国内のランサムウェアの動向

図6は、日本国内におけるランサムウェアの検出台数の推移である。

図6 日本国内でのランサムウェア検出台数推移

前四半期比4.1倍、前年同期比では24.4 倍となっている。今後もこの傾向は続くと予想され、過去最悪の状況が変わることはないであろう。法人と個人の比率は、2016年以降は大きな変化はない。図7は、検出されたランサムウェアを種類別に分類したものである。

図7 2016 年第3 四半期に国内で検出されたランサムウェアのファミリー別割合

LOCKY系が、61%と突出している。それ以外のランサムウェアは1%以下となっている。この点に関し、さまざまな攻撃者がそれぞれにランサムウェアを感染させようとさまざまな攻撃手口を使っているとのことだ。

スパムメール以外のランサムウェアの感染経路では、不正サイトなどか使われる。こちらの感染経路では、CryptXXX系のランサムウェアが、9割以上を占める。これは、明らかにスパムメール経由と不正サイト経由で攻撃者が異なると推察されるとのことだ。

国内のオンライン銀行詐欺ツールの動向

図8は、オンライン銀行詐欺ツールの検出台数推移である。

図8 国内ネットバンキングを狙うオンライン銀行詐欺ツールの検出台数推移

ランサムウェア同様に、こちらも過去最大の検出台数を記録している。図9は、検出されたオンライン銀行詐欺ツールを種類別に分類したものである。

図9 2016年第3四半期、国内ネットバンキングを狙うオンライン銀行詐欺ツール検出台数のファミリー別割合

こちらも特徴的な傾向が見られる。BEBLOH(別名:URLZONE)、URSNIF(別名:GOZI)の2つで全体の93%を占めている。トレンドマイクロによれば、この2つは連携して活動を行うことがある。具体的には、

  • メール経由でBEBLOHが侵入したあと、BEBLOH単体が攻撃活動を行う
  • メール経由でBEBLOHが侵入したあと、最終的にURSNIFをダウンロードして攻撃活動を行う

後者の場合、実質的には1つのオンライン銀行詐欺ツールとみなすこともできる。いずれにせよ、攻撃者がこの2つどのように使い分けているかは、明らかになっていない。かつて猛威をふるっていたZBOT、VAWTRAK、ROVNIXなどは2%未満で、こちらでも変化が見てとれる。