McAfee Labs脅威レポート: 2018年12月

McAfee Labs

脅威レポート

2018

年12月

この四半期の主なトピック

サイバー犯罪を活性化するアンダーグランド

フォーラム

クリプトマイニングのブームは続く

脆弱性、ランサムウェアに対するサポートが

追加されたエクスプロイト キット

サイバースパイ活動を目的とした標的型攻撃

リンク 共有

はじめに

McAfee® _{Labs脅威レポート（2018年12月）をご覧いただき、ありがとうございます。今回は、McAfee Advanced Threat}

ResearchチームとMcAfee Labsが2018年第3四半期に収集した統計情報と分析結果を報告します。

今回のレポートでは、新しい分析方法とフォーマットを採用しました。私たちは皆様のご意見を伺いながら、ユーザーの皆様が 何を重要と考えているのか、私たちがどのような付加価値を提供できるのか考えています。この数か月の間、より多くの脅威情 報を収集し、データを相関分析した結果、現在の脅威状況についてより有益な分析情報を得ることができました。McAfeeは

MITRE Corporationと協力し、脅威レポートにMITRE ATT&CK™_{ナレッジベースの手法を採用することにしました。これに合わせ}

てプロセスとレポートの形式を変更しています。皆様により多くの情報をご提供できると思います。新しいレポートについて、皆 様からご意見、ご感想をいただけますと幸いです。 第3四半期も闇市場閉鎖の効果が残っていますが、その穴を埋めるべく、他の闇市場が勢力を拡大しようとしています。このよう な市場が提供するサービスにより、サイバー犯罪の効率や効果は高まっています。この四半期もGandCrabランサムウェア ファ ミリは活発な動きを見せています。アフィリエイト プログラムの利用、アジャイルな開発、エクスプロイト キットなどの他のサイ バー犯罪サービスとの連携などにより、このファミリによる攻撃は勢いを増しています。

第3四半期には主要なセキュリティ カンファレンスが開催されました。McAfee Advanced Threat Researchチームのメンバーが

イベントに参加し、研究の成果や分析情報を共有しました。DEF CONのデモンストレーションでは、攻撃者が医療機器を操作す

る方法を紹介しました。Black Hat USAでは、北朝鮮のマルウェア ファミリによるコードの再利用に関する調査結果を発表し、こ

れまで不明だった関連性を報告しました。

また、ラスベガス、シドニー、東京、ローマで開催したMcAfee MPOWERカンファレンスでは、多くのユーザーやパートナーの皆様 に最新の調査結果をご報告しました。この四半期も脅威の分析に忙しい日々を送りました。新しいメンバーも加わり、分析結果

をまとめたレポートも公開しました。詳しくは、ブログ ページとチームのページをご覧ください。

このレポートが皆様のお役に立てば幸いです。また、皆様からのご意見、ご感想もお待ちしています。 ― Raj Samani、チーフ サイエンティスト兼McAfeeフェロー

Twitter: @Raj_Samani ―Christiaan Beek、リード サイエンティスト Twitter: @ChristiaanBeek ダークウェブの闇市場では、麻薬や 違法な商品の販売が中心となって いますが、ハッキング ツールやデー タ レコードの販売やハッカーのレ ンタルなども行われています。

目次

4

サイバー犯罪を活性化する

アンダーグランド フォーラム

8

ランサムウェア ファミリの数は

減少

10

クリプトマイニングのブームは

続く

11

偽のモバイル アプリによる脅威

が増加

14

見慣れないファイルタイプを使用

するバンキング型トロイの木馬

17

脆弱性、ランサムウェアに対する

サポートが追加されたエクスプ

ロイト キット

19

シェルコードの実行、特権昇格に

利用される脆弱性

20

サイバースパイ活動を目的とし

た標的型攻撃

23

統計情報

執筆者:

• Alexandre Mundo Alguacil • Christiaan Beek • Carlos Castillo • Taylor Dunton • John Fokker • Steve Grobman • Tim Hux • Niamh Minihane • Lee Munson • Eric Peterson • Marc Rivero • Thomas Roccia • Raj Samani • Craig Schmugar • ReseAnne Sims • Dan Sommer • Bing Sun トロイの木馬 がIQYファイル を送信 IQYファイルがスクリプト ファイルのURLを照会 PowerShellがDDE を使用 IQY ファイル 感染システムが日本に あるかどうかを確認 Ursnifマルウェアを ダウンロードして実行

リンク 共有 サイバー犯罪を活性化するアンダーグランド フォーラム ダークウェブの闇市場 ダークウェブの闇市場であるHansaとAlphaBayが閉鎖され た波及効果は第3四半期も続きました。Dream Market、Wall Street Market、Olympus Marketなどの市場は、昨年の摘発 で空いた穴を埋めようと激しい競争を展開しています。 Wall Street MarketとDream Marketは最大手の闇市場にな りましたが、これらの市場と競っていたOlympus Marketが第

3四半期に突如姿を消しました。市場のベンダーや顧客から

金銭を盗み取るために管理者が意図的に閉鎖したという見 方もありますが、推測の域は出ません。

McAfee Advanced Threat Researchチームの調査で、ダー クウェブ プラットフォームで起きている変化が明らかになり ました。何人かの販売者はこのような大手市場から離れ、自 分の市場を開いています。当局の取り締まりを逃れ、市場の オーナーによる突然の閉鎖を恐れずに、顧客と信頼関係を構 築することがその狙いのようです。この流れによって新しいビ ジネスも生まれています。たとえば、Webサイト デザイナーが 熱心なベンダーに向けて隠れた市場を構築するサービスを 提供しています。他のベンダーもTORネットワークから離れ、 Telegramなどのプラットフォームを利用して商品やサービス を提供しています。 TOR経由でアクセス可能なダークウェブの闇市場では、麻 薬や違法な商品の販売が中心となっていますが、ハッキング ツールやデータ レコードの販売やハッカーのレンタルなども 行われています。これらの市場には多くのユーザーがアクセ スできるため、見過ごせない存在です。盗まれたデジタル デー タは大きな利益を生み出すため、今後も重要な要因となるで しょう。このような市場がある限り、データの保護を強化しなけ ればなりません。 アンダーグラウンドのハッカー フォーラム ダークウェブの闇市場と異なり、アンダーグランドのハッカー フォーラムは限られた人物しかアクセスできません。トピック もサイバー犯罪に関するものに特化しています。McAfeeでは、 これらのフォーラムで第3四半期に注目を集めたトピックを調 査しました。 ユーザー認証情報の漏えい: アンダーグランドの世界では、認 証情報の悪用は最も人気のあるトピックの一つです。大規模 なデータ侵害も後を絶ちません。有効なアカウントが利用でき れば、サイバー犯罪者にとって個人のファイルにアクセスし、 乗っ取ることは非常に簡単な作業になります。サイバー犯罪 者がメール アカウントに関心を示すのは、これらのアカウント が他のオンライン サービスのログイン認証情報の復元に使用 されることが多いためです。二要素認証を使用せず、パスワー ドを定期的に変更しないで使い回していることも、効果的な 攻撃を可能にしている主な要因となっています。

リンク 共有

CVEに関するディスカッション: Common Vulnerabilities and Exposuresに関して多くのディスカッションが行われています。 ブラウザー エクスプロイト キット（RIG、Grandsoft、Fallout） やランサムウェア（特に、GandCrab）のディスカッションで は、最近公開されたCVEに関する議論が活発に行われてい ました。技術的な要素が少ない英語のフォーラムで、Trillium MultiSploitなどの人気のツールに古いCVEを実装する方法を 議論しているスレッドをいくつか確認しました。サイバー犯罪者 は新しい脆弱性だけでなく、古い脆弱性を武器化する方法に ついても活発に議論しています。このようなフォーラムで人気の トピックとなっていることを考えると、サイバー レジリエンス プ ランで脆弱性管理を優先しなければならないことは明らかで しょう。 電子商取引サイトでクレジットカード情報を盗み出すマルウェ ア: クレジットカード情報を盗み出す大規模な攻撃の標的は、 PoSシステムから大手電子商取引サイトの決済プラットフォー ムにシフトしています。ここ数か月に話題になった多くの窃盗 事件はMagecartなどのグループによるもので、被害者のWeb サイトから直接、数千のクレジットカード情報がスキミングさ れました。この事件により、MagentoCoreなどの不正なツール の需要が高まっています。これらのツールは脆弱なMagentoプ ラットフォームに不正なJavaScriptコードを挿入し、クレジット カード情報を盗み出します。 クレジットカード情報の販売: PoSを狙ったスキミングなどの 詐欺行為は減少していますが、最近発生したクレジットカー ド情報の大規模な盗難事件により、「新しい」カード情報が

JokerStash、Trump's Dumps、Blackpassなどのダンプサイト で供給されています。クレジットカード会社と電子商取引サイ トは、詐欺検出のためにオンライン購入でIPアドレスの位置情 報を確認するなど、セキュリティ対策を強化しています。 図 1. Trump's Dumpsのログイン ページ すべてのアクションに対してリアクションが実行されます。しか し、盗み出すクレジットカード情報と同じ郵便番号のマシンを 乗っ取り、詐欺に利用する攻撃が増えています。リモート デスク トップ プロトコル（RDP）のアクセス情報を販売する闇市場も この手法を利用しています。 RDPショップ 第3四半期の初め、ハッキングしたマシンにRDPでアクセスす るための情報を販売するオンライン プラットフォームについ て、詳細なレポートを公開しました。犯罪者は世界中のコン ピューター システムのログイン情報を提供しています。家庭 のPCだけでなく、医療機関や政府のシステムへのログイン情 報も販売しています。この四半期もRDPショップの人気は衰え ず、クレジットカード詐欺、クリプトマイニング、ランサムウェア、 アカウントの乗っ取りを行う犯罪者にサービスを提供していま す。BlackpassなどのRDPショップでは、詐欺に必要なすべての ツールを提供しています。RDPのアクセス情報だけでなく、社 会保障番号、銀行の詳細情報、オンライン アカウントなどの情 報も販売しています。

リンク 共有 図2. RDPショップのBlackpassでは、Magecart詐欺に関連するオンライン アカウントとクレジットカード情報を提供している。 詐欺師は、アクティブな複数のオンライン アカウントを使用し てRDPでアクセス可能なシステムを探しています。このアクセ ス情報を使用することで、犯罪者は被害者のアカウントからオ ンラインで商品を注文し、任意の場所に配送を依頼できます。 SamSam、BitPaymer、GandCrabなどのランサムウェアを使 用してRDP経由で侵入を試みる標的型攻撃の量を考えると、 多くの組織にとってRDPは引き続き急所となるでしょう。 サービスとしてのランサムウェア アンダーグランドのフォーラムでは、GandCrabなどのサービ スとしてのランサムウェアが注目されています。このようなラン サムウェアの開発者は、サービスの強化と感染率の向上のた め、暗号化サービスやエクスプロイト キットなどの重要なサー ビスと戦略的なパートナーシップを築いています。第3四半期 の終わりに、比較的新しい暗号化サービス（NTCrypt）と提携 したGandCrabの最新バージョンに関する調査報告を公開し ました。GandCrabの背後にあるグループが主催した暗号化コ ンテストでNTCryptが優勝した後、この協力関係が形成されま した。暗号化サービスはマルウェアを難読化し、マルウェア対 策製品の検知を回避するために使用されます。

リンク 共有 図3. NTCryptとGandCrabのパートナーシップ。GandCrabのユーザー向けに特別価格を告知している。 Androidマルウェア: ボットネット、銀行詐欺、ランサムウェア、 二要素認証の回避など、Androidを中心としたモバイル マル ウェアに関する議論が増加しています。 他のマルウェアとボットネット: この2つはサイバー犯罪の根幹 となるテーマです。サイバー犯罪者は、これらのトピックに関 するディスカッションを定期的に行っています。既知のマルウェ ア ファミリや大規模なボットネットに関するスレッド以外にも、 小規模で名前のないボットネットや暗号通貨のマイニング マ ルウェア、リモート アクセスのトロイの木馬に関するディスカッ ションも活発に行われています。GandCrabとその関連サービ ス以外で、ディスカッションで目立ったマルウェア ファミリはあ りません。 分散型サービス拒否: 若いサイバー犯罪者の間では、DDoS攻 撃の手法、ブースター/ストレッサー サービスが話題になって います。これらは、技術的な要素が少ない英語のフォーラムで 活発に議論されています。

リンク 共有 ランサムウェア ファミリの数は減少 この数か月、ランサムウェア ファミリの数は減少を続けていま す。しかし、ランサムウェアの勢いが衰えたわけではありませ ん。新しいファミリが少なくなったのは、より魅力的なビジネス モデルであるクリプトマイニングにシフトした攻撃者が増えて いることが関係しています。 第3四半期に最も活発な動きを見せたのはGandCrabです。複 数の新しいバージョンがリリースされ、アフィリエイト プログ ラムの参加者がキャンペーンを展開しました。セキュリティ業 界の対策をかわすためか、多くのバージョンが出現しました。 GandCrabのサンプルが大量に発生した結果、第3四半期の新 しいランサムウェアの総数が増えています。 このランサムウェアについては、次のような変化が見られます。 ■ 感染力強化のためFalloutエクスプロイト キットに追加 ■ 感染力強化のためCVE-2018-8440の脆弱性を悪用（この 脆弱性に対しては9月にパッチが公開されています） ■ ファイルの暗号化で5文字のランダムな拡張子を使用

■ Word、Excel、SQL Server、Oracle、PowerPoint、Outlook などの関連プロセスを終了する機能を追加 最大の変化は身代金の大幅な増額です。GandCrabバージョ ン5では、復号キーの代金として$2,400が請求されます。以前 のバージョンは$1,000でした。

新しいランサムウェア ファミリ

0 40 20 120 100 80 60 第1四半期 第2四半期 第3四半期 2017年 2018年 第3四半期 第4四半期 出典: McAfee Labs, 2018

新しいランサムウェアのサンプル

0 1,000,000 500,000 2,500,000 2,000,000 1,500,000 2016年 2017年 2018年 第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期 出典: McAfee Labs, 2018

リンク 共有 バージョン5と以前のバージョンの類似点は次のとおりです。 ■ ロシアのユーザーには感染しない ■ 感染先のシステム情報を送信するURLのリストがハード コードされている ■ 身代金の支払いと復号用のサイトが hxxp://gandcrabmfe6mnef[.]onionのダークウェブに 存在する ■ ハードコードされたキー（jopochlen）を使用して、RC4アル ゴリズムで被害者の情報を暗号化する

Advanced Threat ResearchチームはGandCrabバージョン5

とその変化について詳しいレポートを作成しました。 第3四半期は、この他にもScarabが活発な動きを見せていま す。6種類の新しい亜種がリリースされ、多くの更新が提供さ れました（暗号化されたファイルに付けられる拡張子や、新し い支払い方法の追加など）。このランサムウェアは特定の業種 や地域を狙ったものではないようです。 第3四半期の新しい亜種: ■ Scarab-Omerta － 7月 ■ Scarab-Bin － 7月 ■ Scarab-Recovery － 7月 ■ Scarab-Turkish － 7月 ■ Scarab-Barracuda － 7月 ■ Scarab-CyberGod － 8月 第3四半期の更新: ■ Scarab-Please － ランサムウェア ■ Scarab-Bitcoin － ランサムウェア ■ Scarab-Crypt000 － ランサムウェア ■ Scarab-DiskDoctor － ランサムウェア ■ Scarab-Bomber － ランサムウェア 実行 永続化 特権昇格 防御策の回避 認証情報へのアクセス 探索 Windows Management Instrumentation スタートアップ項目 プロセス インジェクション プロセス インジェクション フッキング ファイル/ディレクトの探索 フッキング スケジュール タスク ユーザー アカウント制御の 迂回 入力キャプチャ レジストリのRunキー/ス タートアップ フォルダー ユーザー アカウント制御の迂回 セキュリティ ツールの無効化 スケジュール タスク DLL検索順序のハイジャッ ク ファイルの削除

図4. Advanced Threat Researchチームが第3四半期に確認したマルウェアや他の攻撃とMITRE ATT&CK™_{フレームワークとの対応表。現在使用されていない技術は削}

リンク 共有 クリプトマイニングのブームは続く 2018年の大きな話題の一つは、マルウェアによる暗号通貨の マイニングです。コインマイナー マルウェアの合計数は、この 1年で4,000%以上増加しています。

新しいコインマイナー マルウェア

500,000 0 2,500,000 4,500,000 4,000,000 3,000,000 3,500,000 2,000,000 1,500,000 1,000,000 2016年 2017年 2018年 第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期 出典: McAfee Labs, 2018 セキュリティ研究者のRemco Verhoefがクリプトマイニングの チャット グループでMac OSの脅威（OSX.Dummy）を発見しま した。被害者がOSXのターミナルで1行のコマンドを実行する だけでペイロードがダウンロードされ、実行されます。 Slack、Telegram、Discordチャネルには、暗号化問題の解決の ためソフトウェアのダウンロードを促すメッセージが残されて います。このソフトウェアはBashで1行のコードを実行します。 未知のエクスプロイトやエクスプロイト キットはダウンロード しません。実行後、OSX.Dummyは不正なサーバーでリバース シェルを開き、感染したシステムへのアクセスを可能にします。 一部のセキュリティ研究者が指摘しているように、オープンソー スのメディア プレイヤーKodiの非公式のリポジトリで、クリプト マイナー マルウェアの配布用に改ざんされたアドオンが提供 されています。このような動きは2017年に始まっています。 CVE-2018-14847の脆弱性が悪用され、パッチ未適用の MikroTikルーターが攻撃されました。セキュリティ研究家の Troy Mursch氏はマイナーとして利用されている感染デバイス を3,700台以上確認しています（北米とブラジルが主な標的）。 ルーター、IPカメラなどのIoTデバイス、ビデオレコーダーは、デ スクトップやラップトップほど強力なCPUを搭載していないた め、悪用されるとは思わないかもしれません。しかし、これらの 機器では適切なセキュリティ対策が行われていないため、CPU の速度よりも量を重視する攻撃者に利用される可能性があり ます。長時間マイニングに利用できる数千台の機器を制御でき れば、十分に稼ぐことができるでしょう。 コインマイナー マルウェアはシス テムを乗っ取り、ユーザーの許可 なく暗号通貨を生成（マイニング） します。2018年に入り、コインマイ ナーの脅威が急激に増大していま す。 実行 永続化 特権昇格 防御策の回避 探索 指令サーバー モジュールの読み込み による実行 レジストリのRunキー/ スタートアップ フォルダー ユーザー アカウント制御の迂回 ユーザー アカウント制御の迂回 クエリー レジストリ データの難読化 ローカルのジョブ スケ ジューリング フッキング フッキング 一般的でないポート スケジュール タスク プロセス インジェクション サードパーティの ソフトウェア スケジュール タスク スタートアップ項目 図5. MITRE ATT&CK™フレームワーク。背景が暗い技術ほど頻繁に使用されている。

リンク 共有 世界のモバイル マルウェアの感染率 （感染を報告したモバイル ユーザーの割合） 2% 0% 10% 12% 14% 8% 6% 4% 2016年 2017年 2018年 第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期 出典: McAfee Labs, 2018 地域別のモバイル マルウェアの感染率 （感染を報告したモバイル ユーザーの割合） 4% 2% 6% 8% 0% 18% 14% 16% 12% 10% アフリカ アジア オーストラリア ヨーロッパ 北米 南米 2017年第4四半期 2018年第1四半期 2018年第2四半期 2018年第3四半期 出典: McAfee Labs, 2018 偽のモバイル アプリによる脅威が増加 第3四半期に新たに確認されたモバイル マルウェアの数は 24%減少しました。McAfeeモバイル セキュリティの利用者か らの情報を見ても、この四半期の感染数は36%減少してい ます。全体としては減少傾向にあるものの、第3四半期はこ れまでと異なる脅威が増加しています。新たな傾向として、 Fortniteゲームのアプリを装い、マルウェアをインストールし て詐欺行為を行う攻撃や、モバイル バンキングを狙うトロイ の木馬、不要な広告を表示するアプリなどが増加しました。イ スラエル国防軍の関係者に対して、マッチング アプリを装って デバイスへの感染を試みる攻撃も発生しています。この偽の アプリは、位置情報、連絡先リストなどのデータを収集し、通 話の傍聴、カメラの不正使用を行いました。 新しいモバイル マルウェア 500,000 0 2,500,000 3,000,000 2,000,000 1,500,000 1,000,000 2016年 2017年 2018年 第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期

リンク 共有 McAfeeモバイル リサーチ チームが第3四半期に検出した脅 威の中には、少なくとも5,000台以上のデバイスに感染したも のもあります。この脅威（Android/TimpDoor）はSMSを使用 してフィッシング詐欺を行うもので、ユーザーを騙して偽の音 声メール アプリをダウンロードさせようとします。感染したデ バイスは知らないうちにネットワーク プロキシとして悪用さ れます。この偽アプリがインストールされると、バックグラウン ド サービスがSocksプロキシを開始し、他のサーバーからセ キュアなシェル トンネル経由で送信され、暗号化されたネッ トワーク トラフィックをリダイレクトします。これにより、ファ イアウォールやネットワーク モニターなどのネットワーク セ キュリティに検知されることなく、内部ネットワークにアクセス することが可能になります。 TimpDoorに感染したデバイスは、企業や家庭のネットワーク に侵入するバックドアとして利用されます。不正なトラフィック やペイロードは暗号化されているため、検知されることはあ りません。さらに、感染デバイスがネットワーク化され、スパム やフィッシング詐欺メールの送信、広告クリック詐欺、分散型 サービス拒否攻撃など、さらに規模の大きい攻撃で利用され る可能性があります。 この不正なアプリは、正規の音声メール アプリに見えます が、ボタンや機能は偽物です。 \ 図6. 音声メール アプリを装うAndroid/TimpDoor 図7. SSH接続を持続する機能。これはAndroid/Timpdoorで最も興味深い部分。

リンク 共有

このアプリは、接続を維持するためのアラームを搭載し、デバイスに関する情報を絶えずアップロードしています。

Cisco Talosのグループは、不正なモバイル デバイス マネージャーを使用して13台のiPhoneに感染したキャンペーンを確認し

ました。感染方法はいまだに不明ですが、デバイス マネージャーをインストールするには、デバイスに直接アクセスするか、何ら かのソーシャル エンジニアリングを行う必要があります。感染の流れと機能は次のとおりです。

リンク 共有 この攻撃者は、BOptionsのサイドローディングによって動的ライブラリにコードを挿入し、インストールされている正規のアプリ ケーションに機能を追加しました。この攻撃からも分かるように、適切な防御策を講じていなければ、開発環境やフレームワー ク環境も悪用される可能性があります。 初期アクセス 永続化 防御策の回避 探索 収集 送出 指令サーバー スピアフィッシング用の添付 ファイル 動的ライブラリ ハイジャック アクセス トークンの操作 アカウントの探索 音声キャプチャ 自動送出 よく使用されるポート スピアフィッシングのリンク コードの署名 アプリケーション ウィンドウ の探索 自動収集 データの圧縮 リモートへのファイル転送 サービスを利用したスピア フィッシング ブラウザーのブックマークの探索 クリップボードのデータ データの暗号化 アプリケーション レイヤーの標準プロトコル ファイル/ディレクトの探索 情報リポジトリのデータ データ転送のサイズ制限 システム オーナー/ユーザー の探索 ローカル システムのデータ 代替プロトコルによる送出 システム サービスの探索 メール収集 指令チャンネルを介した送出 システム時刻の探索 入力キャプチャ 他のネットワーク媒体を介し た送出 画面キャプチャ 物理的な媒体を利用した送出 スケジュールによる転送 図9. MITRE ATT&CK™フレームワーク。背景が暗い技術ほど頻繁に使用されている。 見慣れないファイルタイプを使用するバンキング型トロイの木馬 バンキング型トロイの木馬は、その効率性と収益性から、1年を通じて一定の勢いを維持しました。第3四半期は、珍しいファイ ルタイプを使うスパム攻撃が増加しました。メールの保護対策の多くは、よく使われるOffice文書、アーカイブ、スクリプトなどの ファイルを分析し、ブロックするように設定されています。この攻撃は、一般的でないタイプを使用することでメールの保護機能 を回避しようとする手口です。この四半期は、複数の攻撃でIQYファイル（Excelのフォーマット）が確認されました。これらの攻撃 メールで複数のマルウェア ファミリが散布されました。この攻撃では、ユーザーに添付ファイルをクリックさせるため、ソーシャ ル エンジニアリングでよく使われる「photos sent」（写真を送りました）、「payment」（お支払い）、「please confirm」（ご確認くだ さい）などの文言が使用されています。このスパム キャンペーンでは世界中に約50万通のスパム メールが配信されました。

リンク 共有

スパム キャンペーン

トロイの木馬 がIQYファイル を送信 IQYファイルがスクリプト ファイルのURLを照会 PowerShellがDDE を使用 IQY ファイル 感染システムが日本に あるかどうかを確認 Ursnifマルウェアを ダウンロードして実行 図10. この攻撃では、IQYファイルの他にDDEとPowerShellを使用して、UrsnifやBlebohなどのマルウェアが散布されている。 第3四半期は、特定の業種を狙った詐欺メールが数多く確認されています。 ここ数年、多くの金融機関がセキュリティを強化しています。その中で効果的な対策の一つが二要素認証で、他の口座への送金 やアカウントへのログインに利用されています。第3四半期、Advanced Threat Researchチームはよく知られたバンキング型マ ルウェア ファミリで変化を確認しました。新しいバージョンでは、Webインジェクションの方法が変更され、特定の金融機関に対 する攻撃で二要素認証の操作が組み込まれています。

リンク 共有

図11. Zeus PandaマルウェアのWebインジェクション ファイル。出典: Cofense

Zeus Pandaは、金融機関が採用した最新の保護対策を回避するため、Webインジェクションの方法を頻繁に変更しています。

この他にも、有名なマルウェア ファミリで変化が確認されています。2014年に確認されたバンキング型トロイの木馬Kronosで すが、TORネットワーク上の指令サーバーを使用する新しいバージョンが出現しました。このバージョンはOsirisと名を変え、闇 市場で販売されています。また、ドイツのユーザーを標的に、不正な.docファイルを使用した新たな攻撃が発生しました。この ファイルには、Kronosをダウンロードさせるマクロが含まれています。第3四半期は、かつてZeus PandaをドロップしていたRIG エクスプロイト キットもKronosの拡散に利用されています。 ブラジルでは以前からバンキング型トロイの木馬がよく利用されています。第3四半期、この国を狙った新たなファミリ （CamuBot）が検出されました。CamuBotは標的とする銀行で必要なセキュリティ モジュールを装います。ブラジルで発生した 他のマルウェアと比べると、CamuBotとの類似点はわずかです。CamuBotは、TrickBot、Ursnif、Dridex、Qakbotなど、ブラジル 以外で見つかったマルウェア ファミリと似ています。ブラジルを狙ったマルウェアで、この点は大きな変化といえます。他の国で 猛威を振るいバンキング型トロイの木馬と比べると、これまでの脅威の大半はそれほど洗練されたものではありません。ブラ ジルの犯罪集団は、自国のユーザーを狙った攻撃を頻繁に行っています。これらの犯罪者は、東欧の犯罪者から多くのことを学 び、よく利用されている手口を自分たちのマルウェアに組み込んでいます。

リンク 共有 実行 永続化 防御策の回避 認証情報へのアク セス 探索 侵入拡大 収集 データ漏えい 指令サーバー クライアント実行の悪 用 ブートキット コードの署名 フッキング アプリケーション ウィンドウの探索 分散コンポーネント オブジェクト モデル クリップボードのデータ データの圧縮 データのエンコード PowerShell カーネル モジュールと 拡張機能 DCShadow 入力キャプチャ ファイル/ディレクトの探索 ハッシュの転送 メール収集 代替プロトコルによる送出 一般的でないポート Windows Management Instrumentation ローカルのジョブ スケ ジューリング ファイルの削除 ネットワーク サービスのスキャン リモート デスクトップ プロトコル Officeアプリケーショ ンのスタートアップ レジストリの変更 周辺機器の探索 レジストリのRunキー /スタートアップ フォル ダー プロセス インジェク ション プロセスの探索 サービス レジストリ権 限の脆弱性 スクリプト クエリー レジストリ ソフトウェアの圧縮 セキュリティ ソフト ウェアの探索 システム情報の探索 システム時刻の探索 図12. MITRE ATT&CK™フレームワーク。背景が暗い技術ほど頻繁に使用されている。 脆弱性、ランサムウェアに対するサポートが追加されたエクスプロイト キット エクスプロイト キットは多くのサイバー犯罪で利用されています。当局の取り締まりで閉鎖されたものもありますが、活動を継 続しているものもあります。第3四半期で目だった新しいエクスプロイト キットは次の2つです。

Fallout: このエクスプロイト キットは8月に見つかりました。Adobe Flash PlayerとMicrosoft Windowsの欠陥を利用します。感 染に成功すると、攻撃者は感染先のコンピューターにマルウェアをダウンロードします。このエクスプロイト キットは、Nuclearエ クスプロイト キットと似ています。Falloutは日本の組織を調査しているときに見つかりましたが、特定の地域を狙ったものでは ありません。このキットが利用する脆弱性はCVE-2018-4878とCVE-2018-8174の2つだけで、後者はGandCrabバージョン5の 散布に使用されています。

次のグラフは、McAfee® _{Global Threat Intelligenceの利用時計情報に基づいて作成されたものです。GandCrabバージョン5ラ}

ンサムウェアの4つのサンプルについて、9月の終わりから10月にかけて実施した測定結果を表しています。これらのサンプルが

リンク 共有

る拡散の典型的なパターンを示しています。感染率は最初が最も高く、その後、短期間で急速に減少しています。これは、インス トール時または固定時間で使用料金を支払うという、エクスプロイト キットの一般的なビジネス モデルにも当てはまります。

9月28日に増加しているのは、アフィリエイトから別のサンプルがリリースされたことが原因と考えられます。

GandCrab

バージョン5に関する10日間のMcAfee GTIレポート

9/24 ９/25 9/26 9/27 9/28 9/29 9/30 10/1 10/2 10/3 ハッシュ e168e9e0f4f631bafc47ddf23c9848d7 96ead54f6aacd7c40e2d060cb303fa83 884f86d79065d97244eea7ab68b129ce 07fadb006486953439ce0092651fd7a6 Underminer: このエクスプロイト キットは7月に見つかりました。自身のコードと指令サーバーのトラフィックをRSA暗号で保 護し、Microsoft Internet ExplorerとFlash Playerの脆弱性を悪用して、クリプトマイナー、ブートキットなどの様々なランサム ウェアを感染させます。このエクスプロイト キットはアジア太平洋地域を標的にしています。第3四半期、このキットに2つの脆弱 性が追加されました。1つはCVE-2018-4878（Adobe Flash Player 28.0.0.137の解放後メモリ参照の脆弱性により、リモートか ら任意のコードが実行可能な脆弱性）、もう1つはCVE-2018-8174（Windows VBScriptエンジンで、リモートからコードが実行 される脆弱性）です。後者については、次のセクションで詳しく説明します。 初期アクセス 実行 特権昇格 防御策の回避 ドライブバイ侵害 クライアント実行の悪用 悪用による特権昇格 ユーザー アカウント制御の迂回 外部に接続しているアプリケーション の悪用 スクリプト 悪用による防御策の回避 図13. MITRE ATT&CK™フレームワーク。背景が暗い技術ほど頻繁に使用されている。

リンク 共有

シェルコードの実行、特権昇格に利用される脆弱性

第3四半期に新しいマルウェア ファミリやキャンペーンで最も利用された脆弱性は次の3つです。

Windows VBScriptエンジンで、リモートからコードが実行される脆弱性（CVE-2018-8174）。この欠陥に対するパッチは5月に 公開されていましたが、第3四半期に発生した攻撃キャンペーン「Operation Personality Disorder」で利用されました。攻撃者 はVBScriptを含む不正なRTF文書を使用し、Internet Explorerの欠陥を悪用してシェルコードを実行しました。このコードはバッ クドアのペイロードをドロップし、感染先のシステムを乗っ取ります。このキャンペーンはCobaltグループによって実行されまし たが、このグループのリーダーと見られる人物がスペインで逮捕されています。 この脆弱性は、第3四半期に見つかった新しいエクスプロイト キット（FalloutとUnderminer）にも追加されています。この欠陥 は、Fallout経由でGandCrabバージョン5を感染させる目的でも使用されています。マルバタイジング キャンペーンの背後にい る攻撃者が正規の広告サイトを利用し、エクスプロイト キットが潜むランディング ページに被害者を誘導しました。このランディ ング ページには、Base64でエンコードされ、JavaScriptの関数で復号されるVBScriptコードが存在します。復号されたコードが VBScriptエンジンの欠陥を悪用してシェルコードを実行します。さらに、シェルコードがペイロードをダウンロードし、感染先のメ モリーにGandCrabを読み込みます。

Windows ALPCの特権昇格の脆弱性（CVE-2018-8440）。この脆弱性のパッチは9月に公開されました。8月の終わり、この欠 陥を発見したセキュリティ研究者が概念検証の詳細をTwitterとGitHubに投稿した後、このゼロデイの欠陥に注目が集まり、

Microsoftは9月のアップデートでパッチを提供しました。この欠陥のため、ローカル アクセス権があるユーザーは誰でもシステ

ム特権を取得することができます。この脆弱性はGandCrabの感染に利用されました。このランサムウェアはWindowsの特権 昇格の欠陥を悪用し、必要な数のファイルを暗号化します。この脆弱性は、Windows タスク スケジューラーがALPC（Advanced

Local Procedure Call）を処理する方法に存在します。マルウェア コードのコンパイル方法のため、エクスプロイト コードの1

つのバージョンはWindows 7からWindows 10 Serverで動作しますが、Windows XPとVistaでは、呼び出しに必要なファイル （xpsprint.dll）が存在しないため、コンパイル後のコードは動作しません。

スクリプト エンジンのメモリ破損の脆弱性（CVE-2018-8373）。Internet Explorerのスクリプト エンジンに存在するリモー ト コード実行の脆弱性の1つが悪用され、QuasarRATが配布されました。このエクスプロイトはすべての環境で機能するわ

けではなく、マルウェアの配布に成功するとも限りません。McAfee Advanced Threat Researchチームを含む複数のセキュ リティ アナリスト グループが、このキャンペーンとマルウェアの動作に関する情報を公開しました。あるチームの報告による と、VBScript!AccessArrayがスタックの配列要素のアドレスを格納します。次に、VBScript!AssignVarがスクリプトのDefault

Property Get関数を呼び出し、配列の長さを変更します。これにより、VBScript!AccessArrayがスタックに格納しているアドレス

のメモリ要素が解放されます。パッチの適用後、SafeArrayLock関数が追加され、VBScript!AssignVarの実行前に現在の配列が ロックされます。このため、Default Property Get関数で配列の長さが変更されることはなくなりました。

リンク 共有 次の図は、第3四半期に発生したマルウェア キャンペーンでそれぞれの脆弱性が使用された頻度を表しています。多くの攻撃者 がこれらの脆弱性を利用して文書を武器化し、不正なプログラムをインストールして実行しています。 第3四半期のマルウェア攻撃で各脆弱性が1週間に利用された平均回数 10 5 15 20 0 40 35 30 25

CVE-2017-11882 CVE-2017-0147 CVE-2017-0199 CVE-2012-0158 CVE-2010-2568 CVE-2014-6332 CVE-2018-4878 CVE-2008-2551 CVE-2008-0015 CVE-2016-4273 CVE-2017-8464

出典: McAfee Labs, 2018 サイバースパイ活動を目的とした標的型攻撃

Advanced Threat Researchチームの記録では、第3四半期に公表された標的型攻撃は35件を超えています。その大半はサイ

バースパイ活動を目的としたものでした。これらの活動の多くは、政治的緊張の高い一部の地域で発生しているため、政府に支 援されたグループが情報収集目的で行ったものと考えられます。

リンク 共有

第3四半期に実行されたいくつかのオペレーションはロシア政府の支援を受けたグループによるものとMcAfeeは見ています。

この四半期に最も活発な動きを見せたグループは、APT28、Dragonfly、Sandwormで、これらのグループは政府機関、研究所、

エネルギー施設、軍関連の組織を狙った攻撃を実行しています。

ESETの研究者がUEFI（Unified Extensible Firmware Interface）を悪用する最初のルートキットを発見しました。ESETによると、 このマルウェアはAPT28によって開発され、使用されています。LoJaxと称するこのマルウェアは、UEFIに感染するとマシンを再 起動しても消滅しません。ハードディスクを交換しても生き続けます。このマルウェアを配布するため、盗難対策ソフトウェアの LoJackがトロイの木馬として利用されています。研究者の利用統計情報によると、このマルウェアによる攻撃ではバルカン半島、 中欧、東欧の政府機関が標的になっています。 マクロやスクリプトではなく、オープンソース ツールを活用するグループもありますが、それ以外のグループのコードには、基本 的な機能強化を除き、目新しさはありません。 金融機関を狙った主な攻撃としては、次の2つのキャンペーンがあります。

Operation Double Infection: この攻撃は8月に確認されました。2種類のバックドアをインストールするため、2つの不正なURL を含むスピアフィッシング詐欺メールが使用されました。攻撃者は金融機関を装うメールで被害者から金銭を盗み取ろうとしま した。このキャンペーンでは東欧とロシアの企業が標的になっています。

Operation Personality Disorder: この攻撃では、More_eggsバックドアをドロップするため、不正な添付ファイルまたはメール 内のURLが使用されました。攻撃に成功すると、攻撃者はコンピューターを乗っ取り、システム情報にアクセスして最終的なペイ ロードであるCobalt Strikeをインストールします。この攻撃で使用されたフィッシング詐欺メールは、ヨーロッパの正規の金融機 関を装っていました。攻撃で使用された不正なRTFファイルの一部には、CVE-2018-8174を含む様々な脆弱性を悪用するエクス プロイトが含まれています（詳細は「脆弱性」を参照）。 この2つのキャンペーンには次の共通点があります。 ■ 東欧とロシアの金融機関を標的にしている。 ■ 正規の金融機関またはベンダーを装うフィッシング詐欺メールが使用されている。 ■ VBAコードを含む不正なWord文書を利用し、ユーザーがマクロの実行を許可した後にシステムに感染している。 ■ テキスト ファイルを装うJavaScriptカスタム コードのバックドアを使用して、感染先のシステムを乗っ取っている。 ■ コマンドライン ツールのcmstp.exe（Microsoft接続マネージャー プロファイル インストーラー）と不正なインストール情報

ファイルを使用して、Microsoft Windows AppLockerを回避し、リモートからコードをダウンロードして実行している。 ■ regsvr32.exeを使用してWindows AppLockerを回避している。

■ 有名なCobalt Groupが実行している。このグループは少なくとも2013年から活動を続け、世界の金融機関に対する100件以

上の攻撃に関与していると見られています。

初期アクセス 実行 永続化 特権昇格 防御策の回避 認証情報へのア クセス 探索 侵入拡大 収集 送出 指令サーバー ドライブバイ侵害 CMSTP COMのハイジャック ユーザー アカウント制 御の迂回 ユーザー アカウント制御の迂回 総当たり攻撃 アカウントの探索 リモート サービスの悪用 音声キャプチャ 自動送出 よく使用されるポート 外部に接続しているア プリケーションの悪用 コマンドライン インターフェース アカウントの作成 DLL検索順序のハイジャック CMSTP 認証情報のダンプ ファイル/ディレクトの探索 ログオン スクリプト 自動収集 データの圧縮 接続プロキシ リムーバブル メディア を介した複製 APIを介した実行 DLL検索順序のハイジャック 悪用による特権昇格 コードの署名 ファイル内の認証情報 ネットワーク サービスのスキャン リモート デスクトップ プロトコル 情報リポジトリのデータ データの暗号化 指令用のカスタム プロトコル スピアフィッシング用 の添付ファイル クライアント実行の悪用 隠しファイルとディレクトリ フッキング COMのハイジャック フッキング ネットワーク共有の探索 サードパーティのソフトウェア ローカル システムのデータ 代替プロトコルによる送出 データのエンコード スピアフィッシングの リンク グラフィカル ユーザー インターフェース フッキング 新しいサービス 難読化/ファイルまたは情報の復号 入力キャプチャ 周辺機器の探索 Windows管理共有 データのステージング 指令チャンネルを介した送出 データの難読化 サプライチェーンの侵 害 LSASSドライバー ログオン スクリプト プロセス インジェクション DLL検索順序のハイジャック 入力プロンプト プロセスの探索 メール収集 他のネットワーク媒体を介した送出 マルチステージ チャネル 信頼関係 PowerShell LSASSドライバー スケジュール タスク 悪用による防御策の回 避 クエリー レジストリ 入力キャプチャ マルチバンド通信 Regsvr32 既存サービスの変更 ファイルの削除 セキュリティ ソフト ウェアの探索 マンインザブラウザ 複数の暗号化 Rundll32 新しいサービス 隠しファイルとディレ クトリ システム情報の探索 画面キャプチャ リモート アクセス ツール スケジュール タスク レジストリのRunキー /スタートアップ フォル ダー ツールの痕跡の削除 システム ネットワーク 構成の探索 ビデオ キャプチャ リモートへのファイル転送 スクリプト スケジュール タスク 偽装 システム オーナー/ ユーザーの探索 アプリケーション レイヤーの標準プロトコル サービスの実行 システム ファームウェ ア レジストリの変更 システム サービスの探索 標準の暗号化プロトコル サードパーティのソフ トウェア 難読化されたファイル/情報 システム時刻の探索 ユーザーによる実行 プロセス ドッペルギャ ンギング Windows Management Instrumentation プロセス インジェク ション Regsvr32 ルートキット Rundll32 スクリプト ソフトウェアの圧縮 信頼された開発元の ユーティリティ 有効なアカウント 図14. MITRE ATT&CK™フレームワーク。背景が暗い技術ほど頻繁に使用されている。

統計情報

24 McAfee Global Threat Intelligence

25

_{マルウェア}

30

_{インシデント}

リンク 共有 統計情報

McAfee Global Threat Intelligence

弊社では、McAfee® _{Global Threat Intelligence（McAfee}

GTI）のダッシュボードで攻撃パターンを分析し、顧客が実 際に受けている攻撃の状況を把握して、保護対策の改善 に努めています。McAfee GTIは、1日あたり平均で490億 件のクエリーと130億のテレメトリを受信しました。また、 1日平均560万個のURLと70万個のファイルを分析し、20 万個のファイルをサンドボックスで解析しました。 ■ McAfee GTIは、770億個の不審なファイルをテストし、 7,300万個のファイルを危険と報告しました（0.01%）。

■ McAfee GTIは160億個の不審なURLをテストし、6,300 万個のURLを危険と報告しました（0.4%）。

■ McAfee GTIは150億個の不審なIPアドレスをテストし、

リンク 共有 マルウェアの合計 0 500,000,000 900,000,000 800,000,000 600,000,000 400,000,000 700,000,000 300,000,000 200,000,000 100,000,000 2016年 2017年 2018年 第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期 出典: McAfee Labs, 2018 新しいマルウェア 0 70,000,000 60,000,000 50,000,000 40,000,000 30,000,000 20,000,000 10,000,000 第1四半期 第2四半期 第3四半期 第4四半期 2016年 2017年 2018年 第1四半期 第2四半期 第3四半期 第4四半期 Mac OSを攻撃するマルウェアの合計 50,000 0 250,000 450,000 400,000 350,000 300,000 500,000 200,000 150,000 100,000 2016年 2017年 2018年 第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期 出典: McAfee Labs, 2018 Mac OSを攻撃する新しいマルウェア 10,000 0 60,000 50,000 40,000 30,000 20,000 2016年 2017年 2018年 第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期

出典: McAfee Labs, 2018 出典: McAfee Labs, 2018

このマルウェアのデータは、 McAfeeのサンプル データベー スに登録された情報に基づいて います。このデータベースには、 McAfeeのスパム トラップ、クロー ラー、ユーザーからの送信、業界 の他の情報源から収集した不正な ファイルが含まれています。

リンク 共有 新しいマクロ ウイルス 20,000 40,000 0 160,000 140,000 120,000 100,000 80,000 60,000 2016年 2017年 2018年 第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期 出典: McAfee Labs, 2018 添付されているマクロの多くは、アナリストがマクロの機能が簡単に理解できないように、複雑な難読化が行われています。たと えば、Vba2Graphの実行フローを視覚化して、何が行われているか確認してみましょう。 図15. AutoOpen関数が攻撃先のシステムでシェルを開き、PowerShellを開いてファイルをダウンロードしている。 マクロ ウイルスはWordやExcel などの文書に埋め込まれ、スパム メールや添付されたZIPファイルに よって配信されます。受信者が文書 を開いてしまうような魅力的なファ イル名を使用しています。ファイル を開いたときにマクロが有効に なっていると、ウイルスに感染しま す。

リンク 共有 この例は一般的なもので、このような埋め込みは日常的に行われています。もう少し複雑な例を見てみましょう。 図16. このマクロは新しいファイルを作成して実行するが、関数名が難読化されている。 この例では、いくつかのアクションが実行されていることはすぐに確認できますが、実際にどのような処理が行われているのかを 特定するには時間がかかります。関数名が難読化されているため、関数名（Auto_Open）だけを調べる単純な機械学習では問 題は解決しません。Advanced Threat Researchチームで行っているように、複数の分類器を使用することで、不正なマクロを特 定する機械学習モデルを構築できます。

リンク 共有 新しいIoTマルウェア 2016年 2017年 2018年 40,000 45,000 15,000 10,000 25,000 20,000 35,000 30,000 5,000 0 50,000 第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期 出典: McAfee Labs, 2018 新たに検出された署名付きの不正なバイナリ 400,000 600,000 200,000 0 1,400,000 1,200,000 1,000,000 800,000 2016年 2017年 2018年 第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期 出典: McAfee Labs, 2018 バイナリ（アプリケーション）がコン テンツ プロバイダーによって署名 され、検証されると、認証局がその 情報を含むデジタル証明書を発行 します。署名付きの不正なバイナリ にデジタル証明書を取得すると、攻 撃が非常に容易になります。 モノのインターネットを狙う脅威 は、IPカメラ、ホームルーター、ス マートデバイスなど、様々なハード ウェアに影響を及ぼします。これら の脅威は主にLinuxベースのシス テムを標的にしています。

リンク 共有 新しいPowerShellマルウェア 2,000 0 14,000 16,000 20,000 18,000 12,000 8,000 10,000 6,000 4,000 2016年 2017年 2018年 第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期 出典: McAfee Labs, 2018 エクスプロイトは、ソフトウェ アやハードウェアのバグ、脆弱 性を利用します。ゼロデイ攻撃 は、成功したエクスプロイトの 一例です。McAfee Labsの記事 「Analyzing Microsoft Office Zero-Day Exploit CVE-2017-11826: Memory Corruption Vulnerability」（Microsoft Officeを攻撃するゼロデイ エクス プロイト（CVE-2017-11826）の分 析: メモリー破損の脆弱性）をご覧 ください。 JavaScriptとPowerShellの脅威 については、以前の『McAfee Labs 脅威レポート』の「スクリプト ベー スのマルウェアの急増」をご覧くだ さい。 新しいエクスプロイト マルウェア 200,000 0 1,000,000 1,800,000 1,600,000 1,400,000 1,200,000 800,000 600,000 400,000 2016年 2017年 2018年 第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期 出典: McAfee Labs, 2018 出典: McAfee Labs, 2018 新しいJavaScriptマルウェア 0 6,000,000 8,000,000 12,000,000 10,000,000 4,000,000 2,000,000 2016年 2017年 2018年 第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期

リンク 共有 2017年～2018年に多かった攻撃手段のトップ10 （報告された侵害数） 50 0 200 250 300 350 400 450 150 100 不明 アカウ ン ト ハ ッ キ ング リー ク マ ル ウェ ア 不 正 アク セ ス 脆弱性 W-2 詐欺 窃盗 サ ービ ス拒 否 改ざ ん 出典: McAfee Labs, 2018 インシデント 公開されたセキュリティ インシデント（地域別） （報告された侵害数） 50 0 250 300 350 200 150 100 2016年 2017年 2018年 アフリカ アジア太平洋 アメリカ大陸 ヨーロッパ 複数の地域 第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期 出典: McAfee Labs, 2018 セキュリティ インシデントの データは、hackmageddon. com、 privacyrights.org/data-breaches、haveibeenpwned. com、databreaches.netなどの 複数の情報源から収集しています。 攻撃経路の多くは不明か、公開さ れていません。

リンク 共有 2017年～2018年に狙われた業界のトップ10 （報告された侵害数） 50 0 200 250 300 150 100 医療 公共部門 複数 教育 金融 エ ン ター テイ メ ン ト メ デ ィア 小売業 テ クノ ロ ジ オ ン ラ イン サ ー ビス 出典: McAfee Labs, 2018 北米/南米で最も狙われた業界 （報告された侵害数） 10 0 50 40 30 80 70 60 20 公共部門 医療 複数 教育 エ ン ター テイ メ ン ト 暗号通貨 メ デ ィア 金融 ホ ス ピ タ リ ティ ー 小売業 2017年第4四半期 2018年第1四半期 2018年第2四半期 2018年第3四半期 出典: McAfee Labs, 2018

リンク 共有 新しい不正なURL 2,000,000 0 10,000,000 12,000,000 8,000,000 6,000,000 4,000,000 2016年 2017年 2018年 第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期 出典: McAfee Labs, 2018 新しい不審なURL 0 15,000,000 20,000,000 25,000,000 10,000,000 5,000,000 2016年 2017年 2018年 第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期 出典: McAfee Labs, 2018 新しいフィッシング詐欺URL 0 500,000 600,000 700,000 1,000,000 900,000 800,000 400,000 200,000 100,000 300,000 2016年 2017年 2018年 第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期 新しい不正ダウンロードURL 500,000 0 2,500,000 2,000,000 1,500,000 1,000,000 2016年 2017年 2018年 第1四半期 第2四半期 第3四半期 第4四半期 第1四半期 第2四半期 第3四半期 第4四半期

出典: McAfee Labs, 2018 出典: McAfee Labs, 2018

McAfee® _{TrustedSource}™_の Webデータベースでは、フィルタ リング ポリシーでWebアクセスを 制御できるように、Webレピュテー ションに基づいてカテゴリ別にURL （Webページ）が登録されていま す。不審なURLは、危険度高または 危険度中と評価されたサイトの合 計数を表します。不正なURLは、コ ンピューターの設定やアクティビ ティを乗っ取る実行ファイルやトロ イの木馬などのドライブバイコード を配布します。不正なダウンロード は、ユーザーに気づかれずにサイ トから有害なコードや迷惑なコー ドをダウンロードさせる行為です。 フィッシング詐欺URLは、詐欺メー ルから誘導し、ユーザーのアカウン ト情報を盗み出すWebサイトです。

リンク 共有 指令サーバーに接続するマルウェアの上位（第3四半期） GoScanSSH Wapomi China Chopper Salty Maazben Ramnit Sdbot Muieblackcat その他 50% 29% 10% 6% 1% 1% 1% 1% 1% 出典: McAfee Labs, 2018 第3四半期の主なスパム ボットネット Stealrat Gamut Cutwail Kelihos その他 Lethic 1% 1% 3% 1% 53% 41% 出典: McAfee Labs, 2018 ネットワーク攻撃の上位（第3四半期） 46% 17% 10% 9% 8% 5% 2% 2% ルーター サーバー メッセージ ブロック ブラウザー サービス拒否 バッファー オーバーフロー 総当り攻撃 スキャン SSL ボットネット指令サーバーが最も多く存在する国（第3四半期） ドイツ 米国 フランス アルジェリア ロシア オランダ エジプト 中国 英国 香港 その他 31% 11% 30% 6% 5% 4% 3% 2% 3% 3% 2%

出典: McAfee Labs, 2018 出典: McAfee Labs, 2018

スパム ボットネットで最も多かった Gamutは、性的脅迫（被害者の閲 覧習慣を暴露すると脅して金銭を 要求）を行っています。スパム ボッ トネットで2番目に多かったのは StealRatで、全体の41%を占めて います。StealRatスパムの大半は 出会い系に関連するものでした。 Necursボットネットは過去2年間 で初めて圏外になりました。2017 年第4四半期から2018年第1四半 期の発生量を考えると、この現象 は一時的なものとみられます。

McAfeeおよびMcAfeeのロゴは米国法人McAfee, LLCまたは米国またはその他の国の関係会社における登録商標または商標です。 その他すべての登録商標および商標はそれぞれの所有者に帰属します。Copyright © 2018 McAfee, LLC. 4195_1218 2018年12月 キュリティに関する最新の情報を提供しています。世界各地 に配備した数百万台のセンサーからデータを収集し、ファイ ル、Web、メール、ネットワークなどに対する脅威を研究・調 査し、脆弱性の報告を行っています。McAfee LabsとMcAfee

Advanced Threat Researchは、リアルタイムで脅威情報、重

要な分析結果、専門的な情報を提供し、保護対策の向上とリ スクの軽減に貢献しています。 www.mcafee.com/jp/mcafee-labs.aspx を構築するため、個々の力を結集し、企業と個人を保護する ソリューションを提供しています。他社の製品と連携するソ リューションを構築することで、真に統合されたサイバーセ キュリティ環境を整備し、脅威の対策、検出、修復を連動し て行うことができます。McAfeeの個人向けのソリューション は、すべての種類のデバイスに対応しています。自宅でも外 出先でも、安心してデジタル ライフを楽しむことができます。 McAfeeでは、他のセキュリティ企業との連携を強化し、力を 合わせてサイバー犯罪者と戦っています。 www.mcafee.com/jp 〒 150-0043 東京都渋谷区道玄坂 1-12-1 渋谷マークシティウエスト 20F www.mcafee.com/jp