マカフィーは17日、インターネットの脅威動向に関する説明会を実施した。マカフィー セールスエンジニアリング本部の櫻井秀光本部長は、2016年第4四半期(10月~12月)の脅威動向の特徴を紹介。この四半期の特徴は大きく2点あり、ひとつがランサムウェアの減少、もうひとつがMac向けのマルウェアの激増となる。

マカフィー セールスエンジニアリング本部の櫻井秀光本部長

ランサムウェアは減少? 見えない"ファイルレス"攻撃

PCやスマートフォンなどの内部データを人質に金銭を脅し取るランサムウェア。マカフィーでは2016年第4四半期(10月~12月)、約37万件のランサムウェア新種を検知した。これは前期比で約71%減、前年同期比で約61%減という数字。減少傾向にも見えるが、2016年通期で検出した新規ランサムウェアは約425万件と、前年比で88%増加した結果となった。

第4四半期に新規の検知数が減少した理由について、同社は自社システムが(不正広告など)ファイルレスで広がるランサムウェアを検知しないこと、LockyおよびCryptoWallという、亜種の多いランサムウェアのファミリーが減少したことなどが原因と分析している。

櫻井氏は、サイバー攻撃のなかで「ランサムウェアが現状最も有効なお金儲けの手段のひとつであり、国内の企業も被害に遭い始めている」とコメント。2017年第1四半期(1月~3月)では、LockyおよびCryptoWallとは異なる新しいランサムウェアファミリーも検出されており、また大幅に増加する恐れもあるという。

ランサムウェアの防御には、マルウェアが仕込まれたファイルをクリックした瞬間に止めるようなリアルタイム検知・防御システムが必要となる。櫻井氏は、「リアルタイムに防げる機能をもったセキュリティソフトやシステムを取り入れる必要がある」とした。

第4四半期のランサムウェア脅威動向

Mac OSを攻撃するマルウェアが前年比245%に

Mac OSを攻撃するマルウェアは、2016年第4四半期(10月~12月)で前年同期比245%の急増となった。2015年、2016年では5万件に満たなかったMac向けマルウェアだが、この第4四半期では約32万件のMac OS向け新規マルウェアを検出した。 増加の原因はアドウェアの急増。フリーツールに仕込まれたものに加え、メール添付ファイルなどからも感染が広がった可能性があるという。

櫻井氏は「この傾向が続くかどうかは、次の2017年第1四半期のレポートと比較したほうがよい」と様子をみる一方で、「今回は如実に数字が上がり、驚いた」とコメント。総合的にWindowsやAndroid向けのマルウェア数には及ばないが、動向を注視する必要があると注意を喚起した。

第4四半期のMac OS向けマルウェアの脅威動向

豪華ホテルにランサムウェア攻撃、宿泊客が締め出される - 海外トピック

マカフィー セールスエンジニアリング本部 サイバー戦略室 シニアセキュリティアドバイザー CISSPのスコット・ジャーコフ氏は、海外で起こったセキュリティインシデントに関し、注目すべき事例を抽出して紹介。米国TAOの機密ツールの流出、オーストリアの豪華ホテルを襲ったランサムウェア攻撃、ウクライナ電力網へのハッキングなどを紹介した。

マカフィー セールスエンジニアリング本部 サイバー戦略室 シニアセキュリティアドバイザー CISSPのスコット・ジャーコフ氏

米国家安全保障局(NSA)のエリートハッカー集団TAOの機密データがオンラインに流出した事例の概要

第1のトピックは、米国家安全保障局(NSA)のエリートハッカー集団TAO(Tailored Access Operations)の機密データがオンラインに流出した事例。もともとは、TAOの元メンバーが50TBもの機密データを自宅に保有していた罪で調査中だったところに、NSAが開発した(未修正の脆弱性を突く)エクスプロイトキットなどの機密データが流出した。

この流出には"シャドウブローカーズ"と呼ばれる集団が関わっているとみられているが、「どういう方法で」機密データが流出したかは調査中。機密データを元メンバーがシャドウブローカーズに渡したか、シャドウブローカーズが元メンバーのデバイスをハッキングしたかの2つが考えられるとする。

実際に、機密データを悪用した被害については、マカフィーでは把握していないとするが、該当データはオンライン上に流出したことで誰もが悪用できる状態になっていると警告した。

オーストリアの豪華ホテルがランサムウェア攻撃に遭った事例の概要

第2のトピックは、オーストリアの豪華ホテルがランサムウェア攻撃に遭った事例だ。「Romantik Seehotel Jägerwir」という高級ホテルの予約/管理システムがランサムウェアに感染し、一切の操作が停止。部屋に入るためのカードキーも受け付けず、宿泊客が締め出される自体になった。

ホテルの予約/管理システムはスタッフの操作を受け付けず、新規カード発行や支払い準備などもできなくなった。攻撃者が要求した金額は1,500ユーロ相当のビットコイン。最終的にホテル側が該当の金額を払うと、早々にシステムがアンロックされ、通常の業務に戻れたという。

その後ホテルが調査したところ、システムにはバックドアが仕掛けられていた。ホテルは短期的な対策としてバックドアの削除や脆弱性の対処などを行ったが、長期的な対策としてはカードキーを廃し、物理的な鍵を使用するようになったとする。

米ラスベガスの「Hard Rock Hotel」や、米国大統領のドナルド・トランプ氏が手掛ける「Trump Hotel」など、海外の有名ホテルではサイバー攻撃がしばしばみられるという。海外観光客を受け入れており、2020年の五輪を控える日本においても同様の事例が起こりうると啓蒙した。

ウクライナの電力網を停止させるハッキングの事例の概要

第3のトピックは、ウクライナの電力網を停止させるハッキングの事例。電力送電施設(変電所)へのサイバー攻撃で遠隔端末装置(RTU)が狙われ、装置のシャットダウンにより1~2時間の電力ダウンタイムが発生した。今回の攻撃は2度目のもので、2015年年12月に発生した最初のサイバー攻撃では、RTU装置が破壊されたため23万人以上に影響があったという。

ウクライナ政府は、この攻撃をロシアによるサイバー攻撃だとみており、2016年11月~12月にかけ、複数の重要インフラに65,00回を超えるサイバー攻撃があったとも公表したという。マカフィーではこれらの流れから、攻撃者がサイバー攻撃の演習としてウクライナを利用していると分析。今後さらに手の込んだサイバー攻撃を仕掛ける可能性があり、日本も含めた重要インフラ施設への攻撃なども起こりうる可能性があるとした。