トレンドマイクロでは 2017 年第 3 四半期(7~9 月)における国内外の脅威動向について分析を行いました。サイバー犯罪者はここ数年、ランサムウェアのように凶悪な脅迫手段を使用して金銭を強奪していました。その傾向は現在も続いていますが、この第 3 四半期には仮想通貨発掘ツール(コインマイナー)のような比較的穏やかな金銭獲得手法も目立ちました。仮想通貨価格の高騰や「Monero」のような新興で発掘効率のよい仮想通貨の存在などがサイバー犯罪者の目を仮想通貨に向かせている状況と言えます。
図:日本からアクセスのあった脆弱性攻撃サイトの全体数とそのうちコインマイナーを拡散するサイト数の推移
2017年に入り、全世界におけるコインマイナーの検出台数は増加傾向が見られており、特にこの第 3 四半期に入って顕著化しています。例として、日本からアクセスがあった脆弱性攻撃サイト(EK サイト)のうち、コインマイナーを拡散するものは前四半期比でおよそ 12 倍の急増となっています。このことからもサイバー犯罪者が意図的にコインマイナーを拡散させていることは間違いありません。ランサムウェアなどと比べ、コインマイナーは直接的に重大な被害を引き起こす存在ではありません。しかし、サイバー犯罪者の収入源となること、コインマイナーの代わりに他の脅威が侵入していてもおかしくないことを考え合わせると、セキュリティを考える上で軽視してよい存在とは言えません。また仮想通貨取引所の認証情報を狙うオンライン銀行詐欺ツール(バンキングトロジャン)やランサムウェアによるビットコインウォレット情報の窃取活動のように、既存の攻撃が直接的に仮想通貨を狙う変化も既に起こっており、仮想通貨を狙う攻撃の動向には注意が必要です。
継続するランサムウェアの攻撃においては、2016 年に最も活発だったランサムウェア「LOCKY」の全世界的なメール経由攻撃が 9 月に再び見られました。2 度にわたる攻撃では、いずれも 20 万通以上のマルウェアスパム拡散が確認されており、日本が最も影響を受けた国となっています。新種ランサムウェアの登場も止まることなく続いており、2017 年第 2 四半期の 110 種を超える 111 種の新ファミリーが確認されました。これらの動向はランサムウェアがサイバー犯罪者にとっての「ビジネス」として継続していることを表しているものと言えます。
図:ランサムウェア新ファミリー数の推移
また、5 月に登場したランサムウェア「WannaCry」については、登場以来衰えることなく 3 万件以上の検出が継続しています。これまでのランサムウェアは大量のメール攻撃による広範囲の拡散を行ってきましたが、「WannaCry」の場合には自律的なネットワークワーム活動により拡散を続けていることが相違点となっています。同様のネットワークワームの例として、2008 年に登場した「DOWNAD」はこの 2017 年に入っても数万規模での検出が継続しており、「WannaCry」も今後長期にわたって拡散を続けていく可能性があります。
図:全世界における「WannaCry」の検出台数推移(2017 年)
その他、2017 年第 3 四半期に確認された様々な脅威動向についてより深く知るためには、以下のレポートをご一読ください。
・詳細レポートはこちら:
2017 年第 3 四半期セキュリティラウンドアップ:『サイバー犯罪者の狙いは仮想通貨に拡大』
