-日本と海外の脅威動向を分析した「2015年第1四半期セキュリティラウンドアップ」を公開-

「不正広告」と「ゼロデイ脆弱性」を組み合わせた攻撃を初確認 古い攻撃手法「マクロ型」が復活

2015年5月27日

トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証一部:4704、以下、トレンドマイクロ)は、日本国内および海外のセキュリティ動向を分析した報告書「2015年第1四半期セキュリティラウンドアップ:「新旧手法を脅威拡散に利用する攻撃者~不正広告の台頭、マクロ型の復活~」を本日公開したことをお知らせします。
2015年第1四半期セキュリティラウンドアップ全文:http://www.go-tm.jp/sr2015q1

2015年第1四半期(1月~3月)セキュリティラウンドアップのサマリ

1.「不正広告」と「ゼロデイ脆弱性」を組み合わせた攻撃を初確認、古い攻撃手法「マクロ型」が復活
2015年第1四半期は、新たな攻撃手法として広告配信会社のサーバを改ざんし、広告配信先の正規サイトにアクセスしたユーザを不正サイトに誘導する「不正広告」と、ソフトウェアの開発元から修正プログラムが提供されていないゼロデイ脆弱性を組み合わせた攻撃を初めて確認しました。
ゼロデイ脆弱性は、攻撃者にとっても貴重な攻撃材料であり、従来は攻撃対象が限定的な標的型サイバー攻撃に利用された後に、不特定多数への攻撃に利用されるケースが多く確認されていました。攻撃者にとって貴重なゼロデイ脆弱性を、脆弱性発見初期より不正広告という不特定多数への攻撃に用いることは、不正広告が現在攻撃者にとって非常に重要な攻撃手段となっていることを示しています。

また、アプリケーションの拡張機能であるマクロを悪用する「マクロ型」不正プログラムの全世界の検出台数が前年同期比約4.7倍に増加しています(グラフ1)。確認された事例では、マクロを有効にするようにファイル内に誘導文を表示してユーザを巧みに誘導する騙しの手口や、結果的にオンライン銀行詐欺ツールを呼び込む攻撃が確認されています。「マクロ型」不正プログラムは、2000年頃に流行した古い攻撃手法であり、現在ではそれほど注目されなくなった攻撃手法ですが、攻撃者は古い攻撃手法を現在も有効な攻撃手法として洗練させて使用しています。

●グラフ1:マクロ型不正プログラムの検出台数(全世界)(※1)

※1 トレンドマイクロにて調査(2015年5月)。

2.ランサムウェアの法人ユーザ検出台数が前期比約1.6倍に増加
感染したPC全体やPC内のファイルを暗号化して復旧の代わりに金銭を要求する身代金要求型不正プログラム「ランサムウェア」の検出のうち法人ユーザからの検出台数が、前期比約1.6倍(2014年10月~12月:3,546件→2015年1月~3月:5,792件)に増加し、2015年1月~3月の全検出台数の約4割を占めています(グラフ2)。また、感染したPCがアクセス可能なネットワーク共有フォルダ上のファイルや、Webサーバ内のファイルを探索して暗号化するランサムウェアが初めて確認されました。これらは、ネットワーク上で多くのファイルが共有されている企業・組織を狙ったものと推測されます。
また現在は、英語で金銭要求を行うランサムウェアが海外を中心に流通しています。しかし、既にネットワーク共有フォルダ上のファイルの暗号化被害報告が日本の法人ユーザから数件確認されています。今後日本語で金銭要求を行うランサムウェアが日本の法人ユーザを狙う事例が発生する可能性も懸念されます。

●グラフ2:ランサムウェアの検出台数(全世界)(※2)

※2 トレンドマイクロにて調査(2015年5月)。

3.オンライン銀行詐欺ツールの国内検出台数が前年同期比約1.5倍に増加(※3)
インターネットバンキング利用者の情報を狙うオンライン銀行詐欺ツールは、国内の検出台数が前年同期比で約1.5倍に増加しており(2014年1~3月:約5,600件→2015年1月~3月:約8,300件)(※3)、検出台数が依然高い水準です。また、オンライン銀行詐欺ツールの新たな配布方法として、アダルトサイト上で表示される不正広告が悪用された事例が確認されました。加えて、昨年より複数のオンライン銀行詐欺ツールの監視対象として、地方銀行や信用金庫が主に利用している共通金融業務自動化サービスのWebサイトが対象に入っていることが確認されており、これまで個別には狙われていなかった金融機関の利用者でも被害が発生する可能性が高まっています。
加えて、PC感染後にオンライン銀行詐欺ツール自身が削除されても情報窃取を可能にする、新たなオンライン銀行詐欺ツール「WERDLOD(ワードロッド)」が2014年12月より国内で確認されています。当社では、国内では2015年1月~3月で400件以上の検出を確認しており、注意が必要です。
※3 トレンドマイクロにて調査(2015年5月)。

※ TREND MICROはトレンドマイクロ株式会社の登録商標です。各社の社名、製品名およびサービス名は、各社の商標または登録商標です。