シマンテックは4月14日、インターネット上のセキュリティに関する調査レポート「Internet Security Treat Report」の2014年版(英語版)を公開した。20回目に当たる今回は、ゼロデイ脆弱性への攻撃が過去最多になり、標的型攻撃、個人情報の流出などが続いている現状が示された。また、モバイル向けの攻撃、SNS、IoTといった新しい分野への攻撃もさらに拡大しているという。
レポートによれば、標的型攻撃を狙ったスピアフィッシングメールの数が漸減傾向にあり、これは一連の攻撃(攻撃キャンペーン)ごとに送信される攻撃メールが減少しているためで、それに対して攻撃キャンペーン自体の数は増加。同社のセキュリティレスポンスチームの浜田譲治シニアマネージャは、「よりピンポイントに狙ってメールを送信しているのではないか」と分析する。
ターゲットとしては、2011年には従業員2,500人以上の大企業が5割を占めていたが、14年にはそれが41%まで減少。中規模企業が18%から34%に上昇しており、狙われる企業範囲が拡大した。
実際に送信される攻撃メールは、38.7%が.DOCファイル、22.6%が.EXEファイルと、実行ファイルやスクリプトファイルが多く、受信者をだまして実行させようとしたものが多かった。「一番脆弱である"人"を利用して感染しようとする」と浜田氏。
攻撃で狙われるのはOSやソフトウェアの脆弱性が多いが、特に最近はゼロデイ脆弱性が狙われる例が増えている。12年までは8~15件で推移していたが、13年に23件と増加し、14年も24件と過去最高を更新。浜田氏は、ゼロデイ脆弱性をついた攻撃の効果が高いため「儲かるから(攻撃者が)調査しているのではないか」と推測する。
攻撃としては、クライアントへの攻撃だけでなく、サーバーへの攻撃も注目を集めた。特にWebの根幹技術の脆弱性であるHeartbleedやShellShockといった問題への攻撃が現れ、Heartbleed脆弱性が公開されたわずか4時間以内に悪用が始まっているなど、「攻撃のスピードが速い」と浜田氏は強調する。
攻撃で悪用されたゼロデイ脆弱性の推移 |
14年では、ActiveXコントロールの脆弱性が一般公開された後、パッチが出るまで204日かかり、攻撃にもよく狙われた |
この脆弱性自体は、クライアントの情報が取得できてしまうもので、調査に使われたと見られている |
Heartbleed脆弱性は一般公開直後から一気に悪用が始まった |
情報漏えいに関しては、1,000万以上のIDが盗まれた例は4件と、13年の8件に対して現象。ただ、数としては23%の増加となり、さらに漏えいした企業の20%が詳細の報告をしていなかったという。
流出した情報は、インターネット上の闇市場で取引されており、例えばメールアドレスは1000件で0.5~10ドル、クレジットカード情報は0.5~20ドル、パスポートのスキャンは1~2ドル、クラウドサービスのアカウントは7~8ドル、といった価格で売買されているそうだ。
マルウェアは相変わらず増加。亜種を含めて1日あたり100万のマルウェアが生まれ、全体では3億1,700万で前年比26%増。サンドボックスなどの仮想環境で不審なファイルを動作させてマルウェアかどうか判断するというウイルス対策ソフトの機能をかいくぐるため、仮想環境での動作を検知して動作を止めたり実行を遅延したりするマルウェアも全体の28%まで増加した。
PC自体やファイルをロックするなどして使えなくして、解除のための金を要求するランサムウェアは前年比113%増と、増加傾向が続く。13年はPCをロックする攻撃が現れたが、ウイルス対策ソフトがこの解除に対応したことで、14年にはファイルを暗号化して使えなくするタイプに進化。暗号化は解読が困難で、写真などのユーザー作成データが暗号化されると致命的。この後、暗号化を解除するために金を支払えという脅迫に使われる。こうした暗号化のランサムウェアは13年と比較して「4500%増」と急激に拡大した。
ランサムウェアは13年に一気に拡大。14年はさらに増加した |
|
ランサムウェアはPC自体のロックからファイルの暗号化に |
|
暗号化ランサムウェアの日本語版も登場 |
暗号化ランサムウェアに限定すると4500%の増加 |
対象となるのはOffice/PDFファイル、写真ファイル、外部HDD、エクスプローラー経由で操作できるクラウドストレージなどが狙われているが、さらにNASドライブをターゲットにするSynoLocker、Androidを狙ったSimplockerといったマルウェアも登場。攻撃がさらに激しくなっている。
モバイル向けでは、Google Playや非公式マーケットなどで600万のアプリを解析したところ、マルウェアが100万、悪質ではないが好ましくない「グレーウェア」が200万存在したという。また、広告アプリも100万存在していたそうだ。
SNSを悪用したスパムも問題が深刻化。こうしたスパムのうち70%はユーザー自らが拡散するものだったという。これは、「シェアをしたら動画が見られる」といった宣伝文句でシェアやリツイートをユーザーに行わせる、というもの。
例えば昨年8月に死去した米俳優のロビン・ウィリアムズの「生前のビデオメッセージが見られる」というものがあり、ビデオを見るためにシェアやアンケートの回答、ソフトウェアの更新(マルウェアがダウンロードされる)が強要される、というものだった(実際にそうした動画は存在しない)。
ATMやPOSといった組み込み系への攻撃も現れ始め、今後はIoTデバイスも狙われる可能性がある。IoTデバイスそのものは、セキュリティ機能を組み込みづらい反面、攻撃も限定的になる可能性もあるが、通常はスマートフォンなどと接続してデータを送受信するため、スマートフォンやルーター、サーバーなどが狙われる危険性がある。
シマンテックの調査では、ヘルスケアアプリの52%でプライバシーポリシーが明文化されておらず、20%が個人情報やログイン情報を平文で送信していた。アプリで取得された各種データは、アプリベンダー自身のサーバーだけでなく、アプリ分析、広告ネットワーク、ソーシャルメディアなど、複数のドメインで共有されており、最大で14ドメイン、平均では5ドメインにデータが送受信されていたという。
レポートではさらに、アプリのインストール時にアクセス権限を認識していない人が25%いるなど、利用者側のプライバシーへの意識の低さも指摘している。