【特集記事】セキュリティ情報 (その1)

コロナウイルスのパンデミックという単一の原因もあり、サイバー犯罪は増加の一途を辿り、世界的なサイバー犯罪被害は、2021年までに年間6兆ドルに達すると予測されています。

なかでもマルウェアの検出状況は年々増えており、国内外でも高い割合を占めています。例えばランサムウェアは検出数が少なくても依然として脅威です。オペレーターはより大きなターゲットを狙う新しい機能をマルウェアに仕掛けているとされており、今後も注意が必要です。

 

1. マルウェアとは?

マルウェア(malware)は、悪意のある(Malicious)ソフトウェア(softtware)の略で、「害をなすソフトウェア」の総称のことです。悪意のあるソフトウェアには、それぞれに個別の目的があるとされ、感染した際の危険性がとても高いです。

合意欧州ネットワーク情報セキュリティ庁(ENISA)発表のレポート(2019年版)でも、2年連続でマルウェアの脅威を見て取れます。

ENISA Threat Landscape Report 2018
https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2018
https://www.enisa.europa.eu/topics/threat-risk-management/threats-and-trends/enisa-threat-landscape

 

1-1.2019年の主要なマルウェア統計(参考情報)

AV-TEST(ドイツのセキュリティソフト評価機関)の統計結果でも、マルウェアの検出数の多さは歴然です

・毎日350,000の新しいマルウェアが検出され続けている
・マルウェア攻撃の報告は70億を超えている
・約9億8000万以上ものマルウェアプログラムの存在が確認されている
・毎分、4つの企業がランサムウェア攻撃を受け被害にあっている

Malware (AV-TEST)
https://www.av-test.org/en/statistics/malware/

 

1-2.マルウェアの種類

マルウェアは、詐欺行為、フィッシング、乗っ取り、身代金の要求といった犯罪の特徴をもち危険性も高いです。インターネットの接続はこれらの危険(犯罪)と隣り合わせです。マルウェアの主だったものを抜粋してご紹介いたします。

・ワーム … それ自身が独立したプログラムで、自己増殖(複製)により拡散
・トロイの木馬 … 遠隔操作でシステムを不正操作、情報の詐取や破損を行う(バックドア型もトロイの木馬の一種)
・スパイウェア … ユーザーの個人情報や行動履歴を収集し、特定の場所へ無断で送信
・ボットネット … 悪意をもってコンピュータに侵入し第三者の指示通りに遠隔操作
・ランサムウェア … 端末を利用できない状態にし(暗号化)、身代金を要求
・スケアウェア … ユーザーの恐怖心をあおり、金銭や個人情報を奪う
・アドウェア … 頻繁に表示される広告やホームページの変更。告知せず情報を収集し外部へ送信するものもある
・何らかの形のエクスプロイト … 脆弱性を悪用して攻撃を行うプログラム  など

このような犯罪行為があることを再認識し、身の回りの端末(PC、スマートフォン、タブレットなどを含むコンピュータ機器)を守る必要があります。

マルウェアレポート|マルウェア情報局-Eset(キヤノンマーケティングジャパン株式会社)
https://eset-info.canon-its.jp/malware_info/malware_topics/

 

2. 危険視されているマルウェアは?

マルウェアは、悪意のある添付ファイルを含むスパムメールを介して配布・拡散されます。マルウェアの中でも注視されている「Emotet(エモテット)」は、感染力ならびに拡散力が非常に高いとされています。少なくとも2014年以降より活動が確認されていますが、時代の流れにあわせて形を変え続け、現在では主要なマルウェアを配布する(感染・拡散を行う)プラットフォームとなっています。

Emotetボットネットは、悪意のあるマクロが含まれたワード文書を送信し、受信者が内容確認のためにファイルの編集を有効にするとEmotetをコンピュータにインストールします。Emotetは情報詐取や身代金の要求といったトロイの木馬やランサムウェアと一緒に感染することが多いため、Emotetが見つかった時点で、他の感染リスクも高まったことを疑う必要があります。

2020年2月以降いったん息を潜めましたが、最近になって再び活発になりはじめました。先月(2020年8月)に入り悪意のある添付ファイルが「Red Dawn(赤い夜明け)」という名前の新しいテンプレートに切り替わり感染を広げており、各国のサイバーセキュリティ機関もEmotet攻撃の急増を警告しています。日本では、情報処理推進機構が「攻撃再開の観測状況」を公開し、注意を呼びかけています。

「Emotet」と呼ばれるウイルスへの感染を狙うメールについて(情報処理推進機構)
https://www.ipa.go.jp/security/announce/20191202.html
※「攻撃再開の観測状況」を追記しました。(2020年7月28日)を参照
https://www.ipa.go.jp/security/announce/20191202.html#L13
※相談急増/パスワード付きZIPファイルを使った攻撃の例 (2020年9月2日追記)を参照

 

3. マルウェアに感染するとどうなるの?

疑わしいメールや文書を開かないようにするのが大切ですが、万が一それらを開いてしまい、コンピュータが悪意のあるソフトウェアに感染するといくつかの一般的な兆候がみられます。

・環境設定の変更(新しいツールバー、検索エンジンやデフォルトの言語の変更など)
・インターネットに接続していないときでも広告を表示し続ける、たくさんのポップアップが表示される
・ウイルス対策プログラムが起動しない、コンピュータが勝手にメールを送信してしまう
・特定のWebサイトへのURLを入力すると別の場所に移動してしまう など

端末が今までと違う動作をした場合は注意が必要です。

マルウェア感染が判明した場合の対応ステップ( Microsoft Security Response Center )
https://msrc-blog.microsoft.com/2020/07/01/20200702-respondingmalware/

 

4.マルウェアに対する耐性の見直し方は?

脆弱性を修正するためにも、更新プログラムが公開されたらできるだけ速やかに対応することが望ましいため、各OS、セキュリティソフト、ブラウザ等のアプリケーションのバージョンが最新であるかどうかを確認します。ただし特定のアプリケーションの動作に不備が生じる場合もありますので、企業の場合はIT管理者の指示に従いましょう。

モバイル端末についても、モバイルセキュリティソフトウェアをインストールする必要があります。スパムやフィッシング詐欺も横行しています。セキュリティ対策がなされていないスマートフォンやタブレットなどはエクスプロイトに対してとても脆弱なため注意が必要です。

4-1.マルウェア感染を防ぐためには(対策をする)

・ソフトウェア(セキュリティ対策ソフトを含む)やアプリケーションを最新版に保つ
・端末にパスワードを設置する
・見知らぬメールは開かない
・添付ファイル付きの電子メールに注意する
・ポップアップなどをむやみにクリックしない
・HTML形式のメールは開かない(メールの受信はテキスト形式で表示)
・疑わしいファイルなどはセキュリティソフトなどでスキャンする
・定期的なバックアップ  など

ご自宅での対策はもちろんですが、企業のITリソースも個別に守る必要があります。メールの取り扱いにはとくに注意する必要があります。また企業においては内部/外部ネットワークに対し密に接するエンドポイント(endpoint / end point)が感染した場合、よりすばやく隔離することも重要です。

 

5. サイバー攻撃をいち早く知るためには?

ユーザーを狙ったサイバー攻撃が高度化するなか、事前の対策や予防ではすべての攻撃を防ぎ感染被害をなくすことは難しいとされています。そこで重要なのは早期発見・早期駆除です。マルウェア、脆弱性、侵入者の情報(IPアドレス、シグネチャ)、エクスプロイトなどの存在は攻撃を受けている証拠であり、これらを素早く察知し、被る影響を最小化することを目指す必要があります。調査ツールの活用は有効な措置です。

 

5-1. 疑わしい症状をフリーツールで検査

大手メーカーより無償提供されているツールは調査のみのものが大半ですが、疑わしい症状が実際に感染によるものなのかを早急に調べる場合に有効です。またトラブルシューティングを行う方法や削除に必要なツールの紹介もあり便利です。

1)Microsoft Safety Scanner(マイクロソフト)

Safety Scanner はダウンロード後 10日間使用でき、検出から削除まで可能です。

https://docs.microsoft.com/ja-jp/windows/security/threat-protection/intelligence/safety-scanner-download

2)VirusTotal(Google)

マルウェアの検出のみですが、疑わしいと思われるファイルや、Webサイトの確認が容易にできます。

https://www.virustotal.com/gui/

3)トレンドマイクロオンラインスキャン(トレンドマイクロ)

パソコン内のウイルスなどの不正プログラムを検出するツールです。

https://www.trendmicro.com/ja_jp/forHome/free_trial/onlinescan.html

4)Threat Intelligence Portal(カスペルスキー)

疑わしいファイル、IPアドレス、URL、ハッシュ値などを調べることができます。

https://opentip.kaspersky.com/

 

5-2.マルウェアを解析(技術者向け) – IDA

高機能な逆アセンブラの技術は、マルウェアの解析やシェルコード解析に欠かせないリバース・エンジニアリングの一つです。IDA(アイダ)は、マルウェア解析やプログラムの脆弱性チェックのために用いられる逆アセンブラ兼デバッガーソフトです。

IDA Homeエディションは、x86/x64、ARM、MIPSを含む主な5つのプロセッサに、Professinalエディションは、60以上のプロセッサに対応しています。Windows / Linux / MacOS Xなど対応プラットフォームもご選択いただけます。

5-3.マルウェアを検知(企業・大学・そのほかの機関向け) – VirusTotal Enterprise

VirusTotalは、疑わしいファイルやURLの分析とマルウェアの検出、そして情報共有のためのプラットフォームです。70以上のアンチウイルススキャナーとURL/ドメインブラックリストのサービス、および調査したコンテンツから信号を抽出するための無数のツールを使用してアイテムを検査します。

VirusTotalには、誰もが無料で利用できるWebサービスと、プレミアムユーザーのみに機能が限定される有償サービスの VirusTotal Enterpriseがあります。ここではEnterprise版をご紹介します。

VirusTotal Enterpriseには、下記4つのエディション(Starter / Basic / Professional / Enterprise)に分かれています。

VirusTotalは、月ごとの設定検索数やダウンロード数などの条件により価格が異なります。弊社で提供が可能なのは 12ヶ月契約の年間ライセンスです。

また大学ユーザーさまが VirusTotal のメンバーとなる場合、VirusTotal Enterprise のサービスを2週間分無償でご利用いただける権利がメーカーより提供されるため、利用期間は「1年間 + 2週間(特典)」となります。

なお無償トライアル版(試用期間 14日)の申請をすることで実際にお試しいただくことも可能です。

FREE TRIAL
https://www.virustotal.com/subscription/signin-request
A two-week free trial is available upon request to gain insight into usage before selecting a subscription package.
The trial includes access to both VirusTotal Intelligence and the private mass API.
Registration is required before a free trial can be activated.

 

VirusTotal には様々なアドオン(Add-on)が用意されています。APIを使用すると、より簡単な操作で疑わしいファイルやリンク(URL)のアップロードからスキャニングやチェックが可能になります。すべてのユーザーが利用できるAPIと、プレミアムユーザーのみに制限されているAPIがあります。プライベートAPI(アドオン)の追加をご希望の際にはお問い合わせください。

VTAPI
https://developers.virustotal.com/reference
※Public vs Premium APIを参照
(VirusTotal File Feed /  VirusTotal URL Feed / Additional Private-graph 等)

 

5-4.マルウェアのサンプル(ベンダー向け) – VirusTotal Enterprise

VirusTotal Enterprise の機能の一つである「VirusTotal Intelligence」は、IOC(Indicator of Compromise, セキュリティ侵害インジケーター)の分析に有効です。世界中からVirusTotalサイトへアップロードされたマルウェアの疑いのあるサンプルファイル(検体)を、アンチウイルス検出名、サイズ、ファイルタイプ、バイナリコンテンツ、行動パターン、ドライブバイダウンロードURLといったサンプルの特性の条件で検索・リスト化し、それらのサンプルを精査のためにダウンロードすることができるサービスです。

サイバー攻撃の脅威情報の分析は、既知の脅威を防ぐだけでなく、新種のマルウェアをよりすばやく発見し、新たに起こる攻撃や脅威の予知や予測、対策に役立てられています。

※これらの対策により安全性は高まりますが、新しい攻撃的なマルウェアの悪用の被害に遭わないことを保証するものではございません。

セキュリティ情報(その2)では、2020上半期報告一覧をご紹介します。