日本のセキュリティ動向としては、「メール攻撃の激化」、「ダウンローダやランサムウェア、情報搾取型マルウェアの大流行」、「IoT機器を踏み台にしたボットの発生」の3点が特徴的だったという。解説したのはキヤノンITソリューションズのマルウェアラボマネージャー、石川堤一氏。

キヤノンITソリューションズのマルウェアラボマネージャー石川堤一氏

2016年下期の半年間だけで、過去1年分のマルウェアを検出

2016年11月の段階で同社は、2016年第3四半期にESETがマルウェアを検出した数が急増し、過去最高になったとしていたが、16年第4四半期はその傾向が継続し、ほぼ同程度の検出数となった。2015年下期から16年上期の1年間で検出した数と、16年下期に検出した数がほぼ同程度で、この半年で過去1年分のマルウェアが検出されていたことになる。

昨年第3四半期までのマルウェアの状況(左)と1年間の状況

16年3月以降はダウンローダがメール経由でばらまかれ、ランサムウェアの感染を狙ったものが多かった。情報窃取を狙ったマルウェアも大量にばらまかれており、国内ではこの2つの攻撃が主流となっている。

攻撃の高度化も続き、コードの難読化や仮想環境下では動作しない環境対策などが普及してきているという。

情報窃取型マルウェアやランサムウェアが頻出

最も多いのはダウンローダで、全体の8割がメール経由だった

昨年3月以降、検出されたマルウェアの半数以上がダウンローダだった

ちなみに、最も割合が多いJS/Danger……という名前のマルウェアは、ESET製品がブロックした未知のマルウェアを指している

ダウンローダの防御が重要

ランサムウェアも流行したが、多くはまず、JavaScriptによるダウンローダに感染し、それがランサムウェアをダウンロードする形になるため、この「入口」となるダウンローダの感染を防ぐことが重要になる。また、石川氏はランサムウェアの認知度がまだ約3割程度と低い点も問題視し、啓蒙活動に力を入れたいとしている。

ランサムウェアLockyの感染画面。身代金を要求している

こうしたランサムウェアもダウンローダ経由で感染している

日本では情報搾取型マルウェアが流行

世界と比較したなかでの、日本特有の動きとしては、情報窃取型マルウェアのBeblohの流行が挙げられる。

Beblohは2016年6月頃から流行。日本語メールに添付された形で届き、ファイルアイコンの偽装や二重拡張子といった古典的な騙しのテクニックが使われているが、日本語の文面が洗練されているため、気付きにくくなっている。

感染するとユーザー入力の情報を収集して外部に送信するため、最悪の場合はネットバンキングのIDとパスワードが盗まれて不正送金の被害に遭う可能性もある。

情報窃取型マルウェアが急増している

Beblohが添付された日本語メール

一般的に使われるような日本語で、違和感の少ない文面となっている

ルータとつながるデバイスすべてが標的に

IoT機器では、2016年後半に発生した「Mirai」の登場が大きなインパクトを与えた。MiraiはIoT機器によるDDoS攻撃に悪用されたが、このMiraiに感染したボットのものと思われる通信は国内でも観測されており、感染が広範囲にわたっていたことがわかる。石川氏は、これによって「将来の攻撃への伏線ができてしまった」と指摘する。

Miraiによって、スマート家電が狙われる伏線となった、と石川氏

石川氏は、IoT機器に感染することでDDoS攻撃などを実行できることが分かったことで、今後も同様にIoT機器やスマート家電といった製品が標的として狙われることになると予測する。

日本語の攻撃メールがテンプレ化

メール攻撃も継続して続き、JavaScriptによるダウンローダを添付してさまざまなマルウェアの感染を狙った攻撃は2017年も変わらないと石川氏は推測。攻撃の多様化が進み、IoT機器の攻撃も拡大するとみられ、「グローバルIPアドレスが割り当てられる機器だけでなく、ルータ配下にぶら下がるようなデバイスすべてがターゲットになる可能性がある」と石川氏は語った。

今年に入って、すでに多くの日本語メールを使った攻撃が頻出している

今年1月だけでもすでに多くの日本語メールにマルウェアが添付された攻撃が確認されており、16年よりもさらに攻撃が増えると懸念されている。被害に遭わないためにも、適切な対策を検討し、導入していく必要があるだろう。

日本語メールが別のマルウェアの配布でも流用され、テンプレート化されてきているという