ウェブルート、ランサムウェアの進化など2015年の脅威レポートを公開

ウェブルートは4月19日、「ウェブルート脅威レポート2016」を発表した。同レポートは、同社のセキュリティプラットフォーム「Webroot Threat Intelligence Platform」でデータを収集・分析の後、機械学習技術によって分類した脅威インテリジェンス指標の分析に基づき、2015年のWeb上の脅威の概要をまとめたもの。

米Webroot 製品戦略 兼 技術アライアンス担当上級副社長のChad Bacher氏は、「Webroot Threat Intelligence Platformでは、世界中のセンサー、脅威データベース、当社のユーザー、エンドポイント製品のパートナーなどからデータを収集している。データベースは8ペタバイトに上り、毎日3.5TB増加している」と、Webroot Threat Intelligenceのデータベースの規模の大きさを示した。

URLは270億以上、ドメインは6億以上、IPアドレスは40億以上、モバイルアプリは2000万以上のデータを抱えており、脅威を分析するにあたっては、対象が多ければ多いほど、検出率が高まる。機械学習技術の学習を助けるため、あわせて人手による分析も行っているという。

Bacher氏は同レポートの調査結果として、まずは「ポリモーフィック型マルウェアの増加」を紹介した。マルウェアの97%がエンドポイントごとにユニークな形に姿を変えているという。ポリモーフィック型マルウェアは、MD5のハッシュ値が異なるなど、各エンドポイントでデータが異なるため、シグネチャ・ベースの検出技術では対処できないケースも増えている。

次に、Bacher氏は最近、世界中で猛威を振るっているランサムウェアの進化を挙げた。ランサムウェアはマルウェアの一種で、感染したコンピュータのハードディスクドライブを暗号化して、復号を条件に身代金を要求する。攻撃者はIP匿名サービスの利用を増やしていたり、第3者からランサムウェアをライセンス利用する傾向があったりするなど、ランサムウェアが大きなビジネスとなっていることが指摘された。

Bacher氏は、ランサムウェアの対策について、「シグネチャベースの技術ではない、次世代型エンドポイント保護製品、バックアップ、ユーザー教育といった多層防御が必要」と語った。

ランサムウェアで要求される身代金に支払いについては、賛否両論あるが、Bacher氏は「ランサムウェアに感染したユーザーは厳しい選択を迫られるが、身代金は支払わないほうがよい」との見解を示した。

ランサムウェアは2016年も増加の傾向が予想され、暗号化された内容によって身代金の金額が変わるのでないかと見られるとのことだ。

2015年は、3200万件の新たな不正IPアドレスが見つかるなど、攻撃をローンチするIPアドレスの増加も特徴として見られたという。最も多かったのは昨年に続いて米国で、2014年と比べ、ロシアと中国の不正IPアドレスの数が大幅に減った。

一方、日本は、2014年には不正なIPアドレスが最も生成されている国のトップ10にさえ入っていなかったが、2015年には3位にランクインし、全体に占める割合は6%と大きく上昇している。

同社はIPアドレスと同様に、URLのレピュテーションも行っている。IPアドレスと同様に、不正なURLについても米国が全体の30%を占めており、中国（11%）が続いている。

他に考慮すべき重要な点として、URLが実装されている場所がある。リスクが高い国の攻撃者は信頼性がより高い国で不正サイトのホスティングを行うことがわかっている。

さらに、フィッシング攻撃のターゲットにも変化が現れている。一般に、フィッシング攻撃と言えば、金融機関がターゲットにされるケースが多いが、2015年は、金融機関に比べると2倍以上の数のIT企業が標的にされていることがわかった。また、なりすましの被害にあった企業の56%が金融機関で、44%がIT企業だった。

フィッシングサイトのなりすましの被害に遭ったIT企業の第1位はGoogle、金融機関はPaypalだった。2015年にGoogleを偽装したサイトは8万3000を超えるという。

未知の脆弱性を狙った「ゼロデイ攻撃」、ランサムウェアなど、これまでのセキュリティ対策だけでは防ぎきれないセキュリティの脅威が続々と登場している。正しい知識を得ることで、適切な対処をとるよう心がけたい。