Sommer Bing Sun

SOC

の現状と今後

Intel Securityでは、セキュリティ オペレーション センター（SOC）の運用状況を調査し ました。この調査結果から変化を分析し、今後の展望を予測します。この調査は、地域、 業界、企業規模の異なる400人のセキュリティ専門家を対象に行いました。主な調査 結果は次のとおりです。 ■10社中9社が社内にSOCを構築しているか、社外のSOCを利用している。 ■多くの組織はプロアクティブで最適化されたセキュリティ運用を目指して いるが、26%はいまだに事後対応型で、セキュリティ管理、脅威検出、イン シデント対応を場当たり的に行っている。 ■回答者の64%は、マネージド セキュリティ サービス プロバイダーからセ キュリティ オペレーションの支援を何らかの形で受けている。 ■約3分の2の組織がSIEM（セキュリティ情報/イベント管理）ソリューション を使用している。SIEMを現在利用していない企業の約半数は今後12∼18 か月以内に導入を予定している。 ■大半の組織で大量のアラートが発生している。93%の組織が脅威の優先 度を判断できていない。 ■65%以上の組織が体系的な脅威検出を行っていない。 ■今後最も重視する点は、確認した攻撃に対する対応能力の向上である。連 携して被害の修復、脅威の根絶、再発防止に取り組む必要がある。

猛威を振るうランサムウェア

昨年の『McAfee Labs 2016年の脅威予測』で、2015年に急増したランサムウェアの攻 撃が引き続き増加し、2016年の主な脅威の一つとなると予測しました。その予測どお り、2016年はランサムウェアの年となりました。攻撃数が急増しただけではありませ ん。攻撃の手口も高度化しています。第3四半期末の段階で、今年新たに検出されたラ ンサムウェアのサンプルは合計で3,860,603個となり、今年の初めから80%も増加し ています。2016年はランサムウェアに技術的に進化が見られました。たとえば、ディス クの一部または全体の暗号化、正規のアプリケーションが使用するWebサイトの暗号 化、サンドボックス対策など、高度な技術が組み込まれています。また、ランサムウェア の配布に巧妙なエクスプロイト キットが使用され、サービスとしてランサムウェアを提 供する犯罪グループも確認されています。しかし、悪いニュースだけではありません。ラ ンサムウェアに対して連携して取り組むため、No More Ransom!が新たに設立されま した。また、ランサムウェアのコントロール システムの閉鎖にも成功しています。 2016年はまだ終わっていませんが、 今年最も大きな問題になったのはラ ンサムウェアです。2016年に出現した ランサムウェアには技術的に大きな 変化が見られました。このキートピッ クでは、この変化とセキュリティ業界 の対応について解説します。 Intel Securityでは、企業のSOCの運 用状況を調査し、その変化を分析して 今後の予測を行いました。大半の組 織は大量に発生するアラートの処理 に苦慮していますが、プロアクティブ な対応が可能で、確認した攻撃を体 系的に処理できるSOCの実現に向け て着実な進歩が見られます。 このレポートを共有

システムへのバックドア アクセスは、マルウェアの作成者やスパイ、諜報機関で以前 から使用されている攻撃手法です。バックドアを作成してリモートからアクセスするた めに、ソーシャル エンジニアリングでキーを盗み出したり、サプライチェーンのハード ウェアに侵入したり、様々な攻撃が実行されています。この中で最もよく利用されてい る手段がトロイの木馬です。攻撃者は最大の成果を挙げるため、正規のコードにトロ イの木馬を感染させ、長期間潜伏させて検出を回避しています。このキートピックで は、攻撃者がトロイの木馬を挿入する方法や検出を回避する手法について詳しく解説 します。また、このような攻撃から保護するための推奨ポリシーと手順についても説明 します。 このキートピックでは、攻撃者がトロ イの木馬を挿入する方法や検出を回 避する手法について詳しく解説しま す。また、このような攻撃から保護する ための推奨ポリシーと手順について も説明します。

フィードバックを共有

キートピック

SOCの現状と今後 猛威を振るうランサムウェア トロイの木馬にされる正規の ソフトウェアが増加

SOCの現状と今後

セキュリティ オペレーション センター（SOC）の現状と今後

̶Douglas Frosst、Barbara Kay、Bart Lenaerts-Bergmans、Rick Simon

2、3年前、専用のセキュリティ オペレーション センター（SOC）は恐竜と同じ道を ると 見られていました。大きな部屋に分析チームが集まり、巨大なモニターを前に作業を 行う時代は終わり、分散したチームで作業を行ったり、業務自体を外部に委託したり、 あるいは完全に消滅する方向に進むと予測されていました。防衛部門やウォール街で ない限りSOCは不要、というのが大方の見方でした。しかし、標的型攻撃や内部からの 脅威はフィクションの世界にとどまらず、大企業にとってはもはや現実的な脅威となっ ています。Intel Securityが2015年に実施した調査によると、回答者の68%は外部から の標的型攻撃や関係者による内部からの脅威を経験したと答えています。 Intel Securityの最新の調査結果によると、中堅企業（従業員数1,000人∼5,000人）と 大企業（従業員数5,000人以上）の殆どが何らかのSOCを運用し、その半数はSOCを1 年以上稼働しています。インシデントが増え続けているため、セキュリティ組織の経験 値が向上し、防御策が強化されているようです。たとえば、回答者の多くはSOCに対す る投資を強化し、調査の回数が増えた理由として検出能力の向上を挙げています。ま た、インシデントの調査回数が減ったと答えた回答者は、その理由として保護能力とプ ロセスの改善を挙げています。成熟した組織では、インシデントの調査をセキュリティ 調査の最終段階と考えているようです。 Intel Securityがセキュリティ管理環境と脅威検出能力の現状について実施した一次的 な調査でいくつかの発見がありました。また、将来の成長のために優先すべき領域も 明確になりました。 セキュリティ オペレーション センター （SOC） SOCは、情報システム（Webサイト、アプ リケーション、データベース、データセ ンターとサーバー、ネットワーク、デスク トップ、エンドポイントなど）の監視、評 価、防御を行う施設です。 10% 20% 30% 0 マルウェア全般 マルウェアによる標的型攻撃 ネットワークに対する標的型攻撃 悪意のある関係者の脅威 関係者の不注意による情報漏えい/脅威 国家組織からの攻撃 (直接的) 国家組織からの攻撃 (間接的/ハクティビスト) その他 セキュリティ調査を行う理由 出典: Intel Security 中堅企業と大企業の殆どが何らかの SOCを運用しています。SOCに対する 投資を増やしているため、インシデン トの調査回数が減少しています。この 減少の理由として、保護対策とプロセ スの向上が挙げられます。

セキュリティ管理環境

今回の調査で、10社中9社は社内にSOCを構築しているか、外部のSOCを利用して いると答えいています。中堅企業の割合（84%）は大企業（91%）よりも若干低い値に なっています。SOCを導入している中小企業の数は大企業よりも少なく、1年以上運用 している企業数でも、大企業は56%ですが、中小企業は44%に過ぎません。半数以 上のSOC（60%）は社内で運用され、社内と外部の併用型が23%、完全な外部委託が 17%です。SOCを全く利用していない企業はわずかで、導入を検討していないと答え た回答者は、大企業でわずか2%、中堅企業で7%でした。

様々なSOCモデル

SOCの運用形態は企業によって異なります。今回の調査は、運用モデルを次の5つに 分類しました（後のモデルほど成熟度が高くなります）。 ■ 仮想SOC: 専用の施設は設置せず、専任の担当者もいません。事後処理 型の対応で、重大なアラートやインシデントが発生した場合にのみ活 動します。運用はすべてマネージド セキュリティ サービス プロバイダー （MSSP）に任せています。 ■ 分散型/共同運用型のSOC: 専任のメンバーと準専任のメンバーから構成 され、標準の営業時間内（1日8時間、週5日）で稼働しています。MSSPを利 用している場合には共同で運用を行います。 ■ 多機能SOC/NOC: 専用の施設を用意し、専任のチームが割り当てられて います。セキュリティだけでなく、重要なITオペレーションも24時間体制で 行います。同じ施設を利用することで、運用コストを抑えています。 50% 40% 30% 20% 70% 60% 10% 0 社内に構築または 外部を利用し、 12か月以上 経過している 社内に構築または 外部を利用して いるが、12 か月は 経過していない 今後 12 か月 以内に利用 する予定 利用の予定 はない 従業員数 5,000–19,999 従業員数20,000 以上 従業員数 1,000–4,999 組織のSOC（社内または外部）について 最も当てはまる項目を選択してください 出典: Intel Security このレポートを共有

■ 専用のSOC: 社内に専用の施設と専任のスタッフを用意し、24時間体制 で運用しています。 ■ 指令型のSOC: 他のSOCとの調整を行い、脅威インテリジェンスを提供し ます。全体のセキュリティ状況を把握し、日々のオペレーションだけでな く、長期的な対策にも取り組みます。 SOCを運用している組織の88%の中で、半数以上（56%）がSOCとネットワーク オペ レーション センター（NOC）の機能を兼ねた多機能モデルを運用していると答えて います。英国とドイツの組織はこのモデルを採用する傾向が見られます（それぞれ 64%と63%)。専用のSOCを使用している企業は15%で、その多くは米国の企業でした （21%）。3番目に多いモデルが仮想SOCで、回答者の15%が利用しています。その後 に分散型/共同運用型のSOC（11%）が続きます。指令型のSOCを運用している組織は 2%でした。 このSOCモデルの分布から、いくつかのことが分かります。使用されているSOCの成熟 度を見ると、大半の組織が中レベル以上で、プロアクティブ型で最適化されたセキュリ ティ オペレーションを目指しています。ただし、4分の1以上（26%）はまだ事後対応型 のモデルで、セキュリティ管理、脅威の検出、インシデント対応を場当たり的に行って います。このレベルでは、検出から対応までに要する時間が長くなり、重大な被害を受 けるリスクが高くなり、復旧にも膨大な費用がかかる可能性があります。 組織の約半数は、SOCとNOCの機能 を併せ持つSOCを利用しています。 15%は専用のSOCを使用し、15%は 仮想SOCを使用しています。 4分の1以上は事後対応型のモデル で、場当たり的な対応でセキュリティ 管理、脅威の検出、インシデント対応 を行っています。 50% 40% 30% 20% 70% 60% 10% 0 仮想 SOC 共同運用型分散型/ SOC 多機能

SOC/NOC 専用のSOC 指令型のSOC

英国 ドイツ カナダ

米国

組織で使用しているSOCに最も近いタイプを選択してください

検出されるインシデントの増加

攻撃が増加しているのか、監視機能が向上したのか。どちらが原因かは分かりません が、半数以上の企業（67%）はセキュリティ インシデントが増加していると答えていま す。この中で51%は若干増えたと回答し、16%はかなり増えていると答えています。こ れは、『McAfee Labs脅威レポート 2016年9月』のキートピック「情報の窃盗: データ流 出の現状」で明らかになった事実と似ています。この一次的な調査で判明したことは、 情報漏えいを厳密に監視している組織ほど、インシデントの報告件数が多くなる、とい うことです。 60% 50% 40% 30% 20% 10% 0% かなり増加 若干増加 変化なし 若干減少 かなり減少 変化なし インシデントの件数が 増加または減少した 理由は? 監視能力の向上 攻撃の減少 保護対策の強化 攻撃の増加 攻撃の増加と 監視能力の向上 この12か月で発生したセキュリティ インシデントの件数 出典: Intel Security

インシデントが減少したと答えた回答者は全体のわずか7%で、残りの25%は昨年と 同じ状況と回答しています。回答の分布は国によって若干の相違が見られますが、組 織の規模が小さいほどインシデントの増加を報告しています。これは、犯罪者が攻撃 対象を拡げていることを示唆しているのかもしれません。最大規模の企業（従業員数 2万人以上）で増加と答えたのは45%ですが、最小規模（5千人未満）の企業は73%で す。 少数ですが、インシデントが劇的に減少（96%）したと答えたグループもあります。これ は、保護対策とプロセスの改善によるものでしょう。インシデントの増加を報告した回 答者の大半は、検出能力の向上（73%）と攻撃の増加（57%）の両方が結果に影響して いると考えています。

マネージド セキュリティ サービス

大半の組織は、マネージド セキュリティ サービス プロバイダー（MSSP）から何らかの 形でセキュリティ オペレーションの支援を受けています。回答者の64%は、社内の機 能を補完するためにMSSPを利用していると答えています。外部サービスを利用して ないと答えた回答者の26%はカナダの組織で、その40%は外部サービスの利用を全 く検討していません。最大規模の組織も38%がすべてを社内で行っています。MSSPを 利用している組織は、平均で2つのサービス プロバイダーを使っています。ドイツの組 織は3つのプロバイダーを使う傾向がありますが、カナダの組織は利用するプロバイ ダーは1つだけです。 57% 攻撃の増加 73% 検出能力の向上 67% 増加 7% 減少 25% 変化なし 22% 攻撃の頻度が低い 96% 保護対策と プロセスの強化 インシデント 減少の理由 インシデント 増加の理由 セキュリティ インシデントの発生数 回答者の3分に2は、マネージド セ キュリティ サービス プロバイダーか らセキュリティ オペレーションの支援 を何らかの形で受けています。セキュ リティ オペレーションを社内で行うの か外部に委託するのかは、社内で確 保可能な人材、外部サービスの能力、 スキル レベルによって決まります。 出典: Intel Security

MSSP

の利用を増やす理由

この選択肢を主な理由とし

_{て選択した回答者の割合}

潜在的なインシデントの調査能力を強化し、調 査範囲を拡大するため。 14% セキュリティ モニタリングを実施し、モニタリン グの範囲を拡充するため。 21% 高度脅威の検出能力を向上させるため。 18% SOCの支援により、インシデント対応の人材・技 能不足を補うため。 18% ビッグデータ プラットフォーム、分析、脅威インテ リジェンスなどの技術を利用するため。 12% 専任のスタッフでインシデント対応を行うため。 8% コンプライアンス順守のため。 4% コスト削減のため。 3% デバイス管理のため。 3%

MSSP

の利用を減らす理由

この選択肢を主な理由とし

_{て選択した回答者の割合}

インシデント対応が改善されたため。 20% 調査の品質が向上したため。 13% 調査速度が向上したため。 15% コスト削減のため。 20% セキュリティ モニタリングが向上したため。 23% コンプライアンスが向上したため。 3% MSSPからは取得できないデータや情報にアク セスできるため。 8% このレポートを共有

大半の組織（71%）は、今後12か月から18か月でMSSPの利用状況に変化はないと予 測していますが、19%は利用が増えると答え、10%は減少すると答えています。MSSP の利用が減ると予測している組織は、インシデント対応の改善と調査の品質向上のた め、セキュリティ オペレーションの内製化を進めています。また、利用が増えると答え た組織は、潜在的なインシデントの調査能力と範囲拡大のため、外部のパートナーを 探しています。また、セキュリティ モニタリングやモニタリング範囲の拡大も検討して います。基本的に、セキュリティ オペレーションを社内で行うのか外部に委託するのか は、社内で確保可能な人材、外部サービスの能力、スキル レベルによって決まります。 また、国によってもばらつきが見られます。たとえば、ドイツの組織はMSSPを利用して 高度行為の検出能力を向上しようとしますが、英国の組織はビッグデータのプラット フォーム、分析、脅威インテリジェンスなどの技術を利用するためにMSSPを利用して います。

セキュリティ情報とイベント管理

現在のセキュリティ オペレーションで最も重要な点は、脅威を早期に検出し、調査と問 題の解決を迅速に行うことです。攻撃を100%阻止することは不可能ですが、セキュリ ティ情報/イベント管理（SIEM）を利用することで、脅威データ、レピュテーション、脆弱 性の状況など、外部からの情報をリアルタイムで取得し、継続的なモニタリングと相関 分析により、システム、ユーザー、データ、リスク、アクティビティをすぐに把握すること ができます。SIEMが提供する有益な情報と状況認識はセキュリティ オペレーションの 調整に役立ちます。インシデントを検出したときに、インシデント対応を連携して迅速 に行うことができます。 約70%の組織がすでにSIEMソリューションを使用していると答えています。外部のセ キュリティ サービスを利用している組織の殆ど（93%）が何らかの形でSIEMを使用し、 その大半（71%）がMSSPに対して、日常的なSIEMオペレーションの実施を求めていま す。SIEMを現在利用していない企業の約半数（45%）は、今後12∼18か月以内にSIEM の導入を予定しています。

脅威検出能力

セキュリティ オペレーションを成熟度を上げるには、可視性を強化し、検出からイン シデント対応までの時間を短縮しなければなりません。実績のあるセキュリティ技術 も引き続き主要な情報源となります。大半の組織（64%）は、マルウェア対策、ファイア ウォール、侵入防止システムなど、従来のセキュリティ対策から脅威のシグナルを取 得しています。感染の兆候から侵害を検出している組織は半数以下（46%）で、ネット ワーク分析を活用している組織は40%です。SIEMでイベントの相関分析と潜在的なイ ンシデントの識別を行っている組織は26%で、その中で実際に攻撃を阻止しているの は23%に過ぎません。 約3分の2の組織は、マルウェア対策、 ファイアウォール、侵入防止システム など、従来のセキュリティ対策から脅 威のシグナルを取得しています。感染 の兆候から侵害を検出している組織 やネットワーク分析を活用している組 織は半数以下です。

アラートの量と調査

大半の組織では、大量のアラートが発生しています。このため、93%の組織が脅威の 優先度を判断できていません。平均すると、組織で調査できているアラートは25%に 過ぎません。この割合は、国や企業の規模による差がありません。約4分の1の回答者 （22%）は、幸いにも未調査のアラートがビジネスに影響を及ぼしていないと答えて います。約半数（53%）は若干の影響があると答えていますが、25%は中程度または重 大な影響を及ぼしていると答えています。モニタリング能力が高く、インシデント レベ ルが安定しているためか、最大規模の組織（33%）はビジネスに対する影響は全くな いと答えています。 30% 35% 40% 25% 20% 15% 10% 5% 0% セキュリティ 制御点 相関分析SIEM、 仮説主導型の脅威検出 ルール 分析 侵害の兆候 組織で脅威調査のトリガーとなる検出アプローチ 大半の組織で大量のアラートが発生 しています。93%の組織が脅威の優 先度を判断できていません。平均する と、組織で調査できているアラートは 25%に過ぎません。約4分の1の回答 者は、幸いにも未調査のアラートがビ ジネスに影響を及ぼしていないと答 えています。 出典: Intel Security このレポートを共有

脅威情報の情報源

半数の組織（55%）は、高度脅威の検出・調査の基本的な情報源としてファイアウォー ルのログを挙げています。次に多い情報源はエンドポイントのログ（34%）、システム ログ（32%）でした。20%の組織では、VPNアクティビティ、Webプロキシ、DNS、DNS/ DHCPサーバーなどのデータも使用されています。フォレンジック調査や相関分析で 重要な履歴データは平均で45日∼60日間保存されています。ファイアウォール ログ、 エンドポイントの脅威検出ログ、Active Directory ログは、より長い期間保存されます。 回答者の割合 トリアージを行っていないアラートの割合 25% 20% 15% 10% 5% 30% 35% 0% 0% 1 ~ 10% 11 ~20% 21 ~30% 31 ~40% 41 ~50% 51 ~60% 61 ~70% 71 ~80% 81 ~90% 100%91 ~ 組織内のセキュリティ/脅威アラートで トリアージを行っていない割合 60% 50% 40% 30% 20% 10% 0% なし 若干 中程度 重大 トリアージを行っていないセキュリティ アラートの ビジネスに対する影響 出典: Intel Security 出典: Intel Security

SOC

のスタッフ

この調査では、セキュリティ専門家にチーム内での役割を質問しました。 ■ティア1 SOCアナリストまたはそれと同等の役割。トリアージ、ケースの作 成、優先度の判断、エスカレーションを行います。 ■ティア2 SOCアナリストまたはそれと同等の役割。ケースの範囲と影響を 調査し、インシデント宣言を行います。 ■ ハンターまたはそれと同等の役割。脅威をプロアクティブに検出し、イン シデント宣言を行います。 ■インシデント対応者またはそれと同等の役割。SOCまたはハンターが作 成した脅威インシデントのケースをクローズします。 10% 20% 30% 0 ファイアウォール ログ エンドポイント脅威検出 システム ログ VPN ログ Web プロキシ ログ DNS ログ エンドポイント追跡 ネットフロー ログ Active Directory ログ 偽情報による誘導 40% 50% 組織が高度脅威の検出に使用している データソースを3つ挙げてください エスカレーション ティア 1 アナリスト トリアージ ケースの作成 ティア 2 アナリスト 範囲と影響の調査 プロアクティブにハンター 検出 インシデントの宣言 インシデントの宣言 SOC でのセキュリティ機能 インシデント対応者 問題の修復とケースのクローズ

出典: Threat Management Platform Study（脅威管理プラットフォームに関する調査） 2016年7月、Intel Security 出典: Intel Security

平均で3分の1のチームがケースと範囲の調査を行い、セキュリティに関する判断を 行ったり、インシデントの対応または修復を行っています。社内スタッフを見ると、1 チームの平均人数は10人∼15人で、ティア1 SOCアナリスト、ティア2 SOC アナリス ト、ハンター、インシデント対応者から構成されます。この4つがすべて稼働している組 織は現時点で15%に過ぎません。MSSPには、チームの技能と能力を補い、チーム全 体の約3分の1のリソースを負担することが求められます。外部リソースを利用率を見 ると、国や企業規模による大きな相違はありません。ただし、規模の大きい企業ほど、 大きなチームを運用しています。企業規模に関係なく、ティア1チームは15人程度で す。ティア2、ハンター、インシデント対応者の人数は、中堅企業よりも大企業のほうが 50%ほど多くなります。 SOCを運営している半数以上の組織（65%）では脅威検出を体系的に行っています。こ の調査結果では、大企業の約75%がこのような方法で検出を行っていました。中堅企 業は場当たり的な傾向が強く、41%は体系的な手法を確立していません。脅威検出を 積極的に行っている組織はわずか5%です。脅威検出を体系的に行っているかどうか でSOCモデルの成熟度が分かります。仮想、共同運用または多機能のSOCを使用して いる組織の60%は体系的な脅威検出を行っていますが、専用または指令型のSOCで は70% 以上が体系的な検出を行っています。

成長が期待される領域

セキュリティ オペレーションは成熟しているように見えます。洗練されたツールが用意 され、外部リソースの支援で充実したチームが構成されています。しかし、発生するア ラートの量やインシデントの数には十分な対応ができていないため、中程度あるいは 重大な侵害が発生する可能性があります。では、現在の能力をさらに強化するために は何が必要でしょうか。 多くの企業は、情報セキュリティに対する投資や新しいセキュリティ技術の導入速度 の点で他社と変わりがないと考えています。約30%は投資や技術導入の面で平均を 上回っていると答えています。平均を下回ると答えた組織は10%程度でした。 今後の成長に対して優先的に強化すべき領域を順番に見ていきましょう。 ■ 確認した攻撃に対する対応能力。連携して被害の修復、脅威の根絶、再発 防止に取り組む。 ■ 脅威の兆候を表すシグナルの検出能力。関連するイベントとアラートを識 別し、脅威の重大度を判断し、優先順位を付ける。 ■ 潜在的な攻撃を調査する能力。攻撃の範囲や影響度を事前に調査する。 平均的な社内スタッフを見ると、1 チームの人数は10人∼15人で、ティ ア1 SOCアナリスト、ティア2 SOC アナ リスト、ハンター、インシデント対応者 から構成されます。この4つがすべて 稼働している組織は現時点で15%に 過ぎません。 今後最も重視する点は、確認した攻 撃に対する対応能力の向上です。連 携して被害の修復、脅威の根絶、再発 防止に取り組む必要があります。この 目標を達成するには、人、プロセス、 技術の3つの要素を向上させる必要 があります。

この目標を達成するには、人、プロセス、技術の3つの要素を向上させる必要がありま す。前述の4種類の役割をすべて稼働させていない組織を見ると、40%は今後12か月 から18か月の間に社内の人材を投入する予定と答えています。同様に、約40%の組織 が同期間に1つの以上のセキュリティ機能でMSSPの利用を増やすと答えています。能 力向上の手段として、新しいセキュリティ技術を配備する方法もあります。約60%以上 の組織はチームで使用するツールに投資を行う予定です。しかし、相当な割合の組織 がトリアージの管理を行っていなかったり、未調査のアラートを大量に残しています。 新しいツールを選定する場合には、初期のトリアージを正確かつ迅速に行い、セキュ リティ アラートの優先順位を決め、インシデント調査にかかる時間を短縮できるツー ルを選ぶ必要があります。 アラートの量に対応するには、セキュリティ分析も重要な要素となります。この機能を すでに利用している組織は全体の67%でした。現在、分析で最も重視されているのが 検出能力ですが、今後12か月から18か月でセキュリティ分析を採用する際に重要に なるのは優先度の判断とリスク評価になるでしょう。

ポリシーと手順

SOCの成熟度を上げるには3つの原則があります。まず、組織の現在の成熟度を評価 すること。チームの強みと弱み、ギャップ、リスク状況を分析する必要があります。また、 現在の評価に必要な指標を識別し、計算に必要なデータを収集しなければなりませ ん。 30% 35% 40% 25% 20% 15% 10% 5% 0% 優先順位 の決定 攻撃リスクの評価 範囲の拡大 トリアージ 脅威の防止 脅威の検出 今後 12 か月から18 か月の間に御社でセキュリティ分析 ソリューションを導入する主な理由は何ですか? 出典: Intel Security

次に、検出から隔離、修復までの時間に重点を置きます。この時間を重視することで、 最も必要なリソースに集中することができます。この時間を短縮するには、統合、自動 化、ワークフローの改善が必要です。プロセス数や手順を減らすことができる場所から 着手し、余分な作業を省く必要があります。 最後に、少ない人員でも正確に対応できるように、できるだけ多くのタスクを自動化し ます。これにより、人為的なミスを減らし、対応範囲を拡げることができます。自動化プ ロセスはリスクの低いタスクから始めましょう。最高の結果を得るには、プロセスを最 適化してから自動化することが重要です。

結論

SOCは今後も発展していく SOCは、フィクションの世界ではなく、現実のセキュリティでも重要な構成要素となっ ています。攻撃が増加しているのか、検出能力が向上したためかは分かりませんが、 データ侵害は増加しています。SOCを利用することで、アラートのトリアージを行い、イ ンシデントに対応することができます。また、調査作業を調整し、脅威を未然に防ぐこ とができます。完璧なSOCモデルはありません。SOCが社内か外部か、専用か多機能 かに関わらず、セキュリティ オペレーションを事後対応型からプロアクティブにシフト し、最適化していくことが重要です。 ツールのアップグレードと能力の向上が必要 多くの企業がSOCを利用するようになりました。しかし、大量のアラートが発生し、その 4分の1しか調査できていない組織がほとんどです。この未調査のアラートがビジネス に影響を及ぼす可能性があります。したがって、MSSPを利用したり、ツールへの投資 を行い、社内のセキュリティ能力を継続的に改善していく必要があります。 投資の優先順位 多くの企業は、今後12か月から18か月の間に、対応能力、検出能力、調査能力の向上 に重点的に投資を行うことを考えています。投資の方法は国や組織の規模によって異 なります。また、社内で使用可能なリソース、セキュリティ担当者のスキル、ツールの使 用状況、MSSPの能力によっても変わります。 Intel Securityは、セキュリティ オペレーションの最適化を支援します。詳細について は、ここをクリックしてご覧ください。 セキュリティ オペレーションに関するレポートとリソースについては、ここをクリックし てご覧ください。

方法論

Intel Securityでは、カナダ、ドイツ、英国、米国のITセキュリティ責任者360人を対象に 調査を実施しました。回答者が所属する企業の規模、業界、役職、在職期間は多岐に 渡っています。 Intel Securityは、セキュリティ オペ レーションの最適化を支援します。詳 細については、ここをクリックしてご覧 ください。

33% 28% 27% 12% 英国 米国 ドイツ カナダ 職場のある国を教えてください 12% 14% 16% 18% 10% 8% 6% 4% 2% 0% 製造業 IT 製品 金融 電気通信 小売業 業種を教えてください 出典: Intel Security 出典: Intel Security このレポートを共有

24% 25% 24% 10% 10% 7% 2,501 ～ 4,999 人 1,000 ～2,500 人 49% 中堅企業（1,000 ～ 5,000 人） 51% 大企業（5,000 人以上） 5,000 ～ 10,000 人 10,001 ～ 19,999 人 20,000 ～ 50,000 人 50,000 人以上 フルタイムの従業員数を教えてください 出典: Intel Security

猛威を振るうランサムウェア

̶ Christiaan Beek、Raj Samani、Douglas Frosst

昨年の秋に発表した『McAfee Labs 2016年の脅威予測』で、2015年に急増したラン サムウェアの攻撃が引き続き増加し、2016年の主な脅威の一つとなると予測しまし た。その予測どおり、2016年はランサムウェアの年となりました。攻撃数が急増しただ けではありません。攻撃の手口も高度化しています。

ランサムウェアの歴史

ランサムウェアが最初に出現したのは1989年です。このとき、世界保健機関の国際 AIDS会議で2万枚の感染したフロッピーディスクが配布されました。この攻撃では対 称暗号化方式が使用されていたため、すぐに対策が講じられました。非対称暗号化方 式を利用した暗号化ウイルスの概念は、Adam Youngが1995年に発表した修士論文 「Cryptovirology and the Dark Side of Black Box Cryptography」で初めて紹介され

ました。このウイルスのサイズは7KB程度でした。ランサムウェアによる攻撃で復元が 難しい非対称暗号化が実際に使用されるのは2000年代の中頃のことです。 このとき攻撃者の間で大きな問題となっていたのは身代金の受け取り方法です。様々 な方法が試されましたが、効果的な方法は見つかりませんでした。2009年にビットコ インなどの仮想通貨が登場して匿名での取引が可能になったことで、ランサムウェア 攻撃の重要な基盤が整いました。新しいランサムウェアの時代が始まったのは2013 年です。この年に見つかったCryptoLockerは、感染サイト、メールの添付ファイル、指 令サーバー、Torネットワーク経由で拡散し、検出を回避するために難読化が行われて いました。この亜種や、CryptoWallやCTB-Lockerなど、類似したランサムウェアが次々 と出現しました。2015年になると「サービスとしてのランサムウェア」が登場します。こ れにより、コンピューターがあれば誰でも攻撃が可能になり、コードの開発者は攻撃 の成功報酬を受け取る流れが確立します。この年の終わりになると、データを暗号化 するだけでなく、重要なファイルを流出させたり、オペレーティング システムを使用不 能にする攻撃が増加しました。 ビットコインが登場して匿名での取引 が可能になったことで、ランサムウェ ア攻撃の重要な基盤が整いました。 2013年、CryptoLockerの出現で新し いランサムウェアの時代が始まりまし た。2015年になると「サービスとして のランサムウェア」が登場します。これ により、コンピューターがあれば誰で も攻撃が可能になりました。 1,200,000 1,000,000 800,000 1,400,000 600,000 400,000 200,000 0 新しいランサムウェア 第1 四半期 四半期第2 四半期第3 四半期第4 2014年 2015年 2016年 第1 四半期 四半期第2 四半期第3 第4 四半期 出典: McAfee Labs このレポートを共有

2016

年のランサムウェア

今年の傾向として、医療機関を狙うランサムウェアが増加しました。このような攻撃に 対しては、ハッカー コミュニティの中でも批判の声が上がっています。しかし、被害者 の多くが身代金の支払いに応じたため、インシデントがさらに増加しました。これらの 攻撃は、重要なシステムを使用する人物を狙ってフィッシング詐欺メールを送信する だけで、技術的な進化は見られませんでした。しかし、それ以降、ディスクの一部また は全体の暗号化、身代金のつり上げ、新しいランサムウェアの配布方法など、高度な技 術を利用した攻撃が発生しています。 6,000,000 5,000,000 4,000,000 7,000,000 8,000,000 9,000,000 3,000,000 2,000,000 1,000,000 0 ランサムウェアの合計 第1 四半期 四半期第2 四半期第3 四半期第4 2014年 2015年 2016年 第1 四半期 四半期第2 四半期第3 第4 四半期 3月 4月 5月 6月 7月 8月 9月 Magento ストアファイル の暗号化 KimcilWare ディスクの一部 (MBR) の暗号化 Petya ランサムウェア エクスプロイト キット の変化: Angler から Neutrino 企業を狙う 新しいVM対策 2つの Windows API 呼び出しの実行時間を計算 Locky ランサムウェア ディスク全体の暗号化 Mamba ランサムウェア サービスとし てのランサム ウェア: ブリッジ 身代金を 二重に請求 ファイル名に応じて金額を設定 Phantom ランサムウェア この四半期、ランサムウェアの合計は 18%増加しました。 出典: McAfee Labs 出典: McAfee Labs

ディスクの部分的な暗号化

3月に確認されたPetyaは、ファイルではなく、ディスクの一部を暗号化しました。この ランサムウェアは主に、Dropboxのリンクを含む偽の求人メールで配布されていま す。攻撃を開始すると、マスター ブート レコードを上書きしてシステムを再起動し、偽 のCHKDSK画面を表示してマスター ファイル テーブルを暗号化します。ファイルはま だディスク上にあり、破壊されていませんが、ファイル テーブルが暗号化されたため、 ファイルが見つかりません。身代金を支払うと復号キーが渡され、ファイル テーブルと ブート レコードを復旧したり、マルウェアのブート ローダーを削除することが可能に なります。

身代金のつり上げ

Petyaは身代金のつり上げも行い、1週間以内に支払いがない場合には倍の金額を要 求しました。別のランサムウェアの亜種は、身代金が支払われるまで1時間ごとに1ファ イル削除すると脅迫しました。被害者の支払い能力に応じて身代金を奪うため、身代 金の金額をコード化し、配布ファイルの名前に応じて金額を設定するランサムウェア もあります。また、身代金を支払った病院が、すべてのファイルへのアクセスを復旧す るために更に身代金を要求された例もあります。この病院は2回目の支払いには応じ ませんでしたが、身代金を支払っても攻撃者が暗号化キーを渡す保証はどこにもあり ません。

Web

サイトの暗号化

3月にKimcilWareというランサムウェア ファミリが確認されました。このランサムウェ アの標的は、被害者のマシンではなく、Magentoのオンラインストア ファイルを使用す るWebサイトです。このランサムウェアは、Rijndael（AES）ブロック暗号化でファイルを 暗号化し、ファイル名の最後に.kimcilwareという拡張子を追加して、ストアのファイル を使用不能にしました。この攻撃者はHotmailのアカウントを使用し、ビットコインで 140米ドルの支払いを確認すると、被害者に復号キーを送付しました。 3月に確認されたPetyaは、ファイルで はなく、ディスクの一部を暗号化しま した。この種類のランサムウェアは、マ スター ファイル テーブルを暗号化し、 ファイルをアクセス不能にします。 このレポートを共有

KimcilWareの作成者は、Hidden Tearという概念検証用のランサムウェア コードを利 用して別のランサムウェアを作成している可能性があります。2016年は、この概念検 証コードを基にしたランサムウェアのサンプルが数多く出現しました。次の図は、この コードを使用したランサムウェア ファミリの相関関係を表しています。

サンドボックス対策

多くの場合、ユーザーのシステムで不審なファイルが検出されると、ファイルがサンド ボックスに送信され、実行を許可するかどうか判断されます。ランサムウェアの作成者 は今年、サンドボックスを識別する方法を習得しました。通常、サンドボックスは仮想 マシンで、実際のユーザーのデバイス上で実行されます。最近多くの病院を攻撃した Lockyは、自身のコードを暗号化し、実際のマシンと仮想マシンでの実行時間の差を 利用して検出を回避しました。このマルウェアは、GetProcessHeap()とCloseHandle() の2つのAPI呼び出しを実行し、実行時間の差が予想よりも小さい場合には休眠状態 に入ります。このAPIのいずれかは、実際のマシンで実行されると処理時間が10倍速く なります。 また、このランサムウェアは 123 というコマンドライン引数を使用します。サンドボッ クスでは通常、引数がない状態でマルウェアが実行されます。このランサムウェアは、 正しい引数が指定されないと処理を終了するので、サンドボックス技術でも完全に分 Ghostcrypt Kryptolocker JobCrypter MireWare AlphaLocker Alphalocker Ryzerlo WildFire Locker Feline tear Flyper Rektlocker Fakben Educrypt Hi Buddy 8Lock8 Strictor KimcilWare KratosCrypt Dev Nightmare EDA2 PokemonGo Ransomware Cryptear Flyper Korean Ransomware Blocatto Linux Encoder Black Feather Sanction Hidden Tear

コード

出典: McAfee Labs

ランサムウェアの検出に利用されてい るサンドボックスを検知し、回避する ランサムウェアが出現しました。

出典: McAfee Labs サンドボックスを回避する別の方法として、Microsoft Officeの最新のファイル コレク ションが利用されています。このリストにあるファイル数が非常に少ない場合、仮想マ シン上と判断してシャットダウンします。また、既知のセキュリティ ベンダーやクラウド セキュリティ プロバイダーのリストとIPアドレスの所有者を比較します。

AnglerからNeutrinoに

2015年から2016年の前半までランサムウェアの配布によく利用されていたのが Anglerエクスプロイト キットです。このエクスプロイト キットは人気が高く、強力なサ ポート体制が用意されています。しかし、4月と5月にAnglerのトラフィック量が急激に 低下し、最終的には完全に閉鎖されました。その後、よく利用されているのがNeutrino ですが、トラフィックの量はまだAnglerに及びません。9月になると、RIGの利用数が急 上昇し、Neutrinoに迫る勢いを見せています。攻撃者は検出を回避する新しい方法を 常に探しています。このような変化は今後も継続することが予測されます。 私たちは、様々な攻撃で使用されたエクスプロイト キットと悪用された脆弱性を追跡 しています。使用されるエクスプロイトが判明すると、攻撃で狙われている脆弱性を優 先的に解決できるように、顧客にパッチの優先度を伝えています。この研究成果と第 三者のデータソースを関連付けると、次の図のようになります。

この図で赤い点は、Neutrinoエクスプロイト キットが関与している攻撃を表します。こ の攻撃では次のランサムウェアが使用されています。 ■ Locky ■ Cerber ■ CryptXXX ■ PizzaCrypts ■ Zepto

企業を狙った攻撃

ランサムウェアによる攻撃は1990年代に始まりましたが、当初は不特定多数の個人を 狙った散発的なものでした。昨年から攻撃の標的が企業に変わってきました。いくつ かの攻撃が成功したことで、企業を標的とする攻撃が増えています。主な標的は医療 機関のように重要なサービスを提供している組織ですが、サイバーセキュリティに十 分なリソースを確保できない中小企業も狙われています。攻撃の多くは、特定の個人 や役職を狙ったフィッシング詐欺メールで始まっています。攻撃で使用されたマルウェ アは、ファイルを暗号化するだけでなく、ユーザーの認証情報を収集してデータを盗み 出したり、組織内で感染を拡大させます。

ディスク全体の暗号化

Petyaはブート レコードとファイル テーブルを暗号化しましたが、Mambaは、ディスク パーティション全体を暗号化します。ディスク全体の暗号化を行うコードは自家製では なく、DiskCryptorというツールを利用しています。暗号化によってパーティション全体 がアクセス不能になるだけではなく、オペレーティング システムが起動できなくなりま す。被害者は別のマシンから攻撃者に接触し、身代金を支払い、復旧手段を入手しな ければなりません。Mambaは、前述のような仮想マシン対策も行い、コマンドライン引 数をパスワードとして使用してマルウェアを実行します。

サービスとしてのランサムウェア

技術的なスキルやインフラがないサイバー犯罪者でも、ランサムウェアを使って独自 の攻撃を簡単に実行し、数時間で金銭を取得できるようになりました。これが「サービ スとしてのランサムウェア」の目的です。このインフラは犯罪サービス プロバイダーが 提供しています。攻撃者はこのインフラへのアクセス権を購入し、攻撃の成功報酬を サービス プロバイダーに支払います。 攻撃の標的が企業に変わってきてい ます。いくつかの攻撃が成功したこと で、企業を狙う攻撃が増えています。 ディスク全体を暗号化する亜種も出 現しています。 「サービスとしてのランサムウェア」も 登場しました。攻撃者はランサムウェ ア サービスへのアクセス権を購入し、 攻撃の成功報酬をサービス プロバイ ダーに支払います。

最近では、ブリッジの概念を採り入れたプロバイダーが現れました。ブリッジは攻撃者 と被害者を接続するPHPスクリプトです。このスクリプトは、自身をデータベースとして クライアント キー、オペレーティング システム、IPアドレスを格納します。さらに、支払 い状況を確認し、被害者の情報をメインのサーバーに送信します。ブリッジはパスワー ドで保護され、検索エンジンでの検出を回避しています。 ボットネット アフィリエイト/ サービス プロバイダー サービスとしてのランサムウェア RaaS オペレーター 金銭の管理 このレポートを共有

悪い知らせばかりではない

攻撃に関するニュースが目立っていますが、防御側も成果を挙げています。いくつかの コントロール サーバーを閉鎖し、キーの復元に成功しています。また、ランサムウェア 対策に取り組むアライアンスも設立されました。 No More Ransom! 7月、ユーロポールとIntel Securityが中心となり、ランサムウェアの撲滅にセキュリティ ベンダーと捜査機関が連携して取り組むことを発表しました。この組織は、被害防止の 助言、調査支援、復号ツールの提供などを行っています。No More Ransom!のWebサイ トには、復号キーでファイルを復旧するツールのリンクなど、ランサムウェアに関する 豊富な情報が掲載されています。 No More Ransom!のサイトでは、Chimera、Coinvault、Marsjoke、Rakhni、Rannoh、 Shade、Teslacrypt、WildFireなどの復号ツールが提供されています。ランサムウェアの リバース エンジニアリングや、コントロールサーバーの閉鎖で暗号化キーが取得され ると、新しいツールが開発され、No More Ransom!のサイトに掲載されます。 4つの組織で始まったこのイニシアチブには、その後、ボスニアヘルツェゴビナ、ブル ガリア、コロンビア、フランス、ハンガリー、アイルランド、イタリア、ラトビア、リトアニ ア、ポルトガル、スペイン、スイス、英国の13か国の捜査機関が参加しました。No More Ransom!の活動で支払いを免れた金額は約148万ドル（135万ユーロ）になります。 No More Ransom!ポータルの訪問者数は累計で2,450万を超え、1日平均400,000と なっています。 閉鎖 今年は、いくつかのランサムウェア システムの閉鎖に成功しています。また、現在進行 中の作戦もあります。主な成果としては、7月のShade、9月のWildFireの閉鎖がありま す。捜査当局とセキュリティ ベンダーは今後も脅威インテリジェンスの共有を進め、こ れらの脅威に連携して対応していきます。

ポリシーと手順

ランサムウェアからシステムを保護するには、問題点と拡散方法をよく理解する必要 があります。以下に、ランサムウェアによる被害を最小限に抑えるために、企業が行う べき手順とポリシーを示します。 ■ 攻撃発生時の行動計画を作成しておく。重要なデータのある場所と侵入 経路の存在を確認しておく必要があります。緊急管理チームと協力して、 業務継続と障害時復旧の訓練を行い、目標復旧地点と時間を検証する必 要があります。これらの訓練により、通常のバックアップ テストでは表面化 しない、見えない影響を確認することができます。 ■ 最新のパッチをシステムに常に適用する。ランサムウェアが悪用する脆 弱性の多くはパッチの適用で解決できます。オペレーティング システム、 Java、Adobe Reader、Flash、アプリケーションにパッチを適用し、最新の 状態を維持しましょう。パッチ適用の手順を決め、パッチが正常にインス トールされていることを確認してください。 今年の夏、ユーロポールとIntel Securityが中心となり、ランサムウェ アの撲滅にセキュリティ ベンダーと 捜査機関が連携して取り組むため、 No More Ransom!の設立を発表しま した。この組織は、被害防止の助言、 調査支援、復号ツールの提供などを 行っています。

■ 古いシステムや機器にパッチが適用できない場合には、アプリケーション ホワイトリストを利用してリスクを回避しましょう。これにより、システムを ロックし、未承認のプログラムの実行を阻止できます。ファイアウォールや 侵入防止システムを使用して、これらのシステムとデバイスをネットワー クの他の部分から分離しましょう。これらのシステムで不要なサービスや ポートを無効にすると、侵入の可能性があるポイントの露出を減らすこと ができます。 ■ エンドポイントを保護する。エンドポイント保護と高度な保護機能を使 用しましょう。多くの場合、クライアントではデフォルトの機能しか有効に なっていません。高度な機能（一時フォルダーからの実行ファイルの実行 を阻止する、など）を実行すると、より多くのマルウェアを検出し、ブロック することができます。 ■ 可能であれば、ローカル ディスクへの重要データの保存を禁止する。デー タを安全なネットワーク ドライブに保存する必要があります。感染システ ムの復旧が簡単になるため、ダウンタイムを短縮することができます。 ■スパム対策ツールを導入する。大半のランサムウェアは、リンクや特定 の種類の添付ファイルを含むフィッシング詐欺メールで攻撃を開始しま す。.scrファイルや他の不明なファイル形式にランサムウェアが組み込ま れている場合、これらの添付ファイルをブロックするスパム ルールを簡単 に設定できます。.zipファイルを許可している場合には、.zipファイルを2つ 以上のレベルでスキャンし、不正なコンテンツが存在するかどうか確認し ましょう。 ■ 不要なプログラムとトラフィックをブロックする。Torの必要がなければ、 ネットワーク上でTorアプリケーションとトラフィックをブロックしてくださ い。Torをブロックすれば、ランサムウェアが指令サーバーからRSA公開 を取得できなくなり、ランサムウェアによる暗号化を防ぐことができます。 ■ ネットワーク セグメントを追加して、重要なデバイスを保護する。 ■ バックアップを安全な場所に隔離する。本稼働ネットワークのシステムか らアクセスできない場所に、バックアップ システム、ストレージ、テープを 保管してください。ランサムウェアの感染が広がると、バックアップ データ にも感染する可能性があります。 ■ 重要なシステムに仮想インフラを利用し、本稼働ネットワークの残りの部 分から隔離する。 ■ ユーザーの意識向上に継続的に取り組む。大半のランサムウェアはフィッ シング詐欺メールで攻撃を開始します。ユーザーのセキュリティ意識を高 めることは非常に重要です。統計によると、攻撃者が送信した詐欺メール の10通に1通は攻撃に成功しています。未確認の送信元や不明な送信元 から受信したメールと添付ファイルを開いてはなりません。 Intel Securityの製品は、ランサムウェアから保護する有効な手段となります。詳細につ いては、ここをクリックしてご覧ください。 Intel Securityの製品は、ランサムウェ アから保護する有効な手段となりま す。詳細については、ここをクリックし てご覧ください。 このレポートを共有

トロイの木馬にされる正規のソフトウェア

が増加

̶Craig Schmugar 今年の初め、死亡したテロリストが使っていたiPhoneのロック解除を求めるFBIの要 請にAppleが応じるべきかどうかを巡る論争がネットを賑わせました。Appleのティム・ クックCEOはこの捜査協力要請に対し、数千万の を開けられるマスター キーを要求 しているようなものと答えています。具体的な方法は明らかにされていませんが、FBI は最終的にロックの解除に成功し、この要請を取り下げています。バックドア アクセス は、マルウェアの作成者やスパイ、諜報機関で以前から使用されている攻撃手法です。 バックドアを作成してリモートからアクセスするために、ソーシャル エンジニアリング でキーを盗み出したり、サプライチェーンのハードウェアに侵入したり、様々な攻撃が 実行されています。この中で最もよく利用されているのがトロイの木馬です。 現在の不正なアプリケーションの大半は非常に悪質で、被害者を攻撃して攻撃者に利 益をもたらしています。このような攻撃は、攻撃対象に侵入して潜伏し、長期間持続す ることを目的としています。標的に到達するため、攻撃者はソーシャル エンジニアリン グで被害者を したり、エクスプロイトを使ってコンピューターの毎日の利用状況を 確認します。いずれの場合も、不正なコードの存在を被害者に気づかせないことが重 要です。検出されない時間が長くなるほど、より大きな利益を得ることができます。攻 撃者の手口は高度化し、より巧妙なものとなっています。本物かどうかがすぐに分から ないようなコードも使用されています。不正なコードを複製せずに、正規のアプリケー ションをトロイを木馬にする攻撃が増えている背景には、このような事情があります。 攻撃者のメリット 評判の良いアプリケーションを悪用することで、攻撃者は様々な恩恵を受けることが できます。認知されたブランドを隠れ蓑にすることで、ユーザーに本物である印象を 与え、簡単に すことができます。システムへの感染後も、見慣れたディレクトリ、ファ イル、プロセス、レジストリ キーと属性を使用し続けます。セキュリティ スキャンやフォ レンジック分析で、これらの要素は見慣れたプログラムのプロパティとして検出されま す。 もう一つのメリットは持続性の維持（あるいは終了したコードの再起動）です。マルウェ アが持続性を維持する方法は2つあります。1つは自己持続型で、再起動後もシステム に残るように起動用のフックをインストールします。もう1つは依存型で、すでに存在す る起動用フックを使用して他のアプリケーションの実行前、実行中あるいは実行後に 自動的に自身を読み込みます。不正コードがシステムに行った変更が感染の兆候とな ります。変更の数が少ないほど、検出の可能性は低くなります。正規のアプリケーショ ンをトロイの木馬にすることで持続性を容易に維持することができます。ソフトウェア を通常どおり起動するだけで、不正なコードが読み込まれます。被害者がプログラム を定期的に実行することで、マルウェアの持続性が継続されてしまいます。 自己複製しない不正なコードを正規 のアプリケーションに挿入してトロイ の木馬にする攻撃が増えています。

違法な手口

人気のあるアプリケーションを利用する方法は、マルウェアの初期の作成方法に似て います。初期のマルウェアは、ファイルに寄生するファイル感染型のウイルスでした。ウ イルスはトロイの木馬と異なり、自身を繰り返し複製します。ウイルスに感染したファイ ルが拡散し、さらに感染を拡大していきます。この脅威では、標的となるファイルと不 正なルーチンの挿入場所が複製ロジックによって判断されます。リバース エンジニア リングを行って複製ロジックとマーカーを分析することで、ウイルス対策の検出機能を 強化できます。寄生型のトロイの木馬の場合、自己複製は行いません。挿入したコード がペイロードとなるため、追加のオーバーヘッドも発生せず、検出の痕跡も残しませ ん。このような攻撃に対する準備が整っていない場合、これはアキレス になりかねま せん。 バインダー/結合ツール バインダー プログラムが最初に登場したのは1990年代です。これにより、他の プログラム、ドキュメント、マルチメディア ファイルに脅威を簡単にバンドルし、 マルウェアを配布できるようになりました。不正なコードをソーシャル エンジ ニアリングと分離することで、コーディングや再コンパイルを行うことなく、攻撃 ごとにバイナリをカスタマイズできます。既存の脅威から新しい脅威を作成す る場合、まず、既存のマルウェアと付属のファイルを選択します。これらのファイ ルをバインダーで結合して、配布する新しい実行ファイルを生成します。被害者 がこのプログラムを実行すると、バインドしたファイルとマルウェアの両方が実 行されます。ただし、バインダーで正常なファイルと不正なファイルをバンドル した場合、生成されたファイルは新しいマルウェアとなり、元の正規のファイル とは明らかに異なります。

バインダー プログラムとしてよく利用されているCelesty File Binder