マカフィー、2017年第3四半期の脅威レポートを発表
[18/01/17]
提供元:PRTIMES
提供元:PRTIMES
既知のエクスプロイトやファイルレス マルウェアにより新規マルウェア数が急増
※当資料は、2017年12月12日に米国で発表されたプレスリリースの抄訳です。
ニュース ハイライト
2017年第3四半期に新たに発見されたマルウェア サンプル数は前四半期から10%急増の5,760万件となり、1四半期のサンプル数としては過去最大を記録
2017年第3四半期は1秒間に7.2個の新規マルウェア サンプルを検知
マイクロソフトが提供するPowerShellを利用したファイルレス マルウェアが前四半期から119%増加
Trickbotマルウェアやその他の脅威が、パッチ対応済みの既知のマイクロソフトの脆弱性を利用していることが判明
新しいランサムウェアのサンプル数が前四半期から36%増加、Lockyランサムウェアの亜種であるLukitusが出現
DragonFly 2.0マルウェアを利用したスパイ攻撃の標的が、新たに製薬、金融、会計などの業界に拡大
新しいモバイル マルウェアの数が前四半期から60%増加し、第3四半期もアジアで最も高い感染率を記録
米国マカフィー(McAfee LLC、本社:米国カリフォルニア州)は本日、最新の2017年第3四半期の脅威レポート「McAfee Labs脅威レポート:2017年12月」を発表しました。
最新のレポートでは、新たなマルウェア サンプルの数が1四半期としてはこれまでで最大の5,760万件となり、1秒あたり7.2個の新しいサンプルを検知したことを確認しました。また、不正なマクロを使った新しいファイルレス マルウェア、Lockyランサムウェアの新しい亜種であるLukitus、そして新種のバンキング型トロイの木馬であるTrickbotとEmotetなどの脅威の進化に注目しています。また、2017年第1四半期にマイクロソフト社がパッチを配布しているにも関わらず、同社のテクノロジーの脆弱性を悪用した脅威が非常に多く発生していることも確認されました。
マカフィーのチーフ サイエンティストであるラージ・サマニ(Raj Samani)は、「第3四半期も、PowerShellなどの動的かつ無害なプラットフォーム テクノロジーや、個人的なフィッシング被害への無関心さに加え、セキュリティ アップデートがリリースされているにも関わらず、既知の脆弱性にパッチを適用しない企業が多いという事実を悪用した脅威を攻撃者が利用していることが明らかになりました。攻撃者は常に、最新の革新的技術や普及しているプラットフォームを悪用した攻撃方法を模索していますが、セキュリティの世界では、個人や企業が最も脆弱な存在とならないようにすることがより大きな課題なのかもしれません」と述べています。
McAfee Labsでは、世界中に設置されている膨大な数のセンサーから、世界規模の脅威データベースであるMcAfee Global Threat Intelligence(GTI)が収集した脅威データを基に、四半期ごとにサイバー脅威情勢を調査しています。また、マカフィーのMcAfee Advanced Threat Intelligenceも、世界中のサイバー攻撃に関して詳細な調査分析を行っています。
既知の脆弱性の悪用
2017年第3四半期も、Microsoft OfficeとWordPad内の脆弱性を利用し、特殊ファイルを介して遠隔でコードを実行するCVE-2017-0199など、Microsoft Officeの脆弱性が悪用されていることを確認しました。そして、多くの攻撃では、複雑な設定を必要とせず、簡単にバックドアを仕掛けられるGitHubから取得したツールが利用されていました。
新種のバンキング型トロイの木馬であるTrickbotは、第2四半期に大量のWannaCryやNotPetyaランサムウェア攻撃を発生させたEternalBlueエクスプロイトが埋め込まれたコードを悪用していました。マイクロソフトは継続的にセキュリティ パッチを適用してEternalBlueに対抗していますが、この新種のTrickbotでも、過去に成功した攻撃テクニックを引き続き利用しています。第3四半期には、Trickbotに仮想通貨の窃取や新種の感染手法などの新しい傾向も取り入れられ、最も活動的なバンキング型トロイの木馬となりました。
マカフィーの最高技術責任者(CTO)であるスティーブ・グロブマン(Steve Grobman)は「発見された脆弱性が、一般的に、またはハッカー コミュニティで公開されることは、それを悪用して精巧な脅威を開発しようと目論む悪者に設計図が提示されることを意味します。2017年は、そのような脆弱性が悪用され、WannaCryやNotPetyaなどのランサムウェアの大発生やEquifax社のような注目を集めた情報流出事件など、大規模なサイバー事件が発生した年として記憶されるでしょう。IT企業や政府、その他の企業は、サイバー セキュリティ上の脆弱性の発見や修正のための投資を増やすことでのみ、それらの脆弱性を悪用しようとするサイバー犯罪者に対抗することができるのです」と述べています。
ファイルレスの脅威
第3四半期もファイルレス攻撃に対する懸念は高まっており、PowerShellマルウェアの数は119%増加しました。そして、このカテゴリで最も顕著なのは、Emotetというバンキング型トロイの木馬です。大規模なスパム キャンペーンを通して世界中に拡散し、ユーザーにMicrosoft Word文書をダウンロードさせようとします。ダウンロードしてしまうと、PowerShellマクロがユーザーの気づかないところで、システムにマルウェアをダウンロードの上、インストールさせます。
McAfee Labsのバイス プレジデントであるヴィンセント・ウィーファー(Vincent Weafer)は、「現在でも、多くのサイバー攻撃が、初歩的なセキュリティ上の脆弱性、セキュリティ上のリスク、ユーザーの行動などを悪用することで成り立っていますが、ファイルレス攻撃は被害者のシステムの機能を利用します。攻撃者は、信頼性の高いアプリケーションを利用したり、PowerShellやJavaScriptなど、システムを稼働させるためのネイティブ ツールにアクセスすることで、少なくとも攻撃の初期段階の部分で飛躍的な進化を遂げ、実行ファイルを一切ダウンロードすることなくコンピューターを掌握する方法を手に入れました」と述べています。
Lukitusランサムウェア
ランサムウェアの分野で確認された重要な進化の1つは、Lockyランサムウェアの新亜種であるLukitusの登場です。このランサムウェアは、攻撃開始から24時間で2,300万件以上のスパム メールを介して拡散されました。このカテゴリ全体で、新規ランサムウェア サンプルの数は前四半期比で36%増加しました。そして、ランサムウェアの総数は、過去1年間で44%増の1,230万件に達しています。
DragonFly: 標的と目的の拡大
マカフィーの調査専門チームであるAdvanced Threat Research(ATR)チームは、2017年初めにエネルギー産業で発見されたDragonFly 2.0マルウェアの標的が、製薬、金融サービス、会計などの業界にも広がっていることを確認しました。この攻撃では、攻撃者はまずスピア フィッシング メールを送信して、受信者にリンクをクリックするよう誘導し、トロイの木馬をダウンロードさせることで被害者のネットワークにアクセスします。
マカフィーのリード サイエンティスト 兼 プリンシパル エンジニアのクリスティアン・ビーク(Christiaan Beek)は「DragonFly 2.0による攻撃は、標的の内情を偵察することが目的であると考えられています。主な標的は、エネルギーや製薬などの業界であることが確認されています。標的とする部門にアクセスして得た知的財産や内部情報には、大きな経済価値があります」と述べています。
2017年第3四半期の脅威動向
2017年第3四半期中、マカフィーの世界規模の脅威データベースであるGTI(グローバル脅威インテリジェンス)ネットワークには、各業界のサイバー上の脅威の増加やサイバー攻撃に関する注目すべき傾向が記録されました。
・セキュリティ インシデント: McAfee Labsは、第3四半期に世界中のさまざまな機関から263件のセキュリティ インシデントが発表されたことを確認しました。これは、第2四半期から15%の減少です。第3四半期に発表されたセキュリティ インシデントの60%以上が、米国で発生したものです。
・標的になった業界: 第3四半期に報告された全セキュリティ インシデントのうち、40%以上を医療業界と公共部門が占めています。
- 北米: 第3四半期も医療業界から最も多くのセキュリティ インシデントが報告されました。
- アジア: 第3四半期は、公共部門から最も多くのセキュリティ インシデントが報告されました。それに続き、テクノロジー業界や個人に対する攻撃も数多く報告されています。
- ヨーロッパ、オセアニア、アフリカ: 第3四半期は、公共部門から最も多くのセキュリティ インシデントが報告されました。
・攻撃方法: 最も報告が多かった攻撃は、アカウントの乗っ取りでした。それに続き、情報漏えい、マルウェア、DDoS、標的型攻撃も数多く報告されています。
・モバイル マルウェア: 第3四半期もモバイル マルウェアの累計総数は増加傾向にあり、これまでに観測したサンプル数は2,110万件に達しました。また、新規モバイル マルウェアの数は、Androidの画面をロックするランサムウェアの急増が主因となり、前四半期から60%増加しました。
・マルウェア全般: 第3四半期に新たに発見されたマルウェア サンプルの数は、前四半期から10%増の5,760万件でした。過去1年間で、マルウェア サンプルの総数は27%増の7億7,200万件近くに達しました。
・ファイルレス マルウェア: 第3四半期は、JavaScriptマルウェアの増加率が26%減少しましたが、PowerShellマルウェアの数は倍以上となり、前四半期から119%増加しました。
・ランサムウェア: 第3四半期に新たに発見されたランサムウェア サンプルの数は、前四半期から36%増加して、151万件でした。第3四半期までに新たに発見されたランサムウェア サンプルの総数は、前四半期から14%増の1,220万件に達しました。
・Macマルウェア: 第3四半期までのMac OSマルウェアのサンプル累計総数は、前四半期比で7%増加しました。
・マクロ マルウェア: 第3四半期もマクロ マルウェアは増加を続け、これまでの累計総数は8%増加しました。
・スパム キャンペーン: 第3四半期中に最も多く確認されたスパム ボットネットは、前期と同じくGamutボットネットでした。僅差でNecursボットネットが第2位につけています。第3四半期中、Necursが、“Status Invoice”、“Your Payment”、“Emailing: [ランダムな数字] JPG” などの件名のメールを介して、一部のYkcol(Locky)ランサムウェアを拡散させました。
これらの内容に関する詳細は、マカフィーのブログ「Operation Dragonflyの分析:以前の攻撃との関連性を示唆」、「ランサムウェア攻撃者の調査から驚愕の事実が判明」をご参照ください。
『McAfee Labs Threats Report: December 2017(McAfee Labs脅威レポート: 2017年12月)』の日本語版全文は、以下からダウンロードできます。
https://www.mcafee.com/jp/resources/reports/rp-quarterly-threats-dec-2017.pdf
McAfee Labsについて
McAfee Labsは、マカフィーの脅威調査部門であり、脅威調査、脅威インテリジェンス、サイバー セキュリティに関する世界有数の情報ソースです。McAfee Labsは、ファイル、Web、ネットワークなど、主要な脅威ポイントに配置された数百万のセンサーから脅威データを収集しています。そして、それら脅威ポイントから収集された脅威インテリジェンス、重要な分析結果、専門化としての見解などをリアルタイムに配信し、より優れた保護とリスクの軽減に取り組んでいます。さらに、McAfee Labsは、核となる脅威検出テクノロジーを開発し、それらを業界で最も包括的な自社のセキュリティ製品群に統合しています。
マカフィーについて
マカフィーは世界最大規模の独立系サイバーセキュリティ企業です。業界、製品、組織、そして個人の垣根を超えて共に力を合わせることで実現する、より安全な 世界を目指し、企業そして個人向けのセキュリティ ソリューションを提供しています。詳細はhttp://www.mcafee.com/jp/ をご覧ください。
McAfee、McAfeeのロゴは、米国およびその他の国におけるMcAfee LLCの商標です。
* その他の製品名やブランドは、該当各社の商標です。
※当資料は、2017年12月12日に米国で発表されたプレスリリースの抄訳です。
ニュース ハイライト
2017年第3四半期に新たに発見されたマルウェア サンプル数は前四半期から10%急増の5,760万件となり、1四半期のサンプル数としては過去最大を記録
2017年第3四半期は1秒間に7.2個の新規マルウェア サンプルを検知
マイクロソフトが提供するPowerShellを利用したファイルレス マルウェアが前四半期から119%増加
Trickbotマルウェアやその他の脅威が、パッチ対応済みの既知のマイクロソフトの脆弱性を利用していることが判明
新しいランサムウェアのサンプル数が前四半期から36%増加、Lockyランサムウェアの亜種であるLukitusが出現
DragonFly 2.0マルウェアを利用したスパイ攻撃の標的が、新たに製薬、金融、会計などの業界に拡大
新しいモバイル マルウェアの数が前四半期から60%増加し、第3四半期もアジアで最も高い感染率を記録
米国マカフィー(McAfee LLC、本社:米国カリフォルニア州)は本日、最新の2017年第3四半期の脅威レポート「McAfee Labs脅威レポート:2017年12月」を発表しました。
最新のレポートでは、新たなマルウェア サンプルの数が1四半期としてはこれまでで最大の5,760万件となり、1秒あたり7.2個の新しいサンプルを検知したことを確認しました。また、不正なマクロを使った新しいファイルレス マルウェア、Lockyランサムウェアの新しい亜種であるLukitus、そして新種のバンキング型トロイの木馬であるTrickbotとEmotetなどの脅威の進化に注目しています。また、2017年第1四半期にマイクロソフト社がパッチを配布しているにも関わらず、同社のテクノロジーの脆弱性を悪用した脅威が非常に多く発生していることも確認されました。
マカフィーのチーフ サイエンティストであるラージ・サマニ(Raj Samani)は、「第3四半期も、PowerShellなどの動的かつ無害なプラットフォーム テクノロジーや、個人的なフィッシング被害への無関心さに加え、セキュリティ アップデートがリリースされているにも関わらず、既知の脆弱性にパッチを適用しない企業が多いという事実を悪用した脅威を攻撃者が利用していることが明らかになりました。攻撃者は常に、最新の革新的技術や普及しているプラットフォームを悪用した攻撃方法を模索していますが、セキュリティの世界では、個人や企業が最も脆弱な存在とならないようにすることがより大きな課題なのかもしれません」と述べています。
McAfee Labsでは、世界中に設置されている膨大な数のセンサーから、世界規模の脅威データベースであるMcAfee Global Threat Intelligence(GTI)が収集した脅威データを基に、四半期ごとにサイバー脅威情勢を調査しています。また、マカフィーのMcAfee Advanced Threat Intelligenceも、世界中のサイバー攻撃に関して詳細な調査分析を行っています。
既知の脆弱性の悪用
2017年第3四半期も、Microsoft OfficeとWordPad内の脆弱性を利用し、特殊ファイルを介して遠隔でコードを実行するCVE-2017-0199など、Microsoft Officeの脆弱性が悪用されていることを確認しました。そして、多くの攻撃では、複雑な設定を必要とせず、簡単にバックドアを仕掛けられるGitHubから取得したツールが利用されていました。
新種のバンキング型トロイの木馬であるTrickbotは、第2四半期に大量のWannaCryやNotPetyaランサムウェア攻撃を発生させたEternalBlueエクスプロイトが埋め込まれたコードを悪用していました。マイクロソフトは継続的にセキュリティ パッチを適用してEternalBlueに対抗していますが、この新種のTrickbotでも、過去に成功した攻撃テクニックを引き続き利用しています。第3四半期には、Trickbotに仮想通貨の窃取や新種の感染手法などの新しい傾向も取り入れられ、最も活動的なバンキング型トロイの木馬となりました。
マカフィーの最高技術責任者(CTO)であるスティーブ・グロブマン(Steve Grobman)は「発見された脆弱性が、一般的に、またはハッカー コミュニティで公開されることは、それを悪用して精巧な脅威を開発しようと目論む悪者に設計図が提示されることを意味します。2017年は、そのような脆弱性が悪用され、WannaCryやNotPetyaなどのランサムウェアの大発生やEquifax社のような注目を集めた情報流出事件など、大規模なサイバー事件が発生した年として記憶されるでしょう。IT企業や政府、その他の企業は、サイバー セキュリティ上の脆弱性の発見や修正のための投資を増やすことでのみ、それらの脆弱性を悪用しようとするサイバー犯罪者に対抗することができるのです」と述べています。
ファイルレスの脅威
第3四半期もファイルレス攻撃に対する懸念は高まっており、PowerShellマルウェアの数は119%増加しました。そして、このカテゴリで最も顕著なのは、Emotetというバンキング型トロイの木馬です。大規模なスパム キャンペーンを通して世界中に拡散し、ユーザーにMicrosoft Word文書をダウンロードさせようとします。ダウンロードしてしまうと、PowerShellマクロがユーザーの気づかないところで、システムにマルウェアをダウンロードの上、インストールさせます。
McAfee Labsのバイス プレジデントであるヴィンセント・ウィーファー(Vincent Weafer)は、「現在でも、多くのサイバー攻撃が、初歩的なセキュリティ上の脆弱性、セキュリティ上のリスク、ユーザーの行動などを悪用することで成り立っていますが、ファイルレス攻撃は被害者のシステムの機能を利用します。攻撃者は、信頼性の高いアプリケーションを利用したり、PowerShellやJavaScriptなど、システムを稼働させるためのネイティブ ツールにアクセスすることで、少なくとも攻撃の初期段階の部分で飛躍的な進化を遂げ、実行ファイルを一切ダウンロードすることなくコンピューターを掌握する方法を手に入れました」と述べています。
Lukitusランサムウェア
ランサムウェアの分野で確認された重要な進化の1つは、Lockyランサムウェアの新亜種であるLukitusの登場です。このランサムウェアは、攻撃開始から24時間で2,300万件以上のスパム メールを介して拡散されました。このカテゴリ全体で、新規ランサムウェア サンプルの数は前四半期比で36%増加しました。そして、ランサムウェアの総数は、過去1年間で44%増の1,230万件に達しています。
DragonFly: 標的と目的の拡大
マカフィーの調査専門チームであるAdvanced Threat Research(ATR)チームは、2017年初めにエネルギー産業で発見されたDragonFly 2.0マルウェアの標的が、製薬、金融サービス、会計などの業界にも広がっていることを確認しました。この攻撃では、攻撃者はまずスピア フィッシング メールを送信して、受信者にリンクをクリックするよう誘導し、トロイの木馬をダウンロードさせることで被害者のネットワークにアクセスします。
マカフィーのリード サイエンティスト 兼 プリンシパル エンジニアのクリスティアン・ビーク(Christiaan Beek)は「DragonFly 2.0による攻撃は、標的の内情を偵察することが目的であると考えられています。主な標的は、エネルギーや製薬などの業界であることが確認されています。標的とする部門にアクセスして得た知的財産や内部情報には、大きな経済価値があります」と述べています。
2017年第3四半期の脅威動向
2017年第3四半期中、マカフィーの世界規模の脅威データベースであるGTI(グローバル脅威インテリジェンス)ネットワークには、各業界のサイバー上の脅威の増加やサイバー攻撃に関する注目すべき傾向が記録されました。
・セキュリティ インシデント: McAfee Labsは、第3四半期に世界中のさまざまな機関から263件のセキュリティ インシデントが発表されたことを確認しました。これは、第2四半期から15%の減少です。第3四半期に発表されたセキュリティ インシデントの60%以上が、米国で発生したものです。
・標的になった業界: 第3四半期に報告された全セキュリティ インシデントのうち、40%以上を医療業界と公共部門が占めています。
- 北米: 第3四半期も医療業界から最も多くのセキュリティ インシデントが報告されました。
- アジア: 第3四半期は、公共部門から最も多くのセキュリティ インシデントが報告されました。それに続き、テクノロジー業界や個人に対する攻撃も数多く報告されています。
- ヨーロッパ、オセアニア、アフリカ: 第3四半期は、公共部門から最も多くのセキュリティ インシデントが報告されました。
・攻撃方法: 最も報告が多かった攻撃は、アカウントの乗っ取りでした。それに続き、情報漏えい、マルウェア、DDoS、標的型攻撃も数多く報告されています。
・モバイル マルウェア: 第3四半期もモバイル マルウェアの累計総数は増加傾向にあり、これまでに観測したサンプル数は2,110万件に達しました。また、新規モバイル マルウェアの数は、Androidの画面をロックするランサムウェアの急増が主因となり、前四半期から60%増加しました。
・マルウェア全般: 第3四半期に新たに発見されたマルウェア サンプルの数は、前四半期から10%増の5,760万件でした。過去1年間で、マルウェア サンプルの総数は27%増の7億7,200万件近くに達しました。
・ファイルレス マルウェア: 第3四半期は、JavaScriptマルウェアの増加率が26%減少しましたが、PowerShellマルウェアの数は倍以上となり、前四半期から119%増加しました。
・ランサムウェア: 第3四半期に新たに発見されたランサムウェア サンプルの数は、前四半期から36%増加して、151万件でした。第3四半期までに新たに発見されたランサムウェア サンプルの総数は、前四半期から14%増の1,220万件に達しました。
・Macマルウェア: 第3四半期までのMac OSマルウェアのサンプル累計総数は、前四半期比で7%増加しました。
・マクロ マルウェア: 第3四半期もマクロ マルウェアは増加を続け、これまでの累計総数は8%増加しました。
・スパム キャンペーン: 第3四半期中に最も多く確認されたスパム ボットネットは、前期と同じくGamutボットネットでした。僅差でNecursボットネットが第2位につけています。第3四半期中、Necursが、“Status Invoice”、“Your Payment”、“Emailing: [ランダムな数字] JPG” などの件名のメールを介して、一部のYkcol(Locky)ランサムウェアを拡散させました。
これらの内容に関する詳細は、マカフィーのブログ「Operation Dragonflyの分析:以前の攻撃との関連性を示唆」、「ランサムウェア攻撃者の調査から驚愕の事実が判明」をご参照ください。
『McAfee Labs Threats Report: December 2017(McAfee Labs脅威レポート: 2017年12月)』の日本語版全文は、以下からダウンロードできます。
https://www.mcafee.com/jp/resources/reports/rp-quarterly-threats-dec-2017.pdf
McAfee Labsについて
McAfee Labsは、マカフィーの脅威調査部門であり、脅威調査、脅威インテリジェンス、サイバー セキュリティに関する世界有数の情報ソースです。McAfee Labsは、ファイル、Web、ネットワークなど、主要な脅威ポイントに配置された数百万のセンサーから脅威データを収集しています。そして、それら脅威ポイントから収集された脅威インテリジェンス、重要な分析結果、専門化としての見解などをリアルタイムに配信し、より優れた保護とリスクの軽減に取り組んでいます。さらに、McAfee Labsは、核となる脅威検出テクノロジーを開発し、それらを業界で最も包括的な自社のセキュリティ製品群に統合しています。
マカフィーについて
マカフィーは世界最大規模の独立系サイバーセキュリティ企業です。業界、製品、組織、そして個人の垣根を超えて共に力を合わせることで実現する、より安全な 世界を目指し、企業そして個人向けのセキュリティ ソリューションを提供しています。詳細はhttp://www.mcafee.com/jp/ をご覧ください。
McAfee、McAfeeのロゴは、米国およびその他の国におけるMcAfee LLCの商標です。
* その他の製品名やブランドは、該当各社の商標です。