グローバルセキュリティラウンドアップから
世界的な脅威動向である、グローバルセキュリティラウンドアップからいくつか紹介したい。まず、ランサムウェアであるが、世界規模でもその猛威は、拡大し続けている。さらに、新種や亜種、頻繁なバージョンアップなどを行い、活発な活動が見られる点にも注意したい。たとえば、日本で猛威をふるったLOCKYであるが、以下のような亜種が作成された。
- Windowスクリプトファイルを利用する亜種
- DLLファイルを利用する亜種
- オフラインで暗号化する亜種
Windowスクリプトファイルを利用する亜種であるが、同じランサムウェアのCERBERで使われた手口である。効果があると見るや、すぐさま採用したのであろう。暗号化されたファイルの拡張子が「.ZEPTO」になる。DLLファイルを利用する亜種は、セキュリティ対策ソフトの検出を回避することを目的として作成された。オフラインで暗号化する亜種は、C&Cサーバーとの通信を行わずに、暗号化を行う。攻撃者は、C&Cサーバーを使用しないことによる経費削減が目的とのことだ。
上に出てきたCERBERは、第3四半期に入ってから2回のバージョンアップを行っている。7月初旬に確認されたCERBER 2.0、9月初旬に確認されたCERBER 3.0である。バージョンアップの目的は、手口や感染の巧妙化である。こういった例は、LOCKYやCERBERに限ったことではない。他のランサムウェアについても、同じような傾向が見られる。つまり、脅威レベルは依然として高い状態が続くと思われる。
図10は、2016年の第3四半期におけるLOCKY検出台数を国別に分類したものである。
|
図10 2016年第3四半期におけるLOCKY検出台数国別分布(月別上位10か国の集計) |
上述したように、日本で多数検出されたことが納得できる。それに対し、CERBERの検出台数をまとめたものが、図11である。
|
図11 2016年第3四半期におけるCERBER検出台数国別分布(月別上位10か国の集計) |
こちらは、米国が主な攻撃対象となっている。このように、多種多様な攻撃が行われている。さて、対策であるが、
- セキュリティ対策ソフトやパターンファイルを最新の状態に
- OSやアプリケーションの脆弱性は、速やかに解消する
という、これまで通りの対策が有効となる。改めて、基本的な対策がきちんと行われているか、再度、確認してもよいだろう。
