SecurityInsight | セキュリティインサイト

マカフィー、2016年第4四半期の脅威レポートを発表

マカフィーは4月17日、2016年第4四半期の脅威レポート「McAfee Labs脅威レポート: 2017年4月」を発表した。

このレポートは、脅威インテリジェンスの共有に向けた課題、IoTデバイスを標的としたMiraiボットネットの詳しい構造と内部的な挙動、さまざまな業界で報告されている攻撃の検証結果、マルウェア、ランサムウェア、モバイルマルウェアを含む、2016年第4四半期に確認された脅威の増加傾向について報告するものとなっている。

レポートでは、脅威インテリジェンスの構成要素、情報源、共有モデル、すなわちセキュリティ運用チームで脅威情報の共有を強化する方法や、セキュリティ業界が解決すべき極めて重要な課題など、脅威インテリジェンス共有の背景やそれを促進する要因などについて説明している。

レポートで紹介されている脅威インテリジェンス共有に関する主な課題は以下のとおりとなっている。

・データの量:
現在でも、大量の情報から不要なデータを取り除くという課題が原因で、防御側が取り組むべき最優先のセキュリティインシデントに対し、優先度や対応範囲を決め、対処する、といったことができていない。

・データの検証:
攻撃者が、脅威インテリジェンス システムを騙し、混乱させるために偽の情報を送信する可能性がある。その結果、これらの偽の情報が正しく処理されない場合、正規の情報源からの脅威情報が改竄される可能性がある。

・データの品質:
セキュリティベンダーは、脅威データをより多く収集し、共有することだけにこだわると、大量の重複データが生成され、貴重な時間と労力が無駄になる危険性がある。センサーを通じて、持続型攻撃の構造上の重要な要素を識別できるデータを取得する必要がある。

・データの速度:
脅威インテリジェンスを受け取るのが遅れてサイバー攻撃を阻止できなかったとしても、その情報は感染後のクリーンアッププロセスに役に立つ。一方で、セキュリティセンサーやシステムは、攻撃の速度に対応するためにほぼリアルタイムのスピードで脅威インテリジェンスを共有する必要がある。

・データの相関分析:
組織に関連するパターンや重要なデータポイントを特定できない場合、そのデータをインテリジェンスへと変換し、その後、セキュリティ運用チームの役に立つ情報として提供することができない。

脅威インテリジェンス共有の効率や効果を向上させるため、McAfee Labsは以下の3つの点に注力することを提案している。

・イベントの優先度判断:イベントの優先度を簡単に設定し、セキュリティ担当者が優先度に応じて対処できる環境を用意する。
・関連付け:さまざまな侵害の兆候を相互に関連付けて分析し、防御側でサイバー攻撃の関係性を把握する。
・共有モデルの強化:自社製品間だけでなく、他社製品の間でも脅威インテリジェンスの共有を強化する。

第4四半期に大きな話題となった、米国の大手DNSサービス事業者のDyn社を狙ったDDoS攻撃には、Miraiが関与していた。Miraiは、脆弱なIoTデバイスを検出して感染し、そのデバイスを標的型攻撃用のボット化して攻撃に利用する。

10月にMiraiのソースコードが一般公開されたため、そこから派生型のボットが急増する結果となったが、大多数はスクリプトキディ(他人の作成したプログラムを悪用する比較的技術レベルの低いハッカー)によるものと思われ、その影響は比較的限定されている。

しかし、ソースコードが公開されたことで、Miraiをベースにした「サービスとしてのDDoS」が出回るようになり、洗練されたものではないものの、意欲的な攻撃者が、セキュリティが脆弱な他のIoTデバイスを利用したDDoS攻撃を実行しやすくなった。Miraiボットネットを利用したDDoS攻撃は、サイバー犯罪市場のサービスとして1日あたり50~7,500米ドルで購入することができる。

McAfee Labsは、2016年第4四半期末までに250万台のIoTデバイスがMiraiに感染したと予測している。これは、1分あたり約5台分のIoTデバイスのIPアドレスがMiraiボットネット化していたことになる。

■2016年第4四半期の脅威動向
2016年第4四半期中、McAfeeの世界規模の脅威データベースであるGTI(グローバル脅威インテリジェンス)ネットワークは、さまざまな業界におけるサイバー脅威の増加とサイバー攻撃のインシデントで顕著な傾向を確認した。

・マルウェアの増加:
第4四半期、マルウェアの新規サンプル数は前期比で17%減少したが、2016年通年で発見されたサンプルの合計数は6億3,800万個と、前年比24%の増加を記録した。

・モバイルマルウェア:
第4四半期、モバイルマルウェアの新規サンプル数は前期比で17%減少したが、2016年通年で発見されたモバイル マルウェアの合計数は前年比99%の増加を記録した。

・ランサムウェアの増加:
第4四半期、ランサムウェアの新規サンプル数は前期比で71%減少した。主な理由は、一般的なランサムウェアの検出数が減少したことと、「Locky」および「CryptoWall」のランサムウェアファミリーが活動を衰退させたことによるもの。2016年通年で発見されたランサムウェアの合計サンプル数は前年比88%の増加を記録した。

・Mac OSマルウェア:
Windowsの脅威と比較するとまだ数は少ないものの、アドウェアが電子メールやWebサイト経由で拡散したことなどが原因で、第4四半期に新たに発見されたMac OSマルウェアの合計サンプル数は前期比245%の増加を記録した。2016年通年でのMac OSマルウェア合計数は前年比744%の増加となっている。

・スパムボットネット:
第4四半期に10大ボットネットから配信されたスパム電子メールやメッセージの数は、前期比24%減の1億8,100万件だった。2016年通年では、これらボットネットから9億3,400万件のスパムメッセージが生成された。

・セキュリティインシデントの報告:
マカフィーは、第4四半期に一般開示されたセキュリティインシデントを197件確認した。2016年全体では、974件のセキュリティインシデントが一般開示されている。

・公的機関へのサイバー攻撃:
現時点で最大のインシデント件数が確認されているのは公的機関を標的としたものだが、この原因はインシデント報告要件の厳格さに加え、大多数は投票者データベースに関するインシデントや選挙ウェブサイトへの迷惑書き込みなど、アメリカ大統領選に関わる攻撃の増加によるものではないかとマカフィーでは考えている。

・金融とゲーム関連の攻撃:
第3四半期にソフトウェア開発部門でインシデントが急増した原因は、ゲームプラットフォームへの攻撃の増加にある。金融部門では、金融部門へのSWIFT攻撃が原因で、第2四半期のインシデント数が急増した。

・ボットネットの活動:
医薬品やロシア製自動車部品(「格安の冬用タイヤと夏用タイヤ」など)を装う「KelihosC」ボットネットが原因で、第4四半期にボットネットの合計数が増加した。
 

関連リンク

プレスリリース