2014年のセキュリティの10大トレンド

2015年1月16日

Kaspersky LabのGlobal Research and Analysis Team(GReAT)は、セキュリティ業界で2014年に起きた10のトレンドをリストアップし、昨年を総括しました。

頻発したAPT攻撃

APT集団の勢いは2014年もまったく衰えませんでした。Kaspersky Labのリサーチャーは、少なくとも6つの攻撃集団について独自の調査結果を発表しています。2月にはスペイン語話者による活動「Careto」がありました。7年ほど前から続いていた攻撃です。Careto(別名The Mask)は、改変が容易でマルチプラットフォーム対応のマルウェアキットを使用して、世界31か国の政府機関、大使館、エネルギー企業、研究機関、未公開株式投資会社、活動家から重要情報を盗んでいました。

それから約1か月後の3月、大規模なサイバー攻撃Epic Turlaが確認されました。Epic TurlaはAdobe Acrobat、Windows XP、Microsoft server 2003のゼロデイエクスプロイトのほか、Java、Adobe Flash、Internet Explorerのぜい弱性を利用した水飲み場型攻撃を数多く用いていました。

6月には別の集団が、「Luuuk」という攻撃でヨーロッパの大手銀行の顧客から1週間で50万ユーロを盗み出しました。Kaspersky Labはこの攻撃のマルウェアサンプルを入手できませんでしたが、ユーザー名、パスワード、ワンタイムパスコードが盗まれ、標的の口座残高の確認と取引の自動実行に使用されたものと見られます。

6月後半、「MiniDuke」攻撃の新バージョン「CosmicDuke」が出現しました。標的は、政府、外交機関、エネルギー企業、軍、通信事業者です。不思議なことに、この攻撃では、ステロイドや成長ホルモンといった違法薬物の売買に関与する犯罪者集団も標的としていました。

7月後半、Kaspersky LabはCrouching Yeti攻撃集団に関する調査結果を発表しました。シリア、トルコ、サウジアラビア、レバノン、パレスチナ、アラブ首長国連邦、イスラエル、モロッコ、フランス、米国の標的から知的財産などの重要情報を狙い、シリア、ロシア、レバノン、米国、ブラジルのIPブロックから攻撃を仕掛けていました。

他の注目すべき攻撃として、11月に報告されたDarkHotelがあります。攻撃者はアジア太平洋地域のホテルのネットワークを感染させ、世界各国から訪れた企業幹部のPCにマルウェアをインストールしていました。

重大なぜい弱性とモノのインターネット

Kaspersky Labのリサーチャーは、未解決のままのいくつかのバグが、インターネットユーザーのほとんどと、急速に普及が進みコンピューターよりも身近な存在になった「モノのインターネット」デバイスに影響を及ぼすのを目の当たりにしています。広範囲に影響するHeartbleedShellshock(Bash)といったバグは、無数のシステムに長期にわたって存在していました。その影響の全体像はいまだ不明であり、これからもそうである可能性が高いでしょう。

スマート家電やIP対応サーモスタットといった一見最先端にみえるデバイスは、まだそれほど普及していません。それに対して、現代の家庭はスマートテレビ、ルーター、モバイルデバイス、コンピューター、ゲーム機などのネット接続型デバイスで溢れています。これらのデバイスは、OS、ソフトウェア、アプリケーションと同じようなぜい弱性を抱えており、HeartbleedやBashなどのぜい弱性は、利用者が気付くことなく、何年もデバイスに残るかもしれません。問題は、こうしたデバイスはコンピューターやソフトウェアプラットフォームよりアップデートが難しい場合が多いということです。今年Kaspersky Labのデイビッド・ヤコビー(David Jacoby)が発見したように、現代の家庭は衝撃的なまでにハッキングに対してぜい弱なのです。

増え続けるモバイルマルウェア

Kaspersky Labが2004年から2013年の間に解析したモバイルマルウェアのサンプルは、約200,000点でしたが、今年だけで新たに295,539点のサンプルを解析しました。大半のモバイルマルウェアの目的は、オンラインバンキングの認証情報を盗み、それを利用してお金を盗むことです。しかし、Kaspersky Labのリサーチャーは、今年はモバイル版のランサムウェアや偽のアンチウイルスマルウェアも出現したと指摘しています。さらに、AppleのモバイルOSであるiOSが、WireLurkerマルウェアの攻撃を受けました。WireLurkerは、脱獄(jailbreak)していないiOSデバイスを攻撃できる初のマルウェアです。

Mac_malware_correct

ランサムウェアと言えば…

デバイスへのアクセスをブロックする、感染マシンの全ファイルを暗号化するなど、2014年はランサムウェアが猛威を振るいました。CryptoLockerCoinVault、ZeroLockerをはじめ、さまざまなマルウェアが、コンピューターを元通りに動かすことと引き替えに、金銭の支払いを(主にBitcoinで)要求しました。ランサムウェアは将来のサイバー犯罪の中心になると考えるエキスパートもいますが、もちろん対策はあります。

「ランサムウェアは、ユーザーが金銭を支払うことを前提としています。しかし、お金を払ってはいけません。そのかわり、データを定期的にバックアップしましょう。そうすれば、ランサムウェアの被害に遭っても(またはハードウェアが故障してファイルにアクセスできなくなっても)、データが消えてしまうことはありません」とGReATは説明しています。

ATMのスキミング

ATMから現金や重要な金融情報を盗む手法やマルウェアは、決して新しいものではありませんが、2014年はATMを狙った犯罪が多発しました。なかでも特に高度なマルウェアが「Tyupkin」です。アジア、ヨーロッパ、中南米の犯罪者は、まずATMに物理的にアクセスし、CDからATMにTyupkinをロードした後、感染させたマシンを再起動します。これで、犯罪者はそのマシンを制御できるようになります。次に、現金の回収係がATMに向かい、ある特定のコードを入力すれば、現金を引き出せますが、犯行の発覚を防ぐために、特定の時間にだけ実行していました。

「近年ATMに対する攻撃が急増しているのは、自然な流れと言えます。物理的にスキミング装置を取り付けたATMでカードのデータを読み取る手口は以前からありますが、ATMに対する攻撃は、この手口をさらに発展させたものなのです。残念ながら、既知のぜい弱性を抱えるOSが多くのATMで稼働しています。そのため、物理的なセキュリティがいっそう重要になります。Kaspersky Labはすべての銀行に対し、ATMの物理面のセキュリティを見直すよう呼びかけています」

XPのバグはすべてゼロデイ

MicrosoftはWindows XPのサポートを終了しました。これはつまり、Microsoftの月例パッチ(同社がリリースするセキュリティのぜい弱性向けの修正)に、Windows XPのバグ修正が含まれなくなったということです。別の見方をすれば、2014年4月8日以降に発見されるWindows XPのぜい弱性は、すべてゼロデイぜい弱性なのです。大したことではないと思えるかもしれませんが、Windows XPは今でもデスクトップOSの市場で約14%のシェアを占めています。コンシューマー向けのPCだけでなく、ATM、重要インフラシステム、医療機器といったデバイスや、さらには銀行や病院のコンピューターで、いまだにXPが稼働しており、重要なデータや処理を扱っています。そのため、XPは2014年にサポートが終了しましたが、今後も頻繁に攻撃を受けるでしょう。

Torネットワーク

匿名通信システムTorは2014年、一躍主流のサービスとなりました。Kaspersky Labのリサーチャーは、今年Torの利用が急増した主な原因として、米国家安全保障局(NSA)のエドワード・スノーデン(Edward Snowden)氏が政府の諜報活動を内部告発したため、プライバシーに関する懸念が拡大したことを挙げています。しかし、Torネットワークは犯罪活動の温床でもあります。Tor上でサーバーの運用も可能で、この機能は「秘匿サービス」として知られています。この秘匿サービスによって、さまざま違法商品や違法サービスの市場が生まれているのです。むしろ、Tor内の地下市場を探せば、思いつくものは何でも買えるというくらいです。

Kaspersky Lab's #antimalware team now processes 325,000 new malicious files each day. Learn more: Kas.pr/E3bx

A post shared by Kaspersky Lab (@kasperskylab) on

善悪があいまいなソフトウェア

残念ながら、ソフトウェアを良いプログラムと悪いプログラムにはっきり分けることはできません。正当な目的で開発されたソフトウェアが、サイバー犯罪者に悪用されるリスクは常に存在します

「残念ながら、ソフトウェアを良いプログラムと悪いプログラムにはっきり分けることはできません。正当な目的で開発されたソフトウェアが、サイバー犯罪者に悪用されるリスクは常に存在します。当社は2月のKaspersky Security Analyst Summit 2014で、一般的なラップトップと一部のデスクトップコンピューターのファームウェアに盗難対策技術の不適切な実装が存在し、これがサイバー犯罪者の強力な武器となりかねないことを説明しました」。Kaspersky Labのリサーチャーはこのように書いています。

実際、私は今年のBlack Hatセキュリティカンファレンスで、謎のバックドアComputeraceに関する記事を書きました。その記事で、正当な目的で開発された善意のソフトウェアであっても、悪意ある者に不当に利用されかねない、という興味深い現象を紹介しています。

Mac_malware_correct-1-1024x1024しかし、また別の側面もあります。倫理上問題のあるふるまいを見せる「合法」ソフトウェアの存在です。一例は、Hacking Teamというイタリアの企業が開発した「Remote Control System」(RCS)です。RCSやRCSの類似プラットフォームは、技術的には合法ですが、国内外の反対派や市民権擁護団体を監視するために独裁政権で使用されています。

Kaspersky Labのリサーチャーは自社の方針に従い、あらゆるマルウェア攻撃を、その起源や目的を問わず検知し、修正しています。

プライバシーかセキュリティか

誰もがプライバシーを守ろうと奮闘していますが、それができないこともあります。その理由の1つは、セキュリティという不便さに邪魔されたくないからです。今年iCloudからセレブの写真が流出した事件を見ると、そのことがよくわかります。iCloudのアカウントが強力で他にはないパスワードで保護されていれば、写真は流出しなかったでしょう。また、Appleがあらゆるログインに2段階認証を使えるようにしていれば、そしてこの不正アクセスの被害者がこうした機能を設定していれば、有名人の写真は流出しなかったはずです。しかし、強力なパスワードや2段階認証の設定は、あまり頼りにならない人たち、つまり消費者にセキュリティの責任を負わせることになります。

Survey participants are worried about #webcam #malware. Are you? #Kaspersky #security #cybercrime #cybercreep

A post shared by Kaspersky Lab (@kasperskylab) on

セキュリティの設定がよろしくなかったからといって、その責任が消費者にあると非難するのは、筋が通りません。オンラインサービスを提供するIT企業は、サービスにセキュリティを組み込む必要があります。こうした理由から、AppleとGoogleが発表したモバイルデバイスの既定での暗号化や、テキストメッセージでワンタイムパスワードを送信するTwitterの新しい認証サービス「Digits」は、期待の持てる動きであり、2014年のセキュリティ分野にとって正しい方向に進んだと言えます。

サイバー犯罪者を捕らえるようになった警察機関

最後に重要な話題です。報道機関から監視活動を酷評されたこともありましたが、極めて困難ながら報われない任務を抱える警察機関にとって、2014年は有望な年となりました。Kaspersky LabのGReATのリサーチャーは、国際警察が今年挙げた成果を詳しく紹介しています。

世界中の警察組織が協力し、「GameOver Zeus」ボットネットを閉鎖に追い込みました。GameOver Zeusは当時、市場において最大級の規模を誇るクライムウェアキットでした。GameOverは、本来の目的である認証情報を盗むバンキング型トロイの木馬としてだけでなく、悪名高いCryptoLockerマルウェアの拡散プラットフォームとしても使用されていました。

また、Kaspersky Labは、さらに多くの警察組織が参加した「Shylock」の壊滅作戦に協力しました。Shylockは、Man-in-the-Browser攻撃を実行して、オンラインバンキングサービスのユーザーからログイン情報を盗んでいたトロイの木馬です。最近では、「Onymous作戦」によって、Torネットワーク内で運営されていた闇市場が閉鎖されています。