Embed Size (px)
Citation preview
フォーティネット 脅威レポート2018年第1四半期版
2
目次
概説と主な発見事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
エクスプロイトのトレンド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
ミニコラム:OT(運用テクノロジー)のエクスプロイト . . . . . . . . . . . . . . . . . . . . 8
マルウェアのトレンド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
ミニコラム:成熟するゼロデイ市場 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
ボットネットのトレンド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
ミニコラム:テイクダウンされたボットネットとの交信 . . . . . . . . . . . . . . . . . . . . 19
結論と提案 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
情報源と測定値 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
目次
3
2018年第 1四半期の主な出来事と発見事項
2018年第1四半期の概説と発見事項
OTを標的にする犯罪の増加:本来は「Operational Technology:運用テクノロジー」という意味ですが、近年はネットワークの OT部分への攻撃に時間を費やす犯罪者が増えているため、「Over Time」の略語としても通用するといえます。本レポートでは、どのような種類の産業用制御システムが最も標的とされているのか、また、これらのエクスプロイトにどのような地域性があるのかについて検証します。
ゼロデイ市場の拡大:ホワイトハット、グレーハット、ブラックハットなどすべての「ハット」のゼロデイ市場が拡大し、成熟しつつあります。つまり、ゼロデイエクスプロイトは簡単に手に入れられるようになっており、これには、良い面と悪い面の両方があり
ます。
マルウェアの減少:2018年第 1四半期は、マルウェアが姿を消したわけではありませんが、フォーティネットのセンサーで検知された亜種の数も検知率も大幅に減少しました。マルウェアはどこへ消え、犯罪者は何をしているのでしょうか。本レポートで詳しく解説します。
クリプトジャッキングの流行:クリプトジャッキング(別名クリプトマイニング)攻撃の爆発的増加については前回のレポートでも取り上げましたが、さらにその勢いが加速しており、30%近い企業でクリプトマイニングマルウェアが検知されるようになっています。
不穏な幕開け:2018年の平昌オリンピックは、「Olympic Destroyer」と呼ばれるマルウェアによって開会式直前にオリンピックの ITシステムが大混乱する、不穏な幕開けとなりました。サイバー犯罪者の意図は不明ですが、彼らに聖域はないのでしょうか。
ボットネットの感染期間:我々の調査で、ボットネットの 58%は感染期間が 1日であることがわかりました。1週間以上感染が続いたのは、約 5%です。感染期間が長いと感じるのであれば、検討リストに載せて対策を講じるべきでしょう。
ボットネットのテイクダウン後の不可解な活動:Andromedaボットネットは 2017年第4四半期にテイクダウン(解体)されましたが、感染ホストのネットワークが完全に消滅したわけではありません。そのようなホストの存在から、我々はどのような教訓を得るべきなのでしょうか。本レポートで詳しく解説します。
1918年の第 1四半期、伝説の奇術師であるハリー・フーディーニは、ニューヨークヒッポドローム劇場の観客の目の前で巨大な象を消してみせました。それから 100年後にあたる 2018年第 1四半期、我々を取り巻くサイバー脅威の環境はどのようなものになったのでしょうか。
本レポートでは、フーディーニが実行したこととは反対のことから始めることにしましょう。盲目の男たちと象が登場する、とても興味深い昔話があることをご存知でしょうか。数人の盲目の男に象を触らせ、それが何かを尋ねたところ、まったく違う答えが返ってきたという、示唆に富んだ寓話です。
この話に登場する象と同じように、サイバー脅威の全体像を 1つの視点だけで説明することはできません。数多くの異なる脅威を異なる視点から分析するために、フォーティネットはインターネット上に広がる膨大な数の接点を維持し、継続的に活用しています。本レポートの目的は、皆様に象の全体像を提示することで、より完全なセキュリティ対策を実現することにあります。
2018年第 1四半期を数字で振り返る
エクスプロイト§ 6,623:一意の検知件数(11%増)
§ 238:1社あたりの検知件数(13%減)
§ �73%:深刻なエクスプロイトを経験した企業の割合(1%増)
§ �1%未満:ICS関連のエクスプロイトが記録された企業の割合
マルウェア§ 15,071:一意の亜種の数(15%減)
§ 3,078:ファミリーの数(2%減)
§ 3:10社に 1社以上の割合で拡散した亜種(67%減)
§ 28%:クリプトジャッキングマルウェア が確認された企業の割合(15%増)
ボットネット§ 1.8:1社あたりの活動中のボットネット数(増減なし)
§ 2.8%:10以上のボットネットが確認された企業の割合(1%減)
§ 58%:感染期間が 1日だったボットネットの割合
§ 5%:感染期間が 1週間以上だったボット ネットの割合
エクスプロイトの トレンド
5
エクスプロイトのトレンド
エクスプロイトのトレンドは、脆弱なシステムを特定して感染させようとする、敵対的な試行を表します。この四半期の検知件数は数十億件に上りましたが、そのいずれについても、必ずしも攻撃が成功したことや、標的とする脆弱性がその環境に存在することを示すものではありません。エクスプロイトの活動にはノイズが多く含まれる傾向があるため、このセクションでは、深刻度が「Critical」と「High」の検知だけに注目することにしました。
図 1. 2018年第 1四半期の毎日のエクスプロイト活動
エクスプロイトのトレンド
速報統計値
�n 6,623:一意の検知件数(11%増)
�n 238:1社あたりの検知件数(13%減)
�n 73%:深刻なエクスプロイトを経験した企業の割合(1%増)
�n Microsoftがエクスプロイトの最大の標的である
�n 1%未満:ICS関連のエクスプロイトが記録された企業の割合
�n Siemensが ICSエクスプロイトの最大の標的である
どのタイプの脅威でもそうですが、特にエクスプロイトのトレンド分析では、シグナルとノイズの区別が容易ではありません。図1は、その難しさを示す、とてもわかりやすい例です。ほとんどのエクスプロイト活動が低い深刻度(「Info」から「Medium」まで)に分類されるものであり、高い深刻度(「High」と「Critical」)だけに限定すると、図の下の方にわずかに見える程度にまで少なくなります。どのような攻撃であっても、条件によっては深刻な被害を与える可能性がありますが、経験則として、危険度の高いものから対策を考えるべきでしょう。
シグナルに含まれるノイズの割合を減らすため、深刻度が「High」と「Critical」の検知件数だけを抜き出した、図 1の別バージョンを作成しました。図 2の Y軸を見ると、この図がエクスプロイトの上位 5%だけを示すものであり、ここまで範囲を狭くすることでようやく図として成立することがわかります。このエクスプロイト活動については、後で詳しく検証します。
0%
25%
50%
75%
100%
1月 2月 3月
検知率
Info Low Medium High Critical
0%
1%
2%
3%
4%
1月 2月 3月
High Critical
率知検
図 2. 2018年第 1四半期の毎日のエクスプロイト活動(深刻度が「High」と「Critical」のものだけに限定)
6
まず初めに、2018年の最初に我々を恐怖に陥れ、最も強力な防御対策も突破すると恐れられた、Meltdown と Spectre*1を取り上げることにしましょう。Meltdownと Spectreは、ほぼすべてのマイクロプロセッサに存在する脆弱性であり、この脆弱性を悪用したサイドチャネル攻撃によって、権限のない不正プロセスによるカーネルメモリの読み取りが可能になります。これらの攻撃によって生じる影響を考えると気が遠くなる思いですが、幸いにも現在は、「可能である」のではなく、「可能性がある」と言うべき段階にあります。概念実証のエクスプロイトは存在しますが、大きな影響を及ぼす活動は今のところ確認されていません。
FortiGuardによる Meltdown / Spectreの検知件数は、4月 30日がピークで、トリガー率は 5,200社中 1社(0.02%)でした。全体としては、関連する活動が観察された企業の割合は 0.07%であり、範囲を限定した図 2でようやく確認できる程度です。これらの攻撃はいずれも、現時点では「概念実証」の段階です。しかしながら、Meltdownや Spectreという名前がさまざまな攻撃で悪
用されているため、注意が必要です。たとえば、ドイツの連邦電子情報保安局による Meltdownと Spectreに関する公式ガイダンスと称するWebサイトでは、公開されていた「パッチ」が実際にはバックドア型トロイの木馬であることがわかりました。このような悪質な手口は今後も間違いなく続くため、Spectreの幽霊に騙されないよう注意する必要があります。
プロセッサ関連の話題が続く中、第 1四半期には、AMDの Zenアーキテクチャチップセットに影響する重大なセキュリティ脆弱性や製造元のバックドアの発表が相次ぎました。RYZENFALL、FALLOUT、CHIMERA、MASTERKEYといった不吉な名前のこれらの脆弱性を悪用することで、プロセッサに不正コードをインストールし、Microsoftの資格情報ガードによって保護されているネットワーク資格情報を不正取得できるようになり、水平移動、Secure Encrypted Virtualizationなどのセキュリティ機能の迂回、物理メモリのアクセス、不正コードの実行が可能になります。
図 3. 検知率が上位のエクスプロイトの検知件数と対応する CVE
*1 CPU.Speculative.Execution.Timing.Information.Disclosure
Zpanel.pChart.Information.Disclosure(8.1%)
WordPress.WP.Symposium.Arbitrary.File.Upload(8.4%)
PHP.Malicious.Shell(9.2%)
MS.Office.RTF.File.OLE.autolink.Code.Execution(9.6%)
Java.Debug.Wire.Protocol.Insecure.Configuration(9.9%)
Apache.Struts.2.REST.Plugin.Remote.Code.Execution(10.8%)
Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass(11.0%)
Joomla.Core.Session.Remote.Code.Execution(13.1%)
Red.Hat.JBoss.AS.doFilter.Insecure.Deserialization(13.9%)
uTorrent.RPC.Server.Remote.Code.Execution(15.4%)
Apache.Struts.2.DefaultActionMapper.Remote.Command.Execution(15.6%)
OpenSSL.Heartbleed.Attack(16.8%)
Apache.Commons.Collection.InvokerTransformer.Code.Execution(18.6%)
MS.Windows.HTTP.sys.Request.Handling.Remote.Code.Execution(23.7%)
HTTP.URI.SQL.Injection(25.7%)
Oracle.WebLogic.Server.wls-wsat.Component.Code.Injection(27.3%)
Linksys.Routers.Administrative.Console.Authentication.Bypass(27.4%)
PHP.CGI.Argument.Injection(31.6%)
Bash.Function.Definitions.Remote.Code.Execution(32.1%)
Apache.Struts.2.Jakarta.Multipart.Parser.Code.Execution(41.3%)
2013-2097
2014-10021
No CVE
2017-0199,2017-8570
2017-6639
2017-1261,2016-4438
No CVE
2015-8562
2017-1214
No CVE
2013-2251
2014-0160
2016-4385,2016-0788,2015-4852,2016-3642,2015-6576,2015-6555,2016-8735,2016-3427
2015-1635
No CVE
2017-3506,2017-1027
No CVE
2012-2311,2012-1823
2014-6277,2014-7186,2014-7187,2014-6278,2014-7169,2014-6271
2017-5638
検知率が上位20のエクスプロイト
それでは次に、レベルを変えて、図 2に記録された「High」と「Critical」のエクスプロイト活動の分析を続けることにしましょう。図 3は、検知率が 20位までのエクスプロイトとそれに対応する CVEをまとめたものです。まったく新しい攻撃(または脆弱
性)は 1つもありませんが、このリストを一種の優先タスクリストとして利用することで、これらの広く使われている日和見的エクスプロイトの被害者になる可能性が低くなるはずです。
エクスプロイトのトレンド
7
エクスプロイトの主な標的具体的な名前が明記されている図 3のリストはわかりやすいものですが、その簡潔が故に重要な側面を見逃してしまう可能性もあります。その重要な視点の手助けとするために、図 4に第 1四半期の攻撃で標的となった上位のテクノロジーをまとめました。
図 4. エクスプロイト別の標的とされた上位のテクノロジー
Meltdownと Spectreが第 1四半期に大きく注目されましたが、フォーティネットのセンサーで検知されたエクスプロイトの多くは、一般的なテクノロジーを標的とする、古くから知られているものでした。ソフトウェアの中ではおそらくは Microsoftが最大の標的ではありますが、Web関連のテクノロジー、すなわち、SSL、Telnet、SSH、HTTP、Bash、PHP、Apacheも同様に攻撃されています。さらに、代表的なWebコンテンツ管理システム(CMS)であるWordPressと Joomlaも、同様にリストの上位に入りました。Drupalも CMSであり、図 3に名前は記載されていませんが、3月に深刻度の高いリモートコード実行(RCE)脆弱性(CVE-2018-7600)が公開されたため、注目する必要があるでしょう。この脆弱性がセキュリティにとって重要な意味を持つの
Adobe
Apache
Apple
ASUS
AWStats
Backdoor
BashChina
DNS
EtherealHP
HTTP
IMAPISAPI
Java
Joomla
Linksys
MS
MySQL
Netcore
Ntpd
OpenSSL
Oracle PHP
POP3
Red
Robot
SMB
SSHSSL Telnet
uTorrent
Wordpress
Dlink
10
100
1,000
1万
10万
100万
1,000万
1億
10億
1 / 10,000 1 / 1,000 1 / 100 1 / 10
検知率
模規
(Spectre / Meltdown)すべてのCPUへの攻撃
は、ユーザーが持つ特権にかかわらず、Drupalが有効なWebサイトのすべてのデータのアクセス、変更、削除が可能になるためです。
攻撃規模では、Netcoreが Microsoftに次いで第 2位に入りましたが、検知率では、D-Linkデバイス *2のみを標的にするエクスプロイトが他のどのテクノロジーよりも成功率が高いと言えます。これは、攻撃者が IoTの脆弱性を探索する範囲を引き続き拡大させていることを示しています。全体としてみれば、図 3と図 4のどちらも、情報セキュリティの課題であり続けている、ノイズに含まれるシグナルを見失わないよう注意する必要がことを我々に思い出させてくれます。
*2 DLink.Devices.UPnP.SOAP.Command.Execution
エクスプロイトのトレンド
8
ミニコラム:OT(運用テクノロジー)のエクスプロイト
ミニコラム:OT(運用テクノロジー)のエクスプロイト
図 4は、攻撃の標的となる一般的な情報テクノロジーを示したものですが、運用テクノロジー(OT)や産業用制御システム(ICS)の場合はどうなのでしょうか。ITと OTとでは、エクスプロイトの試行の頻度や標的にどのような違いがあるのでしょうか。
図 5. 地域別の ICSエクスプロイトの検知率
全体としてみると、ICSに対する
エクスプロイトが報告されたのは、
全組織の1%未満にすぎません。
全体としてみると、ICSに対するエクスプロイトが報告されたのは、全組織の 1%未満にすぎません。ただし、数が少ないと安心する前に、標的とされる ICSが導入されている企業は全組織の一部に過ぎない点に注意する必要があります。さらには、重要なインフラストラクチャが攻撃されれば、市民生活の安全に深刻な影響を与える点も考慮しなければなりません。図 5に信頼区間が重なっている部分があるのは、その統計値の地域差が小さいことを示しています。この図を見ると、アジアでのみ、ICSエクスプロイトの試行の検知率がやや高めであるようです。*3
総数でみると、エクスプロイト活動の大半が、Modbusと ICCPという 2つの一般的な産業用通信プロトコルを標的にしています。Siemensと Schneiderの検知率が高いのは、これらのメーカーの機器を探索する活動を検知された企業が多いことを意味します。ただし、これらの結果は、Siemensと Schneiderの製品のセキュリティが他より低いことを示すわけではありません。両社の製品が世界中にたくさん出荷されているため、標的とされた件数も多かったと考えるべきでしょう。
*3 検知率はアフリカの一部地域で高いものの、この地域では報告企業数がかなり少ないため、信頼区間がとても広くなっています。そのため、アジアより多い可能性も、少ない可能性もあります。
*4 TA18-074A:Russian Government Cyber Activity Targeting Energy and Other Critical Infrastructure Sectors(英文): https://www.us-cert.gov/ncas/alerts/TA18-074A
アジアアフリカオセアニア
南米北米
ヨーロッパ中東全体
検知率
7-TechnologiesABB
Advantech
AzeoTech
GEInduSoft
MicrosysMoxa
Progea
SchneiderSearchBlox
Siemens
1 / 10,000 1 / 1,000
検知率
模規
10
100
1,000
1万
10万統計値だけでなく、3月の US-CERTの勧告 TA18-074A(英文) *4 でも、OTの重要性を示す事実が紹介されています。同レポートによると、ロシアの犯罪者は、政府機関、さらには、エネルギー、原子力、商業施設、下水道、航空業などの OTが利用されている重要インフラストラクチャ分野を主な標的にしているようです。
図 6. エクスプロイト別の標的とされた上位の ICSメーカー
マルウェアの トレンド
10
マルウェアのトレンドには、サイバー犯罪者の意図や能力が反映されるため、研究する価値は高いと言えるでしょう。エクスプロイトと同様に、フォーティネットのセンサーでマルウェアが検知されたとしても、必ずしもそれが実際の感染を示すものではなく、コードの武器化や標的とする個人やシステムへの拡散の試行を示しています。ネットワーク、アプリケーション、およびホストのレベルのさまざまなデバイスで、これらの試行が検知されます。
図 7. 2018年第 1四半期の毎日のマルウェア検知率
マルウェアのトレンド
速報統計値
�n 15,071: 一意の亜種の数(15%減)
�n 3,078:ファミリーの数(2%減)
�n 21%: モバイルマルウェアを報告した企業の割合(7%増)
�n 3:10社に 1社以上の割合で拡散した亜種(67%減)
�n 28%:クリプトジャッキングマルウェアが確認された 企業の割合(15%増)
マルウェアに関する第 1四半期の調査で最初に気付いたのは、前四半期と比べるとマルウェア分布図の上半分がまばらである点です。図 8は、2017年第 4四半期に 1%(検知率)と 10万(規模)のしきい値を超えた亜種、図 9は、2018年第 1四半期の同じ条件の亜種を示したものです。この段階では、名前を無視して図に注目すると、我々のサンプルで企業の 10%を超えて拡散したマル
ウェア亜種は 3つだけであることがわかります。2017年第 4四半期はこの数が 9でしたが、その中で今回も残っているのは 1つだけです(Riskware / Agent)。このように亜種の数が減ったことから、当然ながら「何が起きたのか」という疑問がわきます。その答えを一言で言えば、「クリプトジャッキングの登場」ということになるでしょう。この点を次に詳しく説明します。
0%
5%
10%
15%1
のりたあ日
2月 3月 4月1月
検知率
マルウェアのトレンド
11
マルウェアのトレンド
図 8. 2017年第 4四半期の上位のマルウェア亜種(図 9との比較用)
図 9の検知率が 1 / 10の線を超えた他の 2つのマルウェア亜種について、何か気付いた点はないでしょうか。どちらも名前に「coin」が含まれていること、また、2018年の最初の数ヶ月間で驚異的に増加したことがわかります。クリプトジャッキングは、マルウェ
図 9. 2018年第 1四半期の上位のマルウェア亜種
Adware/MyWebSearch
JS/Agent.DVU!tr
JS/Agent.QUR!tr.dldr
JS/Nemucod.3218!tr
JS/Nemucod.405F!tr.dldr
JS/Nemucod.DSQ!tr.dldr
LNK/Agent.309!tr.dldr
LNK/Agent.7346!tr.dldr
LNK/Agent.AG!tr.dldr
LNK/Agent.EDF!tr.dldr
LNK/Agent.F6C8!tr.dldrLNK/Agent.IA!tr.dldr
Riskware/Agent
Riskware/Asparnet
Riskware/BitCoinMiner
Riskware/BitCoinMiner93EA
Riskware/FusionCore
VBA/Agent.9E9D!tr
VBA/Agent.FPV!tr
VBA/Agent.FRG!tr.dldr
VBA/Agent.FSY!tr.dldr
VBA/Agent.GNQ!tr.dldr
VBA/TrojanDownloader.FLP!tr
VBS/Agent.06D5!tr.dldr
VBS/Agent.7481!tr.dldr
VBS/Agent.PDB!tr.dldr
VBS/Agent.PEC!tr.dldr
VBS/Agent.PGB!tr
VBS/Agent.PGJ!tr
VBS/Agent.PKF!tr.dldr
VBS/Agent.PKK!tr.dldr
VBS/Agent.PLN!tr.dldr
VBS/Locky.D!tr.dldr
VBS/Nemucod.391C!tr.dldr
VBS/Nemucod.B02D!tr.dldr
W32/Autorun.GV!worm
W32/BackDoor.Prosiak.65
W32/Injector.DTAI!tr
W32/LdPinch.FBW!tr.pws
W32/PECompact!tr
W32/StartPage.NIK!tr
模規
10万
100万
1,000万
1 / 100 1 / 10
検知率
JS/Agent.DVU!tr
JS/Nemucod.DSQ!tr.dldrMalware_fam.gw
Riskware/Agent
Riskware/Asparnet
Riskware/BitCoinMiner
Riskware/CoinHive
Riskware/CoinMiner
Riskware/Mimikatz W32/BDoor.IY!tr.bdrW32/Coinminer.0759!tr
W32/Dx.CH!tr
W32/Injector.DVFA!tr
W32/PECompact!tr
W32/Regrun.RU!tr
W32/StartPage.NIK!tr
模規
10万
100万
1,000万
1 / 100 1 / 10
検知率
このトレンドに関連する数字と、「2017年第 4四半期に 13%の企業でクリプトマイニングマルウェアが発見された」という統計値を併せて考えると、2018年の最初の 3か月間だけで、その割合が 2倍以上の 28%に上昇したことがわかります。図 10によれば、我々のセンサーで検知された割合は、世界のどの地域におい
アが(一般的にはWebブラウザに読み込んだスクリプトを使って)仮想通貨のマイニングの目的でコンピュータを乗っ取ることで発生します。
ても 2017年第 4四半期(赤)から 2018年第 1四半期(青)にかけて同じように増加しています。前四半期と今四半期のクリプトジャッキングのように、ある脅威がいきなり登場し、これほど短期間に上位に入るのは、稀なことです。
12
図 10. 各地域のクリプトジャッキング検知率の増加率
マルウェアのトレンド
クリプトジャッキングは、数が増加しただけでなく攻撃ベクトルや戦術も多様化しています。図 9の別バージョンであり、クリプトマイナーだけに注目した図 11を見ると、このような比較的新しい脅威としては驚くほど多様化しているのがわかります。フォーティネットのセンサーでも、いくつものオペレーティングシステム、さらにはビットコインや Moneroなどの複数の異な
図 11からすぐに読み取れるわけではありませんが、クリプトマイナーは、他の成功した攻撃で使われたことのある送付や拡散の手法を利用しています。WannaMineというわかりやすい名前のマルウェアは、悪名高いWannaCryランサムウェアで使われたのと同じ、EternalBlue脆弱性を利用しています。NotPetyaで使われた Mimikatz(水平移動の目的で使われる代表的な認証情報不正取得ツール)も、最近のクリプトジャッキング攻撃で同様に利用されました。昨年秋の Equifaxの事件では、Apache Strutsの脆弱性が注目されましたが、これもクリプトマイナーで使われています。そして、この前のセクションで取り上げた新しい Drupal脆弱性も、XMRigによってクリプトジャッキング用に武器化されています。
2017年第4四半期
2018年第1四半期
0% 10% 20% 30% 40%
検知率
中東南米
アフリカ北米アジア
ヨーロッパオセアニア
全体
クリプトマイナーは、拡散方法の進歩だけでなく、CPU使用率を低く抑えることでステルス性も向上させています。前世代では、CPU使用率が高いために見つかりやすく、検知されやすいという問題がありましたが、CPU使用率と使用するタイミングを変更することで、活動を長く継続できるようになりました。
これ以外にもさまざまな角度からの分析が可能ですが、クリプトジャッキングの急増に備える実践的ヒントとして、犯罪者は金銭を常に追い求めるものであり、目標達成のための新たな機会を見つけてすぐに飛びつくものだということを覚えておくべきでしょう。彼らが、システムを乗っ取るのが仮想通貨をマイニングする有効な手段だと考えたのは明らかであり、このビジネスモデルへの投資と進化は今後も続くものと予想されます。
る仮想通貨を標的にするクリプトマイナーが見つかっています。ファイルレス「JS/」の新しい亜種が我々のセンサーで見つかりましたが、これは、不正 JavaScriptを(場合によっては正規の)Webページに埋め込んで、訪れるホストを感染させるというものです。
図 11. 上位のクリプトマイニングマルウェア亜種
Adware/BitCoinMiner
Adware/CoinMiner
Android/Coinge
Android/Coinhive_JavaScript_cryptocoin_Miner
ELF/BitCoinMiner
HKTL64_COINMINER
JS/BitCoinMiner
JS/Coinhive
JS/CoinMine
JS/CoinMiner
JS/CryptoMiner
Linux/BitCoin
Linux/CoinMiner
LNK/VenusMiner
MSIL/CoinMiner
MSIL/CoinStealer
Riskware/Bitcoin_Miner
Riskware/BitCoinMiner
Riskware/BitCoinMinor
Riskware/BitMiner
Riskware/CoinHive
Riskware/CoinMiner
Riskware/LinuxBitCoinMiner Riskware/MoneroMiner
VBS/Agent
VBS/CoinMiner
W32/Bitcoin
W32/Bitcoin_Miner
W32/Bitcoin_Miner!tr
W32/BitcoinMiner
W32/BitCoinMinerW32/BitMiner
W32/CoinMin
W32/CoinMinder
W32/CoinMiner
W32/COINMINER_HB070025
W32/XMRig_Miner
W64/BitCoinMiner
W64/CoinMiner
規模
100
10
1,000
1万
10万
100万
1 / 10,000 1 / 1,000 1 / 100 1 / 10
13
入念に設計された破壊的攻撃の増加
マルウェアのトレンド
SamSamは 2015年後半に発見されましたが、最近まではそれほど大きな脅威ではありませんでした。ところが、2018年第 1四半期になって、医療機関や教育機関、さらには地方自治体などのさまざまな組織を標的とする攻撃が発見されるようになりました。そして、破壊的機能を集中させるこのような方法が、いかに効果的であるかを証明する事件が発生しました。去る 3月、SamSamによるアトランタ市への攻撃が成功し、「人質事件」と市長に宣言させるほどの大打撃を与えました。この事件の標的はオンラインの請求書支払いサービスと裁判スケジュール管理サービスに限られていましたが、「甚大な被害を与える能力」があることを世間に誇示しました。
オリンピックと言えば、世界中が日頃の諍いを忘れて観戦に熱中するものと我々は考えますが、「Olympic Destroyer」の犯人たちはそうではなかったようです。2018年平昌オリンピックの開会式直前に実行されたこの攻撃によって、オリンピックの ITシステムが一時的な停止に追い込まれました。不安の残る幕開けであったにもかかわらず、オリンピック組織委員会による復旧作業は辛くも成功し、開会式は無事に終了しました。しかしながら、我々はこれから先、このような災害を何回乗り越えられるのでしょうか。
これらのマルウェア攻撃によって明らかになった、破壊的傾向を持つ入念に設計された攻撃は、不吉な未来を我々に予感させます。過去 10年間のほとんどのマルウェアに含まれていた、ステルス性の高いコマンド &コントロールの活動によって、多くの企業では防御対策の不備が明らかになり、脅威の検知と対応が重要な課題となりました。ワームや破壊型マルウェアの出現に伴い、私たちは対策のさらなる強化を急ぐ必要があります。
図 9がまばらであり、クリプトジャッキングが急増していることだけで、他の分野の犯罪が第 1四半期になくなったと早急に判断するべきではありません。実際、破壊型ペイロードを組み合わせ、入念に設計された注目すべきイベントが何件も発生しています。このセクションで、その一部をご紹介します。
1月に発見された GandCrabは、支払い方法に仮想通貨の「Dash(ダッシュ)」を使った最初のランサムウェアです。欧州刑事警察機構(Europol:英文) *5 によれば、1か月足らずで被害件数が 50,000件に達しました。GandCrabによって暗号化されたファイルを復号するツールが短期間で公開されましたが、アジャイル開発(英文) *6 手法を使ったとされる作成者たちによって、GandCrab 2.0がすぐに開発されました。この新しいバージョンでは、復号防止のメカニズムが強化されただけでなく、GandCrabのランサムロックインタフェースも時間をかけてアップデートされました。これによってサービスはどうなったのでしょうか。
2月には、金銭を得る方法がさらに巧妙化した BlackRubyというランサムウェアが登場しました。BlackRubyが実行されると、freegeoip.comの APIを使って被害者のマシンの場所を(要求金額を適正化する目的で)取得し、さらには、被害者からさらに多くの金銭を得る目的で、前述の XMRigのマイニングコンポーネントを起動させます。ここでも Moneroが使われており、最近はこの仮想通貨の名前をあちこちで耳にします。
米国の複数の政府機関がマルウェア分析レポートを共同で発表し、これらのマルウェア亜種と、「HIDDEN COBRA」と呼ばれる北朝鮮の政府系脅威集団との関連性を指摘しました。これらの亜種は、HARDRAIN(英文) *7、BADCALL(英文) *8 と呼ばれており、プロキシサーバー(HARDRAIN / BADCALL)、リモートアクセスツール(RAT)、Androidで動作する ELF ARMバイナリ(HARDRAIN)、およびネイティブ Android APKバイナリ(BADCALL)の革新的機能が含まれています。
*5 Free data recovery kit for victims of GandCrab ransomware now available on No More Ransom(英文): https://www.europol.europa.eu/newsroom/news/free-data-recovery-kit-for-victims-of-gandcrab-ransomware-now-available-no-more-ransom
*6 Agile software development(英文): https://en.wikipedia.org/wiki/Agile_software_development
*7 Malware Analysis Report (MAR) - 10135536-F(英文):https://www.us-cert.gov/sites/default/files/publications/MAR-10135536-F.pdf
*8 Malware Analysis Report (MAR) - 10135536-G (英文):https://www.us-cert.gov/sites/default/files/publications/MAR-10135536-G.PDF
14
ミニコラム: 成熟するゼロデイ市場
ミニコラム: 成熟するゼロデイ市場
FortiGuard Labsの研究チームは、常に変化する最新の脅威の研究と並行して、市販されているさまざまな製品やソフトウェアアプリケーションの脆弱性からフォーティネットのお客様を確実に保護することにも取り組んでいます。その取り組みの一環として、ゼロデイ脆弱性をプロアクティブに発見し、関係するベンダーに責任ある方法(英文) *9 で開示することで、脆弱性を一般公開(英文) *10する前にパッチや対策を準備できるようにしています。
2018年第 1四半期にフォーティネットが公開したゼロデイ脆弱性に関連するベンダーは、以下の表のとおりです。この表を見ると、これらの脆弱性は誰もが日常的に使う製品に影響するものであることがわかります。FortiGuard Labsの研究者全員が、確かな経験と知識に基づいて調査を行っていますが、最近ではホワイトハット、グレーハット、あるいはブラックハットが発見し、公開するゼロデイ脆弱性が増えているのも事実です。
速報統計値 45 : 2018年の年初以降の発見数 38 : 2017年第4四半期の発表数
214 : 2017年の発見数 556 : 2006年以降の発見数
ホワイトハット市場:当社のような企業内の研究チームによる取り組みに加えて、企業や政府機関が主催するバグ発見報奨金プログラムが増えています。特に重大な発見については、200,000ドル以上の報奨金が支払われるプログラムもあります。この市場の買い手はさまざまであり、研究者の力を借りて脆弱性を発見し、修正したいと考えるベンダーだけでなく、政府機関が秘密の目的で報奨金を出す場合もあります。
グレーハット市場:ベンダーのプログラムや一般企業による報奨金に加えて、バグを買い取って客に販売する「ゼロデイブローカー」も存在します。これらの市場での買い手と売り手は一般的には匿名であり、したがって長所も短所もあります。おそらくは、研究者の努力に対して目立たない方法で報奨金を支払いたいと考えるベンダーもいますが、国家主導のサイバー犯罪組織や悪意のある買い手がいる可能性もあります。売り手は、脆弱性が製品の安全性の向上に利用されるのか、あるいは他人を攻撃するために悪用されるのかを、知ることもコントロールすることもできません。
ブラックハット市場:ゼロデイで金銭を得るという目的はグレーハットと共通していますが、取引の場が闇市場である場合もあります。この成長市場でどのような取引が行われているのかは不明であり、一部の脆弱性やエクスプロイトの外部への流出は避けられません。そのような流出は、サイバー犯罪者によるゼロデイの作成や配布が増加していると脅威の研究者が判断する、一つの要因にもなっています。
上記の市場に加えて、ゼロデイを発見したり購入したりするよりも、盗む方が得策だと考えるプロ集団もいます。最近では、Shadow
Brokersと名乗るハッカー集団が、NSAのものだとするゼロデイのキャッシュを不正取得した例が有名です。そのようなゼロデイの 1つである EternalBlueが、あの有名なWannaCryランサムウェアやWannaMineのクリプトジャッキング攻撃でも使用されてきました。
Air France: 1
Asus: 1
Citrix: 2
D-Link: 1
F-Secure: 3
Google: 1
Huawei: 1
IDM Solutions: 1
Imagely: 2
Magento: 1
Microsoft: 2
Nitro Software: 1
Swisscom: 2
Tableau Software: 1
Yandex: 2
Zoho: 1
表 1. 2018年第 1四半期にフォーティネットが開示したゼロデイ脅威のベンダーと数
*9 Responsible Disclosure Process(英文):https://fortiguard.com/zeroday/responsible-disclosure
*10 Zero-Day Research | Fixes Available(英文):https://fortiguard.com/zeroday
ボットネットの トレンド
16
ボットネットのトレンド
エクスプロイトとマルウェアのトレンドが一般的には攻撃の感染前の前兆を示すものであるのに対し、ボットネットは感染後の段階を表します。システムが感染すると、リモートの不正ホストとの通信が頻繁に発生し、社内の環境でそのようなトラフィックが見つかれば、何らかの不正な動きが進行していると考えられます。このデータセットには、失敗を教訓にするための重要な情報が隠されています。
図 12. 2018年第 1四半期の毎日のボットネット検知率
ボットネットのトレンド
速報統計値
�n 268:一意のボットネット検知数(3%増)
�n 6.6日:1社あたりの感染日数(37%減)
�n 1.8:1社あたりの活動中のボットネット数(増減なし)
�n 2.8%:10以上のボットネットが確認された企業の割合(1%減)
�n 58%:感染期間が 1日だったボットネットの割合
�n 5%:感染期間が 1週間以上だったボットネットの割合
0%
5%
10%
15%
20%
25%
3月
1
のりたあ日
2月 4月1月
検知率
ボットネットがなくなることはありませんが、ボットネットがエクスプロイトやマルウェアの後塵を拝することになる時期があるとすれば、2018年第 1四半期がそうだったのかもしれません。とはいえ、この四半期のデータから何の洞察や教訓も得られないわけではありません。最初に、変動が大きかった上位のボットネットのリストをご紹介します。
CerberToopuVortex
MumblehardAlina
MaganiaDyzapDridex
POSRAMTofsee
MazbenChanitorNeutrino
NSISJeefo
GaniwTorpig
XtremeSality
Andromeda
VortexDridex
QuasarTofsee
POSRAMDyre
TeslacryptAlina
MazbenVirut
AndroidCridexJeefo
XtremeCerber
NeutrinoRamnit
SalityAndromedaZeroaccess
検知率 規模
1 / 1,000 1 / 100 1 / 10 1万 10万 100万 1,000万 1億
図 13. 変動が大きかった上位のボットネット
17
図 13を見ると、第 1四半期にほとんどのボットネットが減少の方向に推移したことがわかります。Andromedaの歴史を簡単に振り返ることで、このボットネットがリストの上位に入っている理由を考えてみましょう。Andromedaは、複数の法執行機関による 2017年第 4四半期のテイクダウン作戦の目玉でした。大々的なテイクダウン作戦にもかかわらず、グローバルでのボットネット検知件数の 3位に残っている(図 14参照)ことから判断すると、この多頭竜にはいくつも頭が残っていて、未だ攻撃能力があるようです。Andromedaのテイクダウン後の話についてはミニコラムで解説しているため、ここではボットネットの話に戻ることにしましょう。
図 14. 各地域のボットネット検知率
ボットネットのトレンド
図 13で「増加」に向かっているものを探すと、検知率が第 2位の Xtremeが大きく増加していることにすぐに気付きます。しかしながら、Xtremeが何年にもわたって多くの攻撃に関与してきたことを考えれば、その効力はやや衰えたと言えるでしょう。Gh0st(どの地域でも検知率が 1位)と ZeroAccess(検知率の 7位、規模で 2位)は、どちらも我々のセンサーで数週間にわたって多数検知されましたが、件数が多い状態が以前から定常化していたため、この四半期に変動が大きかったボットネットのリストには入りませんでした。それ以外には、図 12と図 13に大きな変動はなく、状況がほとんど変わっていないことがわかります。そこで、視点を変えて別のデータに基づく検証へと進むことにしましょう。
1.1%
6.5%
3.1%
2.7%
0.6%
3.9%
5.2%
27.3%
20.4%
3.5%
17.1%
21.3%
11.8%
9%
12.7%
15%
8.5%
17.1%
14%
10.4%
6.4%
4.2%
7%
3.2%
4.2%
4.2%
3.3%
3.9%
37.4%
37.2%
64.6%
36.2%
35.9%
48%
59.9%
19.9%
7.8%
2.8%
15.6%
8.9%
7.2%
3.6%
4.4%
4.3%
2.4%
6%
2.8%
2.9%
3%
19.2%
19.1%
4.4%
18.3%
18.5%
11.7%
9.4%
6.1%
3.8%
1.2%
4.5%
4.4%
2.4%
3%
2.3%
4.5%
2.5%
1.1%
1.4%
1.9%
4.4%
26.8%
24.5%
37.3%
26.2%
22.4%
34.2%
31.8%
16.9%
11.3%
2.6%
4.5%
11.7%
4.9%
6.2%
19.5%
14.3%
5.6%
11%
17.1%
10.3%
6.7%
5.3%
5.7%
8.4%
6.3%
6.3%
6.6%
5.9%
7.6%
8.4%
10%
9.3%
6.8%
8.4%
8.7%
4.8%14.5% 12.7% 4.9%50.4% 7.9% 3.8%14.1% 3.2% 3%34.3% 7.3%12.1% 7.6%9.8%
Gh0stPushdo
Andromeda
NecursConficker
SalityZeroaccess
H-wormRamnit
Xtreme
FinFisher
AndroidMariposa
njRATNymaim
全体オセアニア
北米中東南米
ヨーロッパアジアアフリカ
上の図に名前はないものの、第 1四半期のボットネットの話題でOkiruに言及しないわけにはいかないでしょう。Argonaut RISC Core(ARC)プロセッサを標的にする、Okiruボットネットの新しい亜種が 1月に発見されました。この発見が大きく注目されたのは、これらのプロセッサが、190か国以上でライセンスされている 10億台以上の IoTデバイスで SoC(システムオンチップ)に利用されているためです。このように攻撃対象が多いとい
うことは、このボットネットによって大混乱が生じる可能性があることを意味します。フォーティネットの研究(英文) *11 によって、Okiruが当初は ARCプロセッサを標的にしていたこと、またMiraiベースのボットネットを利用したさらなるエクスプロイトを目的に、他のアーキテクチャも次々と標的にするようになっていることがわかりました。したがって我々は、今後も Okiruの監視を続けることにしています。
*11 IoT Botnet: More Targets in Okiru's Cross-hairs(英文):https://www.fortinet.com/blog/threat-research/iot-botnet-more-targets-in-okirus-cross-hairs.html
18
ボットネットの持続期間以前のレポートで、ボットネットの「感染」と「大感染」の違いを解説し、10以上のアクティブなボットネットと通信するネットワークを後者に分類すると説明しました。この分類は、環境の汚染度を示す興味深い指標であるため、フォーティネットはこの「大感染」の割合の調査をその後も継続してきました。現在のその割合は、全企業の 2.8%となっています。
今回のレポートでは、ボットネット感染というコインの裏面、すなわち感染の持続期間について考えてみたいと思います。これまでの調査で、最も強固なネットワークであっても、いずれかの段
ボットネットのトレンド
階で大感染が発生するであろうことがわかりました。しかしながら、そのような感染を迅速に検知、減災することで脅威を環境から根絶し、再感染を防ぐことが、サイバーセキュリティプログラムを成功させる極めて効果的な方法なのです。
図 15は、連続して通信が検知された日数に基づいてボットネット感染の持続期間を測定したものです。この図を見ると、ボットネット感染の 58.5%が検知されたその日のうちに除去されていることがわかります(検知と除去が同日だった場合のみ、企業による報告が行われています)。持続期間が 2日間だったのは 17.6%、3日間だったのは 7.3%と続き、1週間以上感染が持続したケースは約 5%でした。
58.5%
17.6%
7.3%4.2% 3.8% 2.7% 0.9% 0.7% 0.5%
0%
20%
40%
60%
1 2 3 4 5 6 7 8 9
検知率
連続検知日数
図 15. ボットネット感染の持続期間
図 16は、ボットネットファミリー別の感染持続期間をまとめたものです。図 14で検知率が上位 2つのボットネットを図 16で探すと、興味深いことにこの 2つの減災期間が最も短いことがわか
ります。一方で、それ以外のボットネットについてはそのような傾向が見られず、ボットネットによって根絶の困難さが異なる点も同様に興味深いと言えます。
Gh0stLethic
PushdoZeroaccess
DorkbotBunitunjRAT
ConfickerAndromeda
MariposaNecurs
H-wormRamnit
SalityMirai
0 1 2 3 4 5
平均感染日数
図 16. 上位のボットネットの感染持続期間の比較
19
ミニコラム:テイクダウンされたボットネットとの交信
ミニコラム:テイクダウンされたボットネットとの交信
前のセクションで説明したように、2017年第 4四半期に法執行による大掛かりな作戦で Andromedaボットネットがテイクダウンされました。ところが、フォーティネットのセンサーではその活動が引き続き見つかっており、規模と検知率の両方で 2018年第 1四半期のボットネットの 3位に入っています。一見すると、テイクダウン作戦があまり成功しなかったように見えますが、詳しく分析するとセキュリティ対策の不備が原因である可能性が高いことがわかりました。
図 17. ANDROMEDAに感染した企業は、ボットネットそのものの感染も多いのでしょうか?
上記のボットネットの持続期間の分析を発展させて、(テイクダウンされた)Andromedaボットネットとの通信が継続している組織は、他の脅威にも感染しやすい傾向にあるのかどうかを検証しました。その結果、第 1四半期に Andromeda感染が確認された企業では、活動中のボットネットの数も 3倍であることがわかりました。
Andromeda検知率がセキュリティ対策の不備やインシデント対応の不十分さを示す指標であるとすれば、図 18は最も対策が急がれる地域を示していることになるでしょう。フィーティネットは、今後もテイクダウン後の Andromedaの動きを監視していきます。
図 18. 各地域の Andromedaボットネット検知率
0% 10% 20% 30%
検知率
アフリカ中東アジア南米北米
オセアニアヨーロッパ
組織の割合
ボットのユニーク数
Andromedaに感染していない組織は、他のボットネットも少ない
Andromedaに感染している組織は、他のボットネットについても多く報告する傾向がある
結論と提案
21
結論と提案
ここまでお読みいただいたことで、サイバー環境の脅威の現状に対する理解が深まったのであれば、レポートの目的が十分に達成されたことになります。本レポートで取り上げたデータに基づき、セキュリティ対策のいくつかのヒントを最後にご紹介します。これまで同様、本レポートの内容に関してご不明の点があれば、フォーティネットまでお気軽にお問い合わせください。
01我々は、攻撃前の偵察(エクスプロイト)から武器化(マルウェア)、さらには感染後のコマンド &コントロール(ボットネット)までの脅威のキルチェーンを検証してきました。このような脅威のキルチェーンを断ち切るには、強力なセキュリティ ファブリックによる対策が必要
です。
02図 3に示した、エクスプロイトのシグネチャとそれに関連する CVEは、「これらのアラート /
脆弱性が自分の組織で確認されたか」といった疑問の答えを見つける手掛かりとなるはずです。また、図 4で上位に挙げられているエクスプロイトカテゴリについては、シグネチャのマッチングだけでは捕捉が困難であるため、特に注意が必要です。どのようなネットワークにも修正が必要とされる箇所はたくさんありますが、どこから修正を始めるかを判断する何らかの手掛かりがあれば、大いに役立つはずです。
03ICSを利用している企業においては、最初のステップとして、それらのテクノロジーに関連するビジネスや運用のリスクを徹底的に調査し、リスクを十分に考慮した戦略を策定することをお勧めします。具体的には、ゾーン、経路、境界、およびセキュリティレベルを定義します。これらの定義は、OTとそれ以外の環境間の通信を制限する上で極めて重要な役割を果たします。OTネットワークを急増する攻撃から保護するためのヒントについては、こちらのブログ記事(英文) *12を参照してください。
04この四半期は、IoTデバイスを標的とするいくつかのエクスプロイトが上位に登場しました。我々が推奨しているのは、学習、セグメンテーション、保護の戦略的分野によって、到来する嵐を沈静化するアプローチです。これは、ネットワーク接続されているデバイス、構成方法、さらには認証方法の詳細を学習することから始まります。それらの情報が完全に可視化されれば、保護されたネットワークゾーンへ IoTデバイスを動的にセグメント化することが可能になり、カスタマイズしたポリシーを適用できるようになります。そして、それらのセグメントをリンクさせてネットワーク全体を対象とする 1つの保護ファブリックを形成することで、多数のアクセスポイント、セグメントをまたいでネットワークトラフィックが発生する環境、さらには複数のクラウドが存在する場合においても、インテリジェントな統合セキュリティが実現します。
結論と提案
*12 Securing OT Networks Against Rising Attacks(英文):https://www.fortinet.com/blog/industry-trends/combatting-the-transformation-of-cybercrime.html
22
06この四半期に分析した多くのマルウェア亜種に、進化と破壊の傾向が表れていました。これをクリプトジャッキングのトレンドと組み合わせて考えると、サイバー犯罪が常に変化している事実が明らかになります。これらのトレンドを考慮した推奨されるセキュリティ対策については、こちらのブログ記事(英文) *13 を参照してください。
07テイクダウンされたボットネットについて取り上げたのは、通信が継続しているホストの存在を正当化するためではありません。エンドポイントを相手にモグラたたきゲームを繰り返すのではなく、効率的なツールと優れたインテリジェンスを組み合わせて利用することで、ネットワークの要所で(活動中またはテイクダウン後の)ボットネットの通信を検知し、遮断することをお勧めします。
08ボットネットの持続期間に関する分析で、感染の大半はその日のうちに除去されるものの、長引く場合もあることがわかりました。インシデント対応の計画と手順に加えて、適切なネットワークセグメンテーション戦略を採用することで、感染の内部拡散を制限すれば、隔離と根絶にかかる時間が短縮されます。
09基本的なサイバーセキュリティ対策は世界共通ですが、ボットネットのトレンドのセクションでご紹介したように、脅威の種類によっては地域差が認められるものも存在します。これらの違いを正しく認識することで、それぞれの地域に最適なセキュリティ戦略を計画し、相互接続がさらに進む世界においても適切な対策を実践できるようになるはずです。
結論と提案
05クリプトジャッキングは増加の一途をたどっており、多くのサイバー犯罪者が有効な金儲けの手段として積極的に活用しようと考えているようです。マイニングなどの不正利用が疑われる場合は、まず初めに、タスクマネージャー(Windows)、アクティビティモニター(Mac)、Linuxコマンドラインの「top」でチェックすることをお勧めします。これらのツールを使用すると、コンピュータで実行中のすべてのプロセスのリストが表示されるだけでなく、リソースを使用しているプロセスを特定し、強制終了することもできます。
*13 Combatting the Transformation of Cybercrime(英文):https://www.fortinet.com/blog/industry-trends/combatting-the-transformation-of-cybercrime.html
23
情報源と測定値
本レポートに記載する調査結果は、本番環境に置かれているフォーティネットのさまざまなネットワークデバイス / センサーから取得した、FortiGuard Labsの集団的インテリジェンスに基づくもので、これには、2018年 1月 1日~ 3月 31日に世界中の本番環境で発見された数十億の脅威イベントおよびインシデントが含まれます。独立機関による調査によれば、フォーティネットはセキュリティデバイス出荷数において最大であり *14、したがって、脅威データサンプル数も業界最大です。すべてのデータは匿
エクスプロイト本レポートで説明するアプリケーションエクスプロイトは、主にネットワーク IPS経由で収集されたものです。このデータセットからは、脆弱なシステムを特定し、その脆弱性の悪用を試みる攻撃の偵察活動を読み取ることができます。
マルウェア本レポートで説明するマルウェアサンプルは、境界デバイス、サンドボックス、またはエンドポイント経由で収集されたものです。ほとんどの場合、このデータセットには、標的とするシステムへのインストールの成功ではなく、攻撃の武器化または拡散の段階が反映されます。
ボットネット本レポートで説明するボットネット活動は、ネットワークデバイス経由で収集されたものです。このデータセットには、感染した内部システムと不正外部ホストの間のコマンド &コントロール(C2)トラフィックが反映されます。
規模 全体的な頻度または割合を示す測定値。脅威イベントの発見の合計数または割合。
検知率 グループ全体での拡散または感染の度合いを示す測定値。脅威イベントが 1回以上発見されたと報告した組織 *16の割合。
強度 1日あたりの規模または頻度を示す測定値。組織あたり、1日あたりの脅威の平均発見数。
情報源と測定値
名化されており、サンプルに含まれる個人や法人を特定できる情報は含まれません。
このような条件で収集されたインテリジェンスは、サイバー脅威のさまざまな視点から見た現状を提供してくれます。本レポートでは、アプリケーションエクスプロイト、不正ソフトウェア(マルウェア)、ボットネットの 3つを中心に、その現状を補完するいくつかの側面についても説明しています。
これらの脅威のさまざまな側面に加えて、データから得られる意味を明確にし、解釈するために、以下の 3つの測定値を使用することとしています。本レポートでは、規模、検知率、および強度という用語を以下の定義に従って使用することとします。
本レポートは、多数の脅威に言及しています。一部の脅威については簡単に説明していますが、当然ながら、本レポートの説明だけでは不十分です。本レポートをお読みいただく際は、FortiGuard Labsの用語解説(英文)*15を適宜参照してください。
*14 出典:IDC Worldwide Security Appliances Tracker – 2017年 4月(年間出荷台数に基づく)
*15 FortiGuard Labsの用語解説(英文):https://fortiguard.com/encyclopedia
*16 我々が測定した検知率は、脅威の活動を報告した組織における値です。あるボットネットの検知率が50%となっていたとしても、全世界の全企業の半数が感染したことを意味する ものではなく、フォーティネットのボットネットデータセットの企業の半数でそのボットネットが観察されたことを意味します。その数の分母は通常、数万の企業を表します。
Copyright© 2018 Fortinet, Inc. All rights reserved. この文書のいかなる部分も、いかなる方法によっても複製、または電子媒体に複写することを禁じます。この文書に記載されている仕様は、予告なしに変更されることがあります。この文書に含まれている情報の正確性および信頼性には万全を期しておりますが、Fortinet, Inc. は、いかなる利用についても一切の責任を負わないものとします。Fortinet®、FortiGate®、FortiCare®、および FortiGuard® は Fortinet, Inc. の登録商標です。その他記載されているフォーティネット製品はフォーティネットの商標です。その他の製品または社名は各社の商標です。
〒106-0032東京都港区六本木 7-7-7 Tri-Seven Roppongi 9 階www.fortinet.co.jp/contact
TR-18Q1-201805-R1
