...

止まらないオンライン詐欺の猛威

by user

on
Category: Documents
72

views

Report

Comments

Transcript

止まらないオンライン詐欺の猛威
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
止まらないオンライン詐欺の猛威
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
総括
2013 年第 3 四半期、日本と海外における脅威動向
2013 年上半期に確認された Web 改ざん、不正アクセスといった Web を狙う攻撃の傾向は、この第 3 四半期
にも継続されています。中でも、世界的に猛威を振るうオンライン銀行詐欺ツールをはじめ、偽セキュリティ
ソフト、ワンクリック詐欺、フィッシング詐欺など、「オンライン詐欺」に分類されるサイバー犯罪の被害が顕
著です。実社会に存在する重要情報を狙う攻撃のみならず、仮想空間上のみに存在するアイテムが攻撃目的と
なる事例が、特に国内で確認されています。攻撃手法では、「Tor」に代表される匿名ネットワークの悪用の傾
向も日本及び海外で大きく表面化しています。また、モバイルの脅威として、Android を狙う不正・高リスクア
プリの総数が、累計で今期 100 万に到達しました。
●● サイバー犯罪:オンライン銀行詐欺ツールが、世界規模で猛威を振るっています。8 月には「ZBOT」
がスパムメール経由で最も多く世界各地に拡散された不正プログラムでした。国内では、オンライン銀
行詐欺ツールの検出が、8 月に 9282 件と過去最多を記録しました。また、偽セキュリティソフト、ラン
サムウェアも過去 1 年で最多の検出数となっています。海外では、通常の検索に上がらない「Deep
Web」内に存在する闇市場におけるサイバー犯罪の実態も明らかになりました。
●● ソーシャル&クラウドの脅威:第 2 四半期から多く確認された Apple を狙うフィッシングが、 新型
iPhone の発売などに便乗して今期も継続しています。海外では、偽のモバイル向けオンライン銀行サ
イトで、パスポートや免許証といった政府発行 ID のコピーを奪おうとするフィッシングが確認されました。
日本では、仮想空間上のアイテムが実社会でも価値を持ち、攻撃者の犯罪動機となっています。今期
確認されたフィッシングサイトの 70% は、オンラインゲームを標的としていました。
●● サイバー攻撃:Web 改ざんが依然として続く中、日本の不正アクセス事例では、サーバ侵入が前期より
倍増しました。Web 改ざんや不正アクセスにおけるサーバへの侵入手口では、ミドルウェアの脆弱性と
管理アカウントを狙う傾向が続いています。また、匿名ネットワーク「Tor」を悪用するバックドアが初
めて確認され、日本では感染報告が 9 月に 120 件を越えました。海外では、2007 年から確認されてい
る Sykipot が、従来のファイルによる攻撃から、DLL やプロセスインジェクションにその手法を変え、今
期攻撃をしかけていました。
●● モバイルの脅威:Android を狙う不正・高リスクアプリは、今期新たに 28 万 2000 個確認され、累計
で 100 万個に到達しました。日本では、不正アプリの拡散に正規マーケットが利用されています。登録
デベロッパー名を次々に変える手法で、同一攻撃者が 150 以上のワンクリウェアを公開した事例も確認
されています。また海外では、Android、iOS、Windows を問わないチャットアプリの通知を装った脅
威が確認されています。
●● 脆弱性とエクスプロイト:Internet Explorer へのゼロデイ攻撃が確認されています。特に日本で確認
された攻撃では、脆弱性情報が公表される 1 か月以上前から、標的型の水飲み場攻撃に使用されて
いました。また、サーバミドルウェアの脆弱性への攻撃は前期から継続しており、Apatch Struts や
WordPress など、新旧問わず効果があると判断された脆弱性への攻撃が今期も確認されました。
2 | セキュリティラウンドアップ
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
目次
日本セキュリティラウンドアップ
サイバー犯罪
オンライン銀行詐欺ツールの検出、8 月に過去最悪の 9282 件………… 5
ソーシャル & クラウドの脅威
現実に価値を持つ仮想アイテムが犯罪動機に … ………………………… 8
サイバー攻撃
Web サーバ侵入、狙われ続けるミドルウェア脆弱性と管理アカウント… 12
モバイルの脅威
正規マーケットの悪用拡大が続く不正アプリ……………………………… 21
脆弱性とエクスプロイト
すべての Internet Explorer に影響するゼロデイ攻撃を
日本で確認…………………………………………………………………… 24
グローバルセキュリティラウンドアップ
サイバー攻撃
オンライン銀行詐欺ツールがスパムメール経由で最も拡散された
不正プログラムに… ………………………………………………………… 27
モバイルの脅威
不正・高リスクアプリが累計 100 万個に到達… ………………………… 34
ソーシャル&クラウドの脅威
Apple を狙うフィッシングが継続、政府発行 ID も標的に… …………… 38
脆弱性とエクスプロイト
Java 6 の脆弱性をエクスプロイトで利用、古いバージョンが
依然標的に…………………………………………………………………… 40
サイバー攻撃
2007 年から続くSykipot キャンペーン、標的と攻撃手法を変化させ
再登場………………………………………………………………………… 42
3 | セキュリティラウンドアップ
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
日本セキュリティラウンドアップ
はじめに
「日本セキュリティラウンドアップ」は、四半期ごとの日本国内での脅威動向を事例ベースでまとめたレポート
1
です。前回「2013 年第 2 四半期セキュリティラウンドアップ」 では、
「サーバ」と「人」の脆弱性を狙う攻撃
が Web 被害を増加させていることを報告しました。
そして、この 2013 年第 3 四半期、日本国内では、金銭を狙うサイバー犯罪の被害が拡大し続けています。特
にオンライン銀行詐欺ツール、偽セキュリティソフト、ワンクリック詐欺、フィッシング詐欺、ランサムウェアな
ど、「オンライン詐欺」に分類される攻撃が顕著です。8 月にはオンライン銀行詐欺ツールの検出数が過去最
多の 9282 件を記録しました。偽セキュリティソフトに関しても過去 1 年間で最多の検出数、これまで国内では
被害報告がほとんど見られなかったランサムウェアも過去最多の検出台数となっています。また現実社会の金
銭だけでなく、攻撃者はオンラインゲームや SNS といった仮想空間上のみに存在するアイテムも攻撃目的とし
ています。オンラインゲームを狙うフィッシングサイトが全体の 70% と集中していました。中高生が不正プロ
グラムを作成し、SNS ユーザの情報を窃取していた事件も仮想空間を狙う攻撃の傾向を示しています。攻撃手
法の観点からは、Web サーバへの侵入を糸口とした攻撃は継続して確認されており、侵入方法としてサーバミ
ドルウェアの脆弱性と管理アカウントが狙われています。侵入後の遠隔操作手段として Web サーバ専用のバッ
クドアが初めて確認されたことも、Web サーバが攻撃対象として狙われていることを示す例と言えるでしょう。
匿名ネットワークである Tor の悪用も表面化しています。特に情報暴露の場として Tor 上の掲示板が使用され
たことや、Tor ネットワーク上に C&C サーバを持つバックドアが初めて登場したことは、象徴的な事例と言える
でしょう。
1
http://blog.trendmicro.co.jp/archives/7710
4 | 日本セキュリティラウンドアップ
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
サイバー犯罪
オンライン銀行詐欺ツールの検出、8 月に過去
最悪の 9282 件
オンライン銀行詐欺ツール被害さらに増加、背景に日本を狙う犯罪グループ
2013 年これまでオンライン銀行詐欺ツールの被害拡大を扱ってきましたが、この第 3 四半期に入ってもそ
の傾向はさらに勢いを増しています。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart
Protection Network」(SPN)による日本でのオンライン銀行詐欺ツールの検出数は、この 8 月に過去最多の
9282 件を確認しました。四半期ベースでも先期第 2 四半期の 1.5 倍、昨年同期比で 3.1 倍となっています。
2
警察庁の発表 によれば、オンライン銀行での不正送金被害金額は 9 月 20 日時点で既に 5 億 5 千万円に達し
ており、こちらも既に過去最悪の被害となっています。
トレンドマイクロ SPN データによる、日本におけるオンライン銀行詐欺ツール(ZBOT ファミリー、SPYEYE ファミリー)
検出数推移
10000
9282
9000
8000
6309
7000
6000
4322
5000
4000
3200
3000
2000
4674
4145
1554
1863
2724
2242
1736
2013
1593
1347
1314
1000
0
2012年
7月
8月
9月
10月 11月 12月
2013年
1月 2月
3月
4月
5月
6月
7月
8月
9月
単月としては 8 月に過去最多の 9282 件を記録。四半期単位では、第 2 四半期比で 1.5 倍(10060 → 15969)、
前年同期比で約 3 倍(5153 → 15969)
2
http://www.asahi.com/national/update/0926/TKY201309260021.html
5 | 日本セキュリティラウンドアップ
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
「2013 年第 2 四半期セキュリティラウンドアップ」
3
このようなマネーミュール求人を目的としたスパム
でもお伝えしたとおり、このような被害拡大の背景
メールは、海外では以前から確認されていました。
には、海外から日本へのサイバー犯罪組織の流入
しかし、日本語化されたものが確認されたのは初
があります。その活動の1つとして、この第 3 四半
めてであり、海外の犯罪組織が日本での活動を拡
期には「マネーミュール」と呼ばれる不正送金の実
大していることを証明する事例の1つと言えます。
行役を「求人」する日本語スパムメールを新たに
今後も拡大が予想されるオンライン銀行詐欺ツー
確認しました。
ル攻撃の被害に遭わないためにも、その手口をよ
マネーミュール求人を目的とした日本語スパムメー
ル例
く理解し、不審な Web 表示や電子メールに遭遇し
た場合には、必ず金融機関への確認を行ってくだ
さい。
ワンクリックウェア、偽セキュリティソ
フトに加え、ランサムウェアの被害も
急増
金銭を狙う不正プログラム脅威として、ワンクリック
ウェア、偽セキュリティソフトの被害も継続して確認
されています。トレンドマイクロサポートセンター
への問い合わせ統計では、不正プログラム関連問
い合わせの総数が増加傾向のため、全体に対する
割合としては下がっていますが、絶対数としては 8
月に 672 件と、今年 3 月の 713 件に次ぐ感染報告
数となっています。
トレンドマイクロではこの日本語スパムメールを 7
月末に初めて確認した後、8 月、9 月にも続けて 10
件以上の問い合わせを受けています。確認された
メール内容として、件名はユーザのフルネーム、送
信元は各種フリーメールのアドレスとなっている他、
メール本文中にはスパムメール判定を避けるため
の「ホワイトインク」と呼ばれる手法(本文とは無
関係の文章を表面上はわからないように背景と同じ
色の文字列で挿入しておく)が使用されていました。
また、警視庁からも 9 月にマネーミュールに関する
4
注意喚起 がなされており、
このようなスパムメール
送信が 7 月以降広範囲に継続して行われているもの
と判断しています。
3
4
http://blog.trendmicro.co.jp/archives/7710
http://www.keishicho.metro.tokyo.jp/haiteku/haiteku/haiteku430.htm
6 | 日本セキュリティラウンドアップ
またこれらワンクリックウェア、偽セキュリティソフト
の被害報告に加え、これまでは感染報告が無かっ
たランサムウェアについても 5 月以降に被害の報告
が入るようになっています。トレンドマイクロサポー
トセンターへの問い合わせ統計では、ランサムウェ
アに関しても 8 月に過去最多の 71 件の感染被害報
告がありました。トレンドマイクロ SPN による日本
でのランサムウェア検出台数でも、やはり 8 月には
過去最多の 5769 件の検出が確認されました。現在
のところ、報告されたランサムウェアは英語などす
べて日本語以外の言語表示であり、日本ユーザを
狙ったものとは考え難い状況ですが、今後は日本
語化され、実際の金銭被害に繋がっていくことが懸
念されます。
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
過去 1 年間にトレンドマイクロコンシューマサポートセンターに入ったワンクリックウェア、偽セキュリティソフト、ランサ
ムウェア関連の感染報告数と全不正プログラム関連問い合わせに占める割合
2000
100.0%
1800
ワンクリック詐欺
1600
80.0%
偽セキュリティソフト
1400
70.0%
ランサムウェア
59.1%
1200
60.0%
50.6%
1000
800
90.0%
ウイルス関連総数
52.9%
43.4%
44.5%
44.8%
41.4%
47.5%
43.9%
36.2%
50.0%
39.5%
39.2%
40.0%
38.9%
36.8%
600
30.0%
28.5%
400
20.0%
200
10.0%
0
0.0%
2012年
7月
8月
9月
10月 11月 12月
2013年
1月 2月
3月
4月
5月
6月
7月
8月
9月
日本でのランサムウェア検出台数推移(トレンドマイクロ SPN のデータによる)
5769
6000
5000
4000
3336
3000
2000
900
636
1000
53
413
71
255
109
163
331
1146
715
841
939
0
2012年
7月
8月
9月
10月 11月 12月
7 | 日本セキュリティラウンドアップ
2013年
1月 2月
3月
4月
5月
6月
7月
8月
9月
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
ソーシャル & クラウドの脅威
現実に価値を持つ仮想アイテムが犯罪動機に
仮想アイテムを目的とした攻撃が顕
著、
フィッシングサイトの 70%がオン
ラインゲーム狙い
このようなオンラインゲームを狙う攻撃の背景とし
て、オンラインゲーム上のアイテムを実社会の金銭
で売買する RMT(リアルマネートレード)がありま
す。RMT は 2003 年ころから表面化し、現在まで継
この第 3 四半期には、仮想空間上のアイテムの窃
取を目的とした攻撃が複数確認されています。特に
顕著だったのはオンラインゲームのアカウントを狙
うフィッシングサイトです。トレンドマイクロでは、
この第3四半期に特定のゲーム会社のオンライン
ゲーム ID を狙ったフィッシングサイトを、1237 件
確認しています。第 2 四半期に確認された、同じ
ゲーム会社に対するフィッシングサイト数は 3 件に
とどまっており、この第 3 四半期に集中的な攻撃が
発生していたことを示しています。トレンドマイクロ
が第 3 四半期に報告を受けた全フィッシングサイト
のうち、70%がオンラインゲームを狙うものでした。
5
また、フィッシング対策協議会 の月次報告書でも、
続しています。RMT の存在は、オンラインゲーム内
にしか存在しない仮想のアイテムが、現実の金銭で
売買されるほどの価値を持つことを示しています。
また、この仮想空間上のアイテムを狙う攻撃に関し
ては、現在の傾向を表す象徴的な事例が 9 月に確
6
認されています 。SNS のアカウント情報を狙う不正
プログラムを九州の高校生が作成し、奈良県の中
学生が実際に頒布、感染したユーザのアカウントを
乗っ取って SNS 上のキャラクターが使用するアイテ
ムや SNS 上で使用可能な仮想通貨を窃取していた、
というものです。中学生は窃取したアイテムや仮想
通貨を自身で使用していました。
オンラインゲームを狙うフィッシングサイトが、7 月
これまでも、他人の SNS アカウントへの不正アクセ
は全体の 94%、8 月は全体の 95%を占めていたこ
ス事例では、攻撃者の低年齢化が問題となってい
とが報告されています。それ以前には、銀行、クレ
ました。2013 年に報道された事例だけでも、1 月
ジットカードなど金融関連や、プロバイダの ID を狙
に 16 歳の少年が書類送検 、7 月には女子中学生が
うフィッシングサイトが中心だったことと合わせて考
児童相談所へ通告されています 。これまでの事例
えると、この第 3 四半期にはオンラインゲーム狙い
は、そのほとんどが SNS 上のやり取りでアカウント
の攻撃が特に顕著であったと言えます。攻撃が活発
情報を聞き出す手口でした。しかし、
この 9 月のケー
になった要因としては、新作ゲームの公開などが推
スでは、アカウント情報を盗むために不正プログラ
測されています。
ムを独自に作成し使用していた点で初のケースであ
7
8
り、それを実行したのがネット上で知り合った実際
の面識のない高校生と中学生であった点も特徴的
です。
5
http://www.antiphishing.jp/
8 | 日本セキュリティラウンドアップ
6
7
8
http://www.yomiuri.co.jp/kyoiku/news/20130910-OYT8T00450.htm
http://www.47news.jp/CN/201302/CN2013020701001665.html
http://www.iza.ne.jp/news/newsarticle/event/crime/669882/
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
「Tor」内で発生した「2ちゃんねる」
ユーザの個人情報暴露
もう1つは日本での Tor ネットワークの悪用の加速
です。このケースでの情報の流出場所は Tor ネット
ワーク内の掲示板「Onion ちゃんねる」であること
「2ちゃんねる」は国内最大と称される匿名掲示板
ですが、この 8 月には大規模な2ちゃんねる関連
9
が確認
11
されています。昨年発生したなりすまし犯
罪予告事件
12
以来、日本国内で Tor の存在が注目
の個人情報が流出する事件が発生しました 。流出し
されてきていましたが、この事件によりさらに注目
たのは2ちゃんねるの有料サービスである「2ちゃ
が高まっており、すでにこの事件と同様の手口によ
んねるビューア」の契約者情報です。2ちゃんねる
る模倣犯とみられる情報流出も発生
ビューアは、2ちゃんねるの書き込み制限の回避や
海外では Tor の匿名性を悪用し犯罪利用されるケー
過去ログの検索などが可能となる有料サービスで
スが多く確認されていますが
す。
様に Tor ネットワークの悪用が進むことが懸念され
この事件では2つの観点から今後に大きな影響が
残るものと予想されます。1つは、匿名掲示板であ
る2ちゃんねるの匿名性への影響です。2ちゃんね
るビューアの提供元である「N.T.Technology」社の
発表
10
によれば漏洩した情報は、登録日時、メール
アドレス(2 ちゃんねるビューア ID)、2 ちゃんねる
ビューアパスワード、2 ちゃんねるビューア購入時
に使用したクレジットカード情報、名前、住所、電
話番号、登録時の IP アドレスまたはリモートホス
ト、です。このような非常に重要な個人情報が、延
べ3万8千件も漏えいしたとされています。この漏
洩した情報の内容からは、クレジットカード情報の
悪用、アカウントリスト攻撃への転用、そして2ちゃ
んねる上でのなりすましや書き込みの特定による個
13
しています。
14
、今後は日本でも同
ます。
「ネット選挙解禁」に便乗した不審な
動きを複数確認
7月4日に公示された参議院議員選挙は、日本初の
「ネット選挙」となりました。トレンドマイクロでは
この参議院議員選挙に関連して複数のネット上での
15
不審な動きを確認しています 。ひとつはソーシャル
メディア「Twitter」上でのなりすましアカウントです。
トレンドマイクロが公示直後の7月5日に確認した
ところ、特に自民党総裁である安倍晋三氏に関して
は、同姓同名を使用したものが 16 件、そのうち 10
件は写真やプロフィールなどから明確になりすまし
の意図を感じさせるものでした。
人攻撃、などの二次被害の発生が考えられます。2
ちゃんねるは匿名の掲示板として人気を拡大してき
ました。しかし、その匿名を前提とした掲示板上の
活動を行っていたのが誰であるか、この個人情報暴
露により実社会の個人の特定が可能になり、その個
人の生活に影響を与えようとしています。
9
http://sankei.jp.msn.com/affairs/news/130826/dst13082614140003-n1.
htm
10 http://2ch.tora3.net/20130830.html
9 | 日本セキュリティラウンドアップ
11 http://blog.trendmicro.co.jp/archives/7781
12 http://blog.trendmicro.co.jp/archives/6098
13 http://sankei.jp.msn.com/affairs/news/130829/crm13082921150018-n1.
htm
14 http://blog.trendmicro.co.jp/archives/7960
15 http://blog.trendmicro.co.jp/archives/7491
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
参院選公示後に確認された安倍晋三氏のなりすましア
カウント例
メール内の URL 上に構築されていた不審なアンケー
トサイト
安倍晋三氏本人の顔写真を使用するなど、な
りすましの意図が明確に感じられる。
また、同時期に選挙を利用したフィッシング的情報
詐取攻撃も確認されています。これは選挙関連の
アンケートを名目としたメールから不審なアンケー
トサイトへ誘導されるものでした。
選挙関連の不審なメール内容例
このアンケートサイトでは最終的にプレゼント
応募の名目でユーザの名前、メールアドレス、
年齢、性別、住所を入力させます。調査では、
このアンケートサイトをホストしているサーバ
は、以前からフィッシングサイト構築に使用さ
れていることが判明しており、このサイトも同
様の情報詐取目的と断定されました。
10 | 日本セキュリティラウンドアップ
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
結果的に今回の参院選期間中に、これ以上の大きな攻撃は確認できませんでした。ただ選挙終了後の追跡調
査によれば、安倍晋三氏のなりすましアカウントは投票日から1週間経った7月 29 日時点で 1 件に減少して
おり、選挙に関連して何かを狙っていたものであろうことは確実です。今後もこのような選挙に便乗した攻撃
に注意して監視を行うべきでしょう。
クラウドサービスの設定ミスによる情報漏洩を複数の組織で確認
「Google グループ」はメーリングリスト、Web フォーラムなどとして使用が可能な、グループ内での情報共有
ツールです。しかし、この Google グループ使用時の不適切な設定により、組織の機密情報がインターネット
16
からアクセス可能な状態となっていた事例が、今年7月以降に多数確認されました 。Googleグループのデフォ
ルト設定では、共有した情報がインターネットに公開されますが、情報漏洩した組織ではこれに気付かず機密
情報のやり取りをしていました。結果的に機密情報が公開状態になっていた組織は、官公庁を初めとして通販
サイト、学校、医療機関や新聞社など、多岐にわたります。
この問題の背景としては、ユーザによるセキュリティポリシーの軽視と、一般ユーザ向けサービスの組織での
安易な使用、があります。しかし、これを裏返すと、組織のシステムがユーザの利便性要求に十分に応えられ
ていない、ということも言えるでしょう。この事例においても、ユーザがセキュリティ的に必要な設定をしてい
れば情報が漏えいすることはなかった、とも言えます。一概に新しいサービスの導入を禁止するだけでは、ユー
ザは黙って便利なサービスを利用してしまいます。正規にサービスを導入することは時間がかかるため、ユー
ザの使用したいサービスについて外部に情報が漏れないなどのセキュリティ上の担保をある程度確認した上で
使用を認める、という対応も必要になってくるのではないでしょうか。
16 http://www.yomidr.yomiuri.co.jp/page.jsp?id=81134
11 | 日本セキュリティラウンドアップ
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
サイバー攻撃
Web サーバ侵入、狙われ続けるミドルウェア脆
弱性と管理アカウント
Web 改ざんとサーバ上のデータを狙
う不正アクセス攻撃を継続して確認
ています。このような傾向の1つとして、トレンドマ
イクロでは、Web サーバ上に仕掛けた不正プログ
ラムにより Web 閲覧者の情報を収集するタイプの
不正アクセスや正規 Web サイト改ざんなど、Web
改ざんの報告を 4 件確認しています。これらの攻撃
とサーバを狙うサイバー攻撃はこの第 3 四半期にも
では、Web にアクセスしてきたユーザの IP アドレ
継続されています。しかし、脅威は攻撃者の目的や
スや使用ブラウザなどの情報を収集し、外部へ送
対策の浸透に合わせ、常に変化し続けるものです。
信する活動があったことがわかっています。このよ
変化した部分を把握することでまた新しい対策が導
うな情報収集の真の目的は明確に分かっていませ
かれます。
んが、Web の閲覧者の傾向調査から、「水飲み場
この第 3 四半期に起きた最も大規模な正規 Web
サイト改ざん被害として、特定のレンタルサーバ業
者にて 8000 以上の Web ページが被害に遭った事
17
攻撃」などの更なる攻撃方法を攻撃者が決定する
ための準備段階であるもの、とトレンドマイクロで
は推測しています。
が 8 月に発覚しています。この事例では、CMS
また、これまでに見られなかった Web サーバへの
(コンテンツ管理システム)である WordPress の
攻撃としては、Web サーバ専用のバックドアツール
例
18
脆弱性から WordPress のアカウント情報を窃取され
も確認
たことが、直接の改ざん原因として挙げられていま
用している Web サーバでのみ有効であり、感染発
す。そしてそこにレンタルサーバ業者側の脆弱な設
覚を避けるために JPEG 画像データ内にスクリプト
定が重なり、同一サーバ上で複数の Web ページが
を隠蔽する方法を使用していました。
ホストされていた場合にすべての Web ページの設
定ファイルの窃取が可能になっていたことから連鎖
的に改ざんが行われ、8000 件以上という大規模な
被害に繋がったものです。つまり攻撃者は、単純に
脆弱性攻撃で CMS のアカウント情報を窃取できた
ページを改ざんするだけでなく、そこからサーバ内
部の探索を行ってさらにサーバ上の脆弱な設定を
発見し、より大きな規模の改ざんを可能にしたこと
になります。
されています。このバックドアは PHP を使
不正アクセスに関しては、この第 3 四半期に発覚し
た主な事例は 21 件で、第 2 四半期の 20 件からほ
ぼ変わっていません。ただし内容を見ると、第 1 四
半期、第 2 四半期と連続して4 件に留まっていたサー
バ侵入による不正アクセスが 10 件と倍増していま
す。第 2 四半期に不正アクセス被害の増加の要因
だったアカウントリスト攻撃を中心とした不正ログ
インは、11 件で全体の 52%となっています。アカ
ウントリスト攻撃の実施には、ID とパスワードが対
このように、この第 3 四半期の正規 Web サイト改
になったリストが必要です。攻撃の元となる情報を
ざん事例では、Web 上のコンテンツに他の攻撃サ
さらに得るため、ユーザ情報を大規模に取得でき
イトへ誘導するための難読化スクリプトを挿入する
るサーバへの侵入によるデータベース情報の窃取
手法以外の改ざん攻撃が確認されるようになってき
が増加している可能性があります。
17 http://www.atmarkit.co.jp/ait/articles/1308/29/news102.html
18 http://blog.trendmicro.co.jp/archives/7760
12 | 日本セキュリティラウンドアップ
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
2013 年第 3 四半期中に確認された主な不正アクセス事例
No.
報道 / 公
表日
業種
被害発見理由
被害内容
分類
1
7月5日
サービス業
アクセスエラー大量発
生の確認から発覚
1545 万 7485 回の不正ログイン試行
のうち、2 万 3926 件でログイン成功
を確認
不正ログ
イン
2
7 月 11 日
情報通信業
アクセスエラー大量発
生の確認から発覚
394 万 5,927 回の不正ログイン試行の
うち、3 万 5252 件でログイン成功を
確認
不正ログ
イン
3
7 月 12 日
官公庁
サーバ上の改変の発
見から発覚
サーバ内の情報が流出した可能性
侵入
4
7 月 10 日
サービス業
外部からの問い合わせ
により発覚
不正ログインにより、ユーザが保持し
ていたサービスポイントが盗用される
不正ログ
イン
5
7 月 17 日
小売業
(ショッ
ピングサイ
ト)
不明
内部 ID を使用し不正アクセス。ショッ
ピングサイト上の架空注文により、ポ
イント 115 万円分を詐取
侵入
6
7 月 17 日
情報通信業
通信ログの確認から発
見
少なくとも 2 万 1184 件の ID に対し、
特定の IP アドレスからの不正ログイン
試行を確認
不正ログ
イン
7
7 月 18 日
情報通信業
通信ログの確認から発
見
サーバーへの不正アクセス、システム
改ざんを確認。不正プログラム拡散の
可能性
侵入
8
7 月 19 日
情報通信業
通信ログの確認から発
見
外部からの不正アクセスにより、サー
バ内に不正ファイルが生成されている
ことを確認
169 万 2496 件のユーザーの ID とメー
ルアドレス、ハッシュ化されたパスワー
ドが流出した可能性
侵入
9
7 月 24 日
情報通信業
サーバ上の改変の発
見から発覚
Web アプリケーションへの脆弱性攻撃
により、サーバ上の情報を抽出する不
正プログラムが混入
計 14 のサイトとサービスで使用され
ている共通 ID について、最大約 400
万のメールアドレスと暗号化されたパ
スワードが外部に流出した可能性
侵入
10
7 月 26 日
サービス業
外部からの問い合わせ
により発覚
不正ログインにより、27 件の ID でポ
イントが不正利用されていたことを確
認
不正ログ
イン
11
8月6日
情報通信業
アクセスエラー大量発
生の確認から発覚
不正ログイン試行により、3 万 9590
件でログイン成功を確認
不正ログ
イン
12
8月7日
人材総合
サービス事
業
外部からの問い合わせ
により発覚
138 万回の不正ログイン試行のうち、
2 万 8000 件でログイン成功を確認。
そのうち 260 件で情報改ざんの発生
を確認
不正ログ
イン
13 | 日本セキュリティラウンドアップ
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
No.
報道 / 公
表日
業種
被害発見理由
被害内容
13
8 月 12 日
サービス業
アクセスエラー大量発
生の確認から発覚
24 万 3266 件の ID に対し、不正ログ
インが行われていたことを確認
不正ログ
イン
14
8 月 14 日
情報通信業
不明
8 万 3961 件の ID に対し、不正ログイン
が行われていたことを確認
不正ログ
イン
15
8 月 21 日
情報通信業
アクセスエラー大量発
生の確認から発覚
4411 件の ID で不正ログイン成功を確
認。登録されている情報が閲覧され
た可能性
不正ログ
イン
16
8 月 26 日
情報通信業
外部からの問い合わせ
により発覚
アプリケーション購入時に使用された
氏名・住所やクレジットカード情報な
どが約 3 万 2000 件流出。また、メー
ルアドレスとパスワードなどの登録情
報約 15 万件が流出
侵入
17
8 月 29 日
サービス業
不明
数十万回の不正ログイン試行のうち、
1261 件でログイン成功を確認
不正ログ
イン
18
9月5日
地方自治体
不明
内部ユーザのIDを使用し不正アクセ
スし、内部情報を窃取
侵入
19
9 月 20 日
小売業
外部からの問い合わせ
により発覚
特定法人向け Web サイトと、決済代
行用サーバーでシステム改変を確認
クレジットカード情報を含む個人情報
が最大 9 万 7438 件流出し、270 件の
不正利用報告
侵入
20
9 月 22 日
公共施設
サーバ上の改変の発
見から発覚
Web サーバ「Apache」における既知
の脆弱性への攻撃により侵入
検索システム内に、不正アクセスを
行ったとする犯行声明のページが設置
された
侵入
21
9 月 30 日
製造業
不明
Web サイト上のデータベースに対し不
正アクセス
853 件のユーザ情報が流出。同時に
不正プログラムがサイト上にアップ
ロードされた
侵入
14 | 日本セキュリティラウンドアップ
分類
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
Tor ネットワークを利用するバックドア「Mevade」、日本でも 9 月に 120 件を
越える被害報告
2013 年 8 月 19 日以降、匿名通信システムである「Tor」ネットワークへの接続ユーザ数が、著しく増加したこ
とが Tor プロジェクト
19
より報告
20
されました。トレンドマイクロで調査を行ったところ、
クラウド型セキュリティ
基盤「Trend Micro Smart Protection Network」(SPN)によるフィードバックから、この匿名ネットワークへの
通信増加の原因はバックドア「Mevade」による通信と断定
21
されました。ユーザ環境に感染した「Mevade」
が Tor ネットワーク内の C&C サーバへアクセスしてファイルのダウンロードなどを行うことにより、Tor ネットワー
クへのトラフィックが増大していたのです。Tor ネットワーク内に C&C サーバを持つバックドアの活動が確認さ
れたのは、初めてのことです。この Tor を利用した攻撃者の狙いが、匿名ネットワークにより C&C サーバを隠
蔽し、調査やテイクダウンを免れるためであることは明らかです。
この初の Tor バックドアと呼ぶべき「Mevade」に関し、日本でも大きな感染被害が確認されています。9 月 9
日時点での SPN のフィードバックによれば、
「Mevade」に関連する不正プログラムの全世界での検出において、
「BKDR_MEVADE.C」が 52%、「TROJ_DLOADE.FBV」が 25%、「ADW_BPROTECT」が 28% と、日本からの検
出割合が最も高くなっていました
22
。その後、トレンドマイクロには「Mevade」に関連する感染被害報告が相
次ぎ、この第 3 四半期に最も多くの感染被害を確認した不正プログラムとなりました。一般の不正プログラム
ケースの場合、トレンドマイクロでは、1 日 15 件以上の感染報告数があった場合に大規模感染の警戒態勢に
入りますが、「Mevade」にはそれを大きく上回る 120 件以上の報告が集まりました。また、9 月中に SPN で
確認された日本における「Mevade」とそのダウンローダの検出数は 22 万件を越えていました。
Tor を悪用する「Mevade」による当初の拡散は収束の傾向にありますが、
この「Mevade」のような Tor ネットワー
クを悪用する不正プログラムは今後も登場する懸念があります。
19
20
21
22
https://www.torproject.org/
https://lists.torproject.org/pipermail/tor-talk/2013-August/029582.html
http://blog.trendmicro.co.jp/archives/7796
http://blog.trendmicro.co.jp/archives/7806
15 | 日本セキュリティラウンドアップ
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
9 月中日本での「Mevade」とそのダウンローダ(
「TROJ_DLOADE.FBV」
)の検出数推移(トレンドマイクロ SPN の
データによる)
30,000
25,000
20,000
15,000
10,000
5,000
0
2013年
9月1日
2013年
9月8日
2013年
9月15日
2013年
9月22日
2013年
9月29日
9 月 5 日から検出が確認され、全体で 222428 件の検出。9 月 9 日に最大の 27412 件の検出
「DNS Amp」攻撃発生の懸念高まる、今一度確認と対策の実施を
9 月 18 日は柳条湖事件の発生日であり、毎年日本に対するサイバー攻撃の発生懸念が高まる日でもあります。
今年 2013 年には大規模な DNS Amp(ディーエヌエスアンプ)攻撃の発生が特に懸念されていました。DNS
Amp 攻撃は DNS リフレクション攻撃とも呼ばれ、オープンリゾルバと呼ばれる不適切な設定の DNS サーバを
利用する DoS 攻撃手法です。海外から日本に対し、DNS Amp 攻撃の準備と考えられる DNS サーバ探索の通
信が来ていることが確認されており、9 月 11 日には警察庁が注意喚起
23
を行っています。
幸い、今年の 9 月 18 日前後には懸念されたような大規模な DoS 攻撃は観測されませんでした。しかし、「第
24
1 四半期セキュリティラウンドアップ」 でもお伝えしたように、
日本には世界各国の中でも特に多くのオープン
リゾルバが存在することが指摘されています。今後の攻撃に加担してしまうことの無いよう、DNS キャッシュサー
バの設定確認と対策の実施
25
を重ねて推奨します。
23 http://www.npa.go.jp/cyberpolice/detect/pdf/20130911.pdf
24 http://blog.trendmicro.co.jp/archives/7138
25 http://jprs.jp/tech/notice/2006-03-29-dns-cache-server.html
16 | 日本セキュリティラウンドアップ
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
メディアに関連する複数の標的型サイバー攻撃事例を確認
表面に出にくい標的型サイバー攻撃ですが、この第 3 四半期には複数の攻撃が確認されています。最も大き
く報道されたケースとしては、8月以降に通信社や新聞社の Web サイトが改ざん
2627
され、Internet Explorer
のゼロデイ攻撃が仕掛けられた事例があります。この事例では、改ざんサイトに仕掛けられていたゼロデイ攻
撃が、特定の IP アドレスからのアクセス時のみ有効になるようになっていたことから、水飲み場攻撃手法によ
る標的型サイバー攻撃と考えられます。トレンドマイクロでは第 2 四半期以降、Web の閲覧者情報を収集する
タイプの Web 改ざんを複数確認していますが、これらの攻撃の目的の 1 つに水飲み場型攻撃実施のための
情報収集があるものと推測しています。
また、新聞記者からの取材依頼を偽装した標的型メールによる国会議員への攻撃も7月に確認
28
されていま
す。標的型メールにおいて、新聞や雑誌の記者を騙る手口は以前から確認されており、2011 年に発覚した衆
議院への攻撃事例も雑誌記者を騙る標的型メールでした。取材依頼の偽装など、今後も同様の手口は継続さ
れるでしょう。
もうひとつ、メディア自体が標的型メールの攻撃対象になった事例も確認されています。この事例では放送局
関係者に芸能関連情報を偽装した標的型メールが届き、Word ファイルの脆弱性攻撃から不正プログラムの侵
入を招いたことが確認されています。この攻撃では、2011 年ころから標的型サイバー攻撃が確認されている
遠隔操作ツール「FUCOBHA(別名:Icefog)」が使用されていたことから、大きなキャンペーンの一部である
と考えられています。
26 http://www.security-next.com/042905
27 http://www.security-next.com/43673
28 http://www.asahi.com/shimen/articles/HOK201307230013.html
17 | 日本セキュリティラウンドアップ
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection
Network(SPN)」による参考統計データ
日本国内で防御された脅威件数
4500万
4000万
3500万
3000万
2500万
3100万
2000万
3120万
不正プログラム
2910万
不正サイト
1500万
1000万
500万
0
スパムメール
720万
550万
570万
560万
7月
8月
380万
9月
180万
2013 年第 3 四半期、
トレンドマイクロでは日本国内だけでおよそ 1 億 2 千万件の脅威をブロックしました。
1 日平均では 131 万件、また 1 秒に 15 件の脅威からユーザを防護したことになります。
18 | 日本セキュリティラウンドアップ
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
2013 年第 3 四半期 日本国内で検出された不正プログラム Top3
不正プログラム
数
ADW_BHO
97295
ADW_BPROTECT
65150
ADW_ DOWNWRE
53804
セグメント別 Top3
大企業
検出名
中小・中堅企業
数
検出名
WORM_DOWNAD.AD
5581
ADW_BPROTECT
TROJ_DLOADE.FBV
3598
ADW_ DOWNWARE
ADW_BPROTECT
2643
ADW_ DOWNWRE
個人ユーザ
数
1036
検出名
数
ADW_BPROTECT
54175
950
ADW_BHO
44780
922
ADW_ DOWNWRE
38422
2013 年第 3 四半期に日本において感染報告の最も多かった不正プログラムは「ADW_BHO」でした。
これまでもアドウェアの検出が多く確認されてきましたが、TOP3 すべてがアドウェアで占められたのは
初めてです。アドウェアによる広告表示が攻撃者の収入源になっていることの裏付けと言えます。また、
Tor を利用するバックドア「Mevade」の影響も明確に表れています。企業ユーザにおいて「WORM_
DOWNAD.AD」に続き、Top2 となっている「TROJ_DLOADE.FBV」は「Mevade」をダウンロードする活
動を行います。また、すべてのカテゴリで Top3 に入っている「ADW_BPROTECT」は、「Mevade」の活
動によりインストールされていたことが確認されています。
19 | 日本セキュリティラウンドアップ
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
2013 年第 3 四半期 日本国内で確認されたボットネット用 C&C サーバ数
107
120
87
100
80
600
40
20
17
0
7月
8月
9月
2013 年第 2 四半期 日本国内のボットネットへ接続されたコンピュータの検出数
50000
44303
40000
30000
18676
20000
10000
1757
0
7月
8月
9月
8 月、9 月と日本国内で確認されたボットネット用 C&C サーバ数、接続数共に急増しています。世界的に
も 7 月から 8 月にかけて C&C サーバ数が 4 倍に増加しており、世界的に攻撃者が活発化していることが
裏付けられます。
20 | 日本セキュリティラウンドアップ
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
モバイルの脅威
正規マーケットの悪用拡大が続く不正アプリ
影響力の大きい正規マーケット上での不正アプリ頒布を拡大する攻撃者
攻撃者は正規マーケットを不正アプリ頒布経路として重要視しています。トレンドマイクロでは Android 向け
正規マーケットである「Google Play」を監視し、不正アプリの頒布について調査しています。第 2 四半期から
この第 3 四半期にかけては、特にワンクリウェアについて正規マーケットでの頒布が増加傾向にある状況が明
らかになりました。
Android 向けアプリには電子署名が入っており、同一の電子署名を持つ検体は同一の攻撃者が作成したもの
と推測できます。この第 3 四半期に Google Play 上での頒布を確認したワンクリウェアの中で、ある同一の電
子署名を持つ検体を 150 件確認しました。つまり、この電子署名を使用している攻撃者は少なくとも 150 の
ワンクリウェアを Google Play 上で公開していたと推測できます。これら同一の電子署名を持つ 150 の検体は
Google Play 上ではすべて異なるデベロッパー名で登録されていました。これはデベロッパー名をキーに、そ
のアプリの実態がワンクリウェアであると推測されてしまうことを回避するため、と考えられます。
この特定の攻撃者によるものと推測できる、同一の電子署名を持つワンクリウェアは、2013 年 3 月に偽装マー
ケット上での頒布が初めて確認され、それ以降偽装マーケット上での頒布が観測されていました。しかし、7
月を最後に偽装マーケットでの頒布は確認できなくなり、8 月以降は Google Play 上でのみ頒布が確認されて
います。第 2 四半期にはこの攻撃者のワンクリウェアは Google Play 上で 4 検体のみが確認されていることと
合わせて考えると、
この攻撃者は不正アプリの頒布場所として Google Play に軸足を移したものと推測できます。
このようなワンクリウェア事例以外にも、Android 向けアプリとして人気が高い「Adobe Flash Player」を偽装
29
する不正アプリ(トレンドマイクロでは「ANDROIDOS_REVMOB.A」 として検出)が少なくとも5万件もダウン
ロードされていた事例
30
など、Google Play 上での不正アプリ頒布は止まらない状況が続いています。攻撃者
の視点に立てば、より効果の高い Google Play での頒布を狙うことは当然であり、今後もこの傾向が続く可能
性は高いと言えます。
29http://about-threats.trendmicro.com/malware.aspx?language=jp&name=ANDROIDOS_REVMOB.A
30 http://blog.trendmicro.co.jp/archives/7825
21 | 日本セキュリティラウンドアップ
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
電池節約アプリで 210 万件の個人情
不正アプリ高機能化の流れ、遠隔操作
報を窃取していた攻撃者を逮捕
アプリ「AndroRat」を日本でも確認
トレンドマイクロでは昨年 9 月にスマートフォンの
電池節約などの名目で頒布されている不正アプリ
を確認以来
31
、様々な名目でユーザ情報を狙う不正
32
「2013 年第 2 四半期セキュリティラウンドアップ」
37
では、海外で不正アプリ高機能化の流れがあること
を取り上げましたが、この第3四半期には日本でも
とし
高機能な遠隔操作ツール(RAT)の流入が確認さ
。そ
れました。「AndroRat」(トレンドマイクロ検出名:
してこの 9 月 に、「AndroidOS_Contacts」 を 使っ
「AndroidOS_AndroRat」)は 2012 年から存在が確
アプリを「AndroidOS_Contacts」ファミリー
て検出対応し、注意喚起してまいりました
333435
てスマートフォンから電話帳などの個人情報を収集
認されている Android 用 RAT です。この「AndroRAT」
していた攻撃者が逮捕され、その攻撃の背景と被
は PC の RAT 同様、ユーザ環境に侵入し遠隔操作
36
。警察の発表によ
を実現するサーバモジュールとその作成ツール、攻
れば、この攻撃者は 8000 台のスマートフォンから
撃者が遠隔操作を行うためのクライアントモジュー
210 万件の電話番号やメールアドレスなどの情報
ルを持っています。そして、もう1つ Android 向け
を窃取し、自身が運営する出会い系サイトやサクラ
不正アプリとして特徴的な「バインダー」と呼ばれ
サイトへ誘導するスパムメール送信に使用していた
るモジュールも存在します。攻撃者はこのバインダー
とのことです。以前から PC の不正プログラム感染
を使用することにより、任意の正規アプリ内に RAT
ケースではユーザから窃取した電話帳情報からスパ
のサーバモジュールを仕掛けた「リパックアプリ」
ムメール送信を行う事例が確認されていましたが、
を作成することができます。海外ではこのようなリ
Android の不正アプリについても同様の背景が確認
パックアプリに RAT を仕掛けて感染させる標的型サ
されたことになります。
イバー攻撃が確認されており、今後日本へのさらな
害の全貌が明らかになりました
昨年から確認されている「AndroOS_Contacts」のア
イコン例
31 http://blog.trendmicro.co.jp/archives/5931
32 http://about-threats.trendmicro.com/malware.
aspx?language=jp&name=ANDROIDOS_CONTACTS
33 http://blog.trendmicro.co.jp/archives/5931
34 http://blog.trendmicro.co.jp/archives/6194
35 http://blog.trendmicro.co.jp/archives/6517
36 http://sankei.jp.msn.com/west/west_affairs/news/130925/
waf13092519060025-n1.htm
22 | 日本セキュリティラウンドアップ
る流入が懸念されます。
37 http://blog.trendmicro.co.jp/archives/7710
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart
Protection Network(SPN)」による参考統計データ
Android 端末向け不正プログラムファミリ:トップ 10
1
OPFAKE
66.09%
2
LOTOOR
14.86%
3
MAILSTEAL
7.75%
4
CONTACTS
6.29%
5
FAKETIMER
1.60%
6
SMSREG
0.89%
7
ENERGY
0.85%
8
MOGHAV
0.61%
9
ONECLICKFRAUD
0.54%
10
MEGALL
0.52%
第 3 四半期に日本で最も多く検出された不正アプリは、第 2 四半期に続き OPFAKE ファミリでした。しか
し割合的には 87% から 66%と20 ポイント近く下がっています。また、攻撃者が逮捕された CONTACTS ファ
ミリは、6.29%を占めています。
23 | 日本セキュリティラウンドアップ
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
脆弱性とエクスプロイト
すべての Internet Explorer に影響するゼロデイ
攻撃を日本で確認
すべての Internet Explorer に影響するゼロデイ脆弱性:日本での攻撃を確認
9 月 17 日にマイクロソフト社から公表
38
された、Internet Explorer(IE)の脆弱性 (CVE-2013-3893
39
) は、現在
最新の IE11 から IE6 までのバージョンに影響する、影響度の大きな脆弱性です。攻撃者はこの脆弱性を含む
Web ページをユーザに閲覧させることにより、
リモートで任意の不正コードを実行させることが可能となります。
この脆弱性への正式なアップデートは月を跨いだ 10 月 9 日に MS13-080 として公開
40
され、公式には 23 日間
のゼロデイ状態となっていました。
マイクロソフトではこの脆弱性を狙うゼロデイ攻撃を複数の標的型サイバー攻撃で確認していると発表してお
り、
トレンドマイクロでも日本国内での攻撃事例を確認しています。また9月以降に確認された日本の情報サー
ビス会社や新聞社が運営する Web サイトなど複数の改ざん事例にて、
このゼロデイ脆弱性への攻撃コード(エ
クスプロイト)が利用されていたことも報道
41
されています。これらの攻撃では 9 月 12 日以降改ざん被害が継
続されていたことが確認されており、脆弱性公表の 1 か月以上前から攻撃が発生していたことになります。また、
この複数の Web サイト改ざんの事例では特定の IP アドレスレンジからのアクセス時のみに攻撃コードが有効
になっていたことがわかっており、特定の組織を標的とした水飲み場型攻撃事例と考えられます。
このように影響範囲が広く高度なゼロデイ脆弱性が、正式な脆弱性の公表よりも 1 か月以上前の時点で、日
本への標的型サイバー攻撃に使用されていた事例が確認されたことからも、攻撃者にとって日本が優先度の
高い攻撃目標の1つであることがわかります。
サーバ用ミドルウェアへの攻撃は Web 関連へ集中
今年 2013 年に表面化してきた脅威傾向として、サーバ上のミドルウェアを狙う攻撃があります。様々なミドル
ウェアが狙われてきましたが、この第 3 四半期では特に CMS(コンテンツ管理システム)の「WordPress」と
「Joomla!」、また Web アプリフレームワークである「Apache Struts」への攻撃が多く確認されています。ど
ちらのミドルウェアへの攻撃も不正アクセスや Web 改ざんの発端となっており、特に WordPress の脆弱性は、
特定のレンタルサーバ業者にて 8000 サイト以上が改ざんされた大規模改ざん事件
42
で、Web サーバ侵入の
きっかけとして確認されています。また、脆弱性攻撃方法の例として、Apache Struts に関しても脆弱性攻撃
43
用ハッキングツールの流通が明らかになっています 。このように、攻撃者にとってサーバへの侵入方法として
確立していることからも、Web 関連ミドルウェアへの脆弱性攻撃の流れは今後も続くことが予想されます。
38
39
40
41
42
43
http://technet.microsoft.com/ja-jp/security/advisory/2887505
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3893
https://technet.microsoft.com/ja-jp/security/bulletin/ms13-080
http://www.yomiuri.co.jp/net/news0/national/20131009-OYT1T00713.htm
http://www.atmarkit.co.jp/ait/articles/1308/29/news102.html
http://blog.trendmicro.co.jp/archives/7674
24 | 日本セキュリティラウンドアップ
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
、
WordPress( 赤
)、
Apache Struts( 黄
2013 年に公開された Joomla!(橙 )
弱性対策情報データベース「JVN iPedia」による深刻度:危険以上の脆弱性)
JVN iPedia ID
) の危険度の高い脆弱性一覧(脆
脆弱性内容
公表日
JVNDB-2013-001555
Joomla! における重要な情報を取得される脆弱性
2013 年 2 月 4 日
JVNDB-2013-002117
WordPress 用 BackupBuddy プラグインにおける認証を回避
される脆弱性
2013 年 4 月 2 日
JVNDB-2013-002116
WordPress 用 BackupBuddy プラグインにおけるアクセス権
を取得される脆弱性
2013 年 4 月 2 日
JVNDB-2013-002115
WordPress 用 BackupBuddy プラグインにおける重要な情報
を取得される脆弱性
2013 年 4 月 2 日
JVNDB-2013-002638
WordPress 用 Spiffy XSPF Player プラグインの playlist.php
における SQL インジェクションの脆弱性
2013 年 5 月 10 日
JVNDB-2013-003319
Apache Struts における任意の OGNL コードを実行される脆
弱性
2013 年 5 月 27 日
JVNDB-2013-003318
Apache Struts における任意の OGNL コードを実行される脆
弱性
2013 年 5 月 27 日
JVNDB-2013-003317
Struts で使用される Apache Struts Showcase App における
任意の OGNL コードを実行される脆弱性
2013 年 5 月 27 日
JVNDB-2013-003441
Apache Struts における任意の OGNL コードを実行される脆
弱性
2013 年 6 月 3 日
JVNDB-2013-003440
Apache Struts における任意の OGNL コードを実行される脆
弱性
2013 年 6 月 3 日
JVNDB-2013-003469
Apache Struts において任意のコマンドを実行される脆弱性
2013 年 7 月 9 日
JVNDB-2013-004022
WordPress 用 IndiaNIC Testimonial プラグインにおける SQL
インジェクションの脆弱性
2013 年 9 月 1 日
JVNDB-2013-004085
WordPress におけるリダイレクション制限を回避される脆弱
性
2013 年 9 月 10 日
JVNDB-2013-004084
WordPress の wp-includes/functions.php における任意の
コードを実行される脆弱性
2013 年 9 月 10 日
JVNDB-2013-004282
WordPress 用 NOSpam PTI プラグインの wp-commentspost.php における SQL インジェクションの脆弱性
2013 年 9 月 20 日
JVNDB-2013-004372
Apache Struts における脆弱性
2013 年 9 月 21 日
25 | 日本セキュリティラウンドアップ
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
グローバルセキュリティラウンドアップ
はじめに
この数カ月もサイバー犯罪関連のニュースが話題となりました。数多くの事例の中でも、デジタル通貨決済サー
ビス「Liberty Reserve」の閉鎖や、最近では違法の商品取引サイト「Silk Road」の差し押さえなどのオンライン
1
の脅威が大きな注目を集めました。 10 月に行われた「Blackhole Exploit Kit」の作成者とされる人物の逮捕は、
我々に身近なところで暗躍するサイバー犯罪者の活動を明らかにしたといえます。
2
サイバー犯罪者は、今四半期も自分たちの技術を洗練化し続けてきました。オンライン銀行詐欺ツールの感
染は、米国や日本を含めて複数の地域で増加しています。大規模な Web サイト改ざんの一端も垣間見ること
ができました。「BKDR_FIDOBOT」に関するトレンドマイクロの調査では、1 日あたり 1 万 7000 以上のドメイン
への攻撃にこのバックドア型不正プログラムが使用されたことも確認。さらに、「EXPIRO」が利用したエクスプ
ロイトキットの「Styx」や、不正プログラム「MEVADE」が利用した匿名通信システム「The Onion Router(Tor)」
のネットワークなど、各種不正活動の巧妙化も確認しました。
モバイル関連では、トレンドマイクロでも予測したとおり、不正・高リスク Android ™アプリの総数が 100 万個
を突破しました。これら危険なアプリの多くが、人気アプリへの偽装や人気アプリのトロイの木馬化といった手
口を利用していました。
複数のゼロデイ攻撃が今四半期も確認された Internet Explorer®(IE)や Java のセキュリティ問題も、依然と
してコンピュータへのリスクをもたらしています。文書ファイルの脆弱性も、持続的標的型攻撃に関連するス
ピアフィッシングで主要な手口として依然使われています。他方、持続的標的型攻撃に利用された不正プログ
ラム「Sykipot」ファミリでは、攻撃手法の変化が確認され、新たに民間航空会社の情報が標的となったこと
も確認されました。
1http://blog.trendmicro.com/trendlabs-security-intelligence/post-liberty-reserve-shutdown-whats-next/
2http://blog.trendmicro.co.jp/archives/8001
26 | グローバルセキュリティラウンドアップ
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
サイバー犯罪
オンライン銀行詐欺ツールがスパムメール経由
で最も拡散された不正プログラムに
警察当局による一連の逮捕劇は、現在の脅威動向に影響を及ぼしたようです。デジタル通貨決済サービス
「Liberty Reserve(LR)」の閉鎖は、サイバー犯罪たちに別のデジタル通貨への乗り換えを迫る結果を招きま
した。活動継続のために「BitCoins(ビットコイン)」など別の通貨使用を迫られています。悪名高い闇市場「Silk
Road」の閉鎖は、不法取引のサイト同士のネットワークを隠ぺいするための(検索エンジンのクローリングの
及ばない領域である)Deep Web の使用に代表されるような、通常目には見えないもののおぞましいサイバー
3
犯罪の実態を明らかにしました。 最後に “Paunch” の名で知られる「Blackhole Exploit Kit(BHEK)」作者の
4
10 月初旬の逮捕も大きな話題になりました。 警察当局によるこうした対応は、今までインターネットユーザ
に知られていなかったサイバー犯罪者のアンダーグラウンド活動の認知を高めたといえます。
トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)
」により防御してい
る脅威の数
8B
7B
6B
2,876
75億
2,817
75億
5億7400万
4億9500万
6億600万
4億1400万
2,697
72億
5億8600万
3億9200万
ブロックされた脅威の合
計数
5B
4B
3B
64億
65億
62億
ブロックされた不正な
ファイル数
ブロックされた不正な
Webサイト数
2B
1B
0
検出率(ブロックされた脅
威数/秒)
ブロックされたスパム送信
元IPアドレス
7月
8月
9月
トレンドマイクロは今四半期、平均して 1 秒間に 2,797 の脅威からユーザを防御しました。
3 http://blog.trendmicro.co.jp/archives/7951; http://blog.trendmicro.co.jp/archives/7960
4http://blog.trendmicro.co.jp/archives/8001
27 | グローバルセキュリティラウンドアップ
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
「DOWNAD」は今四半期も第 1 位であり、また偽ソフトウェアに組み込まれたアドウェアによる被害が依然継
続しています。「DOWNAD」は、第 1 位ではあるものの、感染数自体は、前四半期の 50 万 9000 から 34 万
5000 へ減少しました。これは、間近に迫った Windows ® XP サポート終了に伴い、多くのユーザがオペレーティン
グシステム(OS)をアップグレードしたことに起因している可能性があります。
不正プログラムトップ 3
WORM_DOWNAD.AD
34万5千
ADW_BPROTECT
24万6千
ADW_BHO
23万8千
100,000
1,000
100
10
1
「DOWNAD」は、3 四半期連続で第 1 位を維持し、そのすぐ後にアドウェアが位置しています。
28 | グローバルセキュリティラウンドアップ
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
不正プログラム:セグメント別のトップ3
大企業
中小・中堅企業
個人ユーザ
検出名
数
検出名
数
WORM_DOWNAD.AD
20 万 5000
WORM_DOWNAD.AD
3 万 3000
検出名
数
ADW_BHO
15 万 8000
13 万 8000
ADW_BPROTECT
2 万 8000
HKTL_PASSVIEW
7000
ADW_BPROTECT
PE_SALITY.RL
1 万 7000
TROJ_FAKEAV.BMC
5000
TROJ_FAKEAV.BMC
8 万 7000
個人ユーザは、偽のフリーウェアに惹かれ、そこに組み込まれたアドウェアを最もダウンロードしやすい
傾向にあります。大企業や中小・中堅企業の感染数トップは、相変わらず「DOWNAD」です。
29 | グローバルセキュリティラウンドアップ
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
オンライン銀行詐欺ツールの急増
オンライン銀行詐欺ツールが今四半期、急増しました。しかも、もはやヨーロッパやアメリカ大陸などの特定
地域に限定されず、グローバル規模に拡大しました。この傾向は継続して確認され、今四半期の感染数は 20
万を突破し、オンライン銀行関連としては 2002 年以降で最多の感染数です。
オンライン銀行詐欺ツールの感染数
250000
200000
20万
2千
150000
100000
13万
1千
11万
3千
14万
6千
11万
2013年
13万
2千
12万
5千
第3四半期
第4四半期
2012年
50000
0
第1四半期
第2四半期
特定四半期のオンライン銀行ツール感染数が 20 万以上となり、これは、2002 年以降で最多の感染数です。
オンライン銀行詐欺ツールによる感染の大部分は、不正プログラム「ZBOT」で占められていました。事実、8
月にスパムメールで最も多く拡散されていた不正プログラムが「ZBOT」の亜種で、全体の 23% を占めていま
5
した。 「ZBOT」の新たな亜種も確認され、特に不正プログラム「KINS」は、デバッグや解析を逃れる機能を
備えて登場しました。
一方、「Citadel」の亜種も依然として日本での感染が確認され、金融機関を始め、Yahoo! Japan や Gmail な
どさまざまな日本の Web メールサービスも標的にされました。
5http://blog.trendmicro.co.jp/archives/7855
6http://blog.trendmicro.co.jp/archives/7547
30 | グローバルセキュリティラウンドアップ
6
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
オンライン銀行詐欺ツールの被害を受けた国:トップ 10
国名
割合
米国
23%
ブラジル
16%
日本
12%
インド
6%
オーストラリア
3%
フランス
3%
ドイツ
2%
ベトナム
2%
台湾
2%
メキシコ
2%
その他
29%
米国とブラジルが、オンライン銀行詐欺ツールによる感染被害が最も多い国内としてランクインしていま
す。一方、日本が前四半期の第 5 位から今四半期は第 3 位に上昇しています。これは、主に不正プログ
ラム「Citadel」の感染増加に起因しています。
常とう手段化した Web サイト改ざん
サイバー犯罪者たちは、活動の隠ぺいや不正プログラムの配信、スパムメールの送付、不正サイトへのリダイ
レクトツールなどの常とう手段として、改ざんされた Web サイトを利用しています。「Stealrat」などのスパムボッ
トは、自身の不正活動を隠ぺいするため、改ざんされた Web サイトを利用していることが確認されました。
7http://blog.trendmicro.co.jp/archives/7662
31 | グローバルセキュリティラウンドアップ
7
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
ユーザはどのようにして改ざんされた Web サイトに誘導されるか
改ざんされたWebサイト1に送信さ
れたデータは、
スパムメールのテン
プレート作成に使用される
スパムサーバから
「スパムデータ」が収集され、
改ざんされたWebサイト1に送信される
改ざんされたWebサイト2へのリンクを含んだス
パムメールをユーザが受信する
注:
「スパムデータ」には、バックアップメールサーバのURLや、送信者の名前、受信者のメールアドレス、
スパム
メールのテンプレート等が含まれている。
「BKDR_FIDOBOT」に関するトレンドマイクロの調査から、Web サイト改ざんの規模についてその一端を垣間
見ることができました。このバックドア型不正プログラムは、「Joomla! ™」や「WordPress」上で動いている
Web サイトへブルートフォース(総当たり)攻撃で侵入し、1 日あたり 1 万 7000 以上のドメインへの攻撃に
使用されていました。
8
影響を受けた Web サイトのほとんどは、個人もしくは中小企業が所有し、米国内で
稼働するサイトでした。
8http://blog.trendmicro.com/trendlabs-security-intelligence/joomla-and-wordpress-sites-under-constant-attack-from-botnets/
32 | グローバルセキュリティラウンドアップ
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
不正プログラムの手口巧妙化とネットワークの隠ぺい
9
今四半期もう 1 つ注目すべき不正プログラムは「EXPIRO」です。 この不正プログラムは 2010 年に始めて確
認され、ファイル感染をすることで知られていましたが、今四半期登場した最近の亜種は、FTP の認証情報を
窃取していました。また、7 月の攻撃で利用された「EXPIRO」の亜種は、エクスプロイトキット「Styx Exploit
Kit」を用いて拡散していました。
10
不正プログラム「MEVADE」が 8 月下旬、特定サイトへの接続を広範に拡大させるために匿名通信システム「The
Onion Router(Tor)」のコンポーネントをダウンロードするのを確認しました。
増大したという報告もこれに起因していると考えられます。
12
11
同時期に Tor のユーザ数が
Tor により、サイバー犯罪者はコマンド&コント
ロール(C&C)サーバを効果的に隠ぺいできます。Tor で秘匿されたサービスを閉鎖させることは実質不可能
です。「MEVADE」は、Adobe® Flash® Player の更新版を装ったダウンローダを介して、特定のアドウェアと共
に拡散します。
13
人気のオンライン銀行詐欺ツールが確認された時期
ZeuS
Gozi
2006年
2007年
Cridex,
Shylock,
Tatanga, Tinba,
Carberp Ice IX,
Zitmo,
and
and
and
SpyEye Citadel Spitmo
2009年
2010年
2011年
KINS
2013年
今四半期は、2006 年に発生していたツールキット「ZeuS」が話題になるなど、オンライン銀行を狙う不
正プログラムの再来を確認しました。
9http://blog.trendmicro.co.jp/archives/7540
10http://blog.trendmicro.co.jp/archives/7554
11http://blog.trendmicro.co.jp/archives/7796
12https://lists.torproject.org/pipermail/tor-talk/2013-August/029582.html
13http://blog.trendmicro.co.jp/archives/7806
33 | グローバルセキュリティラウンドアップ
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
モバイルの脅威
不正・高リスクアプリが累計 100 万個に到達
2013 年が終わりを迎える前に、Android 端末ユー
Android 端末を狙う不正プログラムの増加
ザを狙った不正・高リスクアプリの数が累計 100 万
個に到達しました。これらのアプリの 80%が「プレ
ミアムサービス悪用」に代表される不正アプリです。
「プレミアムサービス悪用」とは、ユーザの端末か
100万
7月
82万
8月
85万
9月
100万
ら本人が気づかないところで特定の番号にテキスト
メッセージ(SMS)を送信し、高額の利用料が発生
するプレミアムサービスにユーザを登録します。こ
のような種類の不正アプリは特にロシアで蔓延して
おり、いわゆる “標準とされる” アプリストアがロシ
50万
アに存在していないことがその要因だと考えられま
す。
14
残りの 20%は高リスクアプリが占め、その中には、
ユーザへ広告を執拗に表示するアプリ(アドウェア)
も含まれています。これらのアドウェア感染も、最
終的にはユーザの端末関連情報の窃取などの不正
活動に至ります。
14http://blog.trendmicro.com/trendlabs-security-intelligence/connectingthe-dots-fake-apps-russia-and-the-mobile-web/
34 | グローバルセキュリティラウンドアップ
0
不正・高リスクアプリの数は、7 月から 8 月にか
けて徐々に増加し、9 月に入り一気に 100 万個
に到達しました。
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
Android 端末向け不正プログラムを脅威タイプ別に分類
60%
55%
40%
27%
20%
22%
12%
9%
2%
0
プレミアムサービス
悪用
アドウェア
情報窃取
バックドア/リモート
コントロール
不正プログラムの
ダウンロード
ハッキングツール
前四半期と同様、「プレミアムサービス悪用」が今四半期も半分以上を占めています。アドウェアの数も
今四半期、第 2 位に返り咲きました。
Android 端末向け不正プログラムファミリ:トップ 10
1. OPFAKE
27%
2. FAKEINST
24%
3. GOYEAR
10%
4. GINMASTER
7%
5. JIFAKE
6%
6. MSEG
4%
7. ADPANDA
3%
8. ADTGPTT
3%
9. BOXER
2%
10. SMSREG
2%
その他
35 | グローバルセキュリティラウンドアップ
12%
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
クロスプラットフォームの脅威
不正アプリの危険性に加え、モバイル端末はプラットフォームの種類に関係なく影響のある脅威にも直面しま
した。偽の「WhatsApp」メールはそのひとつで、モバイル端末で本文中のリンクをクリックすることで、「プ
レミアムサービス悪用」アプリをホストしているサイトに誘導されます。
15
複数のプラットフォームを狙った脅
威がモバイル端末を狙うのは今回が初めてではありません。
しかし今回のケースでは、Blackhat の検索エンジン
最適化(SEO)やソーシャルメディア悪用という “直接的な” アプローチに代わり、攻撃者が敢えてスパムメー
ルを利用した点が特筆に値します。
クロスプラットフォームの脅威でもう 1 つ注目すべき点は、モバイル端末向けに作成されたフィッシングサイト
の増加です。実際、2013 年 1 月から 9 月にかけて収集したデータに基づき、この種のサイトが昨年の同時期
と比較して 53%増加したことを確認しました。しかも今四半期、その内の 43%が銀行やその他の金融機関の
なりすましサイトでした。
16
モバイルセキュリティを悩ませる脆弱性の悪用
前四半期に報じられた「マスターキー」脆弱性の発見では、正規アプリに不正コードを挿入して ” 更新” する
ことでほぼ全ての Android 端末へ影響を与える手法をサイバー犯罪者が発見した点が注目されました。今四
半期は、有名なオンライン銀行アプリのトロイの木馬化バージョンという形でこの脆弱性が悪用されているの
を確認しました。
17
7 月に実施された The Black Hat サイバーセキュリティカンファレンスでは、モバイルセキュリティに関するその
他の問題点も議論されました。攻撃者によるデジタルキー取得が可能になる SIM カードの欠陥が明らかにさ
れ、さらに Georgia Institute of Technology の研究者が、iOS の最新バージョンにおいて攻撃者による端末上
での不正コマンド実行を可能にする充電器の概念実証(POC)を披露しました。
15http://blog.trendmicro.co.jp/archives/7846
16http://blog.trendmicro.co.jp/archives/7900
http://about-threats.trendmicro.com/us/mobile/monthly-mobile-review/2013-08-mobile-banking-threats
17http://blog.trendmicro.co.jp/archives/7647
18 http://blog.trendmicro.co.jp/archives/7696
36 | グローバルセキュリティラウンドアップ
18
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
ユーザはどこで不正アプリや高リスクアプリに遭遇するか
Webサイト
アプリストア
80%
27%
その他
1%
不正・高リスクアプリの 27% がアプリストアから発見されましたが、これらのアプリは不正な Web サイト
など別のソースでも確認されました。なお、上記のデータは、2010 年 8 月から 2013 年 9 月にかけて収
集された不正アプリ総数の 42%内における割合です。
「プレミアムサービス悪用」による不正活動
データの削除
96%
96%がユーザのSD
カード内データにア
クセスできます。
メッセージの監視
92%
92%がユーザのメッ
セージを読むことが
できます。
デフォルトメッセージの送信
86%
コンタクトの閲覧
48%
48%がユーザの連
絡先リストを閲覧で
きます。
所在地のトラッキング
14%
14%がユーザの所
在地をトラッキング
できます。
86%が事前に設定し
たメッセージを送信で
きます。
モバイル端末は、プレミアムサービスを悪用する不正アプリに感染すると、情報窃取等の脅威にも脆弱に
なります。この「プレミアムサービスを悪用」する不正アプリが今四半期もトップのモバイル関連の脅威
となっています。ここでは、2012 年 11 月から 2013 年 5 月までの調査において「プレミアムサービスを
悪用」する不正アプリがさまざまな方法で端末に感染できることを確認しています。
37 | グローバルセキュリティラウンドアップ
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
ソーシャル&クラウドの脅威
Apple を狙うフィッシングが継続、政府発行 ID
も標的に
ソーシャルメディアと個人情報を取り巻く最近の脅威や事例は、新しいタイプの “アイデンティティクライシス(身
分証明の危機)” を示していると言えます。インターネットユーザにとっては、自身の個人情報の管理とサイバー
犯罪者の手に渡るのをいかにして防ぐかが、依然として大きな課題です。
個人情報窃取を狙う多数の脅威の中でも今四半期は、Apple 製品のユーザを狙ったフィッシングサイト急増に
伴い、フィッシング詐欺が大きなインパクトを与えました。
19
最初のフィッシングサイト急増は、2013 年 5 月の iOS 7 リリースの噂や、最近の Apple 製品やここ数カ月の進
展に関する喧騒によるものでした。続いてののフィッシングサイト急増は、2013 年 6 月から 7 月にかけての
iPhone 5c の噂によるものでした。9 月には iPhone の新モデルのリリースに伴いユーザの個人情報を狙ったス
パム活動も確認されました。
20
Apple 関連フィッシングサイト数の推移
5,800
6000
5000
4,100
4000
2,500
3000
1000
1,900
1,800
2000
300
500
100
300
3月
4月
0
1月
2月
5月
6月
7月
Apple 関連のフィッシングサイトは、5 月の急増以降も引き続き増加しています。
19http://blog.trendmicro.co.jp/archives/7930
20http://blog.trendmicro.co.jp/archives/7817
38 | グローバルセキュリティラウンドアップ
8月
9月
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
モバイル向けオンライン銀行の利用者も、同様の
ソーシャルメディアを狙った脅威は今四半期、Free
ソーシャルエンジニアリング手法と無縁ではありま
Followers 詐欺だけに限りません。偽のビデオプレー
せん。トレンドマイクロでは、有名な金融機関に
ヤーに偽装した不正プログラムもソーシャルネット
なりすまし、利用者のログイン情報やメールアドレ
ワーキングサイト上で確認されました。この不正プ
ス、さらに政府発行の各種 ID 等、重要情報を収集
ログラムは、インストールされると、Facebook や
するように設計されたフィッシングサイトも確認しま
Google+、Twitter 等のソーシャルメディアのアカウン
した。
21
トを乗っ取ります。
ソーシャルメディア上のセキュリティ脅威も今四半
期は引き続いており、中でも注目すべきは、ソーシャ
ルメディアのヘビーユーザを狙った攻撃です。Free
23
また今四半期は、Facebook
や Twitter のハッキングツール提供をうたうサイトへ
ユーザを誘い、同時にアンケート詐欺にひきこむよ
うな偽 Twitter アカウントの急増も確認しました。
24
Followers 詐欺は、偽の「フォロワー」、
「いいね」、
「リ
セキュリティに関するこうした問題の一方で、オンラ
ツイート」の提供を騙り、いかにしてサイバー犯罪
イン上のアカウント管理に関する前向きな動きもは
者が一儲けをしていたかを示しています。
22
じまりました。暗証番号による端末ロック解除より
も簡単なセキュリティツールとして、iPhone 5s に搭
載された指紋認証機能があげられます。
25
Apple
のこうした試みは賞賛に値するものの、
これでセキュ
リティの対策が万全になると考えるべきではありま
せん。各ユーザのセキュリティに対する意識や行動
が鍵である点は変わりません。
21http://blog.trendmicro.co.jp/archives/7693
22http://blog.trendmicro.co.jp/archives/7630
23http://blog.trendmicro.co.jp/archives/7605
24http://blog.trendmicro.co.jp/archives/7978
25 http://blog.trendmicro.com/trendlabs-security-intelligence/fingerprintscans-passwords-and-managing-online-accounts/
ソーシャルエンジニアリングで多用されたトピック
SUMMER
WHATSAPP MOVIES
OBAMACARE
ENDER’S GAME
PLANTS vs. ROYAL BABY
ZOMBIES
iPHONE 5s and 5c
39 | グローバルセキュリティラウンドアップ
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
脆弱性とエクスプロイト
Java 6 の脆弱性をエクスプロイトで利用、古い
バージョンが依然標的に
複 数 の ゼロデイ攻 撃 事 例 が 発 生した 年 初 以降、
Apache Struts に関するトレンドマイクロの調査で
Java 関連の脆弱性は、依然として深刻な関心事と
も明らかなとおり、
なっています。Java 6 に存在する脆弱性が今四半期、
て格好の標的になります。この調査では、Apache
エクスプロイトキット「Neutrino」に利用されてい
Struts の旧バージョンに存在する不具合を利用する
2627
29
旧来の脆弱性は攻撃者にとっ
Oracle はこのバー
自動エクスプロイトツールが(不具合が周知されて
ジョンへのサポートを終了しているため、影響を受
からわずか 3 日後に)中国のアンダーグラウンドで
けるすべてのソフトウェアに対して、最近特定され
作成されていたことを明らかにしました。
たことを確認しています。
たバグへの対応も含め、セキュリティアップデート
や修正パッチ等が提供されることはありません。さ
らに悪いことには、Oracle によるこのサポート終了
のアナウンスは、最近確認された 31 に及ぶ脆弱性
に対しても、修正パッチ等が提供されないことも意
味します。
攻撃者は、エクスプロイトキットが仕掛けられた
Web サイトのセキュリティ関係者による調査、解析
を避けるためにいくつかの手法を利用します。もっ
とも基本的な手法は、セキュリティ関係者の利用す
る IP アドレスのブラックリスト化です。また、より
巧妙な手法として攻撃者の持つデータベースの仕
2013 年 9 月 10 日(米国時間)の定例セキュリティ
組みがあります。攻撃者の Web サイトに対し、セ
情 報 の 公 開 から 1 週 間 後、Internet Explorer(IE)
キュリティ関係者がアクセスすると、そのアクセス
の最新バージョンにも影響を与えるゼロデイ脆弱性
は攻撃者のバックエンドのデータベースに記録され
が確認され、
28
Microsoft は、修正ツールを緊急リ
リースしました。
ます。次回、セキュリティ関係者が攻撃者の別の
Web サイトへ接続しようとすると、バックエンドの
データベースの記録を照会し、セキュリティ関係者
によるアクセスを遮断するのです。
26http://blog.trendmicro.co.jp/archives/7773
27http://blog.trendmicro.co.jp/archives/6874
28http://blog.trendmicro.co.jp/archives/7861
40 | グローバルセキュリティラウンドアップ
29http://blog.trendmicro.co.jp/archives/8060
30http://blog.trendmicro.co.jp/archives/7867
30
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
エクスプロイトキットは、いかにしてセキュリティ関係者の追及を逃れるのか
1 URL A をクローリング
2 IPアドレスがデータベース内
する
4 サイトが読み
込まれる
にあるか確認する
不正なWebサイトA
3 IPアドレスが
データベース内に
ない場合
※攻撃者は、セキュリティ関係者が
使用しているはずだとするIPアド
レスのリストを保持し、
これらから
のアクセスをブロックする
セキュリティ関係者
バックエンドデータベース
6 IPアドレスが
5 URL Bをクローリング
データベース内に
あるか確認する
する
8 サイトが読み
込まれない
41 | グローバルセキュリティラウンドアップ
不正なWebサイトB
7 IPアドレスがデータベース内
にある場合
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
サイバー攻撃
2007 年から続くSykipot キャンペーン、標的と
攻撃手法を変化させ再登場
持続的標的型攻撃のキャンペーン(作戦活動)は、依然として政府機関や大手組織、企業など、さまざまな
標的をターゲットにしています。攻撃の主な目的は、標的からの情報窃取や情報流出です。その中で最近いく
つかの変化を示したキャンペーンが「Sykipot」です。
キャンペーン「Sykipot」は 2007 年に初めて確認され、当初はとりわけ通信やコンピュータ、政府、航空宇宙
などの業界を標的にしており、今日もその活動は続いています。
31
トレンドマイクロでは、このキャンペーン
の攻撃手法に関して、識別用情報の更新やドライブ・バイ・エクスプロイト、DLL/ プロセス・インジェクション
などの利用といったいくつかの変化を確認しました。また、従来の標的に加え、新たに民間航空会社の情報
をターゲットにしています。
トレンドマイクロでは、持続的標的型攻撃をモニタリングする中で、旧来の脆弱性がスピアフィッシングメー
ルで利用されていることも確認しています。広く利用されている脆弱性は「MSCOMCTL.OCX RCE」で、脆弱性
「CVE-2012-0158」としても知られており、Microsoft では 2012 年 4 月から「MS12-027」として対応していた
脆弱性です。
32
Apache Struts 最新バージョンがリリースされる一方で、トレンドマイクロでは、旧バージョンの脆弱性を悪用
する自動エクスプロイトツールがアンダーグラウンドで販売されていたことも確認しています。またアジア地域
でも、これらの脆弱性を悪用する持続的標的型攻撃を確認しました。
「.PKZIP」や「.MIME」は、スピアフィッシングメールを介して攻撃する際に攻撃者が最もよく利用したファイル
形式でした。文書や表計算のファイル形式も、標的のネットワークに初期潜入する際に利用されていました。
31http://blog.trendmicro.com/trendlabs-security-intelligence/sykipot-now-targeting-us-civil-aviation-sector-information/
32http://about-threats.trendmicro.com/vulnerability.aspx?language=jp&name=MSCOMCTL.OCX%20RCE%20Vulnerability%20%28CVE-2012-0158%29
42 | グローバルセキュリティラウンドアップ
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
持続的標的型攻撃のスピアフィッシングメールで使用されたファイル形式一覧
MIME
PKZIP
RAR
RTF
7月
PPS/PPT
8月
DOC
9月
EXE/DLL
XLS
ZIP
PDF
0
10%
20%
30%
40%
50%
政府機関が今四半期も持続的標的型攻撃のターゲットのトップを占めており、通信や IT ソフトウェア関連企業
が次に続いています。大手企業は、持続的標的型攻撃の被害を回避するためにも自社ネットワークの強化が
必要です。
43 | グローバルセキュリティラウンドアップ
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
別表
スパムメールの言語:トップ 10
1. 英語
89.39%
2. 中国語
2.49%
3. 日本語
1.88%
4. ドイツ語
0.95%
5. ロシア語
0.70%
6. ポルトガル語
0.24%
7. スペイン語
0.16%
8. フランス語
0.08%
9. アイスランド語 0.07%
10. トルコ語
その他
0.05%
3.99%
世界規模で最もよく使用されることから、英語がスパムメール送信者が最も好む言語となっています。
スパムメールを送信する国:トップ 10
1. 米国
9.16%
2. アルゼンチン
6.71%
3. イタリア
6.69%
4. スペイン
6.45%
5. インド
6.16%
6. 台湾
4.31%
7. コロンビア
4.26%
8. ペルー
3.97%
9. メキシコ
3.82%
10. ドイツ
3.27%
その他
45.20%
スパム使用言語とも一致し、米国が最も多くのスパムメールを送信した国としてトップに位置しています。
アルゼンチン、コロンビア、メキシコ、ペルーなど南アメリカの国々、さらにスペインもトップ 10 入りし
ています。
44 | グローバルセキュリティラウンドアップ
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
月別で検出されたボットネットへの接続数
1270万
7月
1070万
8月
1390万
9月
0
200万
400万
600万
800万
1000万
1200万
1400万
ボットネットへの接続数は、7 月に増加して 8 月に若干減少したものの、9 月に再び増加しています。
不正な Web サイトの設置国:トップ 10
国名
割合
1
米国
24%
2
オランダ
3%
3
中国
3%
4
ドイツ
3%
5
フランス
3%
6
韓国
2%
7
イギリス
2%
8
ロシア
1%
9
日本
1%
10
カナダ
1%
その他
57%
前四半期と同様、今四半期も大部分の不正 URL は米国に設置されたもので占められています。
45 | グローバルセキュリティラウンドアップ
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
不正な Web サイトへのアクセス元の国:トップ 10
国名
割合
1
米国
35%
2
日本
14%
3
中国
7%
4
インド
4%
5
台湾
4%
6
韓国
4%
7
ドイツ
3%
8
オーストラリア
3%
9
ロシア
2%
10
イギリス
2%
その他
22%
米国のユーザが今四半期、最も多くの不正 URL にアクセスしていました。
ボットネットに接続したコンピュータの数が最も多い国:トップ 10
国名
割合
1
米国
25%
2
マレーシア
19%
3
ポルトガル
4%
4
ロシア
4%
5
カナダ
4%
6
韓国
4%
7
ベルギー
3%
8
コロンビア
2%
9
ドイツ
2%
10
オランダ
2%
その他
31%
米国が今四半期も、ボットネットへの最も多くの接続がなされた国となっています。前四半期に第 1 位で
あったマレーシアは、政治状況が安定したためか第 2 位となっています。
46 | グローバルセキュリティラウンドアップ
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
不正アプリをダウンロードするリスクが最も高い国:トップ 10
1. ウクライナ
13%
2. ミャンマー
10%
3. リビア
9%
4. ナイジェリア
7%
5. ベトナム
5%
6. ロシア
4%
7. アルゼンチン
4%
8. アンティグア・バーブーダ
4%
9. カナダ
3%
10. インド
3%
9
6
1
3
8
4
10
2 5
7
前四半期に第 1 位であったサウジアラビアはトップ 10 圏外にダウンし、ウクライナが今四半期のトップと
なっています。この傾向は、東欧におけるスマートフォン普及に起因しているといえます。ナイジェリア
やアルゼンチンにおけるモバイル端末利用の増加も、同じくこれらの国がランクインした理由といえます。
ランキングは、スキャンしたすべてのアプリに対して「不正」と評価されたアプリのパーセンテージを国
別に比較して割り出しています。また、このランキング対象は、アプリへのスキャンが少なくとも 1 万回以
上確認された国に限定しています。
47 | グローバルセキュリティラウンドアップ
TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ
アプリ使用によるプライバシー侵害のリスクが最も高い国:トップ 10
1. カザフスタン
26%
2. ウガンダ
20%
3. ウクライナ
11%
4. インド
10%
5. アルゼンチン
9%
6. フィリピン
7%
7. アンティグア・バーブーダ
7%
8. タイ
7%
9. カナダ
7%
10. ミャンマー
3
9
7
2
1
4
10
8
6
5
6%
カザフスタンやウガンダやウクライナが今四半期、「アプリ使用によるプライバシー侵害のリスクが最も高
い国」として新たにトップ 10 入りしました。これは、これらの国々でのスマートフォン普及に起因している
といえます。ランキングは、スキャンしたすべてのアプリに対して「不正」と評価されたアプリのパーセン
テージを国別に比較して割り出しています。また、このランキング対象は、アプリへのスキャンが少なくと
も 1 万回以上確認された国に限定しています。
48 | グローバルセキュリティラウンドアップ
TREND MICRO ™
TRENDLABSSM
本書に関する著作権は、トレンドマイクロ株式会社
へ独占的に帰属します。
フィリピン・米国に本部を置き、日本・台湾・ドイツ・
アイルランド・中国・フランス・イギリス・ブラジ
ルの 10 カ国 12 ヵ所の各国拠点と連携してソリュー
ションを提供しています。
トレンドマイクロ株式会社が書面により事前に承諾
している場合を除き、形態および手段を問わず本
書またはその一部を複製することは禁じられていま
す。本書の作成にあたっては細心の注意を払ってい
ますが、本書の記述に誤りや欠落があってもトレン
ドマイクロ株式会社はいかなる責任も負わないもの
とします。本書およびその記述内容は予告なしに変
更される場合があります。
本書に記載されている各社の社名、製品名、およ
びサービス名は、各社の商標または登録商標です。
〒 151-0053
東京都渋谷区代々木 2-1-1 新宿マインズタワー
大代表 TEL:03-5334-3600 FAX:03-5334-4008
http://www.trendmicro.co.jp
Trend Micro Incorporated, a global leader in security software and
solutions, strives to make the world safe for exchanging digital
information. For more information, visit www.trendmicro.com.
©2013 by Trend Micro, Incorporated. All rights reserved. Trend Micro and
the Trend Micro t-ball logo are trademarks or registered trademarks of
Trend Micro, Incorporated. All other product or company names may be
trademarks or registered trademarks of their owners.
数カ月におよぶ厳しいトレーニングを経て最終合格
率約 1% の難関を突破した、選びぬかれた 1,000
名以上の専門スタッフが、脅威の解析やソリュー
ションへの反映など、24 時間 365 日体制でインター
ネットの脅威動向を常時監視・分析しています。
世界中から収集した脅威情報を、各種レピュテー
ションデータベースや不正プログラム、迷惑メール
などの各種パターンファイルなど、グローバル共通
のソリューションに随時反映しています。
サポートセンターの役割も兼ねる研究所として、お
客様に満足いただけるサポート体制を整備し、より
多くの脅威に迅速に対応しています。
Fly UP