フォーティネット 脅威レポート...7 情報源と測定値...
TRANSCRIPT
フォーティネット 脅威レポート2017年第1四半期版
3
目次
序文 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4
2017年第 1四半期の主な出来事と発見事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
情報源と測定値 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6
インフラストラクチャのトレンド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8
インフラストラクチャプロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11
脅威の世界的トレンド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14
エクスプロイトのトレンド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15
地域別のエクスプロイト. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18
マルウェアのトレンド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19
地域別のマルウェア . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20
ミニコラム:モバイルマルウェア . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
ボットネットのトレンド. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22
地域別のボットネット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
ミニコラム:ランサムウェア . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25
探索的分析:業種別の脅威の現状 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26
結論と提案 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29
目次
4
序文
年初の数ヶ月は多くの人にとって、昨年を振り返り、今年の目標を決め、今年の出来事を予測する時期であり、サイバーセキュリティ業界も例外ではありません。2017年はどのような年として記憶されるのでしょうか。どのような新たな脅威が登場し、我々にどのような教訓を与え、どのような成果を我々は成し遂げられるのでしょうか。
2016年を「ハッキングの年」とするのか、「ランサムウェアの年」とするのかについては、現段階では意見が二分しており、どちらの主張にも説得力ある根拠があることから、その判断は歴史に委ねられることになるのでしょう。しかしながら、2016年が、社会生活や政治の場でサイバーセキュリティがかつてないほど多く話題にされた年だったことは間違いありません。それを考えれば、2017年が「インターネットにとって平穏な年」になるとは考えられません。最終的な結論は不明ですが、第 1四半期から第 2四半期のこれまでの状況を考えれば、「ランサムウェア」が次の攻撃の準備を着々と進めているのは確かなようです。
我々は、今この瞬間にも、我々が解決しなければならない大きな問題が次々と発生しているのを感じます。本レポートの製作中に、WannaCryランサムウェアが数日間にわたって世界的に大流行しました。WannaCryで主要攻撃ベクトルとして使用された DoublePulsar
(英文)*ツールについては、1日あたりの FortiGuard IPSのヒット数が 2,200万に達しました。この攻撃で使われた 2次的エクスプロイトである CVE-2017-0144(英文)**については、セキュリティ関連企業が対策を強化し、ユーザーである企業や組織がソフトウェアアップデートし、もちろん、キルスイッチが見つかる前の段階であった 5月13日に、フォーティネットがブロックした試行が 700万を超えました。
序文
DoublePulsar
CVE-2017-0144
木05/11
金 土 日 月 火 水 木05/18
金 土 日
木05/11
金 土 日 月 火 水 木05/18
金 土 日 月0
500万
1,000万
1,500万
2,000万
0
200万
400万
600万
規模
* DoublePulsar: https://fortiguard.com/encyclopedia/ips/43963/backdoor-doublepulsar
** CVE-2017-0144: https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0144
5
2017年第 1四半期の主な出来事と発見事項
2017年第1四半期の主な出来事と発見事項
このセクションでは、FortiGuard Labsのアナリストが第 1四半期に収集したインテリジェンスから得られた特筆すべきいくつか
の出来事を最初に紹介し、その後に、脅威の現状を詳しく検証することで、皆様の参考にしていただける重要な発見事項を提
示します。
HTTPからHTTPSへの移行。HTTPSトラフィックの割合の中央値が過去最高の 55%を記録しましたが、その値は 5%以
下から95%以上と範囲が広く、企業によって大きく異なります。これが重要なトレンドだと言える理由はいくつかありますが、
その 1つとして、通信の暗号化によって脅威の検知が難しくなる点が挙げられます。
アプリケーション数の減少。この測定値の追跡開始後初めて、組織あたりの使用アプリケーションの中央値が 200を下回
りました。その一方で、クラウドベース IaaS(Infrastructure-as-a-Service)アプリケーションは最高値を更新しました。
モバイルマルウェアの急増。モバイルマルウェアが予想を超えて急増し、マルウェア全体でモバイルマルウェアが占める割合が、第 4四半期の 1.7%から第 1四半期の 8.7%へと急増しました。マルウェア全体の数の減少が主な要因ではあり
ますが、最大の割合を記録したことには変わりありません。
IOTの脆弱性を狙う攻撃。モノのインターネット(IoT)関連デバイスに対する攻撃の試行は、第 1四半期に若干の減少
傾向を示しました。標的とされる可能性が最も高いデバイスカテゴリの場合、検知数が 1桁少なくなりました。単に、嵐
の前の静けさといった状況なのかもしれません。
WANNACRYの大流行。WannaCryランサムウェアの主な活動時期が第 2四半期半ばだったため、ここでは簡単な言及
だけにとどめますが、ランサムウェアの深刻さは、これ以外の統計値にも表れています。たとえば、第 1四半期に 10%近
い企業でランサムウェア活動が記録されているのをご存知でしょうか。
古い脆弱性の悪用。80%の組織で、システムに対する深刻度が「high」または「critical」のエクスプロイトが報告され
ています。標的にされたこれらの脆弱性の大半は発見から 5年以内のものですが、それ以前に発見された CVEに対する
試行もなくなりません。攻撃ツールは忘れ去られることなく使い続けられているのです。
距離の制約や国境が存在しないインターネット。最新ツールとCaaS(Crime-as-a-Service)インフラストラクチャを使えば、
世界規模の攻撃を瞬時に開始できます。その結果、現在のほとんどの脅威トレンドは、地域的なものではなく、世界的な
ものになりました。
新たなプロファイルによる視点。一般的なインフラストラクチャ使用や脅威の活動という観点では、どのような業種同士に類似性があるのでしょうか。我々は、これを検証するためにクラスタ分析を実施しましたが、その結果から、予想外の業
種同士に類似性が認められる場合もあることがわかりました。
情報源と測定値
7
情報源と測定値
本レポートに記載する調査結果は、本番環境に置かれているフォーティネットのさまざまなネットワークデバイス / センサーから取得した、FortiGuard Labsの集団的インテリジェンスに基づくもので、これには、2017年 1月 1日~ 3月 31日に世界中の本番環境で発見された数十億の脅威イベントおよびインシデントが含まれます。独立機関による調査によれば 1、フォーティネットはセキュリティデバイス出荷数において最大であり、したがって、脅威データサンプル数も業界
エクスプロイト本レポートで説明するアプリケーションエクスプロイトは、主にネットワーク IPS経由で収集されたものです。このデータセットからは、脆弱なシステムを特定し、その脆弱性の悪用を試みる攻撃の偵察活動を読み取ることができます。
マルウェア本レポートで説明するマルウェアサンプルは、境界デバイス、サンドボックス、またはエンドポイント経由で収集されたものです。ほとんどの場合、このデータセットには、標的とするシステムへのインストールの成功ではなく、攻撃の武器化または拡散の段階が反映されます。
ボットネット本レポートで説明するボットネット活動は、ネットワークデバイス経由で収集されたものです。このデータセットには、感染した内部システムと不正外部ホストの間のコマンド &コントロール(C2)トラフィックが反映されます。
規模 全体的な頻度または割合を示す測定値。脅威イベントの発見の合計数または割合。
感染率 グループ全体での拡散または感染の度合いを示す測定値。脅威イベントが 1回以上発見されたと報告した組織 2の割合。
強度 1日あたりの規模または頻度を示す測定値。組織あたり、1日あたりの脅威の平均発見数。
情報源と測定値
最大です。すべてのデータが匿名化されており、サンプルに含まれる個人や法人を特定できる情報は含まれません。
このような条件で収集されたインテリジェンスは、サイバー脅威のさまざまな視点から見た現状を提供してくれます。本レポートでは、アプリケーションエクスプロイト、不正ソフトウェア(マルウェア)、ボットネットの 3つを中心に、その現状を補完するいくつかの側面も説明します。
1 出典:IDC Worldwide Security Appliances Tracker – 2017年 4月(年間出荷台数に基づく)2 「報告した組織」としている点が重要です。我々が測定した感染率は、脅威の活動を報告した組織における値です。たとえば、あるボットネットの感染率が50%となっていたとしても、全世界の全企業の半数が感染したことを意味するものではなく、報告した企業の半数がそのボットネット検知を観察したことを意味します。その数の分母は通常、数万の企業を表します。
* FortiGuard Labsの用語解説 : https://fortiguard.com/encyclopedia
これらの脅威のさまざまな側面に加えて、データから得られる意味を明確にし、解釈するために、以下の 3つの測定値を使用することとします。本レポートでは、規模、感染率、および強度という用語を以下の定義に従って使用することとします。
本レポートは、多数の脅威に言及します。一部の脅威については簡単に説明しますが、当然ながら、本レポートの説明だけでは不十分です。本レポートをお読みいただく際は、FortiGuard Labsの用語解説(英文)*を適宜参照してください。
インフラストラクチャの トレンド
9
インフラストラクチャのトレンド
四半期ごとにお届けする本レポートは「脅威レポート」という標題ではありますが、脅威のトレンドは、それらの脅威が発生した環境を反映するものでもあります。したがって、情報テクノロジー、サービス、構成、制御、および挙動の時間的経過に伴う変化を理解することは、エクスプロイト、マルウェア、およびボットネットの進化を監視するのと同様に重要です。本セクションは、これらの理解を深めることを目的としています。
図 1は、通常は実行期間が 1週間程度である、フォーティネットが実施する自主参加型の脅威評価プログラムで取得されたインフラストラクチャのトレンドをまとめたものです。評価期間と参加する組織の人口統計的内訳は四半期ごとに変動しますが、このプログラムで見られるようなインフラストラクチャ使用の全体的トレンドを知ることができます。図 1に示すように、このプロセスは、突発的なものでも一方的なものでもありません。大きな変化は、数ヶ月ではなく数年かけて完結します。
(いずれも、中央値) 2016年第 1四半期 2016年第 2四半期 2016年第 3四半期 2016年第 4四半期 2017年第 1四半期1日あたりの帯域幅 6.3G 7.7G 7.3G 8.5G 8.5G
HTTPSの比率 52.5% 49.8% 52.4% 50.8% 54.9%
合計アプリ数 216 215 211 211 195
SaaSアプリ数 33 35 35 36 33
IaaSアプリ数 26 22 23 27 29
ストリーミングアプリ数 17 24 21 20 16
ソーシャルアプリ 14 19 17 17 14
RASアプリ数 4 4 4 4 4
プロキシアプリ数 4 4 4 5 4
ゲームアプリ数 2 3 3 3 2
P2Pアプリ 1 2 2 1 1
1日あたりのWebサイト訪問数 600 590 571 595 502
1日あたりの不正Webサイト訪問数 3 3 3 3 2
図 1. 四半期のインフラストラクチャトレンド(表中の値は組織ごとの中央値を表す)
図 1に示すように、HTTPSと HTTPトラフィックの比率の中央値は、2017年第 1四半期に過去最高を記録しました。図 2は、その中央値の周辺分布を示したもので、ほぼすべてを暗号化している企業がいる一方で、ほとんど暗号化していない企業も存在することがわかります。
このトレンドが重要なのは、個人情報保護に役立つ一方で、 脅威の監視と検知の課題を提示するものでもあるためです。組織、特に HTTPS
の比率が高い組織は、暗号化された通信に潜む可能性のある脅威から目を背けることはできません。
図 2. 企業における HTTPSトラフィック比率の分布
インフラストラクチャのトレンド
0%
2%
4%
6%
8%
10%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90%
HTTPS使用率
調査対象の組織に占める割合
10
クラウド採用の話題は、クラウドへの移行を既に始めている企業だけでなく、クラウドへの移行の是非や方法を判断する段階にある組織にとっても興味深いものです。どのような判断においても、ビジネス、人、経済、運用、セキュリティの要素で妥協点を見つける必要があります。トレンドだけが判断材料ではありませんが、クラウド採用にあたって何らかの影響を与えることは確かです。特に、シャドー IT、パーソナルクラウドサービスなどの潜在的な帯域外脅威ベクトルが拡大している現状では、その影響は否定できません。図 1によると、第 1四
図 3. 業種別のクラウドアプリケーション数の中央値
半期の組織あたりのクラウドアプリケーション数の中央値は 62(33
SaaS + 29 IaaS)で、前四半期よりわずかに減少しました。その一方で、IaaSアプリは、過去最高を記録しました。図 3の業種別のクラウドアプリケーション利用状況を見ると、具体的な数が明らかになります。このリストを見ると、業種によって大きな差はあるものの、共通点が少ないように思える業種同士(たとえば、MSSPと教育、小売と政府機関)が接近している場合があることに気付きます。
インフラストラクチャのトレンド
SaaS IaaS
1821
2526
3328
302929
3232
40.529
3435
4037
4753
5961
1423
2424
2027
262930
2828.5
21.533.5
3029
2636
3127
4042
電気通信 / 通信事業者非営利団体
銀行 / 金融 / 保険テクノロジー
自動車建設
食品・飲料コンサルティング
エネルギー・電気・ガス・水道運輸・物流
製造環境農業
政府機関小売業 / 観光・宿泊業
法律医療機関
メディア / 通信航空宇宙・防衛
教育MSSP
0 20 40 60 80 100
クラウドアプリケーション数の中央値
インフラストラクチャ プロファイル
12
インフラストラクチャプロファイル
「仲間」という概念からは、インフラストラクチャ使用という観点でのプロファイルに強い関連性があるのはどの業種同士なのかという、興味深い疑問が生まれます。さらには、採用している規定や実践方法にはどのような関連性があり、セキュリティ対策は変わってくるのでしょうか。MSSPと教育のクラウドアプリケーション数がほぼ同じであったことは驚きでしたが、それは、セキュリティ規定とその結果として実施される対策の両方に相違点があると考えたためです。我々がそのように考えた理由や根拠は何なのでしょうか。図 1に示した、さらに広範なインフラストラクチャ要素に沿って業種を比較できるかを検討し、視覚的かつ理解しやすい方法でその比較を図式化したのが、図 4です。
クラスタ分析に馴染みがないと、図 4の意味をすぐに理解するのは難しいでしょう。そこで、この図の見方を最初に説明します。それぞれの円は業種を表し、円の大きさはその業種の組織の数を表します。業種の位置は、インフラストラクチャプロファイルの類似性に基づき、クラスタ作成アルゴリズムによって決定されたものです。そして、プロファイルは、図 1に示したインフラストラクチャ要素の正規化された値(zスコア)に基づきます。位置が近い業種同士は、インフラストラクチャプロファイルが非常に似ている「仲間」です。 位置が離れている業種同士は、インフラストラクチャ使用パターンが大きく異なります。ある会社が実際には同業他社と大きく異なる可能性もありますが、この図からそれを読み取ることはできません。1つの業種を 1
つの集団とし、その集団の「中心」がこの図に配置されています。
インフラストラクチャプロファイル
以上の説明を踏まえ、図 4を見ると、ほとんどの業種が中央よりやや上に緩やかに固まっていることがわかります。この集団に所属する業種が、いわゆる「仲間」ということになります。また、自動車、農業、MSSPのように、町の中心から少し離れた場所にいるものもあります。さらには、航空・防衛、教育、電気通信 / 通信事業者のように、かなり離れた場所にいる、外れ値を示している業種もあります 3。
ここで、外れ値を示している業種は一体どのようなインフラストラクチャの使い方をしているのかと疑問に思われたのではないでしょうか 4。もし疑問に思われなかったのであれば、この前の 2つの段落をもう一度お読みいただいてから、図 5へと進むことをお勧めします。
図 4. 業種別のインフラストラクチャ使用のクラスタ分析
3 「最後の 1マイル」の問題としたいところですが、残念ながらここでは関連性はないようです。4 明らかに大規模ゾンビボットへの備え。
航空・防衛
農業
自動車
銀行 / 金融 / 保険
建設
コンサルティング
教育機関
エネルギー・電気・ガス・水道
環境
食品・飲料
政府機関医療機関
法務
製造業
メディア / 通信
MSSP非営利団体
小売業 / 観光・宿泊業
テクノロジー
電気通信 / 通信事業者
運輸・物流
13
図 5は、インフラストラクチャ使用の価値と図 4で外れ値を示した業種の平均値を比較したものです。この図から、通信事業者には、アプリケーション使用が他の業種と比べて少ないという、際立った特長があることがわかります。これに対し、教育は、いずれの数字も異常に高い値を示しています。データアナリストである我々にとって、このような詳しい分析は興味深いものですが、楽しさを追求するのではなく、このセクションの主旨に従って検証を続けることにしましょう。
図 5. 図 4で外れ値を示した業種のインフラストラクチャ使用の差異
前述のとおり、ITインフラストラクチャは、脅威が発生し、進化する環境を形作るものではありますが、より広範なセキュリティ規定とガバナンスモデルを知る手掛かりにもなります。ユーザーがインストールして使用できるアプリケーションを厳格に規制する企業がある一方で、規制が緩やかな企業も存在します。このような規定(および他のさまざまな要因)が、我々の想像以上に大きな影響を業種や組織の脅威環境に与えている可能性があります。インフラストラクチャプロファイルについては、今回は簡単な紹介にとどめ、次回以降のレポートで詳しく説明する予定です。
インフラストラクチャプロファイル
教育
電気通信 / 通信事業者
航空・防衛
1日あたりの帯域幅
1日あたりの不正Webサイト数
1日あたりのアプリケーション総数
ゲームアプリ
HTTPSの割合
IaaSアプリ
P2Pアプリ
RASアプリ
SaaSアプリ
ソーシャルアプリ
ストリーミングアプリ
-2 -1 0 1 2 3 4
平均からの標準偏差
プロキシアプリ
1日あたりのWebサイト訪問数
脅威の世界的トレンド
15
脅威の世界的トレンド
エクスプロイトのトレンドアプリケーションエクスプロイトが脅威環境の重要な側面であるのは、脆弱なシステムを特定して感染させようとする敵対的な試行が明らかになるためです。ただし、これらのエクスプロイトシグネチャの1つがトリガーされたとしても、攻撃が成功したことや、標的とされた環境にそのエクスプロイトに必要な脆弱性が存在することを意味するわけではありません。さらには、攻撃者がその標的をその攻撃の対象として入念に選択したことを証明するものでもありません。エクス
図 6. 規模 / 感染率別の上位のエクスプロイト検知。深刻度が「high」または「critical」のものに限定。
プロイトの行動の大部分は、インターネットを巡回して日和見的に標的を発見するツールを使って、完全に自動化されています。したがって、このセクションで検証するようなエクスプロイト検知データセットでは、ノイズが若干多くなる傾向があります。そこで、これを補正するために、我々の分析では深刻度が「critical」と「high」のイベントに限定し、図 6の規模または感染率(またはその両方)の上位 10
のリストを作成しました。
脅威の世界的トレンド
35.2% [1]
26.7% [2]
13.3% [3]
9.9% [4]
5.5% [5]
1.2% [6]
0.4% [13]
0.1% [26]
0.1% [29]
0.0% [32]
0.0% [33]
0.0% [44]
0.0% [55]
0.0% [61]
0.0% [129]
1.3% [101]
8.6% [13]
0.2% [300]
7.7% [19]
0.5% [183]
26.1% [4]
45.9% [1]
20.1% [5]
18.6% [6]
40.4% [2]
26.3% [3]
13.4% [8]
18.0% [7]
10.0% [10]
10.2% [9]
規模 感染率
Obfuscated.Flash.Exploit
AWStats.Rawlog.Plugin.Logfile.Parameter.Input.Validation
Multiple.CCTV.DVR.Vendors.Remote.Code.Execution
Joomla.Core.Session.Remote.Code.Execution
SSLv2.Openssl.Get.Shared.Ciphers.Overflow.Attempt
PHP.CGI.Argument.Injection
OpenSSL.Heartbleed.Attack
Apache.Struts.2.DefaultActionMapper.Remote.Command.Execution
Bash.Function.Definitions.Remote.Code.Execution
HTTP.URI.SQL.Injection
SSH.Connection.Brute.Force
Worm.Slammer
Telnet.Login.Brute.Force
Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass
MS.RDP.Connection.Brute.Force
16
2016年第 4四半期のリストの上位に登場していた SQL Slammerの勢いが今四半期は衰えたのは、良いことです。とは言え、新たな脅威がこの瞬間にも生まれていることを考えれば、登場から 14年が経過したワームが今でも活動しているのは、驚くべきことです。事実、規模で 6位以内に入っているエクスプロイトは、いずれも強い持続力を示しており、順位の入れ替えはあるものの、顔ぶれは前四半期と変わっていません。この中で最も注目すべきが、Netcore / Netisデバイスのセキュリティバイパス検知であり、唯一、規模と感染率の両方でほぼ 10位以内(感染率については 11位)に入りました。このトリガー(Multiple.CCTV.DVR.Vendorsなども同様)は、脆弱性が存在する IoT
デバイスのスキャンに関連するもので、見つかったデバイスを大規模
DDoS攻撃に参加させるという、流行していると言える手法です。
ここで「流行していると言える」としたのは、IoTデバイスに対するエクスプロイトの試行が第 1四半期にはやや減少したためです。図 7
のグラフに示すように、標的とされる可能性が最も高いデバイスカテゴリの場合、検知数が 1桁少なくなりました。最も顕著だった DVR /
NVRカテゴリでは、前四半期は検知数が多く、Miraiによる Dynに対するDDoS攻撃が活発だった時期に1億件の検出件数を記録しました。インターネット上には、数え切れないほど多くの IoTデバイスと前四半期以降に修正されていない脆弱性が存在します。したがって、次の嵐がいつ吹き荒れてもおかしくありません。
図 7. IoTデバイスカテゴリ別エクスプロイト検出数(平均継続期間:5日間)
脅威の世界的トレンド
ルーター
プリンター
IPカメラ
NAS
DVR / NVR
電話システム10
100
1,000
1万
10万
100万
1,000万
1億
1月 2月 3月 4月
規模
17
図 6の感染率を見ると、ほぼ半数の組織が、Bashのリモートコード実行脆弱性を悪用する攻撃の試行を報告しています。これは、CVE-
2014-7169(および他のいくつかの脆弱性)を悪用して任意のコードを実行する権限を攻撃者に与えるものであり、図 8の 2014年に「critical」脆弱性が急増した主な理由の 1つでもあります。さらに、40%の企業で、PHP CGIの引数インジェクション脆弱性が記録されていますが、これは、図 8の 2012年の「high」脆弱性のピークと大きく関係しています。
図 8にはついては色々な見方ができますが、この図を見れば、「X年の脆弱性に対するエクスプロイトが検知された企業の割合は?」という単純な問いの答えが見つかります。前回のレポートをお読みにいただいた方は、最近のCVEでの結果の歪みに気付かれるかもしれません。今回のレポートでも前回と同様に、古い脆弱性が新たな手口に使われる可能性があるという教訓を学ぶことができます。「古ければ安全」が事実である証拠はまったくありません。
今四半期は皮肉なことにバレンタインデーの前後に Heartbleedエクスプロイトの再来という形で「親しみを込めた招待状」を送る攻撃が復活し、グラフの曲線が上昇しました。犯罪者にもハートが(そして、間違いなくユーモアも)あると覚えておくとよいでしょう。
図 8. エクスプロイト別の標的とされた CVEの感染率。CVE公開年ごとに集計し、深刻度別に色分け。
脅威の世界的トレンド
0%
10%
20%
30%
40%
50%
60%
1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016
critical high medium low info
18
地域別のエクスプロイトエクスプロイトは「インターネットを広範囲にわたって組織的にスキャンするツールを使って自動化されている」という前述の説明が事実だとすると、エクスプロイト活動に果たして顕著な地域的トレンドが存在するのかと不思議に思うかもしれません。エクスプロイトが特定の地域に集中していたり、その地域だけに限定されていたりする場合、一般的には、世界全体のそれらの攻撃の感染率と大きな違いがあるようです。攻撃に規則性がなかったり、普遍的だったりする場合、ほとんど違いは認められません。図 8は、データに適合するのがどちらの結論なのかを判断するのに役立ちます。
図 9は結局のところ、エクスプロイト活動の無差別性についての当初の主張を覆すものではありません。ある地域で感染率が高いのであれば、ほとんどの場合に、どの地域でも高い感染率を示します。もちろん、
地域差が認められる場合もありますが、そのほとんどは誤差の範囲内と考えて差し支えないでしょう。たとえば、アフリカと南米で DVR
リモートコード実行の試行が減少していますが、これは、攻撃者の意図と言うよりは、地域における関連テクノロジーの普及率による差と考えられます。
図 9から得られる実践的なヒントは、インターネットに隠れる場所はないと心得るべきだということです。場所や距離の壁はありません。特定の地域を狙う攻撃者がいるのは確かですが、ほとんどは、「お金に色はついていない」と考え、できるだけ広く、地理的に異なる場所のデバイスや人を感染させようとするものです。攻撃を安価かつ迅速に複製できることで現代のサイバー犯罪は成立しており、その事実は図 9によく表れています。
脅威の世界的トレンド
17.7% 21.6% 14.5% 19.5% 11.8% 18.2% 23.8%
30.3% 28.6% 31.2% 30.2% 26.4% 27.2% 33.8%
39% 33.2% 40.2% 42.4% 34.9% 35.9% 38.9%
34.4% 33.4% 30.8% 33.3% 47% 33.6% 27.8%
45.5% 39.1% 51.3% 45.2% 40.3% 42.8% 46%
34.6% 31.8% 35.1% 32.6% 28.8% 30.8% 35.2%
27.5% 22.7% 28.9% 28.3% 20.6% 23.5% 20.4%
15.8% 9.7% 15.9% 17.7% 12.5% 11.5% 11.6%
17.7% 11.6% 15.9% 16.8% 12.3% 12.7% 14.9%
26.4% 17.1% 25.2% 28.8% 22.9% 21.6% 22.3%
6.1% 21.6% 17.5% 4.1% 16% 15.6% 10.3%
29.9% 23.2% 29.2% 29.8% 24.9% 25.3% 24.5%
20.8% 12.3% 21.2% 16.6% 14.7% 18.2% 18.9%
41.1% 35.8% 41.5% 43.6% 35.6% 37.2% 40.4%
34.6% 21.2% 29.7% 21.3% 24.7% 24.7% 33%
26.2% 22.8% 17.1% 21% 32.8% 22.2% 18.1%
16.9% 9.4% 18.5% 13.9% 10.5% 13.9% 12.2%
21.2% 13.5% 15.1% 19.6% 11.1% 11.3% 19.2%
19.5% 14.2% 21.1% 21.5% 15.8% 15.5% 18.7%
28.1% 20.9% 27% 31.3% 23.5% 22.6% 24.4%
Joomla.Core.Session.Remote.Code.Execution
WIFICAM.P2P.GoAhead.Multiple.Remote.Code.Execution
Joomla.Googlemaps.Plugin.Multiple.Vulnerabilities
Web.Server.etc.passwd.Access
WordPress.Slider.Revolution.File.Inclusion
Multiple.CCTV.DVR.Vendors.Remote.Code.Execution
OpenSSL.Heartbleed.Attack
Apache.Struts.2.DefaultActionMapper.Remote.Command.Execution
Muieblackcat.Scanner
TCP.Split.Handshake
ZmEu.Vulnerability.Scanner
HTTP.URI.SQL.Injection
SSLv2.Openssl.Get.Shared.Ciphers.Overflow.Attempt
MVPower.DVR.Shell.Unauthenticated.Command.Execution
Apache.Struts.Jakarta.Multipart.Content.Type.Code.Execution
DLink.Devices.Unauthenticated.Remote.Command.Execution
App.Control.Signature.Test
Apache.Struts.Jakarta.Multipart.Parser.Code.Execution
PHP.CGI.Argument.Injection
Bash.Function.Definitions.Remote.Code.Execution
アフリカ アジ
ア
ヨーロッパ 南米 中米 北米
オセアニア
図 9. 各地域の感染率が上位 20のエクスプロイト。
19
マルウェアのトレンド価値ある標的を見つけ、それを手に入れる方法を思いついたサイバー犯罪者は、次に何をするのでしょうか。間違いなく、マルウェアを作成することになるでしょう。製品や道具にメーカーの考えや姿勢が反映されているのと同様に、マルウェアも我々に攻撃者の意図やスキルセットに関する多くのヒントを与えてくれます。
上位のマルウェアを図 10にまとめましたが、これは、亜種ではなく、マルウェアファミリーに基づくものです。多くのファミリーには膨大な数の亜種が存在するため、全体的なトレンドを理解するには、この集計方法が適していると我々は考えました。ただし、我々は亜種レベルの統計値も収集し、Weekly Threat Briefs(英文)* で公開しています。
ファミリー単位でまとめた図 10のリストには、お馴染みの名前が多く登場していますが、これは驚くべきことではありません。JS /
Nemucodは、前四半期の 54%という高い値から大幅に下降したものの、規模と感染率の測定値で二冠を獲得しました。Nemucodは、ランサムウェアやいくつかのトロイの木馬を拡散するツールとして有名です。第 1四半期には、Nemucodの亜種が Sageランサムウェアの新世代(Sage 2.0)のダウンロードと実行に使われていることが確認されました。この新世代の Sageは、約 2,000ドル相当のビットコインを要求し、ユーザーが 7日以内に支払いに応じないと、要求額を 2倍
に釣り上げます。ボットネットトレンドのセクションの末尾のミニコラムに、ランサムウェアに関するトピックを掲載しました。また、Sage 2.0に関するアドバイスは、こちらのフォーティネット セキュリティ ブログ:A Closer Look at Sage 2.0 Ransomware along
with Wise Mitigations(英文)**を参照してください。
モバイルマルウェアサンプルの存在と規模の拡大についても触れておく必要があるでしょう。2016年第 4四半期のチャートに登場したAndroidマルウェアファミリーは 1つだけでしたが、図 10に示すように、第 1四半期は 3つに増えました。さらに、Android / Genericの今四半期の規模は 3.9%であり、前四半期の 0.6%から大きく上昇しました。モバイルマルウェアの詳細については、本セクションの末尾のミニコラムを参照してください。
図 10の感染率と強度の測定値を比較すると、興味深いパターンが明らかになります。強度が最大のマルウェアファミリーは規模と感染率が非常に低く、非常に「目立つ」ものは一般的には多数の組織には広がらないことがわかります。図 10で強度の列の上位に登場するマルウェアファミリーは、リモート接続の確立、ユーザー行動の捕捉、ファイルのダウンロード / アップロード、DDoS攻撃の開始などの「目立つ」機能を備えています。
図 10. 規模別、感染率別、強度別の上位マルウェアファミリー
脅威の世界的トレンド
18.8% [1]4.9% [4]
2.0% [8]0.8% [18]0.9% [16]
3.9% [5]1.8% [10]
0.3% [47]0.1% [94]
2.1% [7]11.3% [3]
1.8% [9]12.3% [2]
2.4% [6]0.4% [38]0.3% [46]0.0% [190]0.0% [469]0.0% [543]0.0% [537]0.0% [157]0.0% [313]0.0% [171]
31.1% [1]29.3% [2]
20.2% [3]16.9% [4]
14.9% [5]14.5% [6]
10.0% [7]9.1% [8]8.7% [9]8.5% [10]
6.7% [12]1.6% [60]
0.8% [106]0.5% [184]<0.1% [1020]<0.1% [1090]<0.1% [1157]<0.1% [1157]<0.1% [1250]<0.1% [1250]<0.1% [1250]<0.1% [1432]<0.1% [1706]
10 [324]9 [429]9 [407]
8 [511]9 [454]
11 [290]14 [207]
7 [544]4 [1085]
11 [273]55 [45]
29 [90]298 [9]
26 [99]287 [10]
1,900 [1]781 [3]
546 [4]347 [6]368 [5]
324 [8]1,700 [2]
343 [7]
規模 感染率 強度
W32 / Rootkit_BlackEnergyRiskware / Kuping
W64 / AgentW32 / Dloadr
Android / Android_MinimobW32 / Stration
Friday13JS / BackdoorW32 / Kapser
Riskware / NetFilterW64 / EgguardAndroid / Qysly
Riskware / AsparnetW32 / Generic
Riskware / AgentMSIL / InjectorW32 / Kryptik
Android / GenericW32 / Injector
Malicious_BehaviorJS / Agent
WM / AgentJS / Nemucod
* Weekly Threat Briefs: https://fortiguard.com/resources/threat-brief
** フォーティネット セキュリティ ブログ:A Closer Look at Sage 2.0 Ransomware along with Wise Mitigations https://blog.fortinet.com/2017/02/02/a-closer-look-at-sage-2-0-ransomware-along-with-wise-mitigations
20
地域別のマルウェアエクスプロイトと比較すると、マルウェアには、図 11に示すように地域によって若干の差があるようです。感染率が最大と最小のものについては地域によるばらつきは大きくありませんが、地域によって極端に異なるものもあり、アフリカとヨーロッパで大きな差があるAndroid / Genericのような、すぐに目に付く違いもいくつか認められます。これ以外のパターンについては大きな差はありませんが、違いは確実に存在し、その違いにはおそらく意味があります。アジアのヒートマップが上位 20でいずれも高い値を示していますが、これは、この地域では多くの組織にさまざまな種類のマルウェアが拡散していることを意味します。中東の場合はややばらつきがあり、このリストの下位の方でもかなり高い値を示しています。
本セクションの冒頭で説明しましたが、これらのマルウェアの対策にあたっては、ここに示したのは、個々のインスタンスではなく、マルウェアファミリーの集計である点に注意する必要があります。仮に、インスタンスのレベルで集計したとすれば、a)このリストが長くて単調なものになり、b)地域のバリエーションがほぼ間違いなく多くなった(大流行の標的や地域を特定できない、規則性のない集計結果になった)はずです。
図 11. 各地域の感染率が上位 20のマルウェアファミリー。各地域の相対的な色分布
脅威の世界的トレンド
18.7%
5.6%
3.2%
9.8%
7%
6.6%
3.6%
30.1%
19.1%
6.2%
21%
14.9%
13.9%
10.7%
8.4%
3.8%
5%
5.5%
10.5%
4.1%
4.7%
4.5%
4.1%
9.1%
3.2%
3.7%
4.2%
5%
5.4%
5.5%
5.6%
2.6%
10.5%
3.3%
4.7%
22.6%
16.9%
22.9%
19.5%
17.9%
18.3%
23.6%
25.3%
17.1%
19.9%
17.9%
25.3%
21.1%
25.6%
29.5%
23%
44.5%
26.4%
29.3%
28.2%
31.3%
3.9%
3.3%
8.8%
2.3%
4.2%
5.6%
6.6%
19%
15.8%
21.1%
12.7%
23.7%
13.6%
15.5%
6.9%
6.2%
6.6%
2.9%
13.5%
4.2%
5.2%
8.4%
10.3%
9%
5.6%
18.2%
6.7%
6.7%
16.6%
14.7%
9.9%
11.2%
13.8%
10.5%
11.4%
19.9%
8.8%
6.1%
7.5%
7.7%
8.5%
9.2%
6.9%
4.7%
6.4%
7.5%
6.8%
6.9%
6.4%
14.2%
10%
6.4%
6.5%
14.6%
6.7%
8%
11.7%
9.4%
8.6%
4.8%
13.9%
6.3%
5.3%
18.4%
15.8%
17.6%
9%
23.6%
11.4%
12.7%
20.5%
9.6%
10.1%
11%
10.5%
8.5%
9.3%
26.2%
20.3%
43.9%
23.3%
33.7%
26.2%
25.8%
アフリカ
アジア
ヨーロッパ
南米
中東
北米
オセアニア
JS / Nemucod
WM / Agent
JS / Moat
JS / Agent
Malicious_Behavior
Android / Generic
W32 / Injector
PossibleThreat
W32 / Kryptik
MSIL / Injector
Riskware / Agent
W32 / Generic
W32 / GenKryptik
Riskware / Asparnet
Adware / AirP
ush!Android
MSIL / GenKryptik
LNK / Agent
HTML / Phish
Java / Adwind
HTML / IFrame
21
ミニコラム:モバイルマルウェア
ミニコラム:モバイルマルウェア
今四半期は、規模や感染率の 10位以内に入ったAndroidマルウェアファ
ミリーが増えましたが、全種類のマルウェアに占める割合はどうでしょう
か。図 12によれば、第 1四半期の統計値は 8.7%です。第 4四半期
の1.7%からの驚異的な上昇の背景には、何らかの理由があるはずです。
ところが、その理由はそれほど驚くようなものではなく、マルウェア全
体の数の減少が大きな要因であるようです。ただし、そうではあっても、
注目すべき高い数値であることに変わりありません。
図13. 2016年第4四半期と2017年第1四半期の地域別のANDROIDマルウェア感染率
2016年第4四半期から2017年第1四半期の間、 モバイルマルウェアの組織への拡散は
非常に安定した値を示しており、約20%の組織で
モバイルマルウェアを検知されています。
今四半期の時系列データを分析しましたが、年初に向かって全体的に
件数が増加したことを除けば、異常なパターンや上昇は認められません
でした。2016年第 4四半期から 2017年第 1四半期の間、モバイルマ
ルウェアの組織への拡散は非常に安定した値を示しており、約 20%の
組織でモバイルマルウェアを検知されています。
図 13はこれを地域別に示したもので、中東以外の全地域でモバイルマ
ルウェアの感染率が上昇したことがわかります。さらには、その増加率
は単なる不規則な変動ではなく、いずれも統計的に意味のあるもので
した。Androidマルウェアは、本レポートの他の地域別脅威比較と比べ
ると、地理的トレンドが強く表れているようです。図 12. Androidマルウェアと全マルウェアの規模の比較
Androidの不正アプリケーションであるQysly(別名 Ztorg)は、2四半期連続でアフリカの組織を大いに悩ませました。このマルウェアにデバイスが感
染すると、セキュリティが低下し、ユーザーのプライバシーが侵害されます。Qyslyは、他の Androidマルウェア亜種と同様に、個人情報やアカウント
情報を盗み、バックドア経由でデバイスの機能にアクセスし、テキストメッセージを送信したり、特定の電話番号を発呼したりし、デバイスをロックまた
は暗号化した上で、ロック解除のための身代金を要求します。FortiGuard Labsが第 1四半期に検知されたこの亜種を分析してみたところ、動作を隠ぺ
いする極めて高度なテクニックが使われていることがわかりました。詳細は、第 1部、第 2部を参照してください。
マルウェア全体
Androidマルウェア
今四半期
前四半期
ヨーロッパ
オセアニア
北米
中東
アジア
南米
アフリカ
0% 10% 20% 30% 40%
Androidマルウェア感染率
22
ボットネットのトレンドエクスプロイトとマルウェアからは、攻撃の準備と侵入の段階が明らかになりますが、ボットネットの検知によって、実際の情報漏えいの過程を知ることができます。感染ホストが外部への接触、マルウェアの追加ダウンロード、コマンドの受信などを行っていれば、ボットネットの活動を示す、防衛側にとってありがたくないニュースです。ただし、そのような不正通信を検知して切断し、図 14のような役に立つ情報を皆さんと共有できるという利点もあります。
図 14. 規模別、感染率別、強度別の上位ボットネットファミリー
Necursボットネットの背後にある犯罪者が 1月に数百万件の電子メールメッセージを送信する攻撃を実行したにもかかわらず、Necursの活動は、第 1四半期に規模と感染率の両方で 3分の 1も減少しました。Necursは、Lockyランサムウェアや Dridexトロイの木馬ファミリーとの関連性があるとされていますが、この数ヶ月でスパムや DDoSの要素が追加されたようです。
脅威の世界的トレンド
23.8% [2]2.0% [6]
4.0% [4]3.5% [5]
19.0% [3]0.6% [17]
1.8% [7]0.4% [19]0.3% [24]0.0% [46]
1.4% [10]0.1% [37]
30.7% [1]1.4% [9]
0.7% [13]1.1% [12]
0.2% [26]1.5% [8]
0.0% [54]0.0% [61]0.0% [97]
37.1% [1]31.3% [2]
24.6% [3]15.6% [4]
11.9% [5]10.1% [6]
9.7% [7]6.7% [8]
5.9% [9]5.9% [10]
5.0% [12]1.8% [32]1.7% [33]
1.1% [41]0.8% [47]0.8% [48]
0.2% [86]0.2% [93]<0.1% [131]<0.1% [180]<0.1% [180]
359 [27]70 [79]
153 [49]182 [42]
993 [8]79 [73]
139 [53]38 [106]
100 [61]15 [140]
156 [47]996 [7]988 [9]
723 [13]1,800 [4]
1,100 [6]970 [10]
6,000 [1]1,300 [5]
6,000 [2]4,800 [3]
規模 感染率 強度
Shiz
Mikey
Sinowal
IMDDOS
Nivdort
Jenxcus
XorDDOS
Neutrino
Zeroaccess
Cerber
Sality
TorrentLocker
Dorkbot
Jeefo
Ramnit
Bedep
H-worm
Conficker
Necurs
Pushdo
Andromeda
23
図 15. 週あたりの新たにボットを報告した企業の平均数。
Andromedaは、今四半期における組織からの報告件数が他のどのボットネットよりも多く(第 4四半期は第 11位)、規模の割合が増えたのは ZeroAccessだけでした。また、今四半期に最も成長率が大きく、毎週平均 49社の企業が新たに感染しました(図 15を参照)。Andromedaは、Windowsマシンに必要に応じてコンポーネントをインストールし、信頼できるプロセスに自らをインジェクションし、C& C
サーバーへの接続が必要になるまで休止状態で待機する、モジュール型ボットネットです。
ZeroAccessに話を戻すと、これと Hワーム(Houdiniワームとも呼ばれます)は、発見からかなりの時間が経過しているにもかかわらず、今でも活動しています。どちらも、サイバー犯罪者による感染システムの制御を可能にするものですが、ZeroAccessがクリック詐欺やビットコインマイニングをサポートするのに対し、Hワームは秘密裏の情報収集を専門とします。Hワームは、スキャン時の一般的なセキュリティツールによる特定を防ぐ、複数層のコード難読化によって保護さ
れています。前四半期と同様に、Hワームは、すべての測定値で 10
位以内に入った唯一のボットネットです(図 14参照)。
Pushdoボットネット(Cutwailまたは Pandexとも呼ばれます)は、発見から 10年以上が経過しましたが、未だに活発に活動を続けています。このボットネットは基本的には、標的とするシステムに感染し、Cutwailスパムモジュールをダウンロードし、コールホームによって収集・送信する電子メールに関する指示を受け取る、高度なダウンローダーです。Pushdoは、DDoS攻撃を開始する目的にも使用されるもので、非常に短時間に何千もの不正 SSL接続を標的とするWebサイトのポート 443に送信します。標的とされたサーバーは、SSLネゴシエーションエラーで応答しますが、最終的にはリソース不足に陥ります。
図 14の強度の列をご覧いただく際は、棒の長さではなく、数字に注目してください。IMDDOS、Mikey、および Shizについては、図に収まらないため、棒の長さを縮小してあります。このように強度が高いことが、おそらくは影響を受ける企業の数が少ない理由でしょう。
脅威の世界的トレンド
1.61.71.9222.1
3.23.54.4
5.96.5
9.19.9
1111.711.9
23.125.1
34.748.9
GoziNeutrinoKelihos
PhotoMinerSalitynjRAT
MazbenJeefo
H-wormLethicBunitu
ChanitorGh0stCKMP
NymaimConficker
PushdoDorkbotRamnit
Andromeda
0 10 20 30 40週あたりの新たに感染した組織の平均数
24
地域別のボットネット図 16の地域別のボットネット活動を見ると、どの地域でも、Andromeda、Pushdo、Necursが3位以内に入っています。Andromedaは、他の地域と比べると、ヨーロッパでは、影響を受けた組織の割合がはるかに低いことがわかります。Nymaimランサムウェアボットネットは、ヨーロッパでは不自然なほど高い値を示しています。図 16を全体的に見渡すと、エクスプロイトやマルウェアの地域別のヒートマップよりもかなり「温度が低い」ことがわかります。つまり、上位のボットネットに活動が集中しています。
図 16. 各地域の感染率が上位 20のボットネット。各地域の相対的な色分布
地域別の図 9、図 13、図 16を一文で言い表すとすると、「互いの負担は共有するが、自分の負担は自分で負う」ということになるでしょう。グローバルな情報共有の価値だけでなく、地域ごとの専門知識と研究の必要性も裏付ける証拠が存在します。
脅威の世界的トレンド
57.1%
44.6%
16.5%
48.7%
55.1%
35%
34%
16.9%
8.2%
9.5%
18.1%
10%
9.4%
6.2%
16.9%
18%
16.4%
18.5%
16.3%
13.5%
10.8%
11.6%
8%
3.1%
5.9%
6.8%
4.4%
7%
3.4%
5.3%
5.6%
2.4%
2.2%
3.2%
8.1%
4.7%
3.5%
4.6%
2.4%
2%
4%
1.6%
29.5%
11.7%
6.6%
21.2%
13.6%
11.1%
6.7%
17.6%
8.9%
3.2%
5.2%
10.1%
5.3%
4.6%
7.8%
6.4%
1.9%
3.6%
4.4%
3.5%
4%
5%
6.2%
4.4%
5.5%
4.2%
3.9%
4.3%
5%
6%
3%
2.9%
5.3%
3.6%
3.8%
3.4%
6%
3%
0.7%
3%
2.6%
4.6%
35.7%
30.2%
11.8%
33.4%
30.8%
22.8%
23.7%
8.8%
4.9%
2%
6.1%
5.2%
3.1%
2.7%
5%
3.2%
12.9%
1.9%
3.8%
3.6%
7%
25.7%
24.8%
35.5%
16.5%
17.3%
33%
35.8%
22.3%
14.2%
5.9%
5.1%
13.2%
7.5%
8.1%
7.2%
6.6%
2.7%
4%
8.2%
4%
2.4%
3.8%
5.3%
6.6%
4.2%
13.4%
4.8%
6.2%
5.3%
5.5%
3.3%
2.1%
3%
2.9%
5.7%
アフリカ
アジア
ヨーロッパ
南米
中東
北米
オセアニア
AndromedaPushdo
Necurs
Conficker
H-worm
BedepRamnit
Jeefo
Dorkbot
TorrentLocker
Sality
Mariposa
NymaimMazben
LethicGh0st
njRATZeus
Gozi
NanoCore
25
ミニコラム:ランサムウェア
ミニコラム:ランサムウェア
情報セキュリティ業界は現在、WannaCry*の急拡大によって大混乱
の真最中であり、誰かがキルスイッチを見つけるまで、この大規模
ランサムウェア攻撃によるパニックは収まりません。WannaCryの
大流行は 2017年 5月であり、本レポートの対象期間は 1月~ 3月
です。WannaCryの詳細と対策のヒントについては、ブログに掲載
中のWannaCry調査の記事を参照してください。最新情報をいつで
もご覧いただけます。
我々は好奇心から、第 1四半期に収集したデータをチェックして、
WannaCryの前兆を示す証拠を探してみました。関連する IPSシグ
ネチャDoublePulsar.Backdoor(2月 27日公開)とMS.SMB.Server.
SMB1.Trans2. Secondary.Handling.Code.Execution(3月 14日公開)
は、第 1四半期には活動が活発ではありませんでした。これは、そ
図17. 第1四半期のランサムウェアボットネットの日次の感染率と規模
我々のボットネットデータセット内の組織の 10%弱で、四半期中の
いずれかの段階でランサムウェア関連の活動が検知されました。毎
日平均 1.2%の組織が、組織内のいずれかの場所で動作中のランサ
ムウェアボットネットの対応に追われています(図 17の青い線を参
照)。ピーク日(図 17で突出している日)から週末にかけて活動が
きれいな下降線を示しており、これは、週末のトラフィック量の減
少によるものと考えられます。
図 17で感染率と規模の間の同様の活動パターンを見つけられれば、
良い手掛かりになるでしょう。さまざまなランサムウェアボットネッ
トの平均トラフィック量が増加すると、影響を受ける企業の平均数
も増加するようです。これは、直観的な考えのように聞こえるかも
しれませんが、どのような場合も、仮説を立ててからデータに照ら
し合わせて検証するのは良いことです。さらには、CCaaS(Cyber
Crime-as-a-Service)時代のランサムウェアがどのように機能し、拡
散するかを深く理解すれば、次に登場するWannaCryのようなラン
サムウェアに泣かされずにすむでしょう。
我々のボットネットデータセット内の組織の
10%弱で、四半期中のいずれかの段階で
ランサムウェア関連の活動が検知されました。
毎日平均1.2%の組織が、組織内のいずれかの
場所で動作中のランサムウェアボットネットの
対応に追われています。
れほど驚くことでも、悲観することでもありません。この事実には、
ランサムウェアに関する多くのヒントや教訓が隠されているはず
です。
感染率 規模
1月 2月 3月 4月 1月 2月 3月 4月
10万
20万
30万
40万
0.8%
1.2%
1.6%
* フォーティネット セキュリティ ブログ:WannaCryに関する FAQ - 考慮すべきポイントと覚えておくべきこと http://www.fortinet.co.jp/security_blog/170517-wannacry-faq.html
探索的分析:業種別の脅威の現状
27
探索的分析:業種別の脅威の現状
このレポートの前半で、インフラストラクチャプロファイルの概念を紹介し、業種間での比較方法を説明しました。ここでも、それと同様の考え方を取り入れたいと思いますが、今回は、インフラストラクチャのプロファイルではなく、共通する脅威特性に基づく、組織や業種のプロファイルです。このプロファイルの目的は、「組織の脅威プロファイルによって業種による集団が形成されるのか、また、もしそうであれば、どの業種間に類似性が認められるのか」という問いの答えを見つけることです。
FortiGuard Labsが利用できるデータを使用した脅威プロファイルの作成にあたっては、いくつかの有効なオプションがありますが、我々は、攻撃、マルウェア、およびボットネットのデータセットの上位30の脅威を選択し、組織の脅威プロファイルの基礎となる 90のデータポイントの共通セットを作成しました。クラスタリングアルゴリズムでは、組織間でこれらの 90のマーカーを比較して、お互いの類似
性の度合いが計算されます。図 18は、これらの組織(1つの組織が 1
つの点)を 2次元の平面に描画したもので、組織同士の距離が類似性の度合いを表します。近い場所にあれば、この分析の対象となる 90
の脅威の類似性が高く、すなわち、両者の脅威プロファイルが似ていることを表します。離れた場所にあれば、類似性が低く、脅威プロファイルが似ていないことを意味します。また、それぞれの企業を業界別に色分けしました。
現時点では、それぞれの組織 / 色がどの業種に対応するものなのかを考える必要はありません。脅威プロファイルが何を表すものなのかだけを理解することに集中しましょう。最初に、同じ色が固まっているわけではないことに気が付きます。実際には、左上に大きな集団が形成されていて、それ以外は散らばっており、顕著なパターンは認められません。以上の結果を文字通りに解釈すると、組織の脅威プロファイルは業種に強く結び付いているわけではないと考えられます。ただし、集団が形成されているのは事実であるため、業種以外の何らかの要素が関係しているはずです。
図 18. 組織の脅威プロファイルのクラスタ分析。業界別に色分け
探索的分析:業種別の脅威の現状
28
そこで、図 18の考えられるいくつかの解釈を検討してみることにしましょう。1つは、脅威には規則性がなく、業種とは無関係であるという解釈です。ただし、これはあまりにも単純で、図 19(この後に詳しく説明します)と辻褄が合わないように思われます。もう 1つは、業種と他の人口統計学的要素には相互関連性があるため、企業の脅威プロファイルに対する業種の寄与度だけを取り出すことはできないという考え方です。また、我々のプロファイルの作成方法が、際立った特長を表面化させにくいものであった可能性もあり、使用する脅威が少なかったり、選択の範囲を各データセットの上位 30以外にも広げていたりしたならば、おそらく結果は違っていたでしょう。このセクションは探索的分析を目的とするものであるため、残念ながら徹底的な感度分析を行うことはできません。今後のレポートでの分析に引き続きご注目ください。
業種別の脅威情報サービスを解約したり、業界団体から脱退したりしようと考える前に、図 19をご覧ください。インフラストラクチャプロファイルではなく、脅威プロファイルに基づくものである点を除けば、これは、図 4から必然的に導き出される結果です。点は業種を表し、その大きさはその業種の企業の数を表し、近い場所にある業種同士には脅威プロファイルに類似性があります。
この図についてはいくつかの検討すべき点があり、ある疑問の答えが
見つかったとしても、また別の疑問(たとえば、製造業と金融がすぐ近くにあるのかなど)が生まれるかもしれません。ただし、本来の主旨にしたがって、探索的分析を続けることにしましょう。脅威プロファイルには明らかに業種による相違が表れているため、図 18と矛盾するように思えるかもしれません。しかしながら、ここで重要なのは、別の筋書きを探すことではなく、1つの筋書きの別の側面を見つけることです。図 19には、図 18の検証では明らかにならない、いくつかの細かい統計的特長が表れています。
図 19を図 4と比較することで、いくつかの注目すべき事実が明らかになりました。同じ業種の多くは、どちらのチャートでも「メガクラスタ」の中心部に含まれています。さらに興味深いのは、外れ値(たとえば、教育、通信 / キャリア、MSSP)の多くも両方のチャートで共通しているという事実です。紙面の都合上、もっともらしい理由を並べて直接的因果関係の根拠とするのは止めますが、いずれにしても、これらの結果はとても興味深いものです。組織のインフラストラクチャ使用が業種よりも脅威プロファイルと強く結び付いている可能性はあるでしょうか。興味の尽きない重要な問題ではありますが、本レポートで結論付けることはできません。「さらなる研究の価値がある」問題として、今後の検討課題としたいと思います。
図 19. 業種脅威プロファイルのクラスタ分析
探索的分析:業種別の脅威の現状
航空・防衛
農業
自動車
銀行 / 金融 / 保険
建設
コンサルティング
教育機関
エネルギー・電気・ガス・水道
環境政府機関
医療機関
法務
製造
メディア / 通信
MSSP非営利団体
小売業 / 観光・宿泊業
テクノロジー
電気通信 / 通信事業者
運輸・物流
結論と提案
30
結論と提案
2017年第 1四半期の脅威レポートをお読みいただき、ありがとうございました。本レポートによって、脅威の輪郭や危険性の理解が深まり、組織を正しい方向へと導くための役に立つアイデアを得られたと感じていただければ幸いです。冒頭で述べたように、今後も、サイバーセキュリティの責任者や専門家が直面する課題が減少する見込みはありません。時間を味方につけることは困難ですが、FortiGuard Labsのアナリスト全員が、あらゆる方法で最大限の支援を提供させていただきます。本レポートで得られた結果に基づき、いくつかの見解と提案を最後にご紹介します。
01 ネットワークトラフィックの暗号化によって脅威の検知能力が低下する可能性があるかどうかを判断します。多くの防御ツールは、暗号化された通信を十分に考慮していないため、環境内の盲点になる可能性があります。
02我々は、攻撃前の偵察(エクスプロイト)から武器化(マルウェア)、さらには感染後のコマンド &コントロール(ボットネット)までの脅威のキルチェーンを検証してきました。そのことで、キルチェーン全体を見据えた対策の重要性を再認識することにもなりました。現在のセキュリティ対策を見直して、各段階の有効性を評価することをお勧めします。
03 標的型攻撃が大きく報道されることが多い一方で、本レポートの調査で、ほとんどの組織が直面する脅威の大半は日和見的な無差別攻撃であることが再認識されました。外から見える、アクセス可能な攻撃対象を最小限に抑えれば、標的を探す攻撃者のレーダーに捉えられずにすむでしょう。
04不正アクセス対策に加えて、攻撃される可能性がある脆弱性を最小限にしておくことも重要です。この対策が標準プラクティスとして古くから使われてきましたが、その繰り返しと複雑さから、いくつかのシステムがパッチサイクルで見過ごされてしまう場合があります。自動化された攻撃ツールは残念ながら、このようなシステムを簡単に見つけてしまいます。
結論と提案
31
06モバイルマルウェア対策が特に困難なのは、デバイスが内部ネットワークで保護されているわけではなく、公共ネットワークに接続されることが多く、会社の管理下に置かれない時間が長いためです。モバイルセキュリティ戦略においては、これらの状況を理解して、モバイルアプリケーション制御とマルウェア保護をネットワークに統合することで、マルウェアの侵入を阻止する必要があります。
07今四半期に 10%の企業がランサムウェアの影響を受け、毎日 1%強の企業で報告されたことがわかりました。そして、程度の違いはあっても、これはすべての業種、すべての地域に当てはまります。ランサムウェアは複雑な脅威であるため、単純なアプローチではなくなりません。ランサムウェアから組織を
保護する方法については、 10ステップのプログラム(英文)*を参照してください。WannaCryに特化した保護に関する情報は、フォーティネット セキュリティ ブログ:WCryランサムウェアから会社や組織を守るために **を参照してください。
08ボットネット関連の調査では、ネットワークから外部へのトラフィックの監視が外部からネットワークへのトラフィックの検査と同じように(あるいはそれ以上に)重要であることが再認識されました。すべてのホストとユーザーをすべての侵入を試みる脅威から保護するのは不可能ですが、高度なツールと有効な情報を組み合わせることで、ネットワーク内の重要な部分でコマンド &コントロール通信を切断し、さらに強力な対策が実現するはずです。
09 足掛かりを見つけた攻撃者は、次の段階として、ネットワークの他の場所への侵入を開始します。内部セグメンテーションファイアウォール戦略は、脅威を封じ込め、水平方向のこの動きを最小化するのに役立ちます。
結論と提案
05ウイルス対策ソフトウェアが唯一の(または主要な)マルウェア対策であった時代は、終焉を迎えました。本レポートでご紹介した調査結果からわかるように、最新のマルウェアの種類、規模、速さは、従来のウイルス対策だけで太刀打ちできるものではありません。ネットワーク境界、ネットワーク全体、およびエンドポイントの高度マルウェア対策により、既知と未知の両方の脅威を検出できるようにしてください。
* 10ステップのプログラム : https://blog.fortinet.com/2016/04/06/10-steps-for-protecting-yourself-from-ransomware
** フォーティネット セキュリティ ブログ:WCryランサムウェアから会社や組織を守るために http://www.fortinet.co.jp/security_blog/170512-protecting-your-organization-from-the-wcry-ransomware.html
Copyright© 2017 Fortinet, Inc. All rights reserved. この文書のいかなる部分も、いかなる方法によっても複製、または電子媒体に複写することを禁じます。この文書に記載されている仕様は、予告なしに変更されることがあります。この文書に含まれている情報の正確性および信頼性には万全を期しておりますが、Fortinet, Inc. は、いかなる利用についても一切の責任を負わないものとします。Fortinet®、FortiGate®、FortiCare®、および FortiGuard® は Fortinet, Inc. の登録商標です。その他記載されているフォーティネット製品はフォーティネットの商標です。その他の製品または社名は各社の商標です。
〒106-0032東京都港区六本木 7-7-7 Tri-Seven Roppongi 9 階www.fortinet.co.jp/contact
TR-17Q1-201706-R1