●まずは10位〜7位
2015年もセキュリティ業界ではさまざまな事件があった。インテル セキュリティによるビジネスパーソン対象のアンケート では、認知度第1位の事件として日本年金機構の年金個人情報流出事件がランクイン。次いで金融関連フィッシングや、振り込め詐欺といった事件が並んだ。これは企業経営者や情報セキュリティ担当者、一般従業員らが対象のアンケート結果だが、2015年、内部の人間から見たセキュリティ業界はどうだったのか。今回、トレンドマイクロでセキュリティエバンジェリストを務める岡本勝之氏に、2015年、衝撃的だった10大オンライン脅威をランキング形式で聞いた。それでは、第10位からみていこう。

○第10位　水飲み場型攻撃

まず岡本氏が第10位につけたのは、「水飲み場型攻撃」。水飲み場型攻撃というのは、Webサイトにアクセスする特定層のユーザーを狙った攻撃で、法的機関や大学、開発機構などが、狙われやすいターゲット層となる。

水飲み場型攻撃自体は、2015年以前から存在していた。岡本氏によると、2015年は攻撃対象が幅広くなり、攻撃対象のユーザーがよくアクセスするサイトだけが改ざんされるのではなく、一般的な正規サイトを改ざんして対象ユーザーにメールを送り、「ここを見てください」と誘導する新手の手法が確認されたという。

上記の攻撃方法は、2015年7月頃に確認された。国内で確認された被害事例では、「EMDIVI」(日本年金機構の端末が感染したといわれる操作型マルウェア)や「PLUGX」(政府系機関や主要産業機関を狙った標的型攻撃で使用されるリモートアクセスツール)を、最終的に感染させる攻撃だったそうだ。

岡本氏は、「水飲み場型攻撃を行なう攻撃者は、自分の攻撃に使えるものをずっと見張っている。『使えるものはすぐ使う』という攻撃者側のスタンスが、今年浮き彫りになった」とする。

○第9位　SDKの汚染

ソフトウェアを開発するためのツールをSDK(Software Development Kit)というが、2015年は、このSDK自体に不正プログラムが仕込まれ、開発者も気付かないうちに不正アプリを開発した、という事件があった。XcodeGhostやMoplus SDKである。

これら不正SDKを使ってつくられた汚染アプリは、遠隔からフィッシングアプリ(フィッシング詐欺など悪意ある不正Webサイトに誘導するアプリ)へ誘導するといった操作が可能になる。

XcodeGhostは、iOS向けアプリ開発ツール「Xcode」を改ざんした不正ツール。この不正ツールは、2015年9月頃、正規のApp Storeで配布されていたことが話題となった。また、Moplus SDKは、中国百度(Baidu)が正式提供しているSDKだが、悪意ある攻撃者によりユーザー権限の必要なく端末を操作できるバックドア機能が存在することが、2015年11月に判明した。

PC向け開発ツールを狙うウイルスは以前からあるが、2015年はモバイルに集中していることが特徴という。「不正プログラムが仕込まれていても、開発者側は気付きにくい」(岡本氏)。

対策はあるのだろうか。「XcodeGhostの場合は、通常のApp Storeからからダウンロードすれば、問題ない。開発用のツールキットはいろいろな場所にホストされていますが、正規サイト以外のサイトから気軽な気持ちでダウンロードすると、それが不正ツールである可能性があります」(岡本氏)。

一方、Moplus SDKは正規のSDKだ。「アプリ作成に使われているSDKを手軽に判定する方法は現状ありません。専門的な解析を行わないとわからないものです」と岡本氏。これに関する対策は、セキュリティ関連の情報をいち早く入手し、怪しいと疑われるアプリを削除することが大事という。

○第8位　公開サーバへの攻撃

公開サーバへの攻撃とは、脆弱性の攻撃や、管理アカウントを乗っ取るといった方法で、公開しているWebサービスなどのサーバに対し攻撃する手法だ。Webサービスを運営する会社から"個人情報漏えいのお詫び"などと題した発表を見たことがある方も多いだろう。

これも従来から続いているオンライン脅威のひとつだが、2015年の第3四半期(7月から9月)に急増した。2015年7月頭にクレジットカード情報約1万1千件が流出した新日本プロレスの事件などをきっかけに、「もしかしたら自分の会社も」と調べ公表が相次いだ可能性がある。「大きな事例があると、それを契機に自社でも調べて発覚するケースは多いですね」(岡本氏)。

狙われている情報は、個人のアカウントやクレジットカード番号などで、「蓄積されている情報を、まとめて搾取する」という。流出した情報は、本人になりすまして他サイトにログインするアカウントリスト型攻撃にも使われるリスクがある。

8位へのランクイン理由は、"外部からの指摘"で攻撃が発覚する点。公開サーバへの攻撃は、外部からの指摘が9割で「なかなか侵入に気づけないところが怖い」(岡本氏)。

公開サーバから情報が流出することを100%未然に防ぐことは、難しい。流出した場合に備え、ほかに利用しているサイトに影響が出ないよう、サイトごとにパスワードを変えておくことが重要という。

○第7位　新型オンライン銀行詐欺ツール

2015年上半期の被害件数は754件、被害金額は約15.4億円。ネットバンキングへの攻撃も、2015年、広く注意を呼びかけられたものだ。これも以前から続く攻撃だが、2015年は被害額の高さに加え、WERDLODのような、感染PCのインターネット接続設定を不正に変更する新型オンライン銀行詐欺ツールの発生で、ツールを駆除しても情報が搾取されるという手口の巧妙さが、7位にランクインした理由だ。

プロキシ設定を自動変更する新型オンライン銀行詐欺ツールは、2014年12月に国内で初めて確認された。本格的な被害は、2014年12月から2015年3月の期間で発生。同社が確認しただけで約600台の端末から検出され、2015年末時点の感染端末はさらに増えているとみられる。ほか、2015年は、市販のWebサーバソフトウェア「Apache HTTP Server」を利用して攻撃する新手のオンライン銀行詐欺ツール「SHIZ」(シズ)も出現した。

岡本氏は「オンライン詐欺ツールというと、『オンラインバンキング以外は関係ない』という印象があるが、オンライン銀行の情報以外にもビットコインやPOS情報を盗むものもある」と注意を促す。

●第6位〜第4位は?
○第6位　Hacking Teamのゼロデイ脆弱性流出

Hacking Teamは、イタリアにあるソフトウェア会社。イタリア国家などと取引し、ネットワーク通信の監視といった、ハッキング的な挙動をするツールを取り扱う会社だ。2015年7月、このHackingTeamの機密情報が、逆にハッキングされるという事件が起こった。そしてAdobe Flash PlayerやWindowsに関する、誰も知らなかった未発見の脆弱性5件の情報が流出することになる。

6位となった理由は、ゼロデイ脆弱性情報を持つ企業がハッキングされ、そのデータが流出した点がひとつ。また、7月5日にWeb上にさらされたゼロデイ脆弱性が、その2日後という驚異的な速さで、攻撃に使われた点がひとつだ。

Microsoftが、このゼロデイ脆弱性に対処した定例外の緊急パッチを配布したのは、ゼロデイ脆弱性情報の公開から約2週間後となった。「ゼロデイ脆弱性の悪用は個人での対策がしにくい」と岡本氏は話す。

○第5位　ランサムウェア

データを暗号化し身代金を要求するランサムウェアも、以前からあった攻撃方法だ。最近Twitterで話題になった「vvvウイルス」も、この一種にあたる。

2015年の特徴は「ネットワーク上のファイルも暗号化する」こと。従来は個人をターゲットとすることが多かったが、2015年は法人を標的に、ネットワーク上の機密ファイルを暗号化するランサムウェアが出現した。被害が深刻化しているとして、5位のランクインだ。

「重要ファイルの損失はビジネスの不利益に直結するので、より被害が深刻化してしまいます。ネットワーク経由で広がるので、感染した端末から被害が拡大し、会社全体の端末が使えなくなる恐れもある。被害の拡大も重大です」(岡本氏)。

感染させる手法は、Webサイト閲覧による脆弱性攻撃やメールの添付ファイルなどだ。脆弱性攻撃の対策は、FlashやInternet Explorerの脆弱性対策アップデートをすること。メールの場合は、添付ファイルや記載された不正サイトURLで感染させられるため、不審なファイルや怪しいURLを検出するセキュリティ対策をすること。

なお、岡本氏によると、ランサムウェアで暗号化されたファイルの復元は「非常に難しい」という。暗号化されたデータは復元されないものと考え、バックアップをとっておくことも重要だろう。

○第4位　エクスプロイトキット

第6位のHacking Teamの内容とも関連するが、2015年は、ゼロデイ脆弱性がエクスプロイトキットに実装された事例が確認された。ウイルスを感染させる手段として、脆弱性攻撃は効果的だが、パッチが出る前のゼロデイ脆弱性を攻撃するエクスプロイトキットの登場で、「エクスプロイトキットは脆弱性対応の日数が早まっている」ことがわかったという。

2015年に確認されたエクスプロイトキットは、1週間から2週間くらいで新しい脆弱性に対応するという。「ゼロデイ脆弱性を突いて攻撃する事例を実際に確認しています。脆弱性の攻撃は、パッチを当てていれば攻撃を防げますが、未発表のゼロデイ脆弱性だとそうはいかない。被害に遭ってしまう」(岡本氏)。

4位にランクインした理由は、「サイバー攻撃の中核を担う脆弱性攻撃を、簡単にできるようにした影響が大きい」こと。

エクスプロイトキットは、ネット上のアングラサイトを発見できれば、比較的簡単に入手できるという。岡本氏によると「価格はピンキリ」。1個の不正サイトを作るツールもあれば、多数の脆弱性を攻撃するサイトを構築する商品もあり、「数千ドルのものもあれば、数百ドル、何十ドルのものもある。途中でソースがリークされ、ただで配る場合もある」とのことだ。

●いよいよ第3位〜第1位!
○第3位　App Store迂回

いよいよ第3位。「App Store迂回」とは、App Store以外のサイトでiOSアプリが配布できることを指す。この事例が最初に確認されたのは2014年12月で、この時は悪意の"ない"、通常アプリの配布だったが、2015年はこれを不正プログラム入りアプリの配布に悪用した攻撃が、国内で確認された。

この攻撃は、「iOSアプリは安全である」というユーザーの認識の裏をかいたもので、岡本氏はこの点に警鐘を鳴らす。「iOSアプリは、App Storeからしかアプリをインストールできないという認識がありますが、App Store経由でなくても、アプリをインストールできる、という迂回路が見つかった。これを知っていないと、気づかないうちに不正アプリをインストールする危険がある」という。2015年は、この方法で、iOS端末をワンクリックウェア(アダルトサイトなどで同意のない不当な料金請求を行う画面を表示させるソフトウェア)に感染させる攻撃が確認された。

この「App Store迂回」はもともと、自社開発したアプリを限定された端末に配布するといった用途で使うプロビジョニングプロファイル(Provisioning Profiles)という仕組みを悪用したもの。Appleが開発者向けに提供している正規の機能だ。

対策のひとつは、「アプリは正規サイトからインストールする」こと。また、「この種の攻撃があることを知っている」こと。岡本氏は、ダウンロードするため誘導された先が不正サイトでも、「『App Storeからしかダウンロードできない』と思い込んでいると、不正アプリを疑わずにインストールしてしまいますから」と注意を喚起する。

○第2位　標的型メール(標的型サイバー攻撃)

第2位は、標的型メール。よく知られる攻撃手法だが、2015年は、日本年金機構をはじめ、多くの企業が狙われ情報が流出したとして、岡本氏は「今年の日本のセキュリティの事件の中では大事件だった」と振り返る。

攻撃者は社内でやりとりしているメールを監視し、「1日前に行われたミーティングの議事録です」とか「明日の会議のアジェンダです」といった、職場の内情に合ったメールを送信する。実際、本当の社内報がメールで送られた後、これが監視されており「社内報に訂正があります」という標的型メールが送られた事例もあるという。業務として閲覧するので、非常に避けにくい攻撃だ。

メールには、あえてパスワードを付けた、ウイルス入りの圧縮ファイルが添付される(これには、セキュリティ製品の検出を逃れる役割もある)。このパスワードは、例えば個人の携帯電話番号の末尾といったような詳細情報に紐づくものもある。「これを見た人は信用してファイルを開いてしまう。メールを監視して内部情報を調べているなら、それ以上する必要がないんじゃないかと思うのですが(笑)。しかし攻撃者は、そこを入り口にして、より高度な機密情報を盗むわけです」と岡本氏。特に、管理者権限のIDやパスワードが狙われやすい。

標的型攻撃も2015年以前からあるが、日本年金機構の事件などで世に広められ、「業界に与えた影響が大きかった」ため、2位にランクインした。対策はまず、添付ファイルに注意すること、サンドボックス(外部から受け取ったプログラムを保護された領域で動作させることでシステムの不正操作を防ぐ機構)で開いて挙動を確認することなどだ。

○第1位　不正広告

さて、長らく2015年のオンライン脅威をお届けしてきたが、堂々の第1位がこちら「不正広告」だ。

不正広告というのは広告経由の攻撃。Webのバナー広告というのは、広告媒体のWebサイトを集め、多数のWebサイト上で自動的に広告を配信する「広告配信ネットワーク」の仕組みで成り立っている。広告主と掲載媒体のあいだに、秒単位で広告とサイトのマッチングを判断するシステムが介在し、短時間でも、多数のサイトに一度に配信される。

「今まではクリックをして、広告を実際に表示させるとウイルスに感染するという印象だったが、最近は、クリックしなくても、表示するだけで、脆弱性を攻撃され被害に遭ってしまう」(岡本氏)。2015年は、日本語の不正広告が確認され、日本が標的になった。影響するサイトの範囲の広さ、そして「インターネットを見るだけで感染につながる。『このオンライン脅威がヤバい』という趣旨なら間違いなく1番」ということで、2015年のオンライン脅威第1位を獲得した。

不正広告が混入する原因は、配信ネットワークへの不正アクセスによる改ざんのほか、不正広告自体を出稿する方法がある。しかし、広告ネットワークは複雑なため感染経路の追跡は困難だ。

2015年以前は、不正広告が日本の中で被害事例が少なく、「どれほどの脅威かわかっていなかった」という。2015年は、実際に不正広告が表示されたと思しきWebサイトが3,700件以上に上ることが確認された。いずれも正規のニュースサイトやメディアのサイト、まとめサイトなどで、「ユーザーにとっては『いつも見ているサイトを表示したら不正広告が出て、そのままウイルスに感染した』という、非常に怖い状況」(岡本氏)だ。「2015年、これが一番大きな話ですね」と語る。

不正広告で使われる攻撃ツール(第4位に登場したエクスプロイトキット)は、FlashやIE、Javaの脆弱性を一括して攻撃。FlashやJavaなど、ひとつでも最新パッチを当てていないと、ウイルスに感染する。

対策は脆弱性をふさぐこと。岡本氏は「逆に言うと、脆弱性がふさがっていれば、何の問題もない」と説明する。「確実な対策は、脆弱性のパッチをあてすべて最新版にしておくこと」(岡本氏)という。

(村田奏子)