トレンドマイクロでは、2017年1~3月における国内外の脅威動向について分析を行いました。2017年に入り、Webサイトに対する攻撃が続発しましたが、その原因は Web関連の深刻な脆弱性の連続した発覚でした。2016年に全世界的に過去最大規模の被害をもたらした身代金要求型不正プログラム(ランサムウェア)は、2017年に入り、攻撃の拡大という面からはひと段落の様相となっています。しかし、サイバー犯罪者の「ビジネス」としては完全に定着し、攻撃手法と標的の両面から多様化の動きが見て取れます。
●Web、モバイル、IoT、脆弱性の発覚で高まるセキュリティリスク
2017年に入り、Webのコンテンツ管理システムとしてシェアの多い「WordPress」、Java の Webアプリケーションプラットホームである「Apache Struts2」の重要な脆弱性が相次いで発覚するとともに、攻撃への利用を容易にする POC(脆弱性を利用した攻撃を実証する攻撃コード)が公開されました。これを発端に世界的に Webサイトへの攻撃が続発、大きな被害に繋がりました。WordPress の脆弱性を利用した攻撃では全世界で 150万ページが改ざん被害を受けたとされ、Apache Struts2 の脆弱性を利用した攻撃では日本国内で合わせて 171万件の情報漏えいが公表されています。これは深刻な脆弱性の存在がインターネット上の Webサイト、ひいてはそこで行われているサービスとその利用者に重大な被害を与えることを示した事例と言えます。
図1:2017年第1四半期中に公表された公開サーバからの情報漏えい事例における被害原因の割合
このように、脆弱性を利用した攻撃は大きな被害をもたらすものとなっています。モバイルや IoT と言った今後の発展が見込まれる分野においても既に様々な脆弱性が発覚しています。Android の脆弱性は 2017年第1四半期の 3カ月間だけで 35件確認され、その多くは任意コードの実行や遠隔操作、DoS攻撃、情報漏えいといった重大な被害につながるものでした。また IoT機器においては放置されたままの脆弱性を狙う「MIRAI」のような攻撃が継続して確認されており、最大のセキュリティリスクとなっています。
●多様化するランサムウェアの脅威
2017年に入り、ランサムウェアの攻撃総数や検出台数などの拡散規模を示すデータは前四半期比で減少を示しています。ただし、前年同期となる 2016年第1四半期の状況と比べると、2016年後半の拡散が異常であり、全体としてランサムウェア脅威は高止まりの状況と言えます。つまり、ランサムウェアは攻撃急拡大の時期を過ぎ、以前のフィッシング詐欺やネットバンキングを狙う脅威同様、サイバー犯罪者にとっての「ビジネス」として定着期に入ったものと言えます。サイバー犯罪者がランサムウェア攻撃を継続している証拠として、新種ランサムウェアファミリーの登場数は 58種を数えており、それに伴って攻撃手法や攻撃対象の多様化が見られています。特に昨年の登場以来様々な攻撃手法を取り入れ変化を続けてきた「CERBER」は、機械学習によるセキュリティ対策の回避を狙った機能を取り入れるなど、多様化するランサムウェアの代表格と言えます。
図2:確認されたランサムウェアの新ファミリー数推移
その他、2017年1~3月に確認された様々な脅威動向について、より深く知るためには、以下のレポートをご一読ください。
2017年第1四半期セキュリティラウンドアップ:『重大脆弱性の悪用でWebサイトの被害が続発』