2016年も残すことわずか10日となりました。2016年を振り返ると、加速するランサムウェアの脅威について第3四半期の脅威動向で報告しました。また、直近では、12月15日(米国時間)、 今年 2回目のYahoo の情報漏えい事例が明らかになったところです。今回、2回に分けて、2016年に発生した主要なセキュリティ事例について振り返ります。
- 第1回
- 最も持続可能なサイバー犯罪:ランサムウェアによる攻撃
- Yahoo! を襲った史上最大の情報漏えい
- Microsoft の月例修正プログラムのリリース数が最大に
- 予期しなかった Apple製品のゼロデイ脆弱性
- 絶えることのない Adobe Flash Player の脆弱性
■最も持続可能なサイバー犯罪:ランサムウェアによる攻撃
身代金要求型不正プログラム(ランサムウェア)は、サイバー犯罪者にとって「人気のビジネスモデル」であることは明らかです。ランサムウェアは、サイバー犯罪アンダーグラウンドでさまざまな形で注目を集め、新規ファミリ数は 2016年上半期だけで 2015年全体の 2.7倍を示しました。攻撃者の活動は、そうした新規作成や更新にとどまらず、従来の標的に狙いを定めつつ、より大きな利益を得るため、攻撃対象を拡大し、新たな手法を導入してきました。
業種別では保健医療や教育が長らくランサムウェアの標的でしたが、この傾向は 2016年も続きました。以下は、これらの業種で 2016年に発生した注目すべき事例です。
- 米医療機関「Hollywood Presbyterian Medical Center」
2016年2月初旬、同機関がランサムウェアの攻撃に見舞われ、ネットワークがオフライン状態に陥りました。この攻撃で緊急検査、臨床検査、製薬、文書処理等が利用不能となり、医療行為や業務に深刻な影響が発生しました。各種システムは、実際に支払ったとされる身代金 40ビットコインによる復旧まで 1週間以上、停止状態となりました。40ビットコインは、発生当時のレートで 1万7,000米ドル(2016年12月時点で約200万円)相当でした。 - 米大手医療機関「MedStar」
同機関は 10施設の病院と 250施設の外来診療所を傘下に医療サービスを提供。2016年3月下旬、ランサムウェア攻撃により、同機関傘下の病院や診療所多数がシステム麻痺に陥り、直ちに全システムを停止して被害拡大を阻止する対応を講じました。ランサムウェアは、10日以内に 45ビットコインを支払う警告を表示したようですが、報道によると、身代金を支払うことなく、システムの復旧を果たしたようです。45ビットコインは、発生当時のレートで 1万9,000米ドル(2016年12月時点で約224万円)相当でした。 - カナダアルバータ州の大学「University of Calgary」
2016年5月下旬、同大学のネットワークに接続されたシステム複数がランサムウェア攻撃に見舞われました。感染機器の隔離に成功し、ほとんどのシステムは影響を受けませんでしたが、大学側は、「研究関連の重要情報漏えいのリスクを回避する」という目的から、攻撃者が要求する身代金 2万カナダドル(2016年12月時点で約177万円)の支払いに応じる判断を下しました。
2016年は、「サービスとしてのランサムウェア(Ransomware-as-a-Service、RaaS)」が勢い増しました。比較的評価の定まったランサムウェアの亜種が利用され、低価格ライセンス料で提供可能なサービスや、技術的な知識がなくても利用できるランサムウェアなど、新たな RaaS が登場しました。
- RaaS のビジネスモデル
ランサムウェア作成者は、ランサムウェア提供者が得る RaaS のサービス料の一部を儲けとします。こうして RaaS がより安く簡単に利用できるサービスとなり、ランサムウェア利用の主流となりました。ランサムウェア提供者が大規模な顧客ネットワークを保持できるため、ランサムウェアの被害はより多くのユーザに及び、ランサムウェア作成者も大きな利益を得ることができます。例えば、ランサムウェア「Shark」は、他のランサムウェア作成者が好む匿名ネットワークではなく、WordPress の公開サイトで提供されました。「Shark」には、カスタマイズに関するガイド、ランサムウェアの需要に関する提供者向けガイド、その他、活用法に関する各種文書も含まれていました。被害者から支払われた身代金の 20% が作成者の取り分、80% が提供者の取り分となっていました。
ランサムウェア攻撃は 2016年、中小・中堅企業にも被害が拡大しました。セキュリティ企業「Kaspersky Security Network(KSN)」のレポートによると、攻撃数は 2015年の同時期と比べて 8倍と報告しています。弊社でも、中小・中堅企業のネットワーク環境を狙うように設計されたマルウェアを確認しています。米国ウィスコンシン州ウォーキシャ郡の中小企業への攻撃が確認されるなど、攻撃者は、ランサムウェア被害の経験がない地域の小規模企業へ標的を変えてきました。
- メノモニーフォールズ村の木工企業へランサムウェア攻撃
Menomonee Falls(メノモニーフォールズ)は、ウィスコンシン州ウォーキシャ郡にある人口約 3万5,000人程の小さな村です。2016年初めてこの地方自治体の管轄下でランサムウェア被害の対応に迫られる事態が発生しました。同年10月、同地区の木工企業がランサムウェア攻撃に遭い、同社のシステムが麻痺し、8ビットコインの身代金が要求されました。
攻撃者は、民間企業から公共サービスへも標的を拡大させています。「サンフランシスコ市営交通局(San Francisco Municipal Transportation Agency、SFMTA)」を狙った最近のランサムウェア攻撃では、列車の運行は保持されたものの、チケット販売システムが麻痺しました。同局は、攻撃者に対して厳しい態度で望み、問題解決に取り組みました。
- サンフランシスコ市営交通局がランサムウェア被害に
1年で最も忙しい時期の感謝祭の週末、SFMTA のチケット販売システムがランサムウェア攻撃に見舞われてオフラインとなり、サンフランシスコの通勤者や通学者は、無料乗車せざるを得ない状況に陥りました。攻撃者は 2,000台の PCシステムを侵害し、30ギガバイトの重要情報を窃取したと主張し、100ビットコイン(当時のレート約7万3,000米ドル、2016年12月の円換算で約861万円)の身代金を要求しました。しかし同局は「身代金の支払いなど一切検討しなかった」といいます。同局の IT部門は週末を徹してシステム復旧に取り組み、日曜日には通常業務を再開しました。
iOSデバイスは、セキュリティ侵害が難しく、他の競合デバイスと比べてマーケットシェアも小さく、金銭目的のランサムウェア攻撃者にとってあまり魅力的な標的ではありませんでした。しかし、ユーザ数が着実に増加し、Mac向けランサムウェアを巡る競争が少ない中、ランサムウェア開発者が注目し始めています。
- Macを狙った最初のランサムウェア
ランサムウェア「KeRanger」(「RANSOM_KERANGER.A」として検出対応)は、特に Mac OS X を標的にしたランサムウェアです。2016年3月初旬、人気の P2Pソフトウェア「BitTorrent」のクライアント「Transmissions 2.90」内で不正ファイルが確認されたことで感染が発覚しました。影響を受けたユーザ数は 6,500程度で、他のランサムウェア攻撃に比べて被害は比較的小規模でしたが、問題は、これが Mac を狙った初めてのランサムウェアという点です。この事例から、攻撃者がMacユーザを狙った新たなツール開発に取り組んでいることがうかがえます。
■Yahoo! を襲った史上最大の情報漏えい
2016年は大規模情報漏えいが発生した年でもありました。米インターネットサービス会社「Yahoo!」は、史上最大規模のユーザ数をリスクにさらした点で注目されました。多くのユーザは、同一のパスワードやユーザID を複数のサイトで使い回ししているため、個人情報漏えいにより複数のアカウントが同時に脆弱となってしまいます。サイバー犯罪者は、窃取した1つのユーザID・パスワードで他のアカウントを乗っ取るというアカウントリスト攻撃の手法を駆使するからです。
- Yahoo! を襲った大規模情報漏えい
Yahoo! は、2016年9月、5億人分のユーザ情報に影響が及ぶ大規模情報漏えい被害に遭ったことを公表しました。これは、史上最大規模の情報漏えい事例でもあります。漏えいした情報には、氏名、メールアドレス、電話番号、暗号化されたパスワード等が含まれていました。同社によると、情報漏えいは、2014年のセキュリティ侵害を契機とし、国家規模の攻撃の可能性も示唆していました。同事例は、48億米ドル(2016年12月の円換算で約5,643億円)で大手電気通信事業者「Verizon Communications」による同社買収の最中の出来事でもあり、交渉への影響が懸念されました。
■Microsoftの月例修正プログラムのリリース数が最大に
Microsoft社は、脆弱性修正のため 10年以上に渡って月例で(日本では第2水曜日・米国では第2火曜日)修正プログラムをリリースしていますが、2016年は、その点でも最も忙しい年となりました。同社は 2015年、合計135件の修正プログラムをリリースしましたが、2016年は 11月の時点で既に 142件に達しています。
- 脆弱性利用に関する見解
修正プログラムは定例でリリースされ、ある月は他の月よりも深刻な脆弱性に対応する修正プログラムがリリースされたりします。Windows の脆弱性を突く複数の攻撃が発生した場合、脆弱性を巡って意見の相違が発生するケースもあります。例えば Microsoft は 2016年11月、既に Google が発表していたゼロデイ脆弱性に対応する修正プログラムをリリースしました。この脆弱性は「win32k system」の欠陥を利用し、攻撃者は Window のサンドボックス解析のセキュリティを回避できます。Google は、この脆弱性は不正プロセス作成者により利用されたと報告しましたが、他方、Microsoft は、脆弱性利用の深刻度や発表のタイミングで Google とは異なった見解を示していました。
■予期しなかった Apple製品のゼロデイ脆弱性
Apple製品を狙ったマルウェアの存在は驚くことはありませんが、脆弱性利用の巧妙さで注目すべき事例が確認されました。このマルウェアを初めて調査したモバイルセキュリティ企業「Lookout」のリサーチャーは「モバイル端末への攻撃としてはこれまで確認した中で最も巧妙であり、モバイル端末を狙った手口の新たな展開を示すものだ」と述べています。
- Apple製品のゼロデイ脆弱性
「Trident」と呼ばれるゼロデイ脆弱性3件が確認されました。これらの脆弱性を悪用すると、メッセンジャや、Eメール、ソーシャルメディア、その他から情報を収集し、個人情報をのぞきみることが可能となります。「Trident」は、アラブ首長国連邦の活動家が不審なテキストメッセージを受信したことで発覚しました。この活動家は、カナダトロント市拠点のリサーチ施設「Citizen Lab」に報告し、さらに同施設は、モバイルセキュリティ企業「Lookout」と協力してこれらの脆弱性に関する情報を収集しました。Apple は直ちに修正プログラムをリリースし、オペレーティングシステム(OS)を最新にするよう顧客へ周知しました。
■絶えることのない Adobe Flash Player の脆弱性
Adobe Flash Player はセキュリティ上の懸念が絶えないことから、多くのユーザが HTML5 などの代替手段に乗り換える状況を招いています。さらに Google が自社のブラウザ Chrome で Adobe Flash Player をブロックし始めたことも状況の深刻さを示しています。このため Chrome を使用するユーザは、閲覧するサイトごとに Adobe Flash Player を有効化する必要があります。
- Adobe Flash Player の脆弱性
2016年に確認された Adobe Flash Player の脆弱性数は、2015年とそれほど変りませんでしたが、深刻なゼロデイ脆弱性が確認され、実際に利用されました。2016年10月下旬、標的型サイバー攻撃キャンペーン「Pawn Storm作戦」がグローバル規模で実施された際、Adobe Flash Player のゼロデイ脆弱性が利用され、しかも修正プログラムリリース後も、脆弱性利用が発生しました。Adobe も Microsoft も修正プログラムをリリースしていますが、攻撃者は、その後も攻撃キャンペーンを継続します。ユーザがソフトウェア更新を完了するまでの間、攻撃者ができるだけ多くの被害をもたらそうと意図していることは疑いありません。
第2回は、以下について報告致します。
- 第2回
- Leoni とバングラデシュ中央銀行を狙った高額被害の攻撃
- 深刻な攻撃経路となる SWIFT
- 政治に深刻な影響を与えた DNC情報漏えい事例
- ウクライナの発電所へのサイバー攻撃:産業施設を狙って成功した初めての事例
- 厄介な災難をもたらしたマルウェア「Mirai」
参考記事:
翻訳:与那城 務(Core Technology Marketing, TrendLabs)