掲載日時: 2018-03-30 06:00

シマンテックとNICTが解説する金銭やIoTを狙った攻撃の変化

2017年に変化が見られたサイバー攻撃の動向についてシマンテックや情報通信研究機構が解説している。

著者 : 國谷武史 (編集部)

URL : https://japan.zdnet.com/article/35116910/

 金銭狙いの攻撃はランサムウェアから仮想通貨に、IoT狙いの攻撃は対象を拡大へ――シマンテックが3月29日に開催した2017年のセキュリティ動向の説明会では、同社とゲストで講演した情報通信研究機構(NICT)がこうしたトピックを取り上げた。


シマンテック マネージドセキュリティサービス日本統括の滝口博昭氏

 シマンテックの年次「インターネットセキュリティ脅威レポート(ISTR)」では、ウェブリクエストの平均13件中1件がマルウェア感染を狙うものや、スパムメールの勢いが衰えないこと、モバイルマルウェアの亜種が54%増加したといった状況が取り上げられた。説明に立ったマネージドセキュリティサービス日本統括の滝口博昭氏は、全体動向としては従来の脅威が継続しているが、そこからは攻撃者の“考え”や“手法”の変化が読み取れると話した。

 その一例として同氏が取り上げたのは、金銭を狙う攻撃手法の変化だ。2015~16年はいわば「ランサムウェアブーム」と呼べるほどに、ファイルなどを不正に暗号化して金銭を要求するランサムウェアの脅威が急拡大した。

 一方で2017年は、同社のランサムウェア検出数自体は1日平均1242件で前年比2%減と大きな変化はないものの、ランサムウェアが要求する身代金額は前年の平均1070ドルから522ドルへほぼ半減した。ランサムウェアの脅威が広く知られ、セキュリティ業界側も可能なケースでは回復手段をすぐにユーザーへ提供していることから、「被害に遭っても身代金を支払うケースが減り、要求額も減らす傾向が見られた。攻撃者は別の方法を模索している」(滝口氏)という。


ランサムウェアの脅威に目立った衰えはないが、要求額が減るなど"もうからなく"なってきたという

 このため2017年は、9月以降にウェブサイト閲覧者のブラウザに不正なコードを送り込んで仮想通貨を発掘させる「クリプトジャッキング」攻撃が急増。同社の観測では、ウェブ攻撃全体の24%を占め、同年12月には800万件の攻撃を遮断した。その理由は、「ランサムウェアではもうからない」ようになったことのほか、ブラウザに対する攻撃ではコンピュータのOS環境などをあまり選ばずに攻撃できる手軽さなどがある。

 ただ、ブラウザに対するクリプトジャッキング攻撃では、被害者のコンピュータ上でブラウザを起動させておく必要があり、最近ではブラウザのウィンドウを非常に小さく表示させて気が付きにくくさせるなどの方法が出現した。また、PCではなくサーバのソフトウェアの脆弱性を突いて発掘させたり、ウェブサーバのコンテンツを改ざんして発掘コードをばらまいたりするといった、攻撃者が目的を達成するための効率性を高める“工夫”も見られるようになっている。

 クリプトジャッキングなど仮想通貨の発掘を狙う攻撃の被害に遭うと、コンピュータのCPU使用率が100%の状態になり続けるといった影響を受ける。被害に気付くのは「PCの動きが重たい」といった体感の場合が多い。滝口氏は、「情報漏えいなどの被害があるわけでないので、セキュリティ脅威への危機意識に悪影響を及ぼしかねない」と指摘する。


ランサムウェアに変わる攻撃手法として「クリプトジャッキング」が激増している

 仮想通貨の発掘には膨大な計算資源を必要とするため、滝口氏は将来的にこの種の攻撃がIaaS環境やスーパーコンピュータも狙う可能性があると予想している。また、「トロイの木馬」型マルウェアを使ってインターネットバンキングでの不正送金を狙う攻撃も再び活発化しており、ランサムウェア以前に流行した手法の“復活”にも注意すべきだと話す。

IoT機器に対する攻撃の多様化

 ゲストとして講演したNICTサイバーセキュリティ研究室長の井上大介氏は、2005年から運用する「NICTER(ニクター)」システムの分析結果を紹介した。NICTERは、「ダークネット」と呼ばれる未使用のIPアドレス空間の通信を観測するシステム。NICTは国内外に約30万のセンサを設置しており、無差別化型の大規模攻撃の傾向をとらえることに強みがある。


NICTERがとらえたIoT関連ポートに対する攻撃の様子

NICT サイバーセキュリティ研究所サイバーセキュリティ研究室長の井上大介氏

 井上氏によると、2017年は1つのIPアドレス当たり年間平均で55万9125パケットの攻撃と推測される通信が観測され、過去最多を記録した。あて先ポート別では、ウェブカメラなどが使用する23/TCPが全体の38.5%を占め、モバイルルータやSSHログインなどに使う22/TCPといったIoT関連機器が使うポートは全体の約54%を占めた。

 23/TCPの割合は、2015年が約24%、2016年が同53%で、2017年がやや減少している。しかし井上氏によれば、ホームルータなど他のポートを使うIoT機器への攻撃が拡大しているといい、全体的にはIoT機器を標的にした攻撃が増加傾向にある。

 IoT機器を狙う攻撃は、2016年に出現した「Mirai」を契機にその亜種や別のマルウェアが次々に出現している。NICTの観測では、当初は機器に設定されたデフォルトのID/パスワードでログインして機器を乗っ取るタイプが主流だったが、2017年には脆弱性を突く手法が加わった。2018年はルータに接続するスマートフォンなどIoT機器の“背後”にあるコンピュータを狙い始め出したと、井上氏は警鐘を鳴らす。

 井上氏は、セキュリティ対策を検討する際に、ISTRのようなグローバルで脅威動向をとらえた情報とNICTなどによる国内の観測情報を組み合わせて活用してほしいと語った。


IoTを狙う攻撃のターゲットになる機器の種類が広がっているという

The Japanese edition of 'ZDNet' is published under license from A Red Ventures Company., Fort Mill, SC, USA. Editorial items appearing in 'ZDNet Japan' that were originally published in the US Edition of 'ZDNet', 'TechRepublic', 'CNET', and 'CNET News.com' are the copyright properties of A Red Ventures Company. or its suppliers.

Copyright © 2021 ASAHI INTERACTIVE, Inc. All rights reserved. No reproduction or republication without written permission.