ソフォス(Sophos)の研究機関SophosLabsは、2017年を通したマルウェアの傾向を分析し、4つの傾向を抽出。2018年に顕在化する可能性の高いトピックとして取り上げ、レポート(PDF)している。同社が占うのはランサムウェアのRaaS化、Androidマルウェアの爆発、Macへの感染、Windowsに対する脅威の4つだ。

ランサムウェアがRaaSにより増加

4月から10月に検知されたランサムウェアの種類

4月から10月に検知されたランサムウェアの種類

WannaCryやPetyaの大規模感染は、大きく感染を広げ報道されるなど、2017年に注目されたトピックスとなったが、長期間にわたり拡散するCerberを含め、ランサムウェアの作成がRaaS(Ransomeware as a Service)により誰でも手軽に行える状況に拍車が掛かると分析している。

ランサムウェア作成者は、自らランサムウェアでお金をゆするだけではなく、その作成キットも販売することで利益を増大できることに気づいたと指摘している。4月から10月のランサムウェアの検知において、WannaCryと並ぶシェアを占めるCerberはこのRaaSによる典型的なランサムウェアになるという。ランサムウェアの大半がWindowsをターゲットにしているが、Android、Mac、Linuxに対する攻撃も増加。Cerberでは病院や大学などの領域での被害が大きいという。

Androidマルウェア

次に掲げるのがAndroidマルウェアの存在だ。Androidマルウェアの増加はここ数年衰えを知らない。同社でも2016年には850万を検知、2017年は1,000万に達する見込みだという。検知総数のうちPUA(Potensially Unwanted Application/潜在的な迷惑アプリケーション)が大幅に減少しているにもかかわらず、危険度の高いマルウェアが増加している。Androidマルウェアの42%を締めるのがRootnik。LinuxのカーネルのバグDirtyCOW(CVE-2016-5195 )の悪用も確認されており、全体の42%を占めている。

Androidマルウェアは画面ロック型/暗号化型のランサムウェア、C&CやSMS送信など機密情報の窃取を行うもの、アンチウイルスの無効化、アプリケーションのインストール/アンインストールなどを行うものがある。同ラボでは、2017年1月から9月の期間中、Google Playで前年同期比約2倍となる32の脅威を検出しており、これを時系列にまとめている。

  • Google Playでの脅威(同社資料より)

    Google Playでの脅威(同社資料より)

同社がこの中でも注視しているのが、Lipizzanで標的型の精密なこのマルウェアのコードにはサイバー兵器企業Equus Technologiesへのリファレンスが含まれていることに触れている。Lipizzanは複数の段階を踏み、ユーザーのメール、SMS、位置情報、音声通話を監視抽出する能力を持つスパイウェアで、100台のデバイスに感染。感染台数ではなく、能力の高いマルウェアが標的型として配布されていたことを注視している。Google Play以外の場所ではもちろんのこと、アプリのインストールは慎重に行う必要がある。

MacやWindowsのマルウェア

WindowsやAndroidに比べ発生件数はかなり低いながらも2017年にはMacをターゲットにした不審なコードも多数確認されており、PUAが大量に投下されている。すぐに悪質と判断されないPUAだが、アドウェアを中心にリモート管理など通常不要と見なされるアプリケーションも含まれる。PUAの増加は注意を要する現象と言える。またWindowsではOffice攻撃ツールに変化があったことを指摘している。悪用され続けてきたOfficeドキュメントの脆弱性CVE-2012-0158を5年ぶりに上回る36%を占める脆弱性CVE-2017-0199が出現している(6月から8月にかけて)。同社はテクニカルペーパー(PDF)も公表しているが、複数の無料のエクスプロイトビルダーが攻撃コード作成に使われている点が攻撃数の増加に繋がっている。現地点ではほとんどのユーザーがパッチを適用しているとみられ、攻撃で多く使われることはないが、攻撃者の狙いはパッチ未適用の組織などターゲットを絞るものになると予測している。パッチが公開されても速やかに適用できない企業がターゲットになる可能性は今後も高まると分析している。