Kaspersky Labは、Kaspersky Security Network(KSN)を利用したKaspersky Security Bulletin(年次セキュリティ情報)2012を発表した。本稿では、そこから興味深い項目について紹介したい。
MacやAndroidを狙った攻撃が急増
まず指摘しているのが、Flashbackである。これは、Mac OS Xが動作するAppleコンピュータ70万台で構成される強大なボットネットである。2012年の初頭に検知された。Flashbackは、マルウェアFlashfakeの新種に感染したコンピュータによって構成される。従来、Macは安全という神話が存在したが、それが覆ることとなった。また、標的型攻撃の対象としても狙われている。その理由として、大物政治家や有名なビジネスマンがApple社の製品を使うことが多い。そのコンピュータに保存されている重要情報が、攻撃者に狙われたのである。Kaspersky Labでは、Mac向けトロイの木馬プログラム各種を検知するために、2011年と比較して30%増のシグネチャを作成したとのことである。
そして、2012年の大きな特徴として、Android向けマルウェアが急増したことである。もちろん、Symbian、Blackberry、J2MEといった他のモバイルプラットフォーム向けのマルウェアも存在する。しかし、新しく発見されたマルウェアの99%がAndroidプラットフォームを対象としていた。
Android用のアプリを提供するGoogle Playストアにおいても、悪質なアプリが後を絶たない。Googleは、独自のアンチマルウェア技術を導入して対策を講じてはいるが、追い付いていないというのが現状である。公式サイトだから安全という考えは、通用しない。同様なことが、Apple Storeでも発生した。アドレス帳のデータを盗み、スパムを送信するアプリが登録されたのである。モバイルデバイスも、標的型攻撃やモバイルボットネットの構築などが絡む大掛かりなサイバー犯罪活動の対象となっている。
脆弱性を悪用した攻撃、もっとも狙われたのはJava
オンラインのユーザーを狙う攻撃も常套化している。2012年、カスペルスキー製品は1日平均で400万件以上のブラウザベースの攻撃をブロックした。一方、Webベースの攻撃数の合計は15億件を超えた。そこでもっとも使われる手口が、プログラムまたはアプリケーションの脆弱性の悪用である。Kaspersky Labの分析によると、大規模攻撃と標的型攻撃の両方でソフトウェアの脆弱性を突く攻撃が検知されたとのことである。その対象であるが、もっとも狙われたのは、OracleのJavaであった(全攻撃の半数を占めた)。2位はAdobe Reader28%)、4位のAdobe Flash Playerはわずか2%であった。
かつては、Adobe Flash Playerが狙われた。ここまで下がったのは、セキュリティホールを速やかに修正する自動アップデートシステムによる脆弱性の速やかな修正が行われたことによると、Kaspersky Labは分析する。図3にもあるように、エクスプロイトの一部には、各種のWindowsにいまだ存在する古い脆弱性を狙うものも存在した。この理由であるが、古いバージョンのWindowsが相変わらず積極的に利用されていることをあげている。たとえば、Windows XPのシェアは、2011年に63%、2012年では44%であった(図4)。
図4をみればわかるが、Windows 7のリリースからすでに3年が経過し、2012年後半にはWindows 8がリリースされたのであるが、Windows XPのシェアは依然として高い。そこが狙われたのである。
さまざま脅威の国別のランキング
Kaspersky Security Bulletin 2012では、さまざまな脅威について、国別ランキングを掲載している。まずは、マルウェアのホスト国である。実際には、悪質なオブジェクトのホストと配信に頻繁に利用されたサーバー数を意味する。1位は米国ですべてのインシデントの25.5%を占めた。2位はロシアで19.6%、その後オランダ、ドイツ、英国となった。数年前は、中国が上位にランクインしていたが、その傾向が変わってきている。中国では、ドメイン登録制度の導入や規制の強化などにより、中国国内に置かれた悪質なホストが急減した。当然のことながら、中国で減った悪質ホストは、他の国へと移行する。移行先となったのは、米国、ロシア、ヨーロッパ諸国であり、今回のランキングのようになった。攻撃者は、これらの国々で、完全に悪質なWebサイトの登録、さらには正当なオンラインリソースを大量に乗っ取っている。
さらに、Kaspersky Labでは、ブロックしたWeb攻撃の件数、ローカルの悪性ファイルの数をベースに、攻撃されたユーザーの割合を算出し、国別の「リスクレベル」をランキング化している。Web経由の攻撃頻度では、1位がロシアとなった。以下、タジキスタン、アゼルバイジャン、アルメニア、カザフスタンと続く。これらの高リスク国グループに新たに31の国々(英国、オーストラリア、カナダなど)が加わった。高リスク国グループでは、ユーザーの41%以上がオンライン経由での攻撃を受けたとのことだ。
ローカル攻撃によるマルウェア感染率では、1位がバングラデシュ、以下、スーダン、マラウイ、タンザニア、ルワンダとなった。最大リスク国に分類された7カ国では、75%以上のユーザーが1回以上は悪質なファイルによる攻撃を受けている。それに続く高リスク国(56~75%のユーザーが攻撃対象)には、インドネシア、エチオピア、ケニアなどが含まれている。反対に、マルウェアの感染率が低い国は、1位がデンマークで15%であった。以下、日本、フィンランド、スウェーデン、チェコ共和国と続き、これらの国々では、比較的安全とされている。