カスペルスキーは1月28日、Kaspersky Labが2015年12月15日に発表した、グローバル調査分析チーム(Global Research and Analysis Team:GReAT)によるサイバー脅威の状況を総括したレポート「Kaspersky Security Bulletin:2015年脅威の統計概要」の抄訳を公開した。

このレポートでは、新たなトレンドして、Androidを狙うモバイルバンキング型トロイの木馬の2つのファミリー(FaketokenとMarcher)が、金融系マルウェアファミリーのトップ10に初めてランクインしたことを挙げている。

金融系マルウェアの攻撃を受けたユーザー数(2014年11月から2015年10月)

Faketokenファミリーの代表的なマルウェアは、コンピュータに感染するトロイの木馬と連携して動作する。ユーザーが、感染したコンピュータからオンラインバンキングにアクセスすると、取引の安全性を確保する名目でAndroidアプリをスマートフォンにインストールすることを要求するが、このアプリはワンタイムパスワード(mTAN)を傍受する。

Marcherファミリーに属するマルウェアは、感染したAndroidデバイスで、欧州系銀行のモバイルバンキングアプリとGoogle Playの起動をトラッキングし、Androidデバイスから決済情報を盗み取る。Google Playを起動すると、Marcherはクレジットカード情報の入力を求める偽のウィンドウを表示し、そこに入力された情報を犯罪者に送信する。モバイルバンキングアプリを起動した場合も、同様の手口でユーザー情報を窃取する。

ZeuSは下火?

無数の亜種が開発され、最も広く利用されていたマルウェアファミリーであるZeuSに代わり、2015年は、Dyre/Dyzap/Dyrezaが主流になった。2015年のバンキング型トロイの木馬の攻撃は、40%以上がWebインジェクション方式によりデータを窃取し、オンラインバンキングシステムにアクセスするDyrezaによるものだった。

このような新しいトレンドもあるものの、「従来型」のサイバー金融犯罪が減少したわけではない。2015年に、同社製品はコンピュータ上でオンラインバンキングから金銭を窃取するマルウェアの起動を196万6324回ブロックしたが、これは2014年の191万520回からも微増している数字だ。

Androidランサムウェアがトレンドに

また、2015年は、ランサムウェアの感染がAndroidデバイスで急速に拡大したことを、憂慮すべきトレンドとして取り上げている。2014年にKaspersky Labが初めてAndroid向けランサムウェアを発見してからわずか1年で、6件に1件(17%)の割合でAndroidデバイスが狙われる事態となっている。

2015年にランサムウェアでは、2つの大きなトレンドがあった。その1つは、暗号化ランサムウェアの標的となったユーザー数が約18万人に上り、2014年に比べて48.3%増となったこと、2つ目は、暗号化プログラムがマルチモジュール化され、暗号化機能に加えて、標的コンピューターからデータを窃取する機能を搭載しているものが多く見られるようになったことだ。

その他のトレンドとして、サイバー犯罪者が、マルウェアによる攻撃から、アドウェアの積極的な配信に方向転換していることがあげられる。これは、刑事告発のリスクを最小限に抑えるためだという。2015年の統計でアドウェアは、Webベースの脅威の上位20件中12件を占め、アドウェアとそのコンポーネントがインストールされたユーザーコンピューターは、全体の26.1%にのぼる。

さらに同レポートでは、サイバー犯罪者が指令サーバーを隠すために、匿名化テクノロジーTorを積極的に利用し、取引にはBitcoinを利用していることも指摘されている。

米国、ドイツ、オランダの経由の攻撃が8割に

2015年、同社の製品は約200万台のコンピューターで、オンラインバンキングを標的にするマルウェアの起動をブロックした(2014年比2.8%増)。また、ユーザーのコンピューターで検知した、悪意あるオブジェクトと不審なオブジェクトは400万種類(2014年は184万種類)、ユーザーのコンピューター、ハードディスク、リムーバブルメディアの67.7%に少なくとも1つの悪意あるオブジェクトを発見したという(2014年は58.7%)。

オンライン攻撃で使用されたスクリプト、エクスプロイト、実行可能ファイルなど悪意あるオブジェクトは、2014年比1.4%減となる12億種類を検知している。

無害化されたオンライン攻撃の80%は、米国(24.2%)、ドイツ(13%)、オランダ(10.7%)をはじめとする10か国に置かれた悪意あるオンラインリソースによって実行された。上位3か国は2014年と同じで、サイバー犯罪者がホスティング市場が発達している国でのサービスを好んで利用する傾向を示している。