Comments
Description
Transcript
2015年のサイバー犯罪の現状:変化する脅威の状況
サイバー犯罪 2015 変化する脅威の状況に関する解説 RSA Research は、脅威検出ならびにサイバー犯罪インテリジェンス の最前線に立ち、何百万というサイバー犯罪攻撃を阻止するなど、グ ローバル組織の保護に貢献しています。サイバー犯罪活動に対する 深い洞察により、2014 年には 100 万以上の実用的な調査結果を 出し、毎週約 40 万のユニークなマルウェア亜種の解析を行っています。 これらに基づき、RSA Research は今後 1 年で予想される主なサイ バー犯罪の動向を特定しました。 2015 年 4 月 1 目次 サイバー犯罪 2015: 変化する脅威の状況に関する解説・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・3 トレンド 1: Cybercrime-as-a-Service の市場は今後も成長を続ける・・・・・・・・・・・・・・・・・・・ 3 トレンド 2: モバイル端末がより広範な攻撃可能領域を提供する・・・・・・・・・・・・・・・・・・・・・・・・・・5 トレンド 3: サイバー犯罪者は支出に見合う価値をより多く求め、 小売店や金融機関への大規模な攻撃が増加する・・・・・・・・・・・・・・・・・・・・・・・・・・・・7 トレンド 4: 脅威は今後、これまで以上に標的型で高度なものとなる・・・・・・・・・・・・・・・・・・・・・・・9 インテリジェンス駆動型のリスクに基づいたアプローチで、複数のチャネルにわたる サイバー犯罪の脅威と戦う・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・10 2 サイバー犯罪 2015: 変化する脅威の状況に関する解説 サイバー犯罪者は、より効率的で収益性の高い攻撃戦術を用いるようになってきており、サイバー犯罪の状況は進化を続けていま す。同時に、Cybercrime-as-a-Service の市場が急速に広がり、マルウェア・ベンダー間の競争によりイノベーションが加速してい ます。スマートフォンは世界的に過去最高レベルで普及しており、サイバー犯罪者はモバイル端末へのスタンドアロン攻撃へ重点を置 き始めています。 RSA Research は、脅威検出ならびにサイバー犯罪インテリジェンスの最前線に立ち、何百万というサイバー犯罪攻撃を阻止する など、グローバル組織の保護に貢献しています。 サイバー犯罪の動向 2015 2014 年 、 RSA の Anti-Fraud Command Center トレンド 1 (AFCC, 不正対策指令センター)は 50 万件近いサイバー Cybercrime-as-a-Service 市場は、今後も成長を続ける 攻撃を特定しました。これは前年比で 11%の増加でした。 トレンド 2 モバイル端末がより広範な攻撃可能領域を提供する RSA Research はサイバー犯罪活動に対して深い洞察を有 トレンド 3 しており、2014 年には 100 万以上の実用的な調査結果を サイバー犯罪者は支出に見合う価値をより多く求めて、 出し、毎週約 40 万のユニークなマルウェア亜種の解析を行って 小売店や金融機関への大規模な攻撃が増やす います。これらに基づき、RSA Research では今後 1 年で予 トレンド 4 想される主なサイバー犯罪の動向を特定しました。 脅威は今後、これまで以上に標的型で高度なものとなる トレンド 1: Cybercrime-as-a-Service の市場は今後も成長を続ける 犯罪地下組織は as-a-service モデルの開発を継続しており、詐欺やフィッシング、スパムの方法、あるいは IT インフラストラクチャ の要件を理解していなくても、多くの詐欺師が収益を得られるようになっています。これは昨年(2014 年)に観測された傾向であ り、弱まる気配は見られません。実際、この市場は非常に急速な成長を見せているため競争が激化しており、サイバー犯罪の「サー ビスプロバイダ」は「顧客」の獲得と維持のために、これまで以上の努力が必要になっています。 従って、Cybercrime-as-a-Service のプロバイダは、優れたカスタマーサービスと革新的な製品の提供に重点を置いています。 例えばサービスの一環として「試用期間」を設けたり、返金保証を付けています。同様に、この市場の一番売れ筋の商品である盗 難クレジットカードの場合、ベンダーは集客と顧客維持のために、さらに多くの選択肢を提供しています。以下にその例を紹介しま す。 「破損」品の交換。購入したペイメントカードが被害者の届けにより無効になった場合、購入者は交換、返金を受けることがで きる。 購入者が携帯電話のモバイルアプリで、盗難ペイメントカードを一層便利に購入できるようにする。 3 市場での競争が熾烈になることで、イノベーションが進みます。プロバイダやベンダーはより高度で差別化された、ステルス性の高い サービスを提供することで人目を引き、これらのサービスと共に専門知識を提供して、より多くの収益を得ようとしています。これは非 常に重要です。 なぜならフィッシング攻撃など、多くのタイプの攻撃は基本的にはシンプルで低価格だからです。例えば 50 万もの メールアドレスはほんの 30 ドルで購入でき、フィッシングサイトをホストするのも実質、無料で可能です。何千というクレジットカードを 100 ドルほどの報酬で盗み出すことも可能です。 最近見られるイノベーションの一例として、ランサムウェアの人気の高まりをプロバイダが利用していることが挙げられます。彼らは被害 者とのやり取りを可能にする、ロック期間の延長のためにコントロールパネルのオプションを提供するなど、より巧妙な機能を導入して サービスを差別化しようとしています。 対照的に、質の悪いマルウェアのプロバイダは瞬く間に評判を落とし、市場フォーラムから追い出されます。特に今はフォーラムを利用 して、購入者が販売者やそのサービスを評価したり、コメントを書き込んだり、顧客を食い物にする「ぼったくり業者」の通報ができるよ うになっています。つまり既存顧客を維持し、新規顧客を獲得するためのベンダー間の競争が激化しているため、マルウェアの質が向 上しているのです。 [ 図 ] 無料のテストや常連顧客向け割引価格、残り時間に対する払い戻しなどの提案がある 2015 年の見通し 1: CYBERCRIME-AS-A-SERVICE サイバー犯罪市場はこの 2 年で劇的に進化し、それは 2015 年以降も続くでしょう。 Cybercrime-as-a-Service のプロバイダにより、今後も競争の激しい市場でイノベーションは進むでしょう。作成さ れるマルウェアの質が全般的に向上し、技術的知識をまったく持たない多くの犯罪者がサイバー犯罪から収益を得ら れるようになります。 4 トレンド 2: モバイル端末がより広範な攻撃可能領域を提供する 2013 年、世界のスマートフォン市場で初めて年間出荷台数が 10 億台を突破し 1、モバイル・マルウェアが深刻な問題となり始め ました。 昨年は 13 億台のスマートフォンが出荷され、2015 年には 15 億台が出荷されると予測されています 2。 犯罪市場の需要に適応するのと同様に、犯罪者が技術動向の進歩に迅速に対応していることはわかりきっています。世界中のス マートフォンの普及率を考えれば、モバイル端末に対する脅威や詐欺へかつてないほど重点が置かれていくことになるでしょう。 モバイル・マルウェアの大半は今でも Android プラットフォームを標的としています。Android 携帯はオープンプラットフォームであるだ けでなく、例えば Apple 社のものと比べて、それほど管理の厳しくないサプライチェーンを使って製造、流通されている傾向があります。 また Android は最も一般的に利用されているプラットフォームであるため、悪用できる攻撃可能領域が大きいのです。 携帯電話での SMS スニファーを使用するバンキング・トロージャン(オンライン・バンキングを標的とするトロイの木馬)は、ここ数年 で増加しています。このシナリオでは、ユーザーがソーシャル・エンジニアリングによって PC からモバイル・マルウェアをダウンロードするよう 誘導されます。例えば、オンライン・バンキングのセッション中に、ユーザーに対してモバイル・アプリをダウンロードするよう誘導するポップ アップ画面が表示された場合、これは大抵セキュリティ機能を装っているものの、実は SMS スニファーなのです。ユーザーの銀行は多 額の送金など、普段とは異なるアクティビティを検知すると、アウトオブバウンド方式のワンタイムパスワードをユーザーの携帯電話に送 信し、トランザクションの認証の際に入力しなければなりません。犯罪者はこれをインターセプトし、自身の口座への送金を完了させ ることができるというわけです。 しかし 2014 年には、被害者の PC への感染を必要としない、携帯のみを使った攻撃も多く見られるようになりました。 プレミアムレート詐欺。ユーザーが自身の携帯からプレミアムレート番号へ SMS を送信するか、電話をかけるようスキャマーが誘 導し、その結果金銭を回収する。 データ・スティーラーおよびスパイ・アプリ。これらのアプリは携帯電話のカメラやオーディオ機能のスイッチをオンにし、犯罪者がユー ザーの顔を見ながら、そのユーザーをソーシャル・エンジニアリングによって説得できているかどうかを確認する、あるいはユーザーが 銀行へ電話をかけている際に話している内容を録音するというものです。これらのアプリはアドレス帳のデータや写真を盗み出し たり、端末の位置情報を入手したりすることも可能です。 厳密に言えば、こうした攻撃の多くは不正なモバイル・アプリが実行しています。これらは信頼を悪用して、インストールの過程でユー ザーが許可を与えるように誘導し、情報や金銭を盗み出します。多くのユーザーは各画面の情報を読まず、「次へ」ボタンを簡単に クリックしてしまいます。例えば、そのアプリが電話機能へのフルアクセスを与え、場合によってはアプリのアンインストールを不可能にし てしまうような、スーパーユーザー権限を取得したことにも気づかないこともあります。 1 IDC 社の世界携帯電話 四半期実績・予測レポート(Worldwide Quarterly Mobile Phone Tracker) 2 IDC 社の世界の携帯電話市場:予測と分析(Worldwide Smart Phone 2015-2019 Forecast and Analysis) 5 [図] インストール画面の例:電話番号に直接電話をかけたり、SMS メッセージを送信しますか?これにより課金される可能性が あります 先日、携帯電話に襲いかかった Police Locker のようなランサムウェアは、インストールの際の典型的なユーザーの行動を利用し、 端末のロックに必要な権限を取得します。PC のランサムウェアと同様に、ユーザーはファイルをアンロックするために身代金を支払うよ う要求されます(あるいは電話に「違法なコンテンツ」が含まれているとして「罰金を支払う」よう要求されることも)。身代金は通常、 追跡や返金が不可能なビットコインなどのオンラインのペイメント・システムや、プリペイドのキャッシュカードを介して支払わなければな りません。特に携帯電話に保存している情報のバックアップを取っていない場合、大勢の被害者が支払いを行ってしまうため、犯罪 者たちはランサムウェアで荒稼ぎしているのです。 2015 年の見通し 2: モバイル脅威 2014 年、モバイル・マルウェアや不正モバイル・アプリが増加しました。RSA では 2015 年も同じことが起きると予想し ています。 今では世界の成人人口の約半分がスマートフォンを所有しています。スマートフォンはコンピュータよりも主 力の端末になりつつあり、常時接続している端末でもあります。 サイバー犯罪者は携帯電話への攻撃を増やし、ユーザーが使う端末の変化をますます悪用していくでしょう。今後 1 年はモバイル端末へのスタンドアロン攻撃が一層増えると、RSA は予想しています。また、2015 年には Apple Pay などのモバイル・ペイメント・システムが普及し始めると思われるため、これらへの攻撃も見られるようになるでしょう。 Android プラットフォームは今後も約 79%という高い市場シェアを維持していくことになるため、今後も攻撃の矢面に 立つことになるでしょう。一方、iOS の市場シェアは 15%、残りの 5%は Windows など、他のプラットフォームが占め ることとなります。4 Apple 社の iOS は Android に比べて市場シェアがはるかに低いだけでなく、攻撃するには非常に 高度なスキルが必要となります。しかし、iOS と Windows プラットフォームの両方を標的とする攻撃もすでにいくつか登 場し始めています。 6 トレンド 3: サイバー犯罪者は支出に見合う価値をより多く求めて、小売店や金融機関への大 規模な攻撃を増やす 2014 年には、クレジットカード情報を盗み取り、金銭を不正に引き出すための新たな方法をサイバー犯罪者たちが探すようになっ たため、攻撃戦術において数多くの進化が見られました。また、バンキング・ボットネットもさらに回復力を増し、同時に個人への攻撃 から小売店や金融機関への大規模攻撃への移行が見られました。 バンキング・ボットネット 2014 年、バンキング・ボットネットの回復力がこれまでより強くなり、テイクダウン(閉鎖)がより困難になりました。回復力と匿名性 を高めた犯罪者は、自分たちのインフラストラクチャを取締機関から隠すため、TOR、I2P などのディープウェブや、追跡できないピア ツーピアのネットワークを用いるようになりました。 また、プライベート・ボットネットを好む傾向も増加しました。犯罪地下組織で「市販」されるのではなく、個別の犯罪組織専用に書 かれたボットネットが登場したのです。これらは追跡や解析がさらに困難です。時には、こうしたプライベート・ボットネットを「プレミアム なサービス」として使うことも可能で、これも犯罪市場のベンダーによるサービス差別化の試みの一例です。 小売店や金融機関における大規模セキュリティ侵害 2014 年には数多くの大規模なセキュリティ侵害が起こりました。これは、犯罪者が大量のクレジットカードや多額の金銭を盗むため に、より効率的で時間のかからない、収益性の高い方法を模索していることを示しています。 サイバー犯罪者は、個人に対してフィッシングやソーシャル・エンジニアリングをしかけることに時間を費やす代わりに、小売店のシステ ムに侵入し、カードがスワイプされる際にデータを盗み出すのです。最も一般的に使われているタイプの POS マルウェアである RAM ス クレイパーは、アメリカで多く見られます。アメリカではチップ&PIN 方式(EMV チップ)のカードがまだ、あまり普及していないからです。 サイバー犯罪者は、小売店のサプライチェーンにおける第三者に属するセキュアでないシステムに侵入し、こうした攻撃をしかけること が知られていますが、2014 年には、POS がビデオ監視下にある店舗で別の手法も用いられました。この場合、犯罪者はホストのス キャンを実行し、POS(残高照会などのために簡単にアクセスできるようオープン状態になっている)や IP ビデオ(攻撃者にカメラの 場所を知らせることで、POS の場所を知らせることになる)へのリモートアクセスによる接続を示すオープンポートを探します。攻撃者 はシステムに侵入できるまでリモートアクセス接続へ総当たり攻撃を仕掛け、侵入が成功すると POS マルウェアをインストールし、カー ド情報を盗み出すというわけです。 攻撃者はカード情報を売ったり、あるいは再販するための商品をネットで購入する際に使用したりするなど、こうした大規模なセキュリ ティ侵害で盗み出したクレジットカードの情報を通常の方法で収益化します。 金融機関を攻撃する詐欺師は、企業ネットワークを標的とし、金銭や情報がある場所に直接、攻撃を仕掛けます。こうした金銭目 的の攻撃のなかには、国家が関与している APT 攻撃と同規模のものもあります。攻撃のタイプには以下のようなものがあります。 7 銀行のシステムから犯罪者自身の口座へ現金を送金する ATM への攻撃 –ATM から直接、現金を引き出す 身代金の要求 - 銀行の顧客に関する個人情報をロックし、金銭をゆすり取る 2015 年の見通し 3: 進化する脅威戦術 POS 端末のハッキングはプレミアムな攻撃からコモディティへと急激に変化しました。犯罪市場のベンダーのなかに は、事業を立ち上げたばかりで評判を築くために POS マルウェアを無料で提供しているものもあります。参入障壁は 低く、古いコードには無料のものもあるため、コーディングができれば、ほぼ誰でもこのマルウェアを作成できます(今 後もこれは続くでしょう)。 サイバー犯罪者はより効率的かつ収益性の高いタイプの攻撃を探っているため、2015 年には小売店や金融機関 を狙った大規模なブリーチがさらに起こると RSA は予想しています。 [図] DarkPOS Malware の仕様解説 「店舗やレストランのネットワークを通過するトラックデータが検知され、捕獲される」「暗号化の有無に関わらず、POS 内のデータは 検知され、アップロードされる」 8 トレンド 4: 脅威は今後、これまで以上に標的型で高度なものとなる これまで、APT 攻撃をはじめとする同様の高度な攻撃は主にスピア・フィッシングを中心として行われ、悪意のあるトロイの木馬を含 む文書を用い、組織内の個人が標的とされていました。疑いを持たない社員がこのトロイの木馬をダウンロードしてしまうと、攻撃者 がネットワーク内に足場を築けるようになります。 しかし今は、水飲み場攻撃への移行が見られます。この攻撃では、標的対象であ る組織とビジネス上関連のある組織が侵害されます。これにより個々のフィッシング攻撃がより説得力のあるものとなり、標的とする 組織のシステムにマルウェアを仕込める可能性が高くなるのです。 例えば、攻撃者は医療機関から個人情報を盗み、それを使って標的とする組織の社員に個人的なメールやリンクを送ることができ ます。関連のある健康状態や医師の名前などの個人的要素を入れることで、社員がリンクをクリックし、トロイの木馬をうっかりダウン ロードしてしまう可能性が高くなるのです。 こうした高度な攻撃の検知は、今後も継続的に向上していくだろうと RSA は予想しています。 これには、インテリジェンス収集の強 化とインテリジェンス共有の増加という、RSA が長年支持してきたアプローチが大きく貢献することになるでしょう。例えば、 Facebook はインテリジェンス共有プラットフォームを導入しました。さらに 2015 年 1 月の一般教書演説のなかで、オバマ大統領は サイバー脅威との戦いにおけるインテリジェンスの重大な役割と、この分野における法整備の必要性について述べました。 「いかなる国も、いかなるハッカーも、我が国のネットワークをシャットダウンしたり、企業秘密を盗み出したり、アメリカの家族、特に子 供たちのプライバシーを侵害できるようであってはなりません。 だからこそ、テロとの戦いの時と同様に、サイバー攻撃の脅威と戦うために我が国の政府はインテリジェンスの統合に取り組んでいます。 進化するサイバー攻撃の脅威により優れた形で対処し、なりすまし犯罪と戦い、我々の子供たちの情報を守るために必要な法案を、 今こそ通過させるよう議会に要請します」 3 2015 年の見通し 4: 標的型かつ高度な脅威 2015 年、国家による APT 攻撃や同様の攻撃はおそらく増加するでしょう。地域紛争が加害者を後押しし、被害者 を選ぶ手助けをすることとなります。 犯罪者グループもまた、今後も国家レベルの戦術を導入していくでしょう。大企業や他の組織は、コモディティ設備を使 用することから今後も脆弱です。攻撃者はすぐに、これらの設備の迂回方法を突き止めます。こうした攻撃からの防御 は今後も困難でしょう。 3 オバマ大統領の 2015 年一般教書演説 9 インテリジェンス駆動型のリスクに基づいたアプローチで、複数のチャネルにわたる サイバー犯罪の脅威と戦う 組織は自身や顧客、パートナー、サプライヤーをサイバー犯罪の脅威から保護する取り組みにおいて、多くの面で厳しい状況に置か れています。サイバー犯罪者たちは常にイノベーションを進めながら、これまで以上に巧妙なマルウェアや不正モバイル・アプリ、より強 い回復力を持つボットネットの開発を行っています。そして Cybercrime-as-a-Service の市場が急速に拡大するにつれ、こうした 製品がさらに多く流通するようになり、技術的知識をほとんど、あるいはまったく持たない犯罪者たちでも利用できるようになっていま す。 高度な脅威も進化を続けており、水飲み場攻撃がその効率化と成功を助けています。そしてこれまでは国家の領域だった APT 型 のテクニックを、犯罪組織がますます利用するようになりました。 こうした動きと戦うため、組織や取締機関はインテリジェンス駆動型のセキュリティやモバイル端末、クラウド環境でも使える詐欺防止 対策を取り入れ、挙動解析をこれまで以上に活用し、スマートデバイス機能を利用してユーザーとデータの保護を行うようになってき ています。攻撃を完璧に阻止できなくても、適切なインテリジェンスへアクセスできれば、攻撃をより迅速に検知することが可能となり、 攻撃をしかける機会を大幅に減らし、損失や損害を引き起こす可能性を最小限に抑えることにつながります。 インテリジェンス駆動型のアプローチは、複数チャネルにわたる顧客の ID と資産を保護するレイヤードセキュリティ・モデルを提供しな がら、その一方でリスク、コスト、エンドユーザーの利便性のバランスを取れるようにする 3 つの重要な特長も提供します。 あらゆるオンラインチャネル、デジタルチャネルにわたるサイバー犯罪の脅威に、即時の外部可視性とコンテキストを提供 組織の独自のリスクプロファイルに基づいて脅威を示す異常を検知し、どの脅威が最も有害かを即座に評価する拡張解析機 能 適切なコレクティブアクションを指定し、間近に迫る特定の脅威をすばやく、効率的に軽減 犯罪者は自分たちの成功を促進するために、自身の知識や技術を 長年共有してきました。防御する側も同じアプローチを取らなければな りません。なんと言っても、チームは個よりも強いのです。総合的に知 識を高めるため、脅威や攻撃に関するインテリジェンスを同業者や政 府機関、セキュリティ業界と共有するという傾向が全体的に増加して おり、RSA はこれを喜ばしく思っています。 セキュリティ業界はインテリジェンスをよりオープンに共有することを今後も強く求めていきます。これはサイバー犯罪やサイバー攻撃に よる脅威との戦いに対するベストプラクティス・アプローチにおいて、改善を進めるうえで必要不可欠です。2015 年 2 月、オバマ大統 領はサイバーセキュリティに関する大統領命令に署名しました。2015 年 3 月、米下院インテリジェンス委員会のリーダーたちは、企 10 業が訴訟を起こされる懸念を抱くことなく、サイバーセキュリティの脅威に関する情報を政府と共有しやすくするための法案を提出し ました。 これらは、サイバー犯罪との戦いにおいて脅威インテリジェンスをオープンに共有するというシナリオを現実にするための、重要なステッ プと言えるでしょう。 11 Copyright © 2015 EMC Corporation. All Rights Reserved. (不許複製・禁無断転載) RSA は、この資料に記載される情報が、発行日時点で正確であるとみなしています。この情報は予告なく変更されることがありま す。 この資料に記載される情報は、「現状有姿」の条件で提供されています。EMC Corporation は、この資料に記載される情報に 関する、どのような内容についても表明保証条項を設けず、特に、商品性や特定の目的に対する適応性に対する黙示の保証はい たしません。 この資料に記載される、いかなる EMC ソフトウェアの使用、複製、頒布も、当該ソフトウェア ライセンスが必要です。 最新の EM 製品名については、EMC.com で EMC Corporation の商標を参照してください。 EMC2、EMC、EMC のロゴ、RSA、RSA のロゴは、米国およびその他の国における EMC Corporation の登録商標または商標 です。VMware は、米国およびその他管轄区域における VMware, Inc.の登録商標または商標です。 © Copyright 2015 EMC Corporation. All rights reserved(不許複製・禁無断転載)発行: アメリカ合衆国 4 月 15 日 サイバー犯罪の動向ホワイトペーパー H14146 12