パロアルトネットワークスは2015年11月7日、沖縄県名護市で開催された「Cyber3 Conference Okinawa 2015」のオフィシャルサイドプログラムにおいて、国内のサイバー脅威の動向を解説した。
パロアルトネットワークスは2015年11月7日、沖縄県名護市で開催された「Cyber3 Conference Okinawa 2015」のオフィシャルサイドプログラムにおいて、2015年上半期の国内におけるマルウエアの動向を解説した。同社のエヴァンジェリスト兼テクニカルディレクター、乙部幸一朗氏は、オンラインバンク利用者を狙うマルウエアの増加や標的型攻撃に用いられる手口の洗練といったトレンドを解説し、これに対抗するため「守る側も協力していかなければならない」と呼び掛けた。
パロアルトネットワークスでは、同社製品を導入している顧客から同意を得られたデータを収集、分析し、脅威情報をまとめている。今回紹介された動向もその分析に基づくものだ。
最近のトレンドとしてまず挙げられるのは、「Dridex」に代表されるオンラインバンクの利用者を狙うマルウエアの増加だ。これはInternet Explorerなどのプロセスの中に悪意あるコードを注入し、銀行へのログインに必要なIDやパスワードといった情報を盗み取るものだ。作成用ツールキットが流通していることもあって、1万3568種類もの亜種が確認されているという。また、Dridexより数は少ないものの、ユーザーの端末認証用に発行されている電子証明書の情報を書き換え、プロキシの設定を変更することにより、暗号化通信の中身を盗み見るマルウエア「Retefe」も確認された。
二つめのトレンドとして、標的型攻撃の手口のいっそうの洗練が挙げられるという。2015年6月以降、「Emdivi」を用いた日本年金機構に対する標的型攻撃が注目を集めたが、攻撃キャンペーンはそれだけではない。
「あまり話題になっていないが、2015年1月から3月にかけて、日本の大手企業二社をターゲットにした標的型攻撃が確認された。訃報を装ったメールの添付ファイルを開くとマルウエアに感染する仕掛けだ。マルウェアは一般に共通のコンポーネントを用いることが多いが、この攻撃に使われたRAT(Remote Access Tool)の一つは今までに使われたことのないものだった。日本の企業を狙うためにわざわざ作ったものと思われる」(乙部氏)。この攻撃の主体は、中国・江蘇省を拠点にしていると見られる「DragonOK」と呼ばれるグループだという。
最後に同氏は、モバイルデバイスを狙うマルウェアの危険性を挙げた。「モバイル機器ではPCに比べ、怪しいファイルを開きやすい」(同氏)こともあり、今後注意が必要だという。
中でも最近話題になっているのが、海賊版のアプリケーション開発キットを介してモバイルマルウェアを作成してしまう「XcodeGhost」だ。「これまでiOSに関しては、アップルがアプリを審査し、コントロールしているため、マルウエアは少ないとされてきた。しかしXcodeGhostではソフトウエア開発キット自体がマルウエアに改造されており、これを用いて作られたアプリにもバックエンドで情報を外部に送信する機能が埋め込まれ、マルウエアになってしまう」(乙部氏)。
乙部氏は「回線環境がよくない中国などでは、オフィシャルサイトからのダウンロードに時間がかかるため、ミラーサイトを利用するケースもある」ことが背景だと指摘した。この結果、非常に多くのアプリがXcodeGhostの影響を受けている。「日本ではまだそれほど大きな問題になっていない。しかし今後、企業でも注意を払わねばならないだろう」と述べている。
乙部氏はさらに、こうしたさまざまな脅威から身を守るためには、守る側の「協力」が必要だと述べた。パロアルトネットワークスでは、複数のセキュリティベンダーとともに立ち上げた「Cyber Threat Alliance」という枠組みを通じて、マルウエア検体そのものに加え通信先IPアドレスなどの情報共有を試みている。同時にこうした情報をネットワークとクラウド、エンドポイントという要所を守る製品で共有することにより、ユーザーを保護していくとした。
パロアルトネットワークスの代表執行役員会長兼社長、アリイ・ヒロシ氏は、Cyber3 Conference Okinawa 2015全体を振り返り「非常にいいディスカッションができた。中でも情報共有は重要な論点であり、国の中、国どうし、あるいは民間とで情報を共有し、サポートする動きが大切であることが確認できた」と述べている。
パロアルトネットワークスはCyber3 Conference Okinawa 2015をグローバル初の「サイバーセキュリティサミット」と位置付け、大事な一歩を踏み出したと評価しているという。だが、これは始まりにすぎない。アリイ氏は「今回はあくまで土俵をセットしたのみだ」と述べ、何をどう共有するかというルールを、個人情報の保護やプライバシーにも配慮しながら整えていく必要があると強調した。
「海には船舶の航行に関するルールがあるし、宇宙空間にもルールがある。サイバースペースのセキュリティをどうするかというルールについても、協力しながら作っていかなければならない」(アリイ氏)
このような動きの背景には、「これまでのセキュリティのあり方では通用しない」という共通の危機意識がある。アリイ氏は、「攻撃者はさまざまなツールや自動化技術を活用しており、動きはますます素早くなっている。ついていくには、これまでの対応のやり方を変えなくてはならない」と述べ、ターニングポイントにさしかかっていると述べた。そこで、機械学習技術を活用したクラウドベースの脅威情報データベース「Wildfire」や、複数のセキュリティベンダーとともに立ち上げたCyber Threat Allianceを通じて情報共有を促進していくという。
同時に、監視や検知だけにとどまらず、「予防」にまで踏み込んだ対策が必要だとも述べている。アリイ氏は「新しい技術を使ってくる攻撃者に対し、カメラを置いてモニターするだけでなく、攻撃のチェーンを断ち切ることが必要だ」とし、新たなエンドポイントセキュリティ製品「Traps」や、2016年にリリース予定のSaaS向けセキュリティソリューションも含めた「Enterprise Security Platform」を通して、「攻撃者のコストを上げていく」と語った。
Copyright © ITmedia, Inc. All Rights Reserved.