ウェブルートは4月19日、サイバー攻撃の脅威と標的型攻撃の傾向をまとめた年次レポートの最新版「ウェブルート脅威レポート2016」を発表した。同レポートは、過去1年間にクラウドベースのセキュリティプラットフォーム「Webroot Threat Intelligence Platform」が検知・分析した情報を公開するもの。最新版では、2015年におけるサイバー攻撃のトレンドとリスクに関して、2014年との比較を交え、ウェブルートの考察がまとめられている。
米Webroot 製品戦略兼技術アライアンス担当上級副社長 チャド・バッカー氏 |
レポートによれば、2014年から2015年にかけてマルウェアとPUA(Potentially Unwanted Applications:不要・不適切だと思われるアプリケーション)の増減率に大きな変化があったという。新しいマルウェアは約29%増加したが、PUAは約30%減じているのだ。その理由として、米Webrootの製品戦略兼技術アライアンス担当上級副社長 チャド・バッカー氏は次のように説明する。
「消費者が賢くなり、ソフトウェアのインストールに対して用心深くなっていることが挙げられます。また、Googleなどの検索インデックス作成ポリシーが変更され、正規のアプリケーションが上位に表示されるようになったことも一因でしょう」
一方、マルウェアに関してはポリモーフィック型が増加しており、マルウェアの97%が特定のエンドポイントに対してユニークなものだったという。バッカー氏は、「従来のようなシグネチャベースのセキュリティでは、対応しきれなくなってきている」と警鐘を鳴らす。
特に注目したいのは急増するランサムウェアの動向だ。ランサムウェアは、ターゲットとなるシステムに侵入し、重要なファイルや機器を暗号化・ロックして身代金(Ransom)を要求する悪質なマルウェアである。レポートによれば、TorのようなIPアドレスの匿名化サービスが利用されるケースや、第三者からランサムウェアの提供を受けて利用するパターンが増えており、攻撃者の特定が非常に困難になっているという。また、攻撃対象としてWindowsプラットフォームだけでなくMac OSも標的になり始めている点も軽視できないだろう。
「2016年も、ランサムウェアによる攻撃は増加すると予想しています。我々ベンダーとしては、身代金を払わないことを推奨していますが、暗号化によって業務を継続できなくなった企業は、払わざるを得ない状況に追い込まれてしまいます」(バッカー氏)
しかし、身代金を払ったからといって正しい復号キーが得られるとは限らない。バッカー氏は、「まずは攻撃を食い止めるセキュリティ体制を整えること、そして万一感染してしまったとしても、自力で復旧できるようなバックアップ・ソリューションを用意することが必須です」と強調した。
また、フィッシング攻撃に関しても報告がある。ウェブルートのユーザーがゼロデイのフィッシングサイトに遭遇する割合は、2014年は30%だったが、2015年には50%に増加したという。加えて興味深いのは、なりすましの対象として最も大きな割合を占めるのが、金融機関ではなくIT企業のWebサイトであることだ。なりすましの被害に遭ったIT企業のトップ5としては、Google、Dropbox、Yahoo! 、Apple、Facebookが挙げられている。
フィッシングサイトのなりすまし被害に遭ったIT企業/金融企業のトップ5 |
こうしたフィッシングサイトは、立ち上げられてから短期間、時には数時間で消滅してしまうため、静的なリストによるマッチングで見分けるのは不可能に近い。「機械学習のようなテクノロジーを使って、それが正規のサイトか否かを判断する仕組みが必要です」というのが、バッカー氏の主張だ。ウェブルートでは、機械学習を活用して1秒間に2,500以上の新しいURLを83のカテゴリに分類し、リスクを評価しているという。
「ただし、技術だけに頼るのではなく、怪しいサイトで迂闊にIDやパスワードを入力したりしないよう継続的にユーザーを教育することも必要です」(バッカー氏)
レポートでは、これらのデータのほかにも、国別の不正なIPアドレスの増加傾向やモバイルアプリに潜むリスクなどについて、調査・分析結果がまとめられている。