シマンテックは2013年の脅威をまとめた「インターネットセキュリティ脅威レポート第19号」を発表した。2013年を総括するとともに、問題となっている「Heartbleed」問題についても合わせて解説を行った。
シマンテックは2014年4月16日、同社が発表した「インターネットセキュリティ脅威レポート第19号」の記者向け説明会を開催した。2013年におけるインターネット上の脅威を総括するとともに、現在注目が集まるOpenSSLの脆弱性問題(Heartbleed)についても解説を行った。
シマンテック セキュリティレスポンス シニアマネージャ 浜田譲治氏は2013年を「大規模データ侵害の年」と表現した。2013年の攻撃総数は2012年よりも62%増加し、253件を記録しただけでなく、IDの漏えいは5億5200万件(2012年は9300万件)と急増した。これは1000万件以上の大規模データ侵害が8件も起きたことに起因している。
データ侵害が報告されている業種を見ると、医療系、教育、公的機関が全体の58%を占める。ところが、産業別データ侵害のうち、個人情報漏えいの割合を見ると、小売り、コンピューターソフトウェア、金融分野が全体の77%と大きい。これについて浜田氏は「産業別で見ると医療系、教育、公的機関が圧倒的に多いのは、これらの組織には問題発生時に報告義務があるためではないか」と述べる。
標的型攻撃については、2012年に比べ91%増と着実に増えている。攻撃件数は増加しているが、逆に攻撃ごとのメール数、受信者数は減少傾向にある。これは狙う対象をさらに限定し、見つからぬよう少しずつ、長く攻撃を仕掛けるようにシフトしているとシマンテックは考えている。攻撃対象としてもこれまでは役員秘書や広報担当者が狙われていたが、これに加え一般社員もターゲットになっている。
標的型攻撃ではスピアフィッシングでよく使われる単語が幾つかあり、ソーシャルエンジニアリングをたくみに活用することで、exe形式やscr形式の実行ファイルを開く割合が50%を超えている。中にはマルウェアを仕込んだメールを送信後、担当者に電話を行い、確実に実行させるようなパターンも存在しているという。
2013年に発見されたゼロデイ脆弱性は23個で、これは過去2年間の合計よりも多い数値となった。この脆弱性を使ったマルウェアをメールで直接送り込むことも有効だが、より効率的な方法は、Webサイトに埋め込み、利用者に感染を広げることだという。
シマンテックのWebサイト診断サービスを実行したWebサイトにおいて、2013年には78%のWebサイトに何らかの脆弱性が存在したという。このうち、重大な問題が検出されたのは16%だった。サイバー犯罪者は独自のWebサイトを設置することなく、このような脆弱性のあるWebサイトを悪用する傾向があるため、自社のWebサイトが踏み台にならぬよう、管理する必要がある。
PCをロックし、解除の見返りとして金銭を要求するランサムウェア(身代金型ウイルス)は徐々に変化しつつある。ランサムウェアの攻撃は2013年に500%増加し、単にロックするだけではなく書類を暗号化し、その解除の見返りとして電子マネーやビットコインを要求することが増えているという。
これまでは局地的に流行を見せていたランサムウェアにも変化が出てきており、解除方法が書かれているテキストに、日本語を含む多数の言語が使われるようになったという。浜田氏は「日本語はトップ10言語に入るようになってきた。日本人にとっても他人事ではない」と述べる。
モバイルについての脅威は、現時点ではAndroidが攻撃の中心となっている。マルウェアの数は伸びていないが、作成者は既存マルウェアの改良に注力しているようで、亜種が増えているという。
モバイルを取りまく環境においては、ソーシャルメディアの詐欺が増えている。これは投稿に対する「いいね!」を獲得したいというニーズを利用し、これらの評価を獲得する見返りに、ユーザーIDおよびパスワードを入力させるというものだ。モバイルユーザーは自らをリスクにさらしている状況といえる。
しかし、PCとは異なりまだモバイル環境におけるセキュリティソリューションはまだ浸透しているとは言いがたい。モバイルデバイスにおいては基本的なアンチウイルスソリューションを導入しているユーザーは33%しかいない。浜田氏は「個人的な意見だが、PCはこれまでの歴史でセキュリティソフトの必要性が理解されている。モバイルはまだどのような怖さがあるのか分からず、お金を払ってまで入れるものであると認識されていないのでは」と述べる。
記者発表では、注目の集まるOpenSSLの脆弱性を利用した「Heartbleed」についての説明も行われた。シマンテック Trust Services プロダクトマーケティング部 上席部長 安達徹也氏が、SSLサーバー証明書を提供する認証局の立場で解説を行った。
OpenSSLはSSL通信を行うためのサーバー側のライブラリで、WebサーバーのプログラムであるApacheやNginxで利用されている。今回問題となっているHeartbleedはOpenSSLが持つ脆弱性で、
という条件下で発生する問題であり、SSL/TLSの問題でも、SSLサーバー証明書の方式の問題でもないことを解説した。
Heartbleedによる攻撃は、OpenSSLに対してHeartbeat要求を行う際、本来宣言されている64Kbytesのペイロードサイズを1Kbytesにするなど、悪質な形式での要求を行う。すると、脆弱性を含むOpenSSLが稼働するサーバは、攻撃者が要求したペイロードに加え、メモリ上で隣の場所に格納されたデータを含む64Kbytes分を応答として生成する。万が一その64Kbytesのメモリ上に利用者のパスワードやクレジットカード番号、サーバーの秘密鍵が格納されていた場合には大きな問題となる。
シマンテックは、インターネット上のWebサイトを解析しているAlexaでランク付けされる、上位1000サイトは既に対策済みであることを確認している。また、上位5万サイトを見ても、脆弱(ぜいじゃく)なのは1.8%程度で、「企業側の対策は進んでいる」(安達氏)という。
シマンテックは現在、Heartbleed脆弱性をスキャンする行動が広く行われていることを確認しているが、そのほとんどはセキュリティ研究者によるものであり、攻撃を行うための大量スキャンは少数しか確認されていないという。その攻撃についても、人気サイトを狙うのではなく、特定のサイトが狙われているというのがシマンテックの見方だ。
シマンテックは同社のIPSに向け、Heartbleedへの攻撃を検出するシグネチャを配布済み(シグネチャ27517)で、脆弱なサーバーに対してHeartbleedを悪用する試みは遮断されるという。また、シマンテックのWAFを利用するユーザーはHeartbleed脆弱性を突いた攻撃の影響は受けないとした。
Webサイト管理者に向けては「OpenSSLを1.0.1gにアップグレードする」「アップグレード後、SSLサーバ証明書を再発行する(シマンテック/ジオトラストでは再発行は無料)」「古い証明書を失効させる」「必要であれば利用者にパスワード変更を検討」するべきだとした。
また、利用者に向けては「パスワード変更が喚起されたら速やかに実施」「既にHeartbleedを基にしたフィッシングが行われているので、パスワード変更メールが正式なものであるか注意する」「銀行口座やクレジットカードの明細を確認する」などの注意点が挙げられた。
Copyright © ITmedia, Inc. All Rights Reserved.