Subscriptions | RSS | ディスカッション | アンケート   




全ての脅威

ウイルス

ハッカー

スパムメール

サイト全体    ウイルスについて
   
ウイルス百科事典
リスクウェア 警告
分析
ニュース
用語集
研究者日記(weblog)

 
アーカイブ

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug  
     
最新レポート



2013 年 金融関連のサイバー脅威 − パート 1 :フィッシング



スパムレポート:2014 年 2 月



スパムレポート:2014 年 1 月
 
分析者への可能性
Contact us!

私たちの作者のひとりになって、あなたの分析をViruslist.comに掲載してみませんか? 興味がある方は 連絡してください!

 

  ホーム / 分析

2010 年の結果と 2011 年の予測

Dec 13 2010 (日本語公開:Jan 05 2011) | 英語版記事

アレクサンドル・ゴステフ

2010 年:脆弱性の年

2010 年は、マルウェアの進化という点では前年からほとんど変化のない年でした。全般的には傾向および攻撃対象には大きな変化はなかったものの、ある種の悪意あるアクティビティには劇的な進化が見受けられました。

2009 年以降、月別のマルウェア検知率はある程度安定しており、サイバーセキュリティ上における主な脅威は依然としてブラウザ攻撃とボットネットでしたが、アクティビティに減少が見られたマルウェアもありました。

2010 年には脆弱性が大きくクローズアップされ、中でも Adobe 製ソフトウェアの脆弱性が目立ちました。今や脆弱性の悪用はユーザのコンピュータに侵入する際の常套手段となりましたが、脆弱性を突く攻撃の件数は、Microsoft 製品と入れ替わるように、Adobe および Apple 製品 (Safari、QuickTime および iTunes) において急速に増加しています。

まとめ

当社の 2009 年のレポートでは、2010 年のサイバー犯罪と IT 脅威がどう進化するかを予測しました。2010年の状況は、我々の予測をほぼ裏付けるものとなりました。

P2P ネットワークを経由した攻撃の増加 (正解)

マルウェアがユーザのコンピュータに侵入する経路として、P2P ネットワークが主に悪用されています。セキュリティインシデントとしては、P2P ネットワーク攻撃はブラウザ攻撃に次いで第 2 位の割合を占めています。

ファイルウイルス、偽のアンチウイルスソフトウェア、バックドアやさまざまなワームなど、ほとんどすべての種類の脅威が P2P ネットワーク経由で拡散します。さらに P2P ネットワークは、ArchSMS といった新種の脅威の温床となっています。

P2P ネットワーク上のサイバー犯罪については、他の IT 企業の記事にも取り上げられています。たとえば、Cisco の 2010 年第 2 四半期の脅威レポートでは、BitTorrent、eDonkey、Gnutella といった 3 つの最も一般的な P2P ネットワーク経由で仕掛けられた攻撃の数が爆発的に増加したと記述されています。

P2P 媒介型マルウェアの大発生は 3 月から始まり、Kaspersky Security Network が 1ヶ月で検知したインシデントの数が、初めて 250 万件を超えました。月別の攻撃発生数は、控えめに見積もっても今年の年末には 320 万件程度まで増加する見込みです。

トラフィックの争奪戦 (正解)

新旧のボットネットを操りその標的を定めるサイバー犯罪グループの間では、いわゆる「パートナーシッププログラム」が相変わらず主な通信手段として利用されています。

2010 年は、正規の Web サイトへの攻撃や、ドライブバイダウンロードによるコンピュータ感染などといった明らかな犯罪行為と並行して、金儲けを企む「グレー」な手口の増加が確認されました。このグレーな手口は、ユーザが自発的にファイルをダウンロードするように、さまざまな手段を使用します。使用される手段には、他社のリソースを盗用したブラックハット SEO (悪質な検索エンジン最適化)、人目を引くリンクの配信、アドウェアの拡散、アダルトサイトへの誘導などがあります。

「パートナーシッププログラム」の仕組みについては、記事「The Perils of the Internet (インターネットに潜む危険)」を参照してください。

マルウェアの大発生および複雑化 (正解)

2010 年には、増殖速度、感染ユーザ数、そして注目度という点において、2009 年 に大発生した Kido(Conficker) ワームに匹敵するマルウェアは現れませんでした。しかしこれらの要素を別々に考慮した場合、マルウェアのいくつかは感染が地球規模であったと分類できます。

Mariposa、Zeus、Bredolab、TDSS、Koobface、Sinowal および Black Energy 2.0 ボットネットは、2010 年にジャーナリストやアナリストの多大な関心を集めました。それぞれ、世界中のコンピュータに数百万台単位で感染しており、マルウェア史上最も先進的かつ高性能であるとされています。

これらのマルウェアは、E メールを含む、既存のあらゆる感染経路を利用して増殖しました。ソーシャルネットワークおよび P2P ネットワークへの攻撃を始めたばかりでなく、そのうち数種はゼロデイ脆弱性を悪用して拡散し、64 ビットプラットフォームに初めて感染しました。

マルウェア作者の創造性が頂点に達したのは Stuxnet を作成したときでした。2010 年後半に度々 IT セキュリティ関連記事のヘッドラインを飾ったこのマルウェアは、まさに革新的なワームです。各記事では Stuxnet が何を標的としているか、またどのように動作するかといった推測がなされ、それまでのどの脅威よりもメディアの注目を集めました。

これまでの傾向から、最も拡散したマルウェアが最も高性能であるということができます。これに伴い、サイバー犯罪者と技術戦争を繰り広げるセキュリティベンダへの要求レベルも上がっています。最近では、数百ものマルウェアサンプルのうちの 99 % を識別できたとしても、たった 1 つ、非常に高度な脅威 (つまり、まん延につながる脅威) を見逃してしまえば、それは十分な対応とは言えないのです。

偽のアンチウイルスソフトウェアの減少 (正解)

この予測についてはかなり議論を呼び、実際 Kaspersky Lab のエキスパートの間でも意見が分かれています。偽のアンチウイルスソフトウェアの減少はさまざまな付加的な要因によるものと考えられます。たとえば、パートナーシッププログラムの主催者や参加者が他の儲け話に移行したこと、アンチウイルスベンダ各社や取締機関による対処が功を奏したこと、また偽のアンチウイルスソフトウェアを作成、配布するサイバー犯罪グループの間に熾烈な競争が発生したことなどです。

KSN (Kaspersky Security Network) が収集したデータによると、偽のアンチウイルスソフトウェアの減少は全世界的な現象であることがわかりました。偽のアンチウイルスソフトウェアの活動は、ひと月あたり約 20 万件を記録した2010 年の 2 月から 3 月をピークに、2010 年の年末にかけては 1/4 まで減少しました。同時に、既存の偽のアンチウイルスの特定の地域を標的とするようになりました。サイバー犯罪者は無差別な拡散をやめて、米国、フランス、ドイツ、スペインなどの特定の国を標的とするようになったのです。

Google Wave を対象とした / 利用した攻撃 (不正解)

1 年前、我々は Google Wave とそのクライアントへの攻撃を予測していました。しかしながら 2010 年中盤、このサービスに相当数のユーザが集まり本格稼働する前に、Google はこのプロジェクトの中止を決定しました。そのため、当社の予測は現実となりませんでした。

iPhone および Android デバイスへの攻撃 (一部正解)

2009 年には初めて iPhone 向けマルウェアおよび Android 向けのスパイウェアが検知されました。当社は、サイバー犯罪者たちの興味がますますこれらのプラットフォームに集中するだろうと予測していました。

iPhone を標的としたマルウェアとしては、2009 年に発生した Ike ワームに匹敵するインシデントは発生していません。しかしながら、2010 年には iPhone プラットフォーム向けに開発されたプログラムの中に、その公開技術がサイバー犯罪者に悪用される可能性があるものが出てきました。このような技術の例としては、スイス人の研究者が開発した「SpyPhone」が挙げられます。このプログラムは、ユーザの iPhone デバイスの情報や、ユーザの位置、興味対象、友人、趣味、パスワードおよび Web 閲覧履歴などの情報への無断アクセスを可能にします。このようなデータをユーザの了承なく、もしくはユーザが気付かない間にリモートサーバへ送信することができます。この機能を一見無害なアプリケーションに仕込むことも可能です。

過去に専門家達は、サードパーティ製アプリケーションをインストールする目的で iPhone の Jailbreak を行うユーザは自ら危険性を高めていると警告していましたが、今では Apple ストアからダウンロードした純正アプリケーションをインストールする場合でも、ある程度の脅威にさらされるようになりました。正規の Apple アプリケーションに関係した数件のインシデントが発生しました。ひそかにデータを収集し、ソフトウェアベンダに送信する iPhone 用アプリケーションが検知されたのです。

上記の状況は、Android プラットフォームにも当てはまります。Android プラットフォームにおいても、ありふれたモバイル向けトロイの木馬を使用して SMS メッセージを有料の番号に送信してしまうといった、明らかにサイバー犯罪的な特徴を持つマルウェアが検知されています。2010 年 9 月に Kaspersky Lab は Trojan-SMS.AndroidOS.FakePlayer を検知しました。これは Android を対象とした最初のマルウェアで、明らかにロシアのウイルス作成者により作成されたものでした。このマルウェアは Android マーケットを介してではなく、悪質な Web サイト経由で拡散しました。しかし、当社の専門家は、Android マーケットで入手可能な製品にマルウェアがじきに発見されるようになる可能性が高いと推測しています。正規アプリケーションの多くは、ユーザの個人情報へのアクセスや、SMS の送信、ダイヤリングの権限を与えられるため、当社では Android 全体のセキュリティにおける信頼性を疑問視しています。

以上が 2009 年に立てた我々の推測が正しかったかどうかの結果です。次に IT セキュリティの分野に多大な影響を与えた特定のトレンドやインシデントについて振り返ってみましょう。

企業や工業界を標的とした攻撃

2010 年初頭に発生し Aurora と名づけられたエクスプロイトは、世界中の多くの大企業に影響を与えました。これらの企業には Google も含まれ、おそらく主な標的であったと考えられています。このインシデントにより重大なセキュリティ上の欠陥が表面化し、攻撃者の目的がサイバースパイ活動と商業機密データの盗用であったことが判明しました。将来的にも、おそらく同様の目的を持った攻撃が行われることが予想されます。

前述の Stuxnet に関しては、注目すべき点が 2 つあります。1 つは前例のないほど高度な技術であること、もう 1 つは PLC (プログラマブルロジックコントローラ) を対象としていることです。PLC とは市販の産業用制御デバイスであり、通常は工業分野において使用されます。Stuxnet は、工業界においてサイバー妨害行為が広く注目された初めての事例です。この種の攻撃は、物理的に重大な損害をもたらす可能性があります。バーチャルな世界と実際の世界のあいだの境界はもはや不鮮明になり、サイバーコミュニティ全体が近い将来直面しなければならない新しい問題を突きつけています。

デジタル証明書

デジタル証明書およびデジタル署名は、コンピュータの世界において信頼と保証の拠り所となるものです。デジタル証明書はセキュリティ製品の開発において重要な役割を担っており、信頼できるベンダのサイン付きのファイルは、安全であるとみなされます。この技術は IT セキュリティベンダによる誤検出の抑制や、コンピュータの感染をスキャンする際のリソースの節約にも一役買っています。

2010 年に発生した事例は、サイバー犯罪者たちがソフトウェアベンダと同様に合法的な手段でデジタル証明書を取得できていることを示しています。たとえば、「GUI を持たないコンピュータをリモート管理するソフトウェア」とされるプログラムに対して証明書が発行されたものの、そのプログラムは実はバックドアであったという事例もあります。この手口は、マルウェアが検知されないようにできるためサイバー犯罪者にとって好都合であり、アドウェア、リスクウェア、偽のアンチウイルスソフトウェアなどによく利用されています。証明書のキーを入手すると、犯罪者はデジタル署名を使って作成したマルウェアをいとも簡単に配布できるようになります。

IT セキュリティを保証する手段としてのデジタル証明書の概念は、事実上すっかり信用を失いました。このことにより、現在数百ある認証機関のうちの一部の信用が実際に失墜するという波及効果を及ぼす可能性もあります。そして最悪のケースでは、サイバー犯罪者に乗っ取られた認証機関が出現するかもしれません。

デジタル証明書は、形としては秘密キーを含む物理ファイルであり、他のデジタル資産と同様に盗難に遭う可能性があります。検知された Stuxnet コンポーネントには、Realtec Semiconductor Corp. および JMicron Technology Corp. に発行されたデジタル証明書付きの署名がされていました。秘密キーがどのようにしてサイバー犯罪者の手に渡ったのか未だ明らかになってはいませんが、いくつかの方法が考えられます。これらの秘密ファイルを企業内部の人間から不法に購入したか、またはバックドアなどのマルウェアを仕込んで盗んだことが考えられます。たとえば、おなじみの Zbot (別名 ZeuS) には証明書を盗む機能があります。

2011 年のサイバー攻撃:すべてが盗みの対象に

2011 年の IT 脅威の世界で 何が待ち受けているのかを良く理解していただくために、まず潜在的なトレンドを 3 つの異なるカテゴリに分類してみましょう。この予測では、サイバー攻撃の目的、そして攻撃手法を分析し、そのような攻撃の仕掛け人は誰なのかを考察します。

以前の予測では、使用された攻撃手法−たとえばモバイルプラットフォームへの攻撃や脆弱性の悪用など−についてのみ考察してきました。これは、過去数年では犯人は常にサイバー犯罪者であり、その目的は「金銭を得ること」と相場が決まっていたからです。

しかしながら、2011 年には主に「仕掛け人」とその「目的」に関して重大かつ急激な変化を目の当たりにする可能性があります。かつてウイルス作成スキルを誇示することを第一の目的とし、サイバー犯罪者の時代の先駆けとなった「スクリプトキディ」と呼ばれるクラッカー達が作成したマルウェアが消滅したのと同様の変化が起きるでしょう。

攻撃手法

サイバー攻撃に使用される方法は、仕掛け人が誰か、またはその目的が何であるかとは関係ありません。むしろ注目すべきは、今日の OS、インターネット、サービス、そしてもちろん人々が仕事や日常で使用するデバイス内に存在する技術的な可能性 (脆弱性) によって決定されるということです。

2010 年は「脆弱性の年」であったと述べましたが、2011 年には事態はさらに悪化することが予想されます。プログラム上のエラーを悪用するマルウェアの増加は、Microsoft、Adobe、Apple といった一般的なソフトウェアに見られる新しい脆弱性に左右されるだけではなく、それらの抜け道にサイバー犯罪者たちがいかに早く反応するかに影響されるでしょう。ゼロデイ脆弱性の悪用は 2、3 年前には特筆すべきニュースでしたが、2010 年にはごくありふれた事例になりました。残念なことに、この傾向はこれからも続くと予想され、さらなるゼロデイ攻撃の流行が見込まれます。さらに、脆弱性を攻撃したリモートコードの実行も 2011 年には特別な手口ではなくなるでしょう。権限のエスカレーション、データの改ざん、セキュリティプログラムの回避などを許してしまう脆弱性もどんどん明るみに出ています。

オンラインバンキング認証情報の盗用、スパム、DDoS 攻撃、脅迫や詐欺などは、おそらくサイバー犯罪者たちの主な収入源であり続けるでしょう。この中のいくつかの方法が他の方法より多用されることもあるでしょうが、犯罪者たちが自分たちの目的を達成しようとする場合は、このような手口がすべて使用されると考えておいた方がよいでしょう。

64 ビットプラットフォームを狙う脅威の数は、ほぼ間違いなく増加すると思われます。モバイルデバイスやモバイル OS、特に Android を標的とした攻撃にもさらに発展すると予想されます。ソーシャルネットワークユーザへの攻撃も増加が見込まれ、攻撃の多くは脆弱性を悪用し、ブラウザ経由で実行されるものであると考えます。DDoS 攻撃は当面、インターネットにはびこる最も悩ましい問題の 1 つです。

しかし、上記はすべて、大きな変化の前兆に過ぎません。これまでになかった重大な目的を持ってサイバー攻撃を行おうとする新しいタイプの黒幕の出現という、今日までのサイバー脅威の歴史において最大の変化が起きようとしているのです。

新しい目的を持った黒幕

先に述べたように、ここ数年間、当社は金儲けを目的としてサイバー犯罪者が作成した悪質なコードとの戦いを経験してきました。Stuxnet ワームの出現は、モラルと技術的なバリアが破られたことを示唆しており、これまでのワームとは一線を画した重大かつ恐ろしい出来事でした。この攻撃は非常に対処が難しく、サイバー犯罪者が持つ兵器の威力を全世界に知らしめたと共に、IT セキュリティ業界への警鐘ともなりました。Stuxnet のようなプログラムは、シークレットサービスや企業のノウハウや能力など、機密情報の入手手段として利用される危険性もあります。

もちろん、従来型の攻撃と比較すれば、Stuxnet のような高レベルの攻撃の発生は極めて少ないことが予想されます。しかしながら、実際に攻撃が発生すれば、その検知は非常に困難なものとなるでしょう。また一般ユーザが狙われることは考えにくいため、不可解なエピソードのみが大きく報道されることになるでしょう。被害者の多くは自分が標的にされたことにすら気付かないのです。そしてその種の攻撃の主目的は、妨害行為ではなく、Stuxnet と同様に情報の窃取であることが予想されます。

2011 年にはこのような攻撃はまだ初期の段階であり、本格化するのは数年後となるでしょう。しかし、新世代のサイバー犯罪者が現れたことで、IT 脅威対策の任務を負う人々が相当高度な対応を要求されることは間違いありません。

スパイウェア 2.0

数年前に我々はマルウェア 2.0 の概要について説明しました。今回はさらに「スパイウェア 2.0」について解説しましょう。

今日のマルウェアを見ると、その主目的は、スパムの送信や DDoS 攻撃の実行はさておき、オンラインバンキング、E メール、各種ソーシャルネットワーキングを含むあらゆるユーザアカウントの窃取であることがわかります。2011 年には、目的を「すべての情報を盗み出す」こととする新種のスパイウェアの出現を予測しています。この種のスパイウェアは、たとえばユーザの位置、仕事、友人、収入、家族、髪や目の色など、ユーザに関するありとあらゆる情報を収集するでしょう。侵入したコンピュータ内のあらゆる文書や写真をくまなく調べつくします。

これらの情報は、ソーシャルネットワークやインターネット上で会社が手に入れたいと考えるデータと一致しています。実際、この手のデータを買いたがる者は大勢いるでしょう。収集したデータをどのように使用するかは問題ではありません。重要なのは、データの需要があり、それは時代に敏感なサイバー犯罪者にとって宝の山だということです。

サイバー犯罪者たちはできるだけ多くの情報を盗んで、分け前を我先に手に入れようとするでしょう。現代社会では情報こそが最も貴重な資産であり、ことわざでも「知識は力なり」と言われています。この力とは支配力を意味します。結果として、この種の攻撃を仕掛けるサイバー犯罪者の関心を持つ範囲は大きく広がりました。

さらに、サイバー犯罪者は今まで避けてきた領域にまで踏み込み、ついに企業を標的とし始めました。かつての攻撃は特定のユーザや金融機関、決済システムからの金銭の窃取に限定されたものでした。今ではその技術は、企業へのスパイ行動や恐喝を行うほどのレベルにまで到達しています。

2011 年に注目すべきこと:

  • さらに組織的かつ狡猾になった新世代のマルウェア作者
  • 金銭とともに情報の窃取を目的としたマルウェア攻撃
  • 情報が新しいタイプの犯罪者たちの標的となり、既存の犯罪者にとっても新しい資金源となる
  • ユーザの個人情報に加えあらゆる種類のデータを窃取するスパイウェア 2.0 の出現
  • スパイウェア 2.0 が新旧双方の犯罪者に広く利用される
  • 従来の犯罪者たちが攻撃の矛先を企業ユーザに向けるようになり、一般ユーザへの直接的な攻撃は徐々に下火になる
  • 犯罪手口としては脆弱性の悪用が引き続き主流であり、攻撃の範囲およびスピードが大幅に増す
ニュースソース:
Kaspersky Labs
関連リンク
分析
カスペルスキーセキュリティ情報:2009 年のマルウェアの進化
 

Copyright © 1996 - 2014
Kaspersky Labs Japan
All rights reserved

Email:
  お問い合わせはこちら
  新しいウイルスはこちら