マカフィー(McAfee)は、2017年1月から3月の脅威動向を纏めたレポート「McAfee Labs脅威レポート 2017年6月」を公開した。同社Webサイトからダウンロードできる(PDF/69ページ)。
2017年の第1四半期の統計情報では、昨年第3四半期、第4四半期と下がり続けていた新しいマルウェアの総数が、大きく増加している。大きな変化としてモバイルマルウェアの感染が大きく増加。アジアが倍増しており突出した感染を示しているが、レポートではインドで検出された不審なプログラムAndroid/SMSregが要因だとしている。またMacOSマルウェアが昨年第4四半期から引き続き増加、AndroidではランサムウェアCongurの増加などを報告している。
 |
新しいマルウェアの増加傾向 |
 |
地域別モバイルマルウェア感染率 |
 |
Mac OSを攻撃するマルウェアの合計 |
どんなに最新の機器を導入しても、巧妙にこれをくぐり抜け大量感染をもたらすマルウェア。レポートのキートピックには、いかに現代のマルウェアが複雑な手法を用いて、これらを実現しているのか?の一端が表示されている。
2016年に出現したランサムウェアLockyでは、仮想マシンやサンドボックスが中断されたプロセスに不正なコードを挿入、メールフィルタやゲートウェイを回避するためのXOR暗号化など無数の回避機能を備えている。Nymainダウンローダーでは、リバースエンジニアリング対策とタイマーを組み合わせた回避技術、ファイルをディスクに書き込まずにシステムに感染させるファイルレスマルウェア、機械学習を利用して検出を回避するCerberランサムウェア、ファームウェアに感染させるものなど枚挙にいとまがない。1980年のCascadeウイルスの暗号化からはじまる検出回避技術は、現在では1ドルから数百ドルで売買されており、攻撃側と防御側の技術のイタチごっこに終わりが見えないことがわかる。
 |
進化する検出回避技術 |
また、認証情報を盗み出すFareitの脅威も掲載している。ほとんどの持続型攻撃で試用されるというパスワード盗用型マルウェアの一種であるFareitは、2011年の発見から5年以上にわたり最もよく使用されており、2016年からインシデントが増加傾向にある。ファイルやレジストリを収集するFareitボットは、感染拡散しデータを指令サーバに送り続けるが、このFareitボットにも、逆アセンブル回避、アンチエミュレーション、パッカーなど複数の検出回避技術が進化とともに搭載されている。
 |
Fareitの進化 |
レポートでは、Fareitの脅威にはいくつかの対応策が有効であるとして下記を掲載している。
・強力なパスワードを作成して定期的に変更する
・アカウントまたはサービスごとに別のパスワードを使用する
・多要素認証を使用する
・パスワードが必要な場合は、公共のコンピュータを使用しない
・メール添付ファイルを開くときには特に注意する
・すべてのデバイスに包括的なセキュリティをインスト-ルする
