11月の全体的な傾向
11月の世界全体のメールトラフィックに占めるスパムの割合は、10月と比べ3.7%減少し、70.5%となった。上位は10月の1位と2位が入れ替わり、1位がロシア、2位がサウジアラビアとなった。日本は、68.0%と全体の傾向に合わせ減少した。
 |
図1 スパム分析(シマンテックインテリジェンスレポートより) |
11月のフィッシング活動は、ほとんど変化がなく0.04%の増加となった。メールによるフィッシング攻撃は、302.1通に1通の割合となった。もっとも大きな割合となったのは、南アフリカで96.2通に1通であった。次いで、英国、カナダと続く。日本では、2,058通に1通となり、大きく減少した。11月のフィッシングサイトの数は66.1%の増加となった。特にめだったのは、自動生成ツールによって作成されたフィッシングサイトで約316.1%と4倍近く増加し、フィッシングサイトの54.6%を占めた。これらの多くは有名なソーシャルネットワーキングWebサイトに対する攻撃と関連付けられていた。
 |
図2 フィッシング分析(シマンテックインテリジェンスレポートより) |
メールトラフィックに占めるメール感染型ウイルスの割合は、255.8通に1通の割合となり、11月と比較すると0.03%の減少となった。日本では、1,147通に1通であった。
 |
図3 マルウェア分析(シマンテックインテリジェンスレポートより) |
シマンテックでは、11月の脅威として、Webベースのマルウェアをあげている。マルウェアやその他の不要と思われるプログラム(スパイウェアやアドウェアなど)をホストするWebサイトを1日に平均4,915件特定した。10月比では47.8%の増加となった。これは、Webサイトが危殆化されるか、悪質なコンテンツをまき散らす目的で作成された割合を示している。Webベースのマルウェアの流通が長期に及ぶほど数値は高まり、さらに広範に長期間にわたって生存する危険性が高まると指摘する。
2011年の標的型攻撃
今月のレポートでは、2011年の標的型攻撃について分析を行っていたので紹介したい。高度な標的型攻撃は、APT(Advanced Persistent Threat)への前兆とも危惧されている。APTは、2010年のStuxnet攻撃、2011年のDuquの検出が有名である。標的型攻撃からAPTに至る過程については、元のレポートを参照してほしい。図4は、ブロックした標的型攻撃の1日あたりの平均数である。
 |
図4 シマンテックがブロックした標的型攻撃の1日あたりの平均数 |
11月には、毎日約94件をブロックしている。1月にブロックされた数の4倍である。11月には255通に1通になんらかのマルウェアが含まれていたことになる。これらのうちAPTに繋がる可能性がある高度な標的型攻撃は、8,300通に1通のみであった。つまり、メールの200万通に1通がAPTの可能性があるということだ。高度な標的型攻撃がメールトラフィックに占める割合はまだ非常に少ない。しかし、確実にその数を増やしている。図5は、標的となった業界の分析である。
 |
図5 シマンテックがブロックした標的型攻撃の1日あたりの業種別の平均数 |
もっとも多かったのは公的機関で、1日に約20.5件の標的型攻撃がブロックされた。2位は化学/製薬業界で、1日に18.6件。次いで製造業で、1日に約13.6件となった。図6は、会社規模別で分析したものである。
 |
図6 シマンテックがブロックした標的型攻撃の1日あたりの会社規模別の平均数 |
従業員が2,500人を超える大企業がもっとも多く攻撃を受けていて、1日に36.7件がブロックされた。一方、従業員が250人未満の小規模から中規模の企業では1日に11.6件の攻撃がブロックされた。次に、最近の攻撃事例を紹介しよう。
 |
図7 標的型攻撃メールの例 |
これは、テレビゲームを製造する会社を狙った標的型攻撃である。少なくとも2年間にわたって攻撃が継続した。これらの攻撃は、製品内で使われる知的財産が目的と推察されている。攻撃の大半は米国から発信されていたが、多くのメールがさまざまな無料のオンラインWebサービスから送信されている。ほかにも、発信元として無料のWebメールプロバイダを使用して日本、韓国、台湾からも送信されている。
 |
図8 1つの企業に対してシマンテックがブロックした標的型攻撃 |
図8は、2010年から2011年11月まで、ある1つの企業に対して行われた標的型攻撃を集計したものである。この表からは、標的型攻撃が2、3カ月の間隔で行われる傾向があること、多くの場合、最初は小さな波のように発生し、徐々に増加していくことがわかる。各攻撃で使われたファイルは、さまざまな一般的なオフィスアプリケーションの脆弱性を悪用し、こちらも徐々に変化していった。当然ながら、ブロックされるたびに、攻撃者は他の侵入方法で攻撃を仕掛けてきたのである。
最後にシマンテックの分析見解を紹介しよう。まず、この問題を正確に数量化するが困難である。しかし、問題の大きな危険性は浮かび上がると指摘する。現状の課題は、会社や組織が標的となる可能性の判断が非常に難しいとのことだ。さらに、自分の会社が第一の標的ではないものの、攻撃者が他の会社を攻撃するための足掛かりとして使用する可能性がある。これらの攻撃の手口がますます高度になり、時間とともに大きく進化している点も指摘していた。
関連記事|
| ノートンユーザーを対象にした24時間年中無休のオンラインチャットサポート (2011年12月6日) |
| スパマー自身がURL短縮サービスを運営し、スパムに悪用する例も - シマンテックレポート (2011年12月10日) |
| 親の同意なしにオンラインショッピングも、シマンテックがレポートを公開 (2011年11月22日) |
