攻撃者は、様々な業種の企業に対し巧妙なターゲット型のサイバー攻撃を仕掛けています。この記事では、日本も含む82カ国、2000以上の組織や企業から収集した実際の攻撃のデータを元に、業種別のマルウェア攻撃の実態と、それを受けてのマルウェアの攻撃を防ぐためのセキュリティソリューションについて解説します。

前回に引き続き、日本を含む世界の610万件以上の悪意あるセッション情報を基にした、業種別のマルウェア動向レポートについて解説します。前回は業種によるマルウェア配信の割合や侵入経路の違いについて説明しましたが、今回は業種によるマルウェアとして検出されたファイル種別の違いや調査全体から見るマルウェアの配信回数について説明します。

マルウェアとして検出されたファイル種別の違い

今回の調査で検出されたマルウェアのファイル種別をみてみると、Windows実行可能ファイル(EXEファイル:94.29%、DLLファイル:4.89%)が占める割合が実に99%を超えており、その次に多かったのはMicrosoft Officeのドキュメント形式で占める割合は0.8%、その他のファイルは0.1%に過ぎない結果となりました。

(全体)マルウェアとして検出されたファイル種別の割合

(全体)マルウェアとして検出された主なファイル種別の割合

全体からみるとEXEファイルの占める割合が圧倒的でしたが、前回説明した侵入経路と同様EXEファイルの占める割合が、サービス業では99.6パーセントに対して卸・小売では84.6パーセントと、業種ごとにその割合が若干異なっていました。侵入経路と同様に、業種によるICT活用の違いが見て取れます。

(業種別)検出されたマルウェアが実行ファイル (EXE) であった割合

配信回数

これは業種別のデータではないですが、今回の調査では約36万件のサンプルがマルウェアとして検出され、そのうち90パーセント以上のサンプルは2回以下のセッションで配信されていました。つまり、ほとんどのマルウェアは1つか2つのセッションで配信されるだけで、攻撃試行ごとに異なるマルウェア(ファイルハッシュ)を利用しているといえます。攻撃ごとに異なるマルウェアを使うことで、シグネチャベースのアンチウイルスによるブロックを避けようとする背景があります。

(全体)マルェアの配信セッション数統計

傾向と対策

前回の記事から解説してきた業種別のマルウェア分析のレポートについてまとめると、以下の点が挙げられます。

  • 特定業種を狙うマルウェアが増えてきている

  • 高等教育分野、医療分野、ハイテク分野は全般的に悪意あるセッションが多い

  • 業種によってインターネット上で利用するアプリケーションの割合が異なる

  • 業種によって配信されるマルウェアのファイル種別が異なる

  • 攻撃ごとにマルウェアが変化する

まず一番に強調したいのは、攻撃者はやみくもに攻撃を仕掛けるのではなく、狙っている企業を特定していました。そのうえで、SMTP、HTTP、POP3、FTP、IMAPなどその業種で誰もが利用するアプリケーション経由でマルウェアを配信しています。従来型のファイアウォールやプロキシなどのログ情報を見るだけでは、これらアプリケーションのセッションが悪意あるものなのか、そうではないかを検出することは非常に困難でしょう。

また業種ごとにマルウェア感染リスクが異なることが分かりました。さらに業種の中でも企業によってマルウェア感染リスクが異なることが想像されます。まずは、自社で利用されるアプリケーションやファイル種別を次世代ファイアウォールによって可視化するとともに、リスクに合わせて必要な対策を取れるようにすることが求められます。

具体的には、マルウェアが配信されやすい通信の傾向を知ることで、そのようなアプリケーションやファイル種別については常にコンテンツスキャンを行うようにして、攻撃キルチェーン(攻撃における一連の振る舞い)における複数の段階で攻撃を識別してブロックすることが可能なセキュリティを検討する必要があります。

さらに配信されるマルウェアは攻撃セッションごとに刻々と変わっていきます。このようなマルウェアは基本的には同じものですが、インターネット上の闇サイトなどで販売されているマルウェア作成キットなどにより少しずつ変更を加えることで、アンチウイルスプログラムによる検知を回避しようとします。

これに対して、アンチウイルスベンダはすべてのサンプルを入手することは不可能であり、その結果サンプルに対するシグネチャが存在せず、従来型アンチウイルスソリューションではブロックすることができません。そのため、サンドボックス型のセキュリティソリューションにより未知のマルウェア分析を実施することや、未知のマルウェアを端末上で防ぐ新しいエンドポイントソリューションになどでブロックする必要があります。

また、感染してしまうことを前提に出口対策として各種ログを相関分析して攻撃を特定し、感染端末を隔離するという考え方もありますが、非常に手間がかかりますし、感染してしまうと内部拡散するリスクも増えます。そのためブロックを前提とした脅威対策を行うとともに、インターネット境界だけでなく、組織内部の部門間またはデータセンター境界などにおいても可視化および脅威ブロックを考慮することが重要です。

筆者:三輪 賢一

パロアルトネットワークス合同会社 外資系ネットワークおよびセキュリティ機器ベンダのプリセールスSEを15年以上経験。現在は次世代ファイアウォールおよびエンタープライズセキュリティを提供するパロアルトネットワークスでSEマネージャーとして勤務。主な著書に「プロのための図解ネットワーク機器入門(技術評論社)」がある。