●日本でもランサムウェアが発見
トレンドマイクロは、2014年第1四半期セキュリティラウンドアップを発表した。これは、2014年1月から3月までの日本国内および海外のセキュリティ動向を分析したものである。
【もっとほかの写真をみる】
総括では、POSシステムが攻撃者の標的になっていることが指摘された。ご存じのように、POSシステムは一般的に販売管理に使われる。最近は、経理システムとも連携し、クレジット決済も行う。つまり、ユーザーの購入履歴やカード情報などが扱われる。これを攻撃者が狙っているのだ。不正プログラムに感染させ、POS端末内の暗号化される前のクレジットカード情報などを窃取する。図2をみてほしい。
2013年では22件だったものが、2014年第1四半期だけで156件と急激に増加している。米国では、2013年末に1億件以上の顧客情報の流出、2014年第1四半期に300万件のクレジットカード情報の流出、35万件の顧客支払い情報の流出といった被害が確認されている。
一方、ビットコインも標的となっている。2014年2月には、東京に本社を置くビットコインの取引所が破綻した。破綻の理由の1つに、システム上の不備からビットコインが盗まれたことをあげていた。この件の事実関係はすべてが明らかになっていないが、攻撃者が仮想通貨を新たな標的にしていることはまちがいない。
単純な方法は、ユーザーのPCに不正プログラムを感染させ、保有する仮想通貨やウォレットを窃取するものだ。さらに仮想通貨特有の機能を悪用する方法もある。仮想通貨の多くは、マイニングという通貨発掘機能がある。これを強制的に行う不正プログラムを感染させるのである。すでにマイニングは限界という説もあるが、取引は積極的に行われている。無理矢理、市場を活性化させ、仮想通貨の価格を高めているのだ。結果、攻撃者には利益が増える仕組みである。2014年第1四半期は、Android端末でマイニングを行う不正アプリも検知された。さらには、ランサムウェア(PCをロックし、身代金を要求する不正プログラム)で、仮想通貨を要求するものも検知された。
かつては、ネットゲームなどのレアアイテムが狙われた。攻撃者にとって換金しても身元がばれないことが多いからだ。仮想通貨も、不正取引に使われたり、身元を特定することが困難なため、今後も攻撃者にとって狙いやすく、同時に扱いやすいものとなっている。
○日本でもランサムウェアが発見
PCを使用不能にして、身代金をせしめるランサムウェアであるが、これまでは国内では検知されてこなかった。しかし、2014年第1四半期に初めて確認された(図3)。
かねてより、ランサムウェアが日本語に対応すると指摘されていた。それがまさに現実のものとなったといえるだろう。図3をみれば、日本語がまだまだ稚拙である。このレベルならば、注意力で防ぐことも可能であろう。しかし、偽セキュリティ対策ソフトでも同じようなことがあった。初期の偽ソフトは、非常に拙い日本語であったが、最近の偽ソフトはかなり流暢な日本語が使われるようになってきた。同じような変化が、ランサムウェアでもありうえると十分予想される。
国内に限ったことではないが、攻撃者も不正プログラムなどをかなりのレベルまで作り込んでいるとのことだ。特定の地域や環境、さらには職業や嗜好などを巧みに織り込むことで、見破られないようにしている。
●アップデート機能を利用した不正プログラム頒布攻撃
○アップデート機能を利用した不正プログラム頒布攻撃
2013年3月と6月に、韓国で大規模なサイバー攻撃が行われ、金融機関や放送局などが多大な被害を受けた。この際に使われたのが、正規ソフトウェアのアップデート機能を悪用した不正プログラムの配布である。この手口が、初めて日本でも確認されたとのことだ。
攻撃に使われたのは、韓国のソフトメーカーの動画再生プレーヤーである。プレーヤーのアップデートサーバーが攻撃者により不正アクセスを受けた。結果、プレーヤーをアップデートしようとした一部のユーザーが別のWebサイトへ誘導され、プレーヤーアップデート時に不正プログラムに感染させられたものだ。2013年12月27日から2014年1月16日にかけて、不正な誘導が行われていたとのことである。原因は、ソフトメーカーのネットワーク運用体制のあまさと結論している。
トレンドマイクロによれば、2013年のサイバー攻撃と類似な点が多いという。さらに、この攻撃はユーザーの正規ソフトウェアへの信頼を逆手に取った攻撃といえるとのことだ。本誌でも、セキュリティ対策の基本として、OSやアプリケーションをつねに最新の状態に維持することを勧める。もし、ユーザーのPCで、アップデートのお知らせなどが表示された場合、アップデートを行わないという選択する行うことは、好ましい行動と思えない。したがって、ユーザーはほとんど無防備に不正プログラムをインストールしてしまう。また、ユーザーが正規ソフトウェアのアップデート内容について正当性を確認することは困難と、トレンドマイクロは指摘する。
●2014年第1四半期に確認されたゼロディ攻撃
○2014年第1四半期に確認されたゼロディ攻撃
2014年第1四半期に確認されたゼロディ攻撃は4件であった(図4)。
この中で、日本国内のユーザーに直接関わるゼロディ攻撃は、三四郎であろう。その後の調査では、攻撃自体は2013年中に発生していたとのことである。IE9、10に関わるゼロディ攻撃では、米国で水飲み場型の標的型攻撃で使用された後、1週間以内に日本国内の正規Webサイト改ざん攻撃でも使用された。
また、ラウンドアップでは、2014年になってから、日本を狙った攻撃が増加傾向にあるとのことである。図5は、レンドマイクロのクラウド型セキュリティ基盤「Smart Protection Network(SPN)」の集計である。
2014年第1四半期のブロック総数は2億7百万であり、これは2013年第4四半期の1億4千5百万に対し、1.4倍となっている。特に不正プログラムの増加が著しい。上述したように、2014年第1四半期には、国内初となった脅威が2つ検知された。いずれも海外では一般的な攻撃手法であり、いつかは国内に登場されると予想されていた。まさにそれが現実となったわけである。それは、多くの攻撃者が、日本を攻撃の対象としていることの表れでもある。
かつては、日本語自体が防壁のような役割をはたしていた。しかし、それもほとんど期待できないといってよいであろう。一方、アップデート機能を利用した攻撃のように、ユーザーレベルでは対策の難しい脅威もある。これまで以上に、対策が必要といえるであろう。
本稿で紹介した以外にも、多くの脅威事例や対策などが紹介されている。時間のあるときに、ぜひ一読してみるとよいであろう。
(c-bou)
