2017年も様々なセキュリティインシデントが世間を賑わせました。今回は、パロアルトネットワークスのセキュリティソリューションが実際に検出した実データや、脅威インテリジェンスチームUnit 42による調査結果をもとに、国内外の2017年のセキュリティトピックについて振り返ります。
日本で猛威をふるったメールでのばらまき型攻撃
パロアルトネットワークスではネットワークやエンドポイント、クラウドで発見された未知ファイルを分析し、悪意あるものと判断された場合自動的に防御を提供するWildFire™クラウド脅威解析サービスを提供しています。2017年の一年間に WildFire™で解析した未知のファイルは約25億種類にのぼり、このうち約6千万種類のファイルが新たなマルウェアとして判定され対策が提供されました。
国別でマルウェアの検出数が最も多かったのはアメリカ、続いて日本、オーストラリア、イタリア、イギリスとなり、隣国の韓国は9位でした。
図 1 国別攻撃検出数
日本がワースト2位となった理由は、メールによるばらまき型攻撃の影響を大きくうけていることによります。図2は2017年にマルウェアが検出されたネットワークプロトコルの内訳ですが、日本はメール関連 (SMTP, POP3, IMAP等)で発見されるケースが83%と、グローバルの約50%と比較して、突出して多いことから、メールによる攻撃の影響の大きさがわかります。
図 2 日本におけるマルウェア検出ネットワークプロトコル内訳
図3のグラフは2017年のメールを経由したマルウェアの検出数の推移を表しています。検出数が大きく増加している箇所がいくつかありますが、これらはばらまき型の攻撃が発生したことを示しています。それぞれ増加している時期には、後述する新しい脆弱性や攻撃テクニックが発見されたり、大規模な攻撃キャンペーンが展開されており、これらのことが、ばらまき型の攻撃のきっかけとなることがわかります。
図 3新しい脆弱性等のメールを介した攻撃への影響
時期 |
脆弱性、テクニック、キャンペーン |
4月 |
CVE-2017-0199 Microsoft Officeの脆弱性 |
5月 |
PDF に 凶器化Doc を埋め込む PdfDcomDropper |
10月 |
Microsoft Office 動的データ交換(DDE) 機能の悪用 |
11月 |
CVE-2017-11882 Microsoft Officeの脆弱性 |
11月 |
Necurs ボットによる TrickBotとGlbeImposterの攻撃キャンペーン |
リスト 1 ばらまき型攻撃数を増加させた新たな脆弱性、テクニック、攻撃キャンペーン
このように世界規模でおこなわれたばらまき型攻撃は日本にも影響を及ぼします。一方で日本人だけを対象としたばらまき型攻撃も発生しています。特に不正送金を働くバンキング型トロイの木馬の感染を目的としたメールでの攻撃キャンペーンは2016年より継続して観測されていて、数十万のメールが送られています。日本だけで発生するばらまき型もあるため、2017年のデータではグローバルで検出される不正なメールの約23%が日本で検出されていました。
継続する WanaCryp0r (WannaCry) の危険性
2017年5月に世界中で感染が報告されたワーム型ランサムウェア WanaCrypt0r (別名 WannaCry) は、マルウェアに組み込まれていたキルスイッチによる機能停止とOSに対するパッチの適用、ユーザによるセキュリティポリシーの見直し等の対策で現在は沈静化しているように見えます。しかし実際にはインターネット上では現在でも脆弱性(EternalBlue)による WanaCrypt0r の感染活動が日々大量に観測されています。
パロアルトネットワークスでは現時点で3万5千以上の WanaCrypt0r の亜種を確認しており、大量の亜種が継続して作られていることを示しています。中には Virut のようなポリモーフィック型ウイルスに感染して意図せず変異してしまったものもありますが、オリジナルをバイナリエディタ等で数バイトだけ変更したものや、パッカーと呼ばれるツールを使って作られたものなど大多数は故意に作成されたものです。これらの亜種は、ソースコードを持っているオリジナルの WanaCrypt0r の作者ではなくても作成可能であるため、現在でも亜種が生み出され、世界中で感染活動が繰り返されています。
図 4 WanaCrypt0r 亜種発見数推移
ワーム型の感染活動を根絶するためには、感染端末の封じ込めと一掃が必要です。しかし世界中の感染端末を取り除く、または隔離することは現実には不可能です。先例として、2008年に SMB の脆弱性を悪用して世界中に広がった Conficker (別名 Downadup, Downad) があります。このワームは9年以上たった現在でも感染活動が確認されており、パッチを適用していない端末を直接インターネットに接続した場合は感染してしまいます。WanaCrypt0r も Conficker と同様に感染活動が長期的に続くと懸念されます。
多様化する標的型攻撃
大量のメールによるばらまき型や、脆弱性を悪用して短時間で世界中に感染を広げた WanaCrypt0r のような無差別な攻撃だけでなく、標的型攻撃も多数確認されました。昨年の標的型攻撃の特徴としては、多様化が促進された点です。
標的型攻撃は侵入して情報窃取を行うスパイ活動と目されるものが多く報告されますが、ディスク上のファイルを消してしまう破壊活動や政治目的で政府を攻撃するランサムウェアなど、サボタージュを目的としたものが複数確認されました。また Android などのモバイルや macOS をターゲットにした標的型攻撃も珍しいものではなくなってきています。またターゲットも日本やアメリカなどだけでなく、 ベトナムとミャンマー、カンボジア、タイ、 ベラルーシ、中東等と多くの国や地域において、様々なツールや戦術を駆使した標的型攻撃を観測しています。
日本での標的型攻撃に関しては、menuPass や Tick など、攻撃に使用するマルウェアや攻撃戦術を変えながら長期間継続的に活動しているグループが複数存在しており、2017年も活動していることが判明しています。新しいカスタムマルウェアの開発やゼロデイ脆弱性の発見・悪用など、技術力の高さやリソースの豊富さが推定されるグループが多く、今後も注意が必要です。
グループ・キャンペーン |
マルウェア |
活動確認時期 |
menuPass |
ChChes, PoisonIvy, PlugX RedLeaves |
2009年ごろ |
Tick |
Daserf, Minzen, Datper, 9002, Gh0st, Invader, HomamDownloader
|
2008年ごろ |
DragonOK |
Sysget, IsSpace, TidePool, FormerFirstRAT, NFLog, PlugX, PoisonIvy
|
2013年ごろ |
MileTEA |
Elirks, Micrass, Logedrut
|
2011年ごろ |