◆大規模データ侵害◆
シマンテックがセキュリティ脅威レポート最新版
大規模データ侵害が多発、標的型攻撃も巧妙に
2014.04.17−シマンテックは16日、昨年のネットワークセキュリティ動向についてまとめた「インターネットセキュリティ脅威レポート 第19号」を発表した。それによると、2013年は大規模なデータ侵害の発生で際立った1年となり、サイバー犯罪者がより高額な利益を狙う大規模サイバー犯罪時代が到来したと評している。具体的なデータ侵害は前年の8倍に達し、5億5,200万件の個人情報が流出したという。
◆大規模データ侵害◆
データ侵害は、2011年に208件、個人情報漏えい件数が2億3,200万件と増加したあと、2012年は落ち着き、2013年9月までは低調に推移していた。ところが、10月から一連のサイバー攻撃が開始され、史上最大規模の被害をもたらすに至ったという。同社では、サイバー犯罪の傾向が変化してきており、小規模の攻撃で少額の金銭を得るのではなく、より高い報酬のために数ヵ月をかけて入念な準備をするようになったことを示していると分析している。
実際、2013年のデータ侵害件数は253件(2012年は156件)、個人情報漏えいは5億5,200万件(同9,300万件)、1,000万件を超える大規模データ侵害が8件(同1件)となっている。とりわけ、10月〜12月の3ヵ月だけでみると、データ侵害の事件発生数は72件で年間の28.5%を占めているが、データ漏えい件数は4億200万件となり、年間の72.8%の被害がこの時期に集中したことになる。サイバー犯罪者は大規模な攻撃を仕掛けてきている。
攻撃の対象となったのは医療機関が37%、教育機関が12%、行政機関が9%と上位で、この3つで過半数を占める。ところが、個人情報が漏えいした件数で比べると、小売業30%、ソフトウエア業28%、金融機関19%で、全体の77%がこの3つから流出したということになる。
◆標的型攻撃◆
2013年に起きた標的型攻撃は、前年から91%増加し、攻撃の持続時間も平均で3倍となった。攻撃ごとのメール数は、2011年の78件から、2012年の122件、2013年は29件と減っているが、攻撃件数は165件(2011年)、408件(2012年)、779件(2013年)と急増。1度当たりの攻撃期間が長く執ようになっているためで、2013年は8.3日間(2012年は3日間)に及んでいる。
標的にされる業界は、世界では行政機関16%、サービス業(専門職)15%、サービス業(新規)14%、製造業13%、金融・保険・不動産13%とばらけているが、日本に限ると製造業が38.6%で突出しており、以下にサービス業(新規)29.8%、卸売業11.1%と続く。
企業規模別では、2011年は従業員数2,500人以上の大企業が50%を占めたが、2013年はその割合は39%に下がり、250人以下の中小企業が30%に増えてきている。日本においても、2,500人以上の大企業が全体の36.9%を占めるが、250人以下も16.5%、251〜500人が23.3%、501〜1,000人が16.5%となっている。
標的になりやすい人は、以前は経営幹部クラスが多かったが、2013年の調査では役員秘書と広報関係者のリスクが高いという結果になった。攻撃側も、標的になる層を変化させ、これまであまり攻撃されていなくて警戒心の薄い人を狙おうとしているのではないかということだ。
また、スピアフィッシング攻撃でのメール添付ファイルは、50%以上が実行ファイル(.exeや.scrなど)だった。ワードやPDFファイルは前年より減少した。実行ファイルの添付は警戒心を起こさせるが、ソーシャルエンジニアリング的手法でファイルを開かせようとする巧妙な手口が目立つという。
◆ぜい弱性◆
2013年は、合計23個のゼロデイぜい弱性を発見した。同社が追跡調査を開始して以来もっとも多くのゼロデイぜい弱性を発見した年になったという。2011年は8個、2012年は14個で、2013年はこの2年間の合計よりも多かった。ウェブサイトのうち、8つに1つがパッチを適用していない重大なぜい弱性を抱えており、サイバー犯罪者はそれらぜい弱なサイトを利用することで攻撃の足場を得る場合もある。実際、新たに見つかった固有の悪意あるウェブドメインは5万6,158個と前年より24%減少した。サイバー犯罪者が自前のサイトを設置してマルウエアをホストする必要がなくなってきているともいえる。
◆ランサムウエア◆
ランサムウエア(身代金要求型不正プログラム)は2013年に世界的に急拡大した。新しいタイプの攻撃であるため、前年比で500%増加した。年間の攻撃数は413万7,000件に達した。
法機関などに連行される恐怖心をあおり、やましいところのある人に簡単に「罰金」を支払わせる手段として広まったもので、ひとり当たりの被害額が100〜400ドルと、サイバー犯罪者にとって利益の高い攻撃手法となっている。オンラインでの支払いのみのため攻撃対象に制約があるが、パレスチナのような小さな地域(インターネットに接続できるPCが150万台)も標的になったという。
とくに、最近脅威が高まっているのが「ランサムクリプト」(Ransomcrypt)。CryptoLocker(クリプトロッカー)がその代名詞的存在で、PCの文書や画像などのファイルを暗号化して利用できないようにし、それを解除するための金銭を要求するというもの。ビットコインなどの仮想通貨での支払いを強要する。昨年12月の時点でクリプトロッカーと特定されたのはランサムウエア全体の0.2%のみで、まだ攻撃件数は少ないが、今後拡大の可能性が高い。
◆モバイル&ソーシャルメディア◆
2013年は、Android(アンドロイド)向けの新しいマルウエアファミリーは、2012年の103個から大きく減少し、57個(45%減)となった。ただ、ファミリーごとの亜種の平均数は倍増し、38個から57個へと増えている。アンドロイド向けマルウエアはやや沈静化の方向で、これは犯罪になるのを避けたいという意識がマルウエア作者に生じたからではないかという。グレーゾーンではマルウエアが増える可能性はあるようだ。
新しい傾向としては、ソーシャルメディアとモバイルが一体化してきているため、「いいね!」を獲得するためのアプリに引っかかるケースが増えているという。例えば「InstLike」というアプリは20個の「いいね!」を無償提供する。そのために、ユーザーはメールアドレスとパスワードを登録する必要がある。「InstLike」は実際に人気アプリとなっているようだが、本当のところはリスクが高いと考えられるという。
◆モノのインターネット(IoT)◆
現在、インターネットに接続される機器が増えており、それらにもネットワークの脅威が忍び寄っている。監視カメラや家庭のベビーモニターなどへの攻撃がすでに確認されており、テレビや自動車、医療機器への攻撃も実証済みだという。
また最近になって、NATルーターが攻撃される例があった。機器内で稼働しているLinuxに感染するもので、ルーターを足場にDDoS攻撃やブラウザーのリダイレクション、ビットコインのマイニングなどを行ったという。パッチを適用しないことによるぜい弱性や変更していないデフォルトパスワードなどがリスクを呼んでいるが、こうした機器はセキュリティソフトをインストールするような機能はそもそも持っていないため、対策が難しい。パッチを当てるしかないが、パッチが提供されるかどうかが不安な場合が多い。IoT分野では、将来的にはウェアラブルデバイスがさまざまな生体情報を集めることが期待されているが、ネットワークセキュリティも同時に考慮していく必要がありそうだ。
******
<関連リンク>:
シマンテック(セキュリティ脅威レポートダウロードページ)
http://www.symantec.com/security_response/publications/threatreport.jsp
