インテル セキュリティでは、世界各地に配備した数百万台に上るセンサーから得られたデータを「McAfee Global Threat Intelligence」(McAfee GTI)に集約し、その分析結果を四半期ごとにレポートとして公表しています。今回はその最新号「McAfee Labs脅威レポート: 2016年3月」のトピックをご紹介しましょう。
ランサムウェア~作成のハードルが下がり、見返りが大きいことが急増の要因に
2015年第4四半期、McAfee GTIでは1日当たり平均475億件ものクエリーを受信しました。これらのデータを分析した結果、日本国内で猛威を振るう「ランサムウェア」が、世界的に見ても再び急増していることが明らかになっています。
ランサムウェアは、感染するとPC内のファイルを勝手に暗号化し、「解除してほしければ代金を支払え」と身代金を要求してくるマルウェアの総称で、代表的なものに「Teslacrypt」や「CryptoWall 3」があります。国内では「vvvウイルス」などの名称で2015年12月ごろから話題になったため、ご存知の方も多いでしょう。米国では、病院内のPCがランサムウェアに感染してしまう事件まで発生しました。この病院では業務復旧を優先し、身代金を支払うという苦渋の決断を下したと報じられています。
残念ながら2015年第4四半期に新たに確認されたランサムウェアは、前四半期に比べ26%増加しました。インテル セキュリティでは、「オープンソース」としてランサムウェアのコードが公開されたり、それほどスキルの高くない犯罪者でも手軽に使える「Ransomware as a Service」の登場によって攻撃のハードルが下がったことが、ランサムウェア蔓延の要因の一つだと考えています。簡単で捕まるリスクが低い割に金銭的な見返りが大きい手段として、犯罪者らに注目されているのです。
McAfee Labsの研究者が、2015年10月に行われたCryptoWall 3ランサムウェアのキャンペーンを分析したところ、たった1つのキャンペーンで被った身代金の被害額は、約3億2500万米ドルに上るという結果になりました。この数字からも、ランサムウェアによっていかに多くの「見返り」が得られるかが分かります。
取り組んでみて分かった、サイバー脅威情報の共有は「有益」
インテル セキュリティはこのレポートの中で、世界中のセキュリティ担当者500名を対象に行った「サイバー脅威インテリジェンス」(CTI)に関する調査結果も紹介しています。
CTIとは、脅威がどのようなアクティビティを示し、どんな弱点を利用するか、どんな兆候が見られるのか、さらにはどのような主体がどのような理由で攻撃を行っているかなど、脅威の「コンテキスト」に関する情報を指します。IPアドレスやファイルの「レピュテーション」から一歩踏み込んだ脅威情報を共有し、活用することで、昨今の複雑な攻撃を阻止できると期待されています。インテル セキュリティも「Cyber Threat Alliance」の一員として脅威情報の共有を推進し、一例としてCryptoWallランサムウェアの分析、阻止といった成果を挙げています
今回の調査では、回答者の42%がCTIの共有に取り組み始めていることが明らかになりました。そして、実際にCTIを共有している担当者の59%が「非常に有益」、38%が「どちらかというと有益」と回答するなど、大半の企業がその有効性を感じていることも分かりました。さらに、金融や医療、重要インフラなど業界特有のCTI受信については、91%が「受信したい」もしくは「どちらかというと受信したい」と回答し、高い関心を示しています。
ただ、脅威情報を受信するだけでなく、自社のデータをコミュニティと共有する話になると、やや消極的なようです。URLやファイルのレピュテーションに限っても、共有に前向きだとした回答者は24%にとどまり、「やや前向き」が39%、「どちらとも言えない」は31%という結果になりました。
その理由として最も多かったのは「会社の規則で禁じられている」で全体の54%に達したほか、「業界の規則で禁じられている」も24%ありました。他に「個人情報や会社の情報が漏えいする可能性がある」ことを懸念する回答も21%ありました。
インテル セキュリティでは、こうした懸念の背景に、共有される情報についての「誤解」があるのではないかと考えています。CTIで共有されるのはファイルの識別に用いられるハッシュ値であり、社内の機密に関する情報や個人情報が外部に送信されることはありません。
CTI共有に関する法的な枠組みが確立されていないことも、企業が共有に二の足を踏む一因となっていますが、これも、2015年の米サイバーセキュリティ法によって法的根拠が示され、払拭されつつあります。さらに、TAXIIやSTIX、CybOXといった情報共有・交換のための技術標準や、ISAOによるベストプラクティスの策定も進んでいます。これらの標準を通じてCTI交換の自動化や統合が進めば、より迅速に脅威に対処し、セキュリティ運用の効率化とコスト削減が実現できると期待できます。
「情報共有活動への参加」は、2015年末に公表された経済産業省の「サイバーセキュリティ経営ガイドライン」で示された十項目の中にも含まれています。国内でもCTI共有・活用の効果が認識され、進展することを期待したいと思います。
今回のレポートでは他にも、Javaをベースとしたバックドア型トロイの木馬「Adwind」の増加や、モバイルマルウェアの急増といった事柄を紹介しています。興味を持たれた方はぜひ参照してみてください。
【関連情報】