シマンテック マネージドセキュリティサービス 日本統括 滝口博昭氏

シマンテックは3月29日、1年間の世界全体の脅威活動の概要と分析を示した「インターネットセキュリティ脅威レポート(ISTR)第23号」を発表した。マネージドセキュリティサービス 日本統括の滝口博昭氏が、同レポートのポイントを説明した。

滝口氏は、「仮想通貨の採掘(マイニング)」「サイバー犯罪の傾向の変化」「」サプライチェーン攻撃」の3点に分けて、説明した。

ブラウザ内の仮想通貨マイニングは34000%の増加

仮想通貨のマイニングを行うマルウェアとは、ローカルPCのCPUやGPUの演算能力を悪用して、仮想通貨のマイニングを行うもの。同社の調査によると、2017年にエンドポイントのコンピュータで検出された仮想通貨の採掘者の数は8500%増加したという。仮想通貨のマイニングに必要なコードはわずか数行であるため、比較的簡単に参入できることから、増えているようだ。

仮想通貨と言えばビットコインが代表的だが、滝口氏は、CPUで採掘が可能であるうえ、ビットコインよりも匿名性が高い仮想通貨であるモネロが攻撃者に好まれていることを指摘した。モネロの平均相場は、2017年1月に12ドルだったところ、12月には321ドルにまで跳ね上がっている。

  • 2017年は仮想通貨の不正な採掘者、モネロの数が急増

仮想通貨の採掘者は個人情報などを盗むことはしないが、デバイスの処理速度の遅延やバッテリーの過熱を引き起こし、場合によってはデバイスを使用不能にしたりすることもある。また、企業の社内ネットワークをダウンさせるリスクにさらし、クラウドCPU使用率を上昇させ、コスト負担を増やすおそれもある。

シマンテックで、仮想通貨のマイニングが行われているマシンと行われていないマシンで、Excelを起動してみたところ、前者では起動時間が5倍から10倍長くなったことがわかったという。

続いて滝口氏は、仮想通貨のマイニングに関する脅威として、クリプトジャッキング攻撃を紹介した。クリプトジャッキング攻撃とは、ユーザーがWebサイトを閲覧中にブラウザ内で仮想通貨を採掘するスクリプトによる攻撃をいう。

Webサイトにスクリプトを1行追加するだけでよいので、 簡単に攻撃が行えるほか、エクスプロイトは不要で、ユーザーのPCはハッキングされない。クリプトジャッキング攻撃は2011年に登場したが、2017年9月にCoinhiveスクリプトで急増したという。

滝口氏は、「クリプトジャッキング攻撃はWebブラウザを閉じれば終了する。そのため、 ユーザーにブラウザを閉じさせないよう、できるだけ長時間隠れようとするため、ポップアンダーウィンドウを悪用することもある」と述べた。

シマンテックの調査によると、クリプトジャッキングは2017年に34,000%増加したという。2017年12月には800万件をブロックし、同年同月のWeb攻撃全体の24%を占めている。

  • クリプトジャッキング攻撃の動向

クリプトジャッキング攻撃に関する予測としては、「ボットネット、Webサイトにホスティングされたブラウザベースの分散マイニング」「サーバやスパコンを悪用するため、企業のネットワークを標的」「クラウドのハイジャック」が示された。

サイバー犯罪の傾向の変化

2017年は、ランサムウェアの1日当たりの検出数は1242件(前年比2%減)と安定していたが、身代金の平均額は1070ドルから522ドルへ下落したという。

その結果、仮想通貨の採掘、金銭目的のトロイの木馬を悪用した攻撃など、新たな手法を用いる他の攻撃にシフトする動きが見られたという。例えば、ボットネット「Necurs」の再登場したことがわかっている。

多様化するサプライチェーン攻撃

2017年は、ソフトウェアのサプライチェーンを狙う攻撃が見られた。サプライチェーン攻撃とは、通常の配布場所に置かれた合法的なソフトウェアパッケージにマルウェアを仕込むことをいう。仕込まれる可能性があるのは、開発中の環境、サードパーティの 保管場所、リダイレクト先。

サプライチェーン攻撃の代表的な例が、2017年9月に確認されたPCクリーンソフト「CCleaner」へのマルウェア混入だ。

サプライチェーン攻撃においては、「正規のソフトウェアの信頼性があるチャネルを悪用して保護された組織に侵入可能」「自動更新の利用により感染数が急速に増加」「信頼できるプロセスがハイジャックされるため、被害者が攻撃を認識するのが困難」といった現状がある。

シマンテックは2017年にマルウェアをソフトウェアサプライチェーンに仕込む攻撃者が200%増加していることを確認しており、前年は年4回しか攻撃が行われなかったのに対し、2017年は月に1回攻撃が見られたことになる。

  • 2017年のサプライチェーン攻撃の発生状況

  • 「イ ンターネットセキュリティ脅威レポート(ISTR)第23号」のハイライト