写真提供:マイナビニュース

写真拡大

●マルウェア対策、一番の弱点は人間?
キヤノンITソリューションズとESETが共催した企業向けセキュリティイベント「ESET Security Days」では、両社がそれぞれ2016年および2017年のマルウェア動向について解説。両社は、グローバルでも国内でも、ランサムウェアの拡散やIoTへの攻撃が2017年以降も継続して問題になるとみている。

ESETのテクニカルフェローであるPeter Kosinar氏は、まず、MS-DOS時代のウイルス「Casino」の画面を紹介。感染すると「FATを破壊した」という表示が出るが、カジノゲームのジャックポットに勝てば復旧する、という表示が出てくるというものだった。Kosinar氏は「当時もこういうこと(データの破損)がお金になると分かっていた」と語る。

○ランサムウェアの洗練進む

去年最も流行したウイルスといえば、世界中で被害が発生したランサムウェアだろう。1回の要求金額が40ドルなど比較的低価格だが、攻撃者全員に支払っているとキリがない。ランサムウェアの攻撃は、「数時間以内に支払わなければ」といったように期限を決めることで判断を鈍らせるようなやり口で支払いを促す。

ランサムウェアの攻撃では、「正しく暗号化しなくても十分な被害を与えられる」(Kosinar氏)点も問題となる。攻撃によっては暗号が解除できない例もあり、逆に不十分な暗号化のため、セキュリティ企業側で復号化できた場合もあったそうだ。

しかも、身代金が支払われなかった場合に、攻撃者はその理由を分析し、次回はそれを改善するという取り組みもあるそうで、例えばTeslaCryptというランサムウェアは「最初のバージョンはあまり高度ではなかったが、その後改良されてきた」(同)という。

このTeslaCryptは、日本を含め世界中で大きな被害を出したが、突如Webサイトを閉鎖し、謝罪文を掲載するという事件が起きた。当初は単に謝罪文が掲載されていただけだが、その後、被害者向けのサポートフォーラムに復号化のための情報を開示するよう求めたところ、情報が公開された。Kosinar氏はこの事態を「驚くべき事態」と表現。ただ、ほかの同様のグループで「意図的なギブアップはない」(同)そうだ。

○弱点は人間? PCを物理破壊するマルウェアも

ランサムウェアをはじめとしたマルウェア対策において、Kosinar氏は「人間が一番の弱点」と指摘する。人によっては、USBメモリが道に落ちていて、それを拾ってPCに繋ぎ、中に入っているファイルが企業の給料、将来計画、人事計画といった興味深いファイル名だとクリックしてしまうことがある。そのUSBメモリにウイルスが仕込まれていたなら、その1クリックで会社内にマルウェア感染を拡大させてしまう危険性もある。Kosinar氏は、「教育訓練が必要だ」と強調する。

ちなみに、こうしたUSBメモリの攻撃では、マルウェア感染によってデータを破壊するだけでなく、「物理的に本当にPCを破壊する」ものもあるそうで、USBポートに差し込まれると、基板が焼けるまで電流を流し続けるのだという。

ランサムウェアの対策としては、バックアップが一般的だが、同じPC内にコピーするだけでは意味がない。かつ、クラウドストレージへのバックアップも、同期によって暗号化されたデータに置き換えられてしまう危険性がある。「バックアップすることが大事なのではなく、復旧できることが大事」とKosinar氏は強調する。バックアップを取った上で、それが復元できることをきちんと検証すべきだとアドバイスする。

○IoTはインターネット オブ 「ターゲット」

さらにKosinar氏はIoTも問題視する。ルータ、監視カメラ、テレビ、車など、画面やキーボードがなく、コンピュータに見えない製品でも、OSが搭載され、インターネットに接続する機能を備えたIoTデバイスは、今後攻撃の対象となることが危険視されている。

Kosinar氏は、「そのあたりで購入したIoTデバイスを買って調べてみればいい。私が買って脆弱性を発見できなかったのは一度だけで、それはセキュリティ研究者が作ったものだけ」と話す。

「IoTは、Internet of Targetsだ」――これまでインターネットに繋がっていなかったデバイスが繋がることで、攻撃者からターゲットとして狙われるようになり、データの盗難など、さまざまな被害が出始めている。

ランサムウェアは継続した攻撃が見込まれ、IoTのような「スマートデバイス」が増えれば、自然と脆弱性を狙われることになる、とKosinar氏は警告する。しかも、製品のライフタイムに比べてサポート期間が短いため、脆弱な製品が長く残ってしまう危険性があると指摘する。

●日本では情報搾取型マルウェアが流行
日本のセキュリティ動向としては、「メール攻撃の激化」、「ダウンローダやランサムウェア、情報搾取型マルウェアの大流行」、「IoT機器を踏み台にしたボットの発生」の3点が特徴的だったという。解説したのはキヤノンITソリューションズのマルウェアラボマネージャー、石川堤一氏。

○2016年下期の半年間だけで、過去1年分のマルウェアを検出

2016年11月の段階で同社は、2016年第3四半期にESETがマルウェアを検出した数が急増し、過去最高になったとしていたが、16年第4四半期はその傾向が継続し、ほぼ同程度の検出数となった。2015年下期から16年上期の1年間で検出した数と、16年下期に検出した数がほぼ同程度で、この半年で過去1年分のマルウェアが検出されていたことになる。

16年3月以降はダウンローダがメール経由でばらまかれ、ランサムウェアの感染を狙ったものが多かった。情報窃取を狙ったマルウェアも大量にばらまかれており、国内ではこの2つの攻撃が主流となっている。

攻撃の高度化も続き、コードの難読化や仮想環境下では動作しない環境対策などが普及してきているという。

○ダウンローダの防御が重要

ランサムウェアも流行したが、多くはまず、JavaScriptによるダウンローダに感染し、それがランサムウェアをダウンロードする形になるため、この「入口」となるダウンローダの感染を防ぐことが重要になる。また、石川氏はランサムウェアの認知度がまだ約3割程度と低い点も問題視し、啓蒙活動に力を入れたいとしている。

○日本では情報搾取型マルウェアが流行

世界と比較したなかでの、日本特有の動きとしては、情報窃取型マルウェアのBeblohの流行が挙げられる。

Beblohは2016年6月頃から流行。日本語メールに添付された形で届き、ファイルアイコンの偽装や二重拡張子といった古典的な騙しのテクニックが使われているが、日本語の文面が洗練されているため、気付きにくくなっている。

感染するとユーザー入力の情報を収集して外部に送信するため、最悪の場合はネットバンキングのIDとパスワードが盗まれて不正送金の被害に遭う可能性もある。

○ルータとつながるデバイスすべてが標的に

IoT機器では、2016年後半に発生した「Mirai」の登場が大きなインパクトを与えた。MiraiはIoT機器によるDDoS攻撃に悪用されたが、このMiraiに感染したボットのものと思われる通信は国内でも観測されており、感染が広範囲にわたっていたことがわかる。石川氏は、これによって「将来の攻撃への伏線ができてしまった」と指摘する。

石川氏は、IoT機器に感染することでDDoS攻撃などを実行できることが分かったことで、今後も同様にIoT機器やスマート家電といった製品が標的として狙われることになると予測する。

○日本語の攻撃メールがテンプレ化

メール攻撃も継続して続き、JavaScriptによるダウンローダを添付してさまざまなマルウェアの感染を狙った攻撃は2017年も変わらないと石川氏は推測。攻撃の多様化が進み、IoT機器の攻撃も拡大するとみられ、「グローバルIPアドレスが割り当てられる機器だけでなく、ルータ配下にぶら下がるようなデバイスすべてがターゲットになる可能性がある」と石川氏は語った。

今年1月だけでもすでに多くの日本語メールにマルウェアが添付された攻撃が確認されており、16年よりもさらに攻撃が増えると懸念されている。被害に遭わないためにも、適切な対策を検討し、導入していく必要があるだろう。

(小山安博)