シマンテックは、2012年の脅威動向をまとめた「インターネットセキュリティレポート 第18号」を発表した。
発表にあたり、セキュリティレスポンスシニアマネージャの浜田譲治氏が、レポートの概略を解説した。本稿では、その一部を紹介しよう。
浜田氏は、今回のレポートから、以下の4つのポイントについて重点的に解説を行った。
・標的型攻撃
・モバイル
・脆弱性
・Mac
順に、みていこう。
変わる標的型攻撃
標的型攻撃といえば、3月の韓国での一件が記憶に新しい。2012年は、対前年比で41%の増加となった。日本でも、攻撃の報告が寄せられており、今後も注意が必要である。レポートで注目したいのは、従業員が250名以下の小規模企業が31%を占め、2011年の18%より大きく増加している点である。
従来、小規模企業は標的型攻撃を受けにくいと思われてきた。それが変化した理由として、まず、セキュリティ対策のあまさを指摘する。小規模な企業では、費用面、人的面の制約からセキュリティ対策を十二分に行うことができない事情がある。セキュリティ対策が施された大企業よりも、攻撃者にとっては狙いやすいという理由がある。また、小規模企業といえども、大企業や政府機関の下請けなどで知的財産や情報を保有していることがあり、それが狙われていると分析する。また、攻撃方法にも変化がみられる。これまでの標的型攻撃は、最初の攻撃で電子メールが使われる。不正プログラムを添付し、それを起動させて、情報を詐取しようとする。スピア型フィッシングと呼ばれる手法である。2012年では、水飲み場型攻撃が使われるようになった。
これは、iOS開発者を狙ったものである。これは正規のWebサイトの脆弱性を見つけ、不正なコードを仕込む。こうしてアクセスしてきたユーザーに感染させるのである。シマンテックが調査したあるサイトでは、24時間で500社が感染した事例もあったとのことだ。ここでは未知の脆弱性が悪用され、ゼロディ攻撃が行われていた。
メール使ったスピア型フィッシングでは、不審に思われることが多く成功率が低い。また、複数に同時送信することもあるが、基本的には個々にメールを送るので効率も悪い。浜田氏によれば、標的型攻撃が無差別に行われるようになったといえるだろうと警告する。今後は、さらに、この手法が一般化すると予想している。
モバイル-増加するAndroidマルウェア
次に、指摘したのが、モバイルデバイスを狙った脅威である。これは2012年からもいわれ続けてきたことであるが、図6のように推移をみるとその増加ぶりがわかる。
シマンテックでは、同じコードをベースとして作成されたファミリーとその亜種という分類を行っている。浜田氏によれば、この亜種の急増は、PCと同じ傾向と分析する。つまり、セキュリティ対策ソフトに対抗するための多くの亜種を作成しているとのことだ。また、PCでは脆弱性が多いとそれを悪用するマルウェアが増加する。しかし、モバイルでは脆弱性との関係はなく、この点がPCとは大きく異なると指摘する。これは、脆弱性を悪用して感染を拡大するマルウェアが存在しないことが原因とのことだ。図7は、モバイルマルウェアによる被害分類である。
情報がもっとも狙われている。ただし、国内と海外では、対象に違いがある。国内では、電話帳やメールアドレスが詐取され、スパムメールなどに再利用される。欧米では、銀行口座などが狙われ、金銭被害などに直結するとのことである。そして、参考として、国内のモバイルマルウェアの特徴が紹介された(図8)。
2012年初には、ワンクリック詐欺を行うものが登場した。そのGoogle Playなどで個人情報を詐取するマルウェアが相次ぐ。これが有名になると、すぐさま閉鎖され、メールによる誘導方式に変化する。最近の多機能型マルウェアでは、登録された電話帳のユーザーにSMSを送る。そこで、不正アプリを紹介するという手口である。知人や友人を装うあたりが、昔のPCのマスメーリングに似ているとのことだ。また、ワンクリック詐欺は、現在もGoogle Play上で非常に活発な活動をしている。特徴として、複数の開発者により、複数の不正アプリが登録されるとのことだ。これは閉鎖されても、見た目やアイコンを変え、さらに開発者も変えて同じ不正アプリが流用されているからである。