狙われるインターネットの根幹、
問われる企業の信頼
総括
狙われるインターネットの根幹、問われる企業の信頼
2014 年第 2 四半期 日本と海外における脅威動向
2014 年第 1 四半期には、金銭利益目的の攻撃が攻撃効果の向上を狙い、その内容を変化させていく段 階に入ってきたことをお伝えしました。そして、この第 2 四半期、攻撃者は正規 Web サービスを侵害す ることでより多くのインターネット利用者へ攻撃を続けています。 これまで日本では正規 Web サイト改ざんが大きな被害に繋がってきましたが、今四半期、CDN(コンテン ツデリバリネットワーク)やネット広告などインターネットの正規「Web 配信」の仕組みの大元を侵害す ることで被害を拡大させる攻撃が明るみになりました。特に CDN の侵害による正規サイト改ざんではお よそ 10 万件のアクセスが不正サイトへ誘導されていたことが確認されました。アカウントリスト攻撃を中 心とした不正ログインでも、ソーシャルメディアの侵害によるポイント不正交換や詐欺メッセージの送信 など、利用者にとってより具体的な被害が確認されています。これらの攻撃は、インターネット利用者が 正規サイトやサービスのみを利用していたとしても、被害を回避できないことを意味します。 また海外では、特に米国を中心に企業の持つ機密情報や基幹サービスを標的とするサイバー攻撃の事 例が顕著でした。これは、第 1 四半期明らかになった POS システムや仮想通貨取引所を狙う「銀行強盗」 的攻撃の延長線にあるものと言えます。特にオンラインサービスの事業者において 1 億件以上のユーザ 情報が漏えいした事例や、基幹サービスが乗っ取られ会社が業務停止に追い込まれる事例など、企業自 体の信頼や事業継続そのものが脅かされています。今期確認された重大な脆弱性にも、サーバを狙う攻 撃傾向があり、攻撃者の狙いがよりインターネットの中枢へ向いていることは間違いないでしょう。 「オンライン銀行詐欺ツール」は日本での検出台数が初めて 2 万件を越え、国別被害数で世界 1 位とな りました。またその活動内容として、個人から法人への標的拡大の傾向や自動不正送金とワンタイムパ スワードの突破などが新たに確認されています。モバイル向け不正アプリにおいても、モバイル向けラン サムウェアの初確認や、マスメーリングで拡散しアフィリエイトによる金銭利益を狙う攻撃など、PC 向け 不正プログラム同様の悪質化が進んでいます。 このように企業の提供する正規サービスを悪用しインターネット利用者を狙う攻撃や、事業者の機密情 報や基幹サービスを標的とするサイバー攻撃傾向からは、攻撃者がインターネット上におけるビジネス の根幹部分を狙うことで、より大きな攻撃成果を挙げようとしていることが読み取れます。これは、利用 者にとって正規サイトやサービス利用時の安全が疑われる状況が実際に起き、ひいてはインターネット 利用全体の信頼が脅かされる可能性があることを意味します。インターネット上で利用者にサービスを提 供する企業は、これらの状況を踏まえ、自身のサービスの侵害は第一に利用者を脅かすものであること、 そして自社の信頼とひいては事業自体を脅かすものであることを踏まえたセキュリティ対策を進めること が必要です。目次
日本セキュリティラウンドアップ
サイバー攻撃
「Web配信」の侵害が正規サービスの信頼を揺るがす… ……… 5
サイバー犯罪
危険度を増したオンライン銀行詐欺ツールが…
攻撃範囲を拡大… ……… 13
モバイル&クラウドの脅威
ソーシャルメディアを狙う攻撃傾向が顕著に、メッセージの…
「やり取り」に注意… ……… 17
グローバルセキュリティラウンドアップ
Webを狙う深刻な脆弱性が表面化… ……… 21
攻撃の深刻化、対する組織の対応……… 26
オンライン銀行詐欺ツール、モバイル関連マルウェアが悪質化…… 30
サイバー犯罪撲滅に向けた法執行機関との取り組み……… 33
再び表面化したユーザのプライバシー問題……… 35
2014年第2四半期…脅威概況… ……… 37
日本セキュリティラウンドアップ
揺らぐ Web の信頼
狙われる「Web 配信」、「ネット広告」、「ソーシャルメディア」
はじめに
「日本セキュリティラウンドアップ」は、2014 年第 2 四半期の日本国内での脅威動向を事例ベースでまとめた レポートです。 インターネット上の「Web 配信」を狙った攻撃が、正規 Web サービスの信頼を揺るがしています。「コンテン ツデリバリネットワーク」の侵害による正規 Web やダウンロードサイトからの脅威感染や、「ネット広告」の悪 用による脅威への誘導などの攻撃は、インターネット利用者にとっては正規サイト閲覧中であっても脅威の可 能性を常に意識する必要があることを意味しています。そしてこれは Web 配信を利用する企業にとっては、事 業の継続を脅かす、また企業の信頼に関わる問題となります。 オンラインサービスへの不正ログイン攻撃では、6 月に入ってソーシャルメディアへ攻撃が集中しました。これ まで、不正ログインによる被害は個人情報の漏えいが中心と考えられていましたが、今期にはアカウントの悪 用による詐欺の発生など、より被害者に大きな影響を与えるものになっています。また、サービスの継続性を 脅かす大規模なサービス侵害(DoS)攻撃も 2 件発生しています。これらの攻撃は利用者を飛び越え、提供 されているサービスの根幹を狙った攻撃である、とも言えるでしょう。 攻撃における脆弱性利用については「Web 関連」、「サーバ側」、「古いバージョン」の脆弱性を狙う傾向がはっ きりしてきました。特にサーバ側に影響する脆弱性への攻撃はサービスの根幹を狙う攻撃傾向と合致します。 また、トレンドマイクロのクラウド型セキュリティ基盤である SPN(Smart Protection Network)の集計では、 第 1 四半期に 2 億件を突破した日本での脅威ブロック数はこの第 2 四半期も 2 億件を越えて推移しています。 中でも不正プログラムでは、「オンライン銀行詐欺ツール」の悪質化と攻撃目標の拡大が進んでおり、特に法 人ネットバンキングを狙う動きが顕著です。また、アドウェアの台頭の背景に Pay Per Install など正規のアフィ リエイトシステムの悪用があることも明らかになってきました。 トレンドマイクロ SPN による日本の脅威ブロック数(2014 年第 2 四半期) 不正サイト スパムメール 不正プログラム 2014年 第2四半期 200,000,000 100,000,000 0サイバー攻撃
「Web 配信」の侵害が正規サービスの信頼を
揺るがす
Web 配信を狙った攻撃:CDN の侵害による正規サイト改ざん、9 万 8 千ユー
ザーに影響
正規 Web サイト改ざんから不正プログラム感染へ続く脅威連鎖はこの第 2 四半期に入っても継続しており、公 表された主な Web 改ざん被害 12 件のうち 9 件がインターネット利用者への不正プログラム感染を最終目標と した攻撃でした。 2014 年第 2 四半期に確認された Web 改ざん被害の攻撃内容内訳 (公表データを元にトレンドマイクロが独自に調査) 中でも特筆すべき事例は、5 月末に確認された「コンテンツデリバリネットワーク(CDN)」を通じた改ざん 被害 1です。CDN はオリジナルサーバのコンテンツを複数のキャッシュサーバにコピーしてアクセスの負荷分 散や冗長性を担保する Web 配信の最適化サービスです。この事例ではブログや有名旅行代理店など複数の Web サイトが改ざんされ、大きな影響が発生しました。トレンドマイクロでは、その影響の一端として改ざん サイトから誘導される不正サイトに対して、国内にある 9 万 8 千件以上の IP アドレスからアクセスがあったこ とを確認しています。同時にコンピューター周辺機器のドライバ配布サイトなど複数のダウンロードサイトも改 ざんされ、正規ソフトウェアが不正プログラムに改変されて頒布されました 2。攻撃はオリジナルサーバへのコン テンツアップロードを行うアカウントが乗っ取られることによって発生したと見られており、この意味においては 一般の Web サーバでの改ざん事例と大きな攻撃方法の相違はありませんでした。この攻撃で侵入する脅威は、 Adobe Flash Player の脆弱性攻撃によるオンライン銀行詐欺ツール「AIBATOOK」であったことが確認されて おり、最終的な攻撃目的はやはり金銭利益だったと言えます。 1 http://www.cdnetworks.co.jp/pressrelease/2272/ 2 http://ascii.jp/elem/000/000/911/911661/ 不正プログラム感染 コンテンツ改ざん 情報窃取 9 2 1Web 配信を狙った攻撃:ネット広告の悪用で 1 万 7 千件のアクセスを誘導
別のWeb配信を狙った攻撃として、6月にはネット広告経由での不正プログラム感染の事例が確認3されました。
これはネット広告を介して Adobe Flash Player のインストールを促すメッセージを表示、Adobe Flash Player に 偽装したアドウェア「ADW_DOWNWARE」をインストールさせる手口でした。
不正なネット広告経由で表示される Adobe Flash Player のインストールを促すメッセージの例
トレンドマイクロでは、この不正なネット広告が配信されたとされる 6 月 19 日以降「ADW_DOWNWARE」の 検出数が急増していること、また 6 月 19 日からの 5 日間で偽の Adobe Flash Player をインストールさせる不正 サイトに対し日本から 1 万 7 千件以上のアクセスがあったことを確認しています。 トレンドマイクロ SPN による 6 月中の「ADW_DOWNWARE」の検出数推移 このような手口は今回が初めてではなく、1 月から 2 月にかけて北米やオーストラリアを中心に同一の攻撃が 確認されており、日本でも被害の報告が散見されていました。しかし、今回の事例では米国の広告業者の日 本向け広告内に不正コンテンツがあったことが確認されており、明確に日本を狙ったものと言えます。 3 http://blog.trendmicro.co.jp/archives/9335 0 1,000 2,000 3,000 4,000 5,000 6月 1日 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 不正な広告が配信された 6 月 19 日に期間中最大の 4 千 5 百件を記録している
ネット広告を悪用する攻撃は、インターネット利用者の正規サイト上で表示されるコンテンツは安全であるとい う意識により、正規サイトを閲覧する際には警戒心が薄れることに付け込んだものと言えます。第 1 四半期に はネット広告を介してフィッシングサイトへ誘導される事例も確認されており、継続した事例の確認はサイバー 犯罪者によるネット広告の悪用が定着しつつあることの証明と言えます。
オンラインサービスへの不正ログイン:アカウントリスト攻撃を中心に 61 万ア
カウントが被害
昨年より継続しているオンラインサービスへの不正ログイン被害は今四半期にも 11 件の事例が公表されてい ます。うち、9 件はアカウントリスト攻撃によるものとされており、完全に攻撃手法として定着していることがわ かります。 2014 年第 2 四半期に確認された主な不正ログインによるアカウント侵害事例 (公表データを元にトレンドマイクロが独自に調査)事例
公開日
サービス種別
攻撃方法
被害内容
アカウント数
侵害
4/21 プロバイダ システムへの侵入 なりすましメール送信 未公表 4/22 顧客向けサービス アカウントリスト 個人情報の閲覧 78,391 4/30 顧客向けサービス アカウントリスト 個人情報の閲覧 不正商品購入 724 5/2 顧客向けサービス アカウントリスト 個人情報の閲覧 ポイント不正使用 273 5/30 ネットショッピング 不正に入手 不正な商品購入 100 6/10 ソーシャルメディア アカウントリスト 個人情報の閲覧 ポイント不正使用 なりすまし投稿 220,000 6/12 ソーシャルメディア アカウントリスト なりすましメッセージによる 詐欺被害 303 6/17 ソーシャルメディア アカウントリスト 個人情報の閲覧 263,596 6/20 ソーシャルメディア アカウントリスト ポイント不正使用 2,398 6/23 ソーシャルメディア アカウントリスト 個人情報の閲覧 38,280 6/26 会員制サイト アカウントリスト 個人情報の閲覧 ポイント不正使用 11,502また、第 1 四半期から顕著になった金銭利益を狙う不正購入やポイントの不正使用は 6 件(55%)を占め、 増加傾向が継続しています。公表された侵害アカウント数も第 1 四半期の 6 万 1 千件から今期は 61 万 5 千件 の 10 倍増となっています。事故 1 件あたりの侵害アカウント数で比較しても、第 1 四半期のおよそ 5 千件か ら第 2 四半期は 5 万 6 千件となっており、攻撃規模の拡大がわかります。 主な不正ログインによる侵害アカウント総数推移(公表データを元にトレンドマイクロが独自に調査)
4 月に4つの重大脆弱性も国内被害は限定的、狙いは「Web 関連」
「サーバ側」
「古いソフトウェア」
2013 年から続いてきた脆弱性利用の続発傾向は今四半期も続いており、4 月にはゼロデイを含む 4 件の重大 脆弱性の発覚が集中しました。特に OpenSSL の脆弱性については、その影響範囲の大きさから史上最悪の 脆弱性「Heartbleed」とされて大きな波紋を呼びました。 200,000 400,000 600,000 0 2013年 第2四半期 42,720 2013年 第3四半期 459,694 2013年 第4四半期 184,056 2014年 第1四半期 61,119 2014年 第2四半期 615,5672014 年第 2 四半期に発覚した主な重大脆弱性リスト(トレンドマイクロ調べ)
これらの脆弱性による日本国内での実際の被害としては、信販会社 1 社が OpenSSL の脆弱性による情報漏洩
被害を公表 8した他、Apache Struts に関して脆弱性の存在を探索する通信が脆弱性情報公開前後に発生して
いたことを警察庁が確認9 しています。また、すべての IE に関わる脆弱性として話題になった IE の脆弱性につ
いては国内での攻撃コード(エクスプロイト)検出は確認できていませんが、Adobe Flash Player の脆弱性は 5 月末に正規 Web サイト改ざんから誘導される攻撃サイトでの使用が確認されています。
このようなゼロデイも含めた脆弱性自体への攻撃の傾向として、「Web 関連」、「サーバ側」、「古いソフトウェア」
の3つのキーワードが挙げられます。この 4 月に確認されている 4 つの脆弱性はすべて「Web 関連」ですが、 これまでのようにクライアント側の脆弱性だけでなく、OpenSSL と Apache Struts という特に「サーバ側」で
影響の大きい脆弱性が 2 件含まれています。「2013 年 年間セキュリティラウンドアップ」10では、2013 年 1 年
間に 11 件のゼロデイ脆弱性を報告していますが、そのうちサーバ側の脆弱性は、Paralles Plesk の 1 件のみで した。そして、OpenSSL、Apache Struts、IE では、Apache Struts1 や Windows XP 環境など既に開発やサポー トが終了した以前の「古いソフトウェア」にも影響する脆弱性となっていました。 4 http://www.openssl.org/news/vulnerabilities.html 5 http://struts.apache.org/announce.html 6 https://technet.microsoft.com/ja-jp/library/security/ms14-021.aspx 7 http://helpx.adobe.com/jp/security/products/flash-player/apsb14-13.html 8 http://www.cr.mufg.jp/corporate/info/pdf/2014/140418_01.pdf 9 http://www.npa.go.jp/cyberpolice/detect/pdf/20140427.pdf 10 http://blog.trendmicro.co.jp/archives/8557 ソフトウェアの内容 脆弱性情報公開日 7 24 26 28
CVE-2014-0160 CVE-2014-0094など CVE-2014-1776 CVE-2014-0515 SSL/TLS認証 Webアプリケーション
フレームワーク インターネットブラウザ コンテンツ再生ソフト
Apache
Struts
5(IE)
Internet Explorer
6Adobe
Flash Player
7OpenSSL
4 特にサーバからの情 報漏洩 2012年公開以降の旧 バージョンから影響 Webサーバの侵害、 サイト改ざん 既にサポート終了 のApache Struts1 にも影響 クライアントへの不正 プログラム感染 IE6までの旧バージョン にも影響 クライアントへの不正 プログラム感染 4月 5月 2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 2 4また、上記 3 つのキーワードを含む脆弱性への攻撃で、日本でのみ確認されている事例として「Web Diary Professional(WDP)」 11への攻撃があります。このソフトは既に 2009 年に開発が終了している日本製のブロ グシステムです。この WDP を使用し続けているサイトの多くが、偽サイトなどオンライン詐欺サイトへの誘導 において集中して改ざんされている事例が大阪府警などにより注意喚起 12されています。このような古いソフ トウェアを使用し続けているサイトは運営者側の意識が低く、脆弱性も放置状態になりがちであることが問題 視13 されています。 WDP 使用サイト上で見られる偽サイトへの誘導記述の改ざん例
警告が現実に、日本への DDoS 攻撃 2 件が発覚
この第 2 四半期には、大規模な DDoS 攻撃事例が日本国内で 2 件確認されました。確認された事例のうち、 1 件は 5 月末から不定期に発生したインターネットプロバイダの DNS への攻撃、もう 1 件は 6 月中旬から発生 したオンラインゲームのサービスへの攻撃です。特にオンラインゲームへの攻撃では、約1週間にわたって サービス自体が提供不可になるほどの影響が出ています。 これまでトレンドマイクロでは、国内の多くの公開サーバが「DNS Amp(DNS リフレクション)」攻撃14 、「NTPリフレクション」攻撃15 、「WordPress Pingback」攻撃16 といった正規サービスの機能を悪用した DDoS 攻撃
手法の踏み台になる可能性について言及してきました。JPCERT/CC でも今四半期に DoS/DDoS 攻撃が急増し ていることを報告17 しており、攻撃の矛先が日本にも向いていることは明らかです。DDoS 攻撃は対岸の火事 ではありません。公開サーバの管理者は自身のサーバが攻撃の踏み台、つまり加害者にならないよう、早急 に対応を行うことが求められています。 11 http://www.web-liberty.net/download/diarypro/ 12 http://www.police.pref.osaka.jp/15topics/nisesite_teguchi_1.html 13 http://www.ipa.go.jp/security/ciadr/vul/20140619-oldcms.html 14 http://blog.trendmicro.co.jp/archives/7012 15 http://blog.trendmicro.co.jp/archives/8437 16 http://www.atmarkit.co.jp/ait/articles/1403/13/news133.html 17 http://www.jpcert.or.jp/pr/2014/IR_Report20140710.pdf
セキュリティエキスパートの見解
これまでも正規Webサイト改ざんや正規ソフトウェアのアップデート機能を利用した攻撃など、 「正規のサイト」を狙った攻撃が行われてきましたが、今第 2 四半期には「CDN」や「ネッ ト広告」といった「正規 Web 配信サービス」が狙われました。インターネット利用者にとっ てこのような攻撃は、これまで安全であると考え、安心して利用してきた正規 Web への信頼 を大きく揺るがすものと言えます。既にインターネット上に安全地帯は無く、「怪しいサイト」 だけでなく「正規のサイト」にアクセスしている時も常に注意が必要な状況になっていると言 えます。 また、このような「正規 Web 配信サービス」の侵害は、サービス利用者とサービス提供者 の 2 つの観点からも考慮すべきでしょう。サービス利用者は自身のユーザを被害に遭わせな いためにも、セキュリティを委託先任せにしてはいけません。自身でも責任を持って必要なセ キュリティの対策を実施する必要があります。また、サービス提供者は利用者と十分にコミュ ニケーションをとり、必要なセキュリティを実現していかないと最終的にはサービス自体の信 用下落や顧客喪失につながります。実際の CDN 侵害事例でも、利用者の中には自身で信頼 性が確認できる別のサービス提供者へ乗り換え、再発防止策を導入する対応を行ったことが わかっています 18。 脆弱性に関しては攻撃者が狙っている「Web 関連」、「サーバ側」、「古いソフトウェア」の脆 弱性について特に注意して対策すべきでしょう。インターネット利用者においては Microsoft Update の実行だけでなく、特に Java や Adobe Flash Player など Web 関連ソフトのアップデー トに気を付けてください。特にサポートが終了した古いソフトウェアについては修正プログラ ムが作成されないため、バージョンアップが必須です。システム管理者は特に公開 Web サー バで使用しているソフトの見直しが必要です。 また、現在までに悪用は確認されていないものの、日本における興味深い脆弱性として 6 月 に公表されたソフトウェアのオンラインアップデート機能に関する脆弱性19 があります。この 脆弱性は、正規ソフトのアップデート機能を利用して不正プログラムを頒布できる可能性が推 測されています。言うまでもなく、攻撃者はこのような正規配信経路の侵害を狙っています。 この脆弱性の存在は今後の脆弱性攻撃の方向性を示しているのかもしれません。 18 http://ascii.jp/elem/000/000/911/911661/ 19 http://www.justsystems.com/jp/info/js14002.htmlサイバー犯罪
危険度を増したオンライン銀行詐欺ツールが
攻撃範囲を拡大
危険性が高まるオンライン銀行詐欺ツール:新登場「VAWTRAK」の検出台数
が 2 万件に急増
オンライン銀行詐欺ツールでは攻撃範囲の拡大が継続しています。今年 2 月には法人向けネットバンキングを 狙う電子証明書窃取の活動が日本国内でも確認されました。それに続き、この 5 月には、窃取した認証情報 を使用して自動的に不正送金を行う「ATS」(自動不正送金システム)による被害が国内で初めて確認20 され ました。ATS 活動を行うオンライン銀行詐欺ツールによる攻撃では、攻撃者が手動で行っていた不正送金の処 理が自動化されているため、認証情報の詐取とほぼ同時に不正送金の被害が発生します。結果、これまでは 安全と考えられていたワンタイムパスワードの使用者が被害に遭ったことも確認21 されています。 この攻撃範囲拡大の裏で、これまで日本のネットバンキングを狙う攻撃の中心だった「ZBOT」に代る、新た なオンライン銀行詐欺ツールの台頭が確認されています。第 1 四半期中に登場した「AIBATOOK」に続き、第 2 四半期には「VAWTRAK」の検出が急増しています。「ZBOT」の検出台数が第 1 四半期の 5 千 2 百件から今 第 2 四半期は 2 千 3 百件へ減少したのに対し、5 月に登場した「VAWTRAK」は「ZBOT」のおよそ 8 倍とな る 2 万件となっています。 日本における代表的オンライン銀行詐欺ツールの検出台数推移(トレンドマイクロ SPN による) 20 http://www.smbc.co.jp/security/popup.html 21 http://itpro.nikkeibp.co.jp/article/NEWS/20140513/556399/ 20,000 10,000 0 2012年 第4四半期 第1四半期2013年 第2四半期2013年 第3四半期2013年 第4四半期2013年 第1四半期2014年 第2四半期2014年 AIBATOOK ZBOT VAWTRAKこの「VAWTRAK」は 2013 年 8 月前後から存在が確認されている情報窃取型の不正プログラムです。しかし、 この 5 月に日本で集中した被害が確認されるまでは、世界的にもオンライン銀行詐欺ツールとしての使用は確 認されてませんでした。「VAWTRAK」はこれまでのオンライン銀行詐欺ツールの中でも危険度の高い活動を行 います。特に、通常企業内ネットワークでのポリシー強制に使用される Windows のグループポリシーを悪用 してセキュリティ対策製品を無効化する活動や法人ネットバンキングを狙う電子証明書窃取活動、ネットバン キングのみならずクレジットカードの認証情報を狙う Web インジェクション活動など、攻撃方法の悪質化と攻 撃対象の拡大が確認されています。 2014 年に入って登場した「AIBATOOK」、「VAWTRAK」共に、日本で最も被害が確認されていることも特徴です。 全検出台数の比率では、「AIBATOOK」の検出の 98%、「VAWTRAK」の検出の 80% が日本に集中しています。 これらの新しいツールの検出台数急増により、日本はこの第 2 四半期のオンライン銀行詐欺ツールの検出台数 で、アメリカを抜いて世界でもトップになっています。
検出数トップを独占するアドウェア:サイバー犯罪者の新たな収入源は「Pay
Per Install」
2014 年第 2 四半期、日本において検出台数報告の最も多かった不正プログラムは「ADW_INSTALLCORE」で した。2013 年第 3 四半期以降、TOP 3をアドウェアが独占する状況が継続しています。 2014 年第 2 四半期 日本国内で検出された不正プログラム Top3(総計およびセグメント別) (トレンドマイクロ SPN による) トップ 3 統計 検出名 数 ADW_INSTALLCORE 22 万 6 千 ADW_OPENCANDY 8 万 9 千 ADW_DOWNWARE 5 万 5 千 セグメント別のトップ3 セグメント 2014 年第 2 四半期 検出名 数 大企業 ADW_INSTALLCORE 1 万 ADW_DOWNWARE 3 千 ADW_OPENCANDY 2 千 中小・中堅企業 ADW_INSTALLCORE 8 千 ADW_DOWNWARE 2 千 ADW_DELBAR 1 千 個人ユーザ ADW_INSTALLCORE 20 万 8 千 ADW_OPENCANDY 8 万 7 千 ADW_DOWNWARE 5 万 1 千これらのアドウェアの多くは、特定ソフトのインストール台数に応じて収入が得られる「Pay Per Install(PPI)」
と呼ばれるアフィリエイトを悪用し、金銭利益を得ていることが明らかになっています22 。またユーザ環境へ
の侵入経路としては、フリーソフトへのバンドルやネット広告経由での誘導の手口が確認されています。
アドウェアへの誘導を行っていた広告表示の例
セキュリティエキスパートの見解
継続して大きな被害を出している「オンライン銀行詐欺ツール」による攻撃ですが、第 1 四 半期に兆候があった新たな攻撃への変化が顕著になり、攻撃対象の拡大と活動内容の巧妙 化、悪質化が進んでいます。自動不正送金やセキュリティ対策製品の無効化などの活動は海 外では確認されていましたが、日本を狙うオンライン銀行詐欺ツールで確認されたのは初め てです。特に「VAWTRAK」のセキュリティ対策製品無効化は、グループポリシーを悪用する 巧妙なものとなっています。 また、攻撃対象の拡大について言えば、これからは個人のネットバンキング利用者だけでなく、 法人の利用者や、広く一般のクレジットカード利用者も狙われていることに注意する必要があ ります。被害者が受けた金銭被害の補償についても、今後はセキュリティ対策の導入状況な どが補償の有無や金額を決める流れ23になっており、基本的な対策をしっかりと行っていくこ とが重要です。金融機関側も一般にセキュリティが高いと認識されているワンタイムパスワー ドの認証が破られた事例を受け止め、既存の認証方法の再評価、追加の対策検討が必要で しょう。 アドウェアの事例では、サイバー犯罪者にとって「オンライン詐欺」とは別に、確実に金銭利 益を得る手法として PPI の悪用が定着していることが明らかになったと言えます。また、侵入 経路として正規サイト上で表示されている広告経由での誘導が特に確認されており、ここでも 正規サイト上に表示されるものは危険ではないと考えるユーザの Web への信頼を逆手にとっ た攻撃となっています。 23 http://www.zenginkyo.or.jp/news/2014/07/17174000.htmlモバイル & クラウドの脅威
ソーシャルメディアを狙う攻撃傾向が顕著に、
メッセージの「やり取り」に注意
アカウントリスト攻撃がソーシャルメディアを襲う、50 万件を越える不正ログ
イン被害
昨年から継続して確認されている不正ログイン被害ですが、これまでと異なる傾向としてこの 6 月にはソーシャ ルメディアへの攻撃が集中して確認されました。6 月に公表された 6 件の不正ログイン事例のうち、5 件がソー シャルメディアに対するものであり、公表された被害数を合わせると 52 万 4577 件のアカウントが侵害された とされています。また、このソーシャルメディアへの攻撃のうち 2 件の事例ではポイントの不正使用が確認さ れています。またソーシャルメディア特有の被害として、なりすましメッセージによる詐欺行為の発生も確認さ れています。 不正ログインによりソーシャルメディア上で行われたなりすましメッセージのやり取り例情報窃取型不正アプリを利用した恐喝事件を確認
今四半期に確認された日本を狙うモバイル向け不正アプリの活動内容の分類では、情報窃取型が最も多く全 体の 92.7% を占めています。4 月には実際の犯罪事例として、情報窃取型不正アプリを利用した恐喝事件24 が 発覚しています。その手口は巧妙でした。まず出会い系サイトで知り合った被害者と、ソーシャルメディア上 でメッセージのやり取りをします。その中で不正アプリを送り、アドレス帳などスマートフォン内の情報を窃取、 そして同時にお互いに写真を見せ合う名目で被害者に自身のわいせつ画像を撮影させます。最終的に、不正 アプリで窃取したアドレス帳上の宛先に被害者の画像をばらまく、と脅していました。このような手口は海外では「SEXTOTION(Sexual Exploitation)」とも呼ばれ、米国 FBI では 2010 年頃から注意喚起25 している手口です。
2014 年第 2 四半期に日本で検出されたモバイル向け不正アプリ活動分類割合(トレンドマイクロ SPN による) 2014 年第 2 四半期に日本で検出されたモバイル向け不正アプリファミリー割合(トレンドマイクロ SPN による) 24 http://www.chibanippo.co.jp/news/national/189432 25 http://www.fbi.gov/news/stories/2010/november/web-of-victims/web-of-victims 25% 50% 75% 100% 0 情報窃取 ダウンローダ アドウェア プレミアムSMS その他
92.7%
6.1% 5.5% 0.8% 0.9%GALEAK/GALEAKR
GINMASTER
EQA
LEADBLT
ARPUSH
FAKEAPP
MAILSTEAL
CONTACTS
ONECLICKFRAUD
INFOLK
その他
76.6%
5.9%
2.4%
2.1%
1.6%
1.6%
1.0%
0.9%
0.9%
0.8%
6.1%
モバイルでマスメーリングワームが復活、目的は「Pay Per Install」での金銭
利益
トレンドマイクロでは 6 月末にマスメーリング活動を行う Android 不正アプリ「AndroidOS_SlfMite.A」を確 認26 しました。感染した Android デバイス上の「連絡先」から上位 20 件の登録を抽出し、SMS メッセージを 送信します。SMS メッセージには URL が含まれており、ユーザがアクセスすると「AndroidOS_SlfMite.A」をイン ストールするための APK ファイルがダウンロードされます。ワームの送信する SMS メッセージは英文ですが、 不正アプリ自体は日本語表示に対応しており、アイコンには日本のアニメのキャラクターが使用されていました。 ワームは最終的に「Moboginie」という正規アプリをダウンロードしますが、これは PPI(Pay Per Install) のアフィ リエイトによる金銭利益を狙った活動です。「AndroidOS_SlfMite.A」インストール時の画面表示例
セキュリティエキスパートの見解
ソーシャルメディアへのアカウントリスト攻撃で侵害されたアカウントでは、個人情報の閲覧 だけでなく、ポイントの不正使用のような被害も確認されています。これは金銭目的の攻撃と して、アカウント情報の売買のような手口よりも、使用者にとってはより直接的な被害の発生 という点で注目されます。そして、ソーシャルメディア上の友人への詐欺メッセージの送信も 確認され、アカウントを侵害された場合に利用者が被る影響は大きくなっています。確認され ている詐欺の手口としては、手軽に入手可能な電子マネーである「Web Money」や iTunes Store のプリペイドカードなどを被害者に購入させ、そのプリペイド番号を詐取するものです。 サイバー犯罪者の換金手段として、電子マネーや Amazon、iTunes Store など人気があり換 金しやすいオンラインマーケット用プリペイドカードが狙われています。これらは物理的なカー ドとして存在しますが、カード自体には意味はなく、実体はカード上に記載されているプリペ イド番号などと呼ばれるデータです。このデータさえ詐取できれば、攻撃者は金銭利益を入 手できるため、今回のような詐欺手口が考え出されたものでしょう。これらのソーシャルメディ アへの不正ログインはすべてアカウントリスト攻撃によるものと公表されています。このよう な被害に遭わないためにも、今一度自身のパスワードの使いまわしに関して見直すことが推 奨されます。グローバルセキュリティラウンドアップ
狙われるインターネットの根幹、
問われる企業の信頼
進化する手口にどう対応するか
はじめに
2014 年上半期に発生した情報漏えい事例は、情報資産を守るために、企業や組織には、より戦略的な対策 が必要なことを示したといえます。今や取引上の機密情報や知的所有権など、企業や組織の最重要資産とも いえる情報を守るためには、サイバー攻撃に対する戦略的な対策が不可欠となっているのです。Identity Theft Resource Center(ITRC)の調査によると、2014 年 7 月 15 日の時点で既に1千万以上の個人情
報が流出しており、その大半が政府機関や医療組織等ではなく、企業の情報漏えいに端を発しています。1 流 出した個人情報や機密データの数がここまで増えると、「企業や組織はどうしてここまで脆弱になったのか」と いう疑問を抱かざるを得ません。 このような深刻化する問題へ対処する際、まず重要なことは「意識改革」だと言えます。トレンドマイクロ CTO レイモンド・ゲネスは、「企業や組織に求められることは、まずは何が最重要情報なのかを判断した上で その情報をいかに守るかに注力し2、情報セキュリティを瑣末な問題としてではなく、長期的なビジネス戦略の 一部として扱うべき」と指摘しています。今四半期の事例を見ても、企業や組織において戦略的なセキュリティ 対策が必要とされていることは明らかです。 綿密に練られた戦略を持ってセキュリティ対策に取り組むことは、ビジネス戦略と同様、企業や組織に長期的 な利益や収入をもたらす上で不可欠です。Code Spaces の事例が示すとおり、技術の新旧を問わず、考慮の 欠けたセキュリティ対策は、ビジネスに大きな損害をもたらします。もちろん前向きに対策を講じている企業 や組織も存在しますが、事後的で非効率な対策に終始する状況も多く見られます。予防の観点から戦略的に セキュリティ対策が講じられないかぎり、どのような軽減策も十分に効果を発揮することができない点を企業 や組織は認識しておく必要があります。 また、より大きな視点として、民間と公共双方の機関が協力してこそ、サイバー犯罪に勝利できるという認識 も重要です。弊社も脅威からの防御における専門性を持つ「スレット ディフェンス エキスパート」として、各 国の法執行機関と連携し、サイバー犯罪者の逮捕に貢献しています。今四半期もサイバー空間上のセキュリティ に対し、民間企業として、世界の各地域の法執行機関との連携を実現しました。 1 http://time.com/2953428/data-breaches-identity-theft/ 2 http://blog.trendmicro.com/trendlabs-security-intelligence/advice-for-enterprises-in-2014-protect-your-core-data/ 註: 本稿に掲載されるデータ等の数値は、特に明記されていない場合、トレンドマイクロのクラウド型 セキュリティ基盤「Trend Micro Smart Protection Network」が出典となります。
Web を狙う深刻な脆弱性が表面化
今四半期、深刻な脆弱性がインターネット・ブラウザやWebサービスの各種コンポーネントにおいて確認 されました。その範囲は、サーバ側のライブラリ、オペレーティングシステム(OS)、モバイルアプリ、ブラウ ザなど、多岐に渡ります。脆弱性の公表や修正パッチのリリースが進む中で、これらの脆弱性の深刻な側 面が浮き彫りとなりました。 2014 年4月7日に確認された Heartbleed 脆弱性は、今四半期最も深刻な脆弱性といえます。OpenSSL Foundation は、2年間放置されてきたこの脆弱性により、数多くの Web サイトとその訪問者に対してサイ バー攻撃に見舞われるリスクがもたらされると指摘しました。3 Heartbleed 脆弱性が存在する Web サイトでは、Security Sockets Layer(SSL)プロトコルを介し、その Web サイト上で利用されるパスワードや金銭取引のク レジットカード情報等を窃取することが可能となるのです。 Heartbleed 脆弱性に関しては、既にセキュリティ警告が発布され、ソフトウェアを最新に更新し、古いセキュ リティ認証を無効にして直ちに新たな認証を発行する指示が、システム管理者に行われています。4 本脆弱性 が公表されてから、すでに数ヶ月が経過しましたが、インターネットに接続されたシステムの中でこの脆弱性 が未修正のものは、2014 年 8 月現在も 30 万以上に達するといわれています。 Heartbleed 脆弱性は、当該脆弱性の存在するサーバに対して接続する Android アプリにも影響を与え、その 数は、オンライン銀行アプリ、ショッピング関連のアプリ、支払い関連のアプリなど、1300 に及ぶといわれて います。5 その中でも特に Android 4.1.1 に実装された OpenSSL ライブラリの脆弱性が危険であり、サーバ側 に存在するこの脆弱性を利用した攻撃により、攻撃者は Android 端末を乗っ取ることも可能となります。 3 http://blog.trendmicro.co.jp/archives/8927 4 http://blog.trendmicro.co.jp/archives/8929 5 http://blog.trendmicro.co.jp/archives/8945
今四半期に確認された重大な脆弱性は、Heartbleed に限りません。2014 年 4 月 8 日にサポートを終了した Windows® XP でも複数の脆弱性が確認されました。Internet Explorer® のバージョン 6 から 11 で発見された ゼロデイ脆弱性(CVE-2014-1776)への特例を除き、Windows XP で新たに確認された脆弱性が修正される
ことはありません。6 古い OS の場合も、脆弱性が攻撃に利用される可能性はあります。実際、2014 年 4 月、
5 月、6 月の Microsoft 定例パッチ(Microsoft Patch Tuesday)では、Windows Server® 2003 に存在する複数
の脆弱性が対応されていましたが、これらの脆弱性は Windows XP にも影響を与えます。7 8 9 また、サポート
を終了した Windows XP を使用し続けた結果、現在でも多くの企業や組織が「DOWNAD」による感染被害を
受けています。10
Adobe® Flash® に存在するゼロデイ脆弱性(CVE-2014-0515)も 4 月下旬に確認されました。11 Adobe 社は、
この脆弱性が悪用されることで Windows のプラットフォームを使用する PC に対し、攻撃者からの遠隔操作が 可能になることを認めています。
Java ™系の Web アプリケーション開発のためのオープンソースフレームワークである Apache Struts でも、深
刻なゼロデイ脆弱性の存在が確認されました。12 これを受けて Apache Struts の開発者側は、特にバージョン 2.0.0 から 2.3.16.1 へ影響を与えた 2 つの脆弱性(CVE-2014-0112 および CVE-2014-0113)に関する注意喚起 をリリースし 13、このアプリケーションを使用する開発者への応急処置として、バージョン 2.3.16.2 への早急な アップグレードを指示しました。 モバイル関連では、Android アプリに存在する脆弱性が引き続き深刻なリスクとなっています。弊社で監視し ていた複数のアプリに関しても今四半期、それらのコンポーネント内に深刻な脆弱性が確認され、この脆弱性 が利用されることでユーザ情報が窃取されたり攻撃に悪用されたりする可能性が明らかになりました。14 弊社 では現在、これらの脆弱性を適切に公表するため、関連するアプリ業者やアプリ開発者と連携して対応を進め ています。 6 http://blog.trendmicro.co.jp/archives/9034 7 http://blog.trendmicro.co.jp/archives/8792 8 http://blog.trendmicro.co.jp/archives/9034 http://blog.trendmicro.co.jp/archives/9043 http://blog.trendmicro.co.jp/archives/9070 http://blog.trendmicro.co.jp/archives/9453 9 http://blog.trendmicro.co.jp/archives/9043 http://blog.trendmicro.co.jp/archives/9070 10 http://blog.trendmicro.co.jp/archives/9374 11 http://blog.trendmicro.co.jp/archives/9043 12 http://blog.trendmicro.co.jp/archives/9010 13 http://struts.apache.org/release/2.3.x/docs/s2-021.html 14 http://blog.trendmicro.co.jp/archives/9112
2014 年第 2 四半期に確認された重大な脆弱性 脆弱性が確認された日 修正パッチがリリースされた日 Deep Securityのルールがリリースされた日 8 7 7 22 25 24 24 28 26 1 2 28 28 CVE-2014-0160
(Heartbleed) CVE-2014-0515 CVE-2014-1776 CVE-2014-0112CVE-2014-0113
Apache
Struts
Internet
Explorer
Adobe
Flash
OpenSSL
4月 5月 2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 2 4註: Trend Micro 脆弱性ルールのうち、Internet Explorer の脆弱性に関しては、2007 年 9 月 11 日から 既に対応されていました。 出典: http://heartbleed.com/ http://helpx.adobe.com/security/products/flash-player/apsb14-13.html https://technet.microsoft.com/library/security/2963983 https://technet.microsoft.com/library/security/ms14-021 http://struts.apache.org/release/2.3.x/docs/s2-021.html
2014 年第 2 四半期に確認された Windows XP 関連の脆弱性件数 2014 年第 2 四半期に確認された Java 6 関連の脆弱性件数 20 10 0 緊急
(Critical) (Important)重要 (Moderate)警告 (Low)注意 5K 1 3 19 5 2 2 修正済 未修正 註: 上記の評価は、Microsoft の「セキュリティ情報の深刻度評価システム」に基いています。この評価 システムの詳細に関しては、http://technet.microsoft.com/ja-jp/security/gg309177.aspxをご参照ください。 20 10 0
高(High) 中(Middle) 低(Low)
14 3 8 修正済 未修正 註: 上記の評価は、「共通脆弱性評価システム(CVSS)」に基いています。この評価システムの詳細に関 しては、https://www.ipa.go.jp/security/vuln/CVSS.htmlをご参照ください。
セキュリティエキスパートの見解
発見から数ヶ月もいまだ大きな脅威であるHeartbleed脆弱性 Heartbleed 脆弱性の問題は、「ユーザがいかに攻撃を受けやすい脆い存在であるか」を改め て浮き彫りにしました。ただし、現在もまだ多くの人々がこの教訓を学んでおらず、発見から 2 ヶ月が経過してなお Heartbleed 脆弱性が存在しているサーバの数が 30 万以上に及ぶこと が 2014 年 6 月に実施された Errata Security の調査で明らかになっています。 15 不正侵入予防システム(IPS)の実装は、本脆弱性への迅速な軽減措置となりますが、開発 者側で OpenSSL の脆弱性が存在するすべてのアプリへの再コンパイルを完了しない限り、こ の脆弱性は依然大きな脅威として存在し続けます。 こうした中、一部の企業や組織がパニックに陥り、脆弱性の存在しないバージョンから脆弱性 の存在するバージョンへ誤って更新してしまったとの報道がありました。ソフトウェアの更新は、 セキュリティ上適切な対処ですが、適用に際しては、次の 2 点をしっかりと留意しておく必要 があります。1 つは、古いバージョンのソフトウェアの方が必ずしも脆弱であるとは限らないと いうこと。もう1つは、サーバ管理者が利用しているデータベースやサービスの対応環境を正 しく把握した上で、ソフトウェアの更新作業を必要に応じた場合に限り実施するということで す。 一般的に推奨される対策は、使用しているソフトウェアは絶えず最新版に更新し、OS や、そ の他のソフトウェア、ブラウザのプラグインについては、それぞれのセキュリティ更新(修正パッ チのダウンロードおよびインストール)を自動化しておくことです。Pawan Kinger
Deep Securityラボ ディレクター 15 http://blog.erratasec.com/2014/06/300k-vulnerable-to-heartbleed-two.html#.U8_Ds_mSySr攻撃の深刻化、対する組織の対応
企業や組織を狙った攻撃が深刻化する中、インシデント発生時の対応をあらかじめ策定することの重要 性や組織レベルのセキュリティ教育が重視されるなど、企業や組織の対応にも変化が見られ始めてい ます。
ソースコードの保管サイトとして知られる Code Spaces への DDoS 攻撃は、最終的に同社が業務停止状態に
追い込まれた点で、非常に大きなインパクトを与えた事例といえます。16 また同じく今四半期には、RSS(Rich
Site Summary)や、ブログのニュースリーダとして知られる Feedly を狙った DDoS 攻撃も確認されました。こ
の攻撃によって、サービス利用者は自分たちの情報へアクセスできない状態に陥り17 、 サービス事業者である Feedly は、サービスを通常業務に戻すことと引き換えに金銭を要求される脅迫を受けました。Evernote も同 様の被害を受けたようですが、大事に至らずに復旧できたようです。 今四半期は、DDoS 攻撃による被害のほか、数多くの情報漏えい事例も確認されました。ITRC によると、 2014 年 7 月 15 日の時点で既に 400 以上に及ぶ情報漏えい事例が報告されています。18 19 これらの事例には、 オンラインのオークションサイトとして知られる eBay への攻撃も含まれており、実際、このサイトを利用してい る 1 億 4500 万もの利用者の個人情報がリスクにさらされたといわれています。20この結果、事業者側は、利 用者に対しパスワードのリセットをリクエストせざるを得ない状況ともなりました。21 米国のレストランチェーンとして知られる P.F. Chang's も大規模な情報漏えい被害に見舞われ、全米中の顧客 のクレジットカード情報が窃取される事態に陥りました。22 これを受けて同社の公式 Web サイトでは、「今後 すべてのクレジットカードおよびデビットカードによる支払いは、追加のセキュリティ対策として手動インプリン タを導入する」との通知がなされました。23 今四半期に確認されたこれらの情報漏えいや DDoS 攻撃の事例 は、被害を受けた企業が今後も存続するためには、組織全体でのセキュリティ戦略が必要なことを如実に示 したといえるでしょう。セキュリティ対策の戦略化と、組織規模の理解による責任ある実行が不可欠であり、さ もなくば企業は P.F. Chang's のように手動プロセスを導入した非効率な対策に戻るしかないか、もしくは Code Spaces のようにビジネスを停止せざるを得ない状況に陥るしかありません。 16 http://arstechnica.com/security/2014/06/aws-console-breach-leads-to-demise-of-service-with-provenbackup-plan/ 17 http://www.forbes.com/sites/jaymcgregor/2014/06/11/feedly-and-evernote-go-down-as-attackers-demand-ransom/ 18 http://www.idtheftcenter.org/images/breach/ITRCBreachStatsReportSummary2014.pdf 19 http://www.idtheftcenter.org/images/breach/ITRC_Breach_Report_2014.pdf 20 http://countermeasures.trendmicro.eu/oy-vey-ebay-five-questions-for-you/ 21 http://www.ebayinc.com/in_the_news/story/ebay-inc-ask-ebay-users-change-passwords 22 http://www.reuters.com/article/2014/06/11/pfchang-dataprotection-idUSL4N0OR4T320140611 23 http://www.pfchangs.com/security/
情報漏えいや DDoS 攻撃に対して、企業が社員への周知や教育活動を率先して行うインシデント対策チームを 設置し、さらに顧客に対して自分たちの情報がどのように保護されているかを知らせておくことは、有効な対 策となります。万一、インシデントが発生した際には、顧客に対しどのようなセキュリティ対策や軽減策、再発 防止策を講じているかを広く周知することも必要です。クラウドサービスを利用している企業の場合、保存デー タは、バックアップをとり、複数の安全な地域に分散して保管すべきです。そして、すべての利用者の視点か ら見れば、異なった複数のアカウントに対して決して同一のパスワードを使用しないことも非常に重要です。 2014 年第 2 四半期に確認された情報漏えいおよび DDoS 攻撃の事例 企業名 発見日・攻撃発生日 (公表による)要因 被害件数 被害の影響範囲 対応策 情報漏えい eBay 不明 少 数 の 社 員 の ログイン認証を 窃取し悪用 1 億 4500 万 人の利用者 買い手) 顧客氏名、暗号化された パスワード、メールアドレ ス、 住所、 電話番号、 生 年月日等の情報が窃取さ れ、販売および収益に深 刻な影響を与えた。 パスワード変 更 の 指 示、 情 報 漏えい につ いて公式ブログで通知 P.F. Chang’ s 2014 年 6 月 10 日 セキュリティ侵害 33 支店 顧客のクレジットカード番 号が窃取された。 クレジットカードの手 動インプリンタの再導 入、 各種暗号端末の 追加、公式 Web サイ トでの通知 DDoS 攻撃 Code Spaces 2014 年 6 月 17 日 DDoS 攻撃、お よび攻撃者がク ラウド上のコン ト ロ ー ル パ ネ ルを操作 不明 データ、オフサイトのバッ クアップデータ、および各 種機械の設定情報が消去 され、業務停止に追い込 まれた。 N/A Feedly 2014 年 6 月 11 日か ら 13 日 Web サ イト へ の DDoS 攻撃 1200 万 人 の ユーザ ユーザがアクセス不可とな り、サービスが分断された。 インフラの 変 更、 セ キュリティ侵害につい て公式ブログにて通知 Evernote 2014 年 6 月 10 日 Web サ イト へ の DDoS 攻撃 1 億 人 の ユーザ ユーザがアクセス不可とな り、サービスが分断された。 偽パケットのフィルタ リングを含む、DDoS 攻撃への対策サービ スを使用。セキュリティ 侵害について公式ブロ グや Twitter にて通知
出典: http://blog.ebay.com/ebay-inc-ask-ebay-users-change-passwords/ http://www.pfchangs.com/security/ http://blog.feedly.com/2014/06/11/denial-of-service-attack/ http://www.theregister.co.uk/2014/06/11/evernote_dos_attack/ http://www.codespaces.com/ http://www.forbes.com/sites/ryanmac/2014/07/16/ebay-ceo-sales-earnings-affected-by-cyberattack-body-blow-in-challenging-second-quarter/
セキュリティエキスパートの見解
情報漏えいの被害で最も見過ごされがちな部分とは 第三者から情報漏えいの事実を知らされたときの反応は、企業も個人も変わらず、「大あわて で表立った問題に対処しようとし、勢いに任せた対策を計画する」という点で共通しているか と思います。私は、このような短期的、場当たり的な対応を「無秩序な混沌状態(カオス)」 と呼んでいます。企業が情報漏えいに見舞われた場合、自社のブランドイメージを損なわな いためにも、初動対応は非常に重要です。また、事後対応や再発防止のためにも、起きてしまっ た事例から多くを学び取る必要もあります。これらの点を考慮すると、上述の対応は、むしろ「混 沌状態を整理し、秩序立てる」という姿勢で取り組むことが求められます。ビジネスでも生活 でも、日々常に「混沌」が生み出されています。そうした中でこそ、あえて「混沌を秩序立て る」という姿勢で臨むことが重要なのです。 情報漏えいの被害に関して最も見過ごされがちな部分は、「被害者を長年に渡って徐々に蝕 んで行く」という点です。企業を狙った情報窃取は後を絶ちません。窃取された情報は組み 合わされて、我々の想像し得ないことを企てている犯罪者によって、計り知れない規模で売買 されています。全ては、情報を持っている企業を犠牲にし、巨額の富を目的にし、行われて いるのです。「窃取された情報には賞味期限がない」という点も肝に銘じておくべきでしょう。 窃取された情報は、半永久的にインターネット上に存在し、何度も繰り返し悪用される可能 性があります。このような状況を踏まえ、我々は情報管理の責任者として、また「スレット ディフェ ンス エキスパート」となることを意識して、自組織におけるセキュリティ戦略を再考するべき です。 企業や組織における情報漏えいや DDoS 攻撃への対策に関しては、インシデント対応プラン の策定や組織規模のセキュリティ教育プログラムなどを含む戦略的なセキュリティ対策を優先 して実施する必要があります。クラウドサービスを利用している場合は、業務上データの保管 に際し、複数のセキュアなバックアップサイトの確保が不可欠です。JD Sherry
テクノロジー&ソリューション部門VPオンライン銀行詐欺ツール、
モバイル関連マルウェアが悪質化
サイバー犯罪者は、ネットバンキングやモバイルのプラットフォームにおける技術的な進歩に素早く反応し、 新たな不正プログラムや更なる変化を加えた不正プログラムを生み出しています。 今四半期は、身代金要求型不正プログラム(ランサムウェア)も、さらなる変化を加えて拡散し続けました。 中でも特筆すべきは、「ANDROIDOS_LOCKER.A」など、Android 端末のプラットフォームを標的とした不正 プログラムの登場です。この不正プログラムは、端末上のスクリーンロックを解除すると共に、ユーザイン ターフェースにも細工を施し、自身がアンイストールされるのを阻止します。24 また、「ANDROIDOS_LOCKER. HBT」は、Tor を介して、コマンド&コントロール(C&C)サーバと匿名化された通信をするなど、PC 向け不 正プログラムと同じ手口がモバイル向けランサムウェアにも悪用されることを証明しました。25 26これらのラン サムウェアに感染した Android 端末はロックされてしまい、このロックの解除に 30 米ドルが請求されます。請 求に応じない場合、モバイル端末内のすべてのデータが破壊される事態を招くことになります。 今四半期、ランサムウェアの被害は、感染被害を受けたユーザ数としては前四半期の 1 万 1000 から 9000 に 減少しましたが、 一方で Tor 関連のコンポーネントを備えた CryptoLocker の亜種や、CryptoDefense、CryptoWall など、より高度な機能を備えた新種が登場しました。27 偽セキュリティソフトも、「Virus Shield」と いう名称のモバイル向けセキュリティア プリとして再来しました。この偽アプリ は、確認された時点では、Google Play ™ でもダウンロード可能な状態となっていま した。28 29 「ANDROIDOS_FAKEAV.B」として検出され る偽アプリ「Virus Shield」は、1 万回以上 もダウンロードされ、わずか 1 週間で売 上げトップのアプリにさえ名を連ねる状況 となりました。30 24 http://blog.trendmicro.co.jp/archives/9318 25 http://about-threats.trendmicro.com/malware.aspx?language=jp&name=ANDROIDOS_LOCKER.HBT 26 http://blog.trendmicro.co.jp/archives/9318 27 http://blog.trendmicro.co.jp/archives/9264 28 http://blog.trendmicro.com/fakeav-google-play-mobile-app-reputation-services/#.U-9HQfmSzOF 29 http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-fake-apps.pdf 30 http://about-threats.trendmicro.com/malware.aspx?language=jp&name=ANDROIDOS_FAKEAV.B 「Sex xoni」という正規アプリを 装う 「ANDROIDOS_LOCKER.HBT」 「Virus Shield」という名称 のセキュリティアプリを装う 「ANDROIDOS_FAKEAV.B」 Sex xonix Virus Shield
ネットバンキングを狙う脅威では、5 月に「VAWTRAK」として検出されるオンライン銀行詐欺ツールが増加し、 特に日本での被害拡大が確認されました。31 この不正プログラムは、以前はオンライン銀行詐欺ツールとは見 なされていませんでしたが、今四半期、ネットバンキングの認証情報やクレジットカード情報を窃取する機能 を新たに備えた亜種として急増したことで、大きく注目されました。 「エメンタル作戦」に関する弊社の調査研究も、PC とモバイルの脅威が密接に協働することでいかにオンライン 銀行に大きな損害を与えるかを示した事例です。32 33ネットバンキングを狙ったこの作戦の背後にいるサイバー 犯罪者は、ショート・メッセージ・サービス(SMS)や二要素認証等を介したセッショントークン(ワンタイム パスワード)を利用し、さらには地域に特化したスパムメールや、一時的な使用を前提とした不正プログラム、 偽 DNS サーバ、フィッシングページ、Android 端末向け不正プログラム、C&C サーバ、バックエンドサーバ等、 あらゆる手段を駆使してこの複雑な作戦を遂行していました。 31 http://blog.trendmicro.co.jp/archives/9192; http://blog.trendmicro.co.jp/archives/9236 32 http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-finding-holes-operation-emmental.pdf 33 http://blog.trendmicro.com/trendlabs-security-intelligence/finding-holes-operation-emmental/ 2014 年第 1 四半期および第 2 四半期におけるオンラ イン銀行詐欺ツールの検出台数比較 2014 年第 2 四半期におけるオンライン銀行詐欺ツールの月別検出台数 120,000 60,000 0 第1四半期 第2四半期
11万2千
10万 2千 50,000 25,000 0 4月 3万 8千 5月 6月 3万 7千4万6千
日本での「VAWTRAK」ケース急増により、今四半期のオンライン銀行詐欺ツールの検出数も増加。 註:オンライン銀行詐欺ツールの総数は、月ごとの個別検出台数から算出。2014 年第 2 四半期にオンライン銀行詐欺ツールの被害を受けた国:トップ 10
日本
米国
インド
ブラジル
ベトナム
トルコ
インドネシア
チリ
マレーシア
イタリア
その他
24%
14%
7%
7%
5%
4%
3%
3%
3%
2%
28%
4月 5月 6月 16000 8000 0 日本 米国 インド 5千 3千 3千 4千 4千 2千8千
1万3千
1万1千
今四半期は、「VAWTRAK」の影響もあり、オンライン銀行詐欺ツールの感染台数のトップを日本が占めて います。ほとんどの国は、前四半期と変わらずランクインしていますが、今四半期は、フランス、メキシコ、 オーストラリアに代わり、インドネシア、チリ、イタリアが登場しています。サイバー犯罪撲滅に向けた法執行機関との
取り組み
世界各地域のさまざまなサイバー犯罪活動を直接的に解決する取り組みとして、複数の法執行機関と密 接に連携し、被害の阻止を実現しています。 サイバー犯罪の被害を受けた組織や捜査機関に対し、弊社の知見や調査結果を共有することで、さらなる被 害を阻止し、犯人の特定に貢献しています。事例の 1 つとして、2013 年 6 月から日本の銀行を標的にしてい た Citadel 関連の攻撃に関する警視庁との連携が挙げられます。34SpyEye 関連の C & C サーバを運営していたハッカーの 1 人、Jam3s(本名:James Bayliss)に関する情報を
法執行機関に提供した件では、2014 年 5 月のイギリスにおけるこの人物の逮捕に貢献しました。35
6 月、米国連邦捜査局(FBI)は、国際的な協力体制により GameOver の活動を崩壊に陥れたことを発表しま した。GameOver は、ピアツーピア(P2P)の通信機能を備えた不正プログラム「ZBOT」の亜種による不正
活動ですが、36 弊社は、この不正プログラムに対する駆除ツールを提供することで、GameOver の活動を閉鎖
に追い込む FBI の捜査に協力し、結果として今四半期における「ZBOT」の被害件数減少に貢献しました。実際、 トレンドマイクロのクラウド型セキュリティ基盤「Smart Protection Network(SPN)」のデータでも、今四半期
末の時点で、被害者数が 36%減少したことを確認しています。 法執行機関によるサイバー犯罪の撲滅に向けた取り組みは、時間を要する場合もあります。例えば、2011 年 に FBI とエストニア警察がサイバー犯罪活動を閉鎖に追い込んだ事例では、逮捕された 6 名のうち、現在よう やく5 名が米国において公判待ちの段階となっています。37 たとえ捜査に時間を要しても、法の裁きは必ずサ イバー犯罪に下されることはまちがいありません。 34 http://blog.trendmicro.co.jp/archives/9050 35 http://blog.trendmicro.co.jp/archives/9155 36 http://blog.trendmicro.co.jp/archives/9234 37 http://blog.trendmicro.co.jp/archives/4600
セキュリティエキスパートの見解
法執行機関との連携
Forward-Looking Threat Research(FTR)チームは、トレンドマイクロにおいてインターネッ ト犯罪に特化した部署であり、法執行調査機関のあらゆるリクエストに対処しています。通常、
FTR と法執行機関との連携は、警察機関側からの明確な依頼か、FTR 側からの調査結果等を 契機として行われます。特に FTR 側からは、法執行機関に対して調査や捜査に関するサポー トや脅威情報の知見の提供を行います。トレンドマイクロが公共および民間の Community
Emergency Response Team(CERT)や Computer Security Incident Response Team(CSIRT) と連携する際にも、FTR が窓口となります。
これらの連携において FTR は、いくつかの成果をあげています。最近の事例では、SpyEye 関連のトロイの木馬型不正プログラムに関する一連の逮捕劇があげられます。この件で FTR は、FBI および National Crime Agency(NCA)のコンタクトに情報を提供しました。捜査は 現在も継続中で、最終的には多数の主犯者の逮捕につながることを期待しています。 公表されたケースの他、世界各地で捜査中の事例にも FTR は関わっています。FTR は、脅威 に関する知見やサイバー犯罪調査に関する専門知識やスキルを駆使し、いかなる法執行機関 との連携も歓迎しています。なぜなら、我々は、こうした連携を通してこそ、真の意味で「デ ジタル情報を安全に交換できる世界の実現」が可能であると信じているからです。
