攻撃者は、様々な業種の企業に対し巧妙なターゲット型のサイバー攻撃を仕掛けています。この記事では、日本も含む82カ国、2000以上の組織や企業から収集した実際の攻撃のデータを元に、業種別のマルウェア攻撃の実態と、それを受けてのマルウェアの攻撃を防ぐためのセキュリティソリューションについて解説します。

50万件以上のファイル分析から見えた脅威

サンドボックス型セキュリティ製品を提供するセキュリティベンダーは毎日世界中の顧客から転送される多くのファイルを分析し、それがマルウェアであるかどうかサンドボックス環境で自動的に判定しています。

検査したファイルがマルウェアである場合には、ファイアウォール上でそのファイルの検出を可能にするシグネチャと呼ばれるパターンマッチデータをリアルタイムで生成して配信することにより、顧客を脅威から保護しています。

今回は2014年10月に収集された610万件以上の悪意あるセッション情報を基に、インフラ、金融、行政、医療、ハイテク、高等教育、サービス、製造、専門、卸・小売の10業種におけるマルウェアの動向をレポートとしてまとめました。

調査で対象としたファイル種別

  • Windows実行ファイル (exe, dll)

  • Microsoft Officeドキュメント

  • リッチ テキスト形式 (RTF) ファイル

  • Java JARファイル

  • Android APK ファイル

  • Adobe Flash アプレット

  • PDFファイル

  • JavaScriptファイル

本調査で定義した10業種詳細

  • インフラ:エネルギー、水道・ガス、電力の生成と流通に携わる組織

  • 金融:銀行、保険、信用金庫、投資顧問会社

  • 行政:地方自治体から国家レベルまで行政に携わる組織

  • 医療:病院、診療所、その他の医療、保健サービス関連の組織

  • ハイテク:ソフトウェアの開発、新しいハードウェアの設計に携わる組織

  • 高等教育:高等学校以上の教育機関

  • サービス:ホテル、宿泊施設、エンターテイメント、民間のコミュニティ組織

  • 製造:機械、器具の生産、製造に携わる組織

  • 専門:法的な支援、事業の支援を提供する組織

  • 卸・小売:製品の卸売、小売、末端顧客への販売組織

特定業種を狙ったマルウェアと狙われやすい特定業種

今回のデータの中で、186組織に対して配信されたダウンロード型のトロイの木馬がありました。このトロイの木馬に関連するセッション数の8割以上を高等教育分野とハイテク分野が占めていました。この例のように、特定のマルウェアによっては配信される業種の傾向が異なっています。

今回の調査において上記の高等教育分野とハイテク分野に加えて、医療分野も攻撃を受けやすい業種でした。全ての悪意のあるセッションを、各業種の企業数で割って平均で並べると、1位は高等教育分野、2位は医療分野、3位はハイテク分野となりました。

この業種によるマルウェア配信割合の違いですが、攻撃者が標的とする組織や業種を選択していることに加えて、業種による利用アプリケーション割合の違いや業種によるユーザーのITリテラシーの違いなどによる攻撃の受けやすさが原因として挙げられます。

(業種別)企業単位で一日に発見された悪意あるセッション平均数

業種毎のマルウェア侵入経路

今回の調査でマルウェア配信経路として使われていたアプリケーションは全体で50種類以上ありました。このうち87パーセントがSMTP(電子メール)、11.8パーセントがHTTP(Webブラウジング)経由で配信され、残り1.2パーセントがそれ以外のアプリケーションでした。

なお、ここでいうHTTPとは、FacebookやGmailなどの次世代ファイアウォールが識別可能な特定アプリ以外のWeb通信を指します。

(全体)マルウェア配信経路として使われるアプリケーションの割合

(全体)マルウェア配信経路となった主なアプリケーションの割合

SMTPとHTTPはすべての業種において主要な配信経路でしたが、業種ごとにその割合は大きく異なりました。サービス業ではSMTP経由で97.9パーセントのマルウェアを確認しましたが、卸・小売では67.5パーセントしか確認されませんでした。またWebブラウジング経由のマルウェア配信は、卸・小売では28パーセントでしたが、サービス業では2パーセントしか確認されませんでした。

もともと、SMTP経由のマルウェア侵入は多数を占めますが、平均より高い数字となったサービス業や金融、医療、行政、専門などの電子メールを使うことが多いとみられる業種は、それを意識したセキュリティ対策を心掛ける必要があります。逆にWebブラウジングからのマルウェアの侵入が多い卸・小売業界は、より安全なWeb閲覧のための仕組みを整えるべきでしょう。

(業種別)マルウェア配信アプリとしてSMTPが使われていた割合

(業種別)マルウェア配信アプリとしてWebブラウジングが使われていた割合

次回は業種別のマルウェアとして検出されたファイル種別の違い、さらにセキュリティソリューションでの対策方法について解説します。

筆者:三輪 賢一

パロアルトネットワークス合同会社 外資系ネットワークおよびセキュリティ機器ベンダのプリセールスSEを15年以上経験。現在は次世代ファイアウォールおよびエンタープライズセキュリティを提供するパロアルトネットワークスでSEマネージャーとして勤務。主な著書に「プロのための図解ネットワーク機器入門(技術評論社)」がある。