• JP
  • magnifying glass search icon to open search field
  • お問い合わせ
  • リソースセンター
  • サポートを受ける
  • 現在、攻撃を受けていますか?
Palo Alto Networks logo
  • 製品
  • ソリューション
  • サービス
  • 業種
  • パートナー
  • パロアルトネットワークスをお勧めする理由
  • 会社案内
  • その他
  • JP
    Language
  • お問い合わせ
  • リソースセンター
  • サポートを受ける
  • 現在、攻撃を受けていますか?
  • スタート ガイド

2017年 セキュリティ振り返り ― 日本で猛威をふるったメールでのばらまき型攻撃 他

林 薫 1 26, 2018 at 03:00 午後

2017年も様々なセキュリティインシデントが世間を賑わせました。今回は、パロアルトネットワークスのセキュリティソリューションが実際に検出した実データや、脅威インテリジェンスチームUnit 42による調査結果をもとに、国内外の2017年のセキュリティトピックについて振り返ります。

  • 日本で猛威をふるったメールでのばらまき型攻撃
  • 継続する WanaCryp0r (WannaCry) の危険性
  • 多様化する標的型攻撃

日本で猛威をふるったメールでのばらまき型攻撃

パロアルトネットワークスではネットワークやエンドポイント、クラウドで発見された未知ファイルを分析し、悪意あるものと判断された場合自動的に防御を提供するWildFire™クラウド脅威解析サービスを提供しています。2017年の一年間に WildFire™で解析した未知のファイルは約25億種類にのぼり、このうち約6千万種類のファイルが新たなマルウェアとして判定され対策が提供されました。

 

国別でマルウェアの検出数が最も多かったのはアメリカ、続いて日本、オーストラリア、イタリア、イギリスとなり、隣国の韓国は9位でした。

図 1 国別攻撃検出数

 

日本がワースト2位となった理由は、メールによるばらまき型攻撃の影響を大きくうけていることによります。図2は2017年にマルウェアが検出されたネットワークプロトコルの内訳ですが、日本はメール関連 (SMTP, POP3, IMAP等)で発見されるケースが83%と、グローバルの約50%と比較して、突出して多いことから、メールによる攻撃の影響の大きさがわかります。

図 2 日本におけるマルウェア検出ネットワークプロトコル内訳

 

図3のグラフは2017年のメールを経由したマルウェアの検出数の推移を表しています。検出数が大きく増加している箇所がいくつかありますが、これらはばらまき型の攻撃が発生したことを示しています。それぞれ増加している時期には、後述する新しい脆弱性や攻撃テクニックが発見されたり、大規模な攻撃キャンペーンが展開されており、これらのことが、ばらまき型の攻撃のきっかけとなることがわかります。

図 3新しい脆弱性等のメールを介した攻撃への影響

 

時期

脆弱性、テクニック、キャンペーン

4月

CVE-2017-0199 Microsoft Officeの脆弱性

5月

PDF に 凶器化Doc を埋め込む PdfDcomDropper

10月

Microsoft Office 動的データ交換(DDE) 機能の悪用

11月

CVE-2017-11882 Microsoft Officeの脆弱性

11月

Necurs ボットによる TrickBotとGlbeImposterの攻撃キャンペーン

リスト 1 ばらまき型攻撃数を増加させた新たな脆弱性、テクニック、攻撃キャンペーン

 

このように世界規模でおこなわれたばらまき型攻撃は日本にも影響を及ぼします。一方で日本人だけを対象としたばらまき型攻撃も発生しています。特に不正送金を働くバンキング型トロイの木馬の感染を目的としたメールでの攻撃キャンペーンは2016年より継続して観測されていて、数十万のメールが送られています。日本だけで発生するばらまき型もあるため、2017年のデータではグローバルで検出される不正なメールの約23%が日本で検出されていました。

 

継続する WanaCryp0r (WannaCry) の危険性

2017年5月に世界中で感染が報告されたワーム型ランサムウェア WanaCrypt0r (別名 WannaCry) は、マルウェアに組み込まれていたキルスイッチによる機能停止とOSに対するパッチの適用、ユーザによるセキュリティポリシーの見直し等の対策で現在は沈静化しているように見えます。しかし実際にはインターネット上では現在でも脆弱性(EternalBlue)による WanaCrypt0r の感染活動が日々大量に観測されています。

 

パロアルトネットワークスでは現時点で3万5千以上の WanaCrypt0r の亜種を確認しており、大量の亜種が継続して作られていることを示しています。中には Virut のようなポリモーフィック型ウイルスに感染して意図せず変異してしまったものもありますが、オリジナルをバイナリエディタ等で数バイトだけ変更したものや、パッカーと呼ばれるツールを使って作られたものなど大多数は故意に作成されたものです。これらの亜種は、ソースコードを持っているオリジナルの WanaCrypt0r の作者ではなくても作成可能であるため、現在でも亜種が生み出され、世界中で感染活動が繰り返されています。

図 4 WanaCrypt0r 亜種発見数推移

 

ワーム型の感染活動を根絶するためには、感染端末の封じ込めと一掃が必要です。しかし世界中の感染端末を取り除く、または隔離することは現実には不可能です。先例として、2008年に SMB の脆弱性を悪用して世界中に広がった Conficker (別名 Downadup, Downad) があります。このワームは9年以上たった現在でも感染活動が確認されており、パッチを適用していない端末を直接インターネットに接続した場合は感染してしまいます。WanaCrypt0r も Conficker と同様に感染活動が長期的に続くと懸念されます。

 

多様化する標的型攻撃

大量のメールによるばらまき型や、脆弱性を悪用して短時間で世界中に感染を広げた WanaCrypt0r のような無差別な攻撃だけでなく、標的型攻撃も多数確認されました。昨年の標的型攻撃の特徴としては、多様化が促進された点です。

 

標的型攻撃は侵入して情報窃取を行うスパイ活動と目されるものが多く報告されますが、ディスク上のファイルを消してしまう破壊活動や政治目的で政府を攻撃するランサムウェアなど、サボタージュを目的としたものが複数確認されました。また Android などのモバイルや macOS をターゲットにした標的型攻撃も珍しいものではなくなってきています。またターゲットも日本やアメリカなどだけでなく、 ベトナムとミャンマー、カンボジア、タイ、 ベラルーシ、中東等と多くの国や地域において、様々なツールや戦術を駆使した標的型攻撃を観測しています。

 

日本での標的型攻撃に関しては、menuPass や Tick など、攻撃に使用するマルウェアや攻撃戦術を変えながら長期間継続的に活動しているグループが複数存在しており、2017年も活動していることが判明しています。新しいカスタムマルウェアの開発やゼロデイ脆弱性の発見・悪用など、技術力の高さやリソースの豊富さが推定されるグループが多く、今後も注意が必要です。

 

グループ・キャンペーン

マルウェア

活動確認時期

menuPass

ChChes, PoisonIvy, PlugX

RedLeaves

2009年ごろ

Tick

Daserf, Minzen, Datper, 9002, Gh0st, Invader, HomamDownloader

 

2008年ごろ

DragonOK

Sysget, IsSpace, TidePool, FormerFirstRAT, NFLog, PlugX, PoisonIvy

 

2013年ごろ

MileTEA

Elirks, Micrass, Logedrut

 

2011年ごろ

 

 

ニュース

Wireshark によるパケット解析講座 1

Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うとネットワーク トラフィックをキャプチャしたり、キャプチャしたパケットを表示させることができます。そこでパロアルトネットワークスの脅威インテリジェンス調査チーム Unit42 に所属するアナリストが、Wireshark を使ってマルウェア検体が生成したトラフィックをレビューするさいに利用している便利な使いかたをご紹介していきます。
January 17, 2019

ニュース

Wireshark によるパケット解析講座 3

前回までではWiresharkの列表示のカスタマイズ方法と表示フィルタの式について見ていきました。本稿ではトラフィックから感染ないし侵害を受けたホスト名やユーザーを特定する方法について説明します。
March 31, 2019

ニュース

Wireshark によるパケット解析講座 2

前回は Wiresharkの列表示のカスタマイズ方法について見ていきました。本稿では脅威インテリジェンスの調査上便利なフィルタリングの設定方法について説明します。
January 20, 2019

ニュース

DNSトンネリング: 攻撃者はDNSをどう悪用するのか

悪意のある攻撃者は、ドメインネームサービス(DNS)をコマンド&コントロール(C2)用通信チャネルとして悪用してきました。またこのプロトコルはこのほかに、データを漏出させる目的でも悪用されてきました。DNS の悪用はC2に「ハートビート」接続のために通信するという用途からさらに広がっており、攻撃者はここ数年、悪意のあるデータやペイロードをDNS経由で被害者のシステムに侵入させる用途にもDNSを使っています。本稿では、DNSを悪用したデータ侵入・漏出の種類、方法、使用方法を紹介し、その防御メカニズムへの指針を示します。
March 18, 2019

ニュース

Wireshark によるパケット解析講座 4

セキュリティ専門家は、不審なアクティビティのパケット キャプチャ(pcap)をレビューする際、より詳しく調べるために、オブジェクトをpcapからエクスポートしなければならない場合があります。
July 12, 2019

データシート

PA-400シリーズ

パロアルトネットワークスの機械学習を活用したNGFW「PA-400 Series (PA-460、PA-450、PA-440)」なら、分散した大企業の支社、小売店、中規模企業にも次世代ファイアウォール機能を導入できます。
August 3, 2022

最新ニュース、イベント情報、脅威アラートを配信

このフォームを送信すると、お客様は弊社の利用規約とプライバシー ポリシーに同意したものとみなされます。

black youtube icon black twitter icon black facebook icon black linkedin icon
  • USA (ENGLISH)
  • AUSTRALIA (ENGLISH)
  • BRAZIL (PORTUGUÉS)
  • CANADA (ENGLISH)
  • CHINA (简体中文)
  • FRANCE (FRANÇAIS)
  • GERMANY (DEUTSCH)
  • INDIA (ENGLISH)
  • ITALY (ITALIANO)
  • JAPAN (日本語)
  • KOREA (한국어)
  • LATIN AMERICA (ESPAÑOL)
  • MEXICO (ESPAÑOL)
  • SINGAPORE (ENGLISH)
  • SPAIN (ESPAÑOL)
  • TAIWAN (繁體中文)
  • UK (ENGLISH)

人気のあるリソース

  • 会社概要
  • イベント センター
  • イベント
  • リソースセンター
  • プレスリリース
  • Unit42 ブログ
  • 投資家の皆様へ
  • ブログ
  • Japan Live Community
  • Tech Docs
  • キャリア
  • お問い合わせ
  • サイトマップ

法定通知

  • プライバシー
  • 個人情報保護基本方針
  • 利用規約
  • トラスト センター
  • ドキュメント
  • 一般事業主行動計画

アカウント

  • 購読の管理
  • パートナーログイン
  • パートナーになる
脆弱性の報告

Copyright © 2023 Palo Alto Networks. All rights reserved