2015年を振り返ると、これまでになくサイバーセキュリティの脅威がクローズアップされた一年でした。標的型攻撃による被害やゼロデイ脆弱性を狙った攻撃、年末にかけて多数の被害が報告されたランサムウェア……話題には事欠かない一年でした。
今回はそんな中、McAfee Labsで観測した興味深い動向をいくつか解説するとともに、2016年の展望を紹介したいと思います。
●いったんは下火になったはずが……マクロウイルスの再来
「マクロウイルス」と聞くと、昔から情報セキュリティに携わってきた方ならば「そんなの昔の話じゃないの?」と思われるかもしれません。ところが、2015年11月版「McAfee Labs Threats Report(英語PDF)」によると、このマクロウイルスが最近再び増加し始めているのです。国内でも複数のマクロウイルスが観測されており、情報処理推進機構(IPA)が「ばらまき型メール」と題し、注意を呼び掛ける事態になっています(https://www.ipa.go.jp/security/topics/alert271009.html)。
マクロウイルスとはMicrosoft WordやExcelが備える「マクロ機能」を悪用するウイルスで、1990年代後半から2000年代前半にかけて流行しました。業務に関係がありそうな内容で、添付ファイル付きのメールを送りつけるという手口は標的型攻撃でもおなじみです。もしユーザーがドキュメントを開くと、マクロで記述されたウイルスが自動実行されてしまいます。その代表例である「Mellisa」は、Outlookのアドレス帳に登録されているユーザー宛に自分自身を添付するという手口で1999年ごろに拡散し、多くのユーザーが感染しました。
しかし、ウイルス対策ソフトや電子メールゲートウェイの導入が進み、Microsoft Officeのデフォルト設定が変更されたこともあり、マクロウイルスは下火になっていきました。それが今、再び増加し始めているのです。McAfee Labsの観測では2009年以来の高水準となっています。最近のマルウェアを参考に、シグネチャベースの対策をかいくぐるような仕掛けも施されています。
マクロウイルス再来の原因は分かっていませんが、攻撃者にとっては作成が容易という利点があります。また、対策の浸透によるユーザーの「油断」が狙われた可能性もあり、古い手法といえども注意が必要です。
●5年と待たずに現実化した「検知の回避」
一方で攻撃手法のさらなる高度化も見られます。インテル セキュリティは先に、2020年までの脅威予測を発表し、「下層レイヤーを標的とした攻撃」や「企業をターゲットにしたサイバースパイ活動」とともに、「検知の回避」というトレンドが現実のものになるだろうと注意を呼び掛けました。
セキュリティは「いたちごっこ」と言われます。われわれがウイルス対策ソフトやファイアウォール、サンドボックスといったセキュリティ技術を実装すれば、攻撃者はそれを回避する術を考え、検知を逃れようとします。この傾向は今後5年でますます加速すると予測していたのですが、それが早くも現実になりつつあります。
McAfee Labsの最近の観測により「ファイルレス攻撃」(ファイルレスマルウェア)が増加していることが明らかになりました。ファイルレスマルウェアとは、文字通り、ハードディスクドライブにファイルを書き込まず、メモリ上で動作するマルウェアです。通常のウイルスはディスク上に何らかの痕跡を残すため、それを元に検出や分析が行えるのですが、ファイルレスマルウェアはメモリ上でのみ動作するため、手掛かりを見つけるのが非常に困難です。
直近の第3四半期の間に、Kovter、Powelike、XswKitといったファイルレスマルウェアのサンプルが74,471件も発見されました。これらは、OSの深いレベルで動作し検出の目を逃れようとする「ルートキット」に取って代わる可能性があります。
●「IoTが危険」と叫ぶ前に足下のモバイルアプリも危うい現実
米インテル セキュリティ McAfee Labsの上級副社長を務めるヴィンセント・ウィーファーは、2020年までの脅威予測の一つとして「サイバー攻撃の対象領域の拡大」にも触れました。PCだけでなくスマートフォンやIoT(Internet of Things)デバイスがネットワークにつながり、そこを流れるデータが増えれば増えるほど、サイバー攻撃の標的になる恐れは高まります。
ウィーファーは「IoTの開発者にはセキュアプログラミングのバックグラウンドを持つ人は多くない」とも指摘していました。ですが残念ながら、安全なプログラミングが徹底されていないのはIoTの分野に限らないようです。
McAfee Labsが現在流通している複数のモバイルアプリについて調査したところ、バックエンドサービスと連携する部分のコーディングに問題があり、ユーザーの情報漏えいにつながる恐れがあることが判明しました。実際に、モバイルアプリの不適切なコーディングを悪用する2種類のマルウェア(トロイの木馬)も発見されています。これらの被害は、バックエンドサービスプロバイダーのガイドラインに従ってアプリを開発していれば防げたはずです。
今後、ネットワークに接続されるデバイスはますます増えていくでしょうが、そこではセキュアなアーキテクチャが欠かせません。まずは足下のモバイルアプリから始め、IoTをはじめとするさまざまなデバイスにそのノウハウを生かしていくことが必要でしょう。
2016年も、公式ブログで、皆様に役に立つセキュリティ関連情報を提供してまいります。
本年もどうぞインテル セキュリティをよろしくお願いします。