マカフィーは2月19日、セキュリティブログで、ユーザーのファイルを暗号化し身代金を要求するマルウェアであるランサムウェアが次の標的として狙っているシステムについて解説した。ランサムウェアに感染したユーザーがロックを解除するには、金銭を支払って暗号化キーを入手しなければならないのだが、今のところ上々の成果を上げているという。犯罪者は当初、消費者を標的としていたが、今や、企業や政府機関に対し、より価値の高いデータに対して高額な身代金を要求している。ランサムウェアはあまりにも巧妙なため、「ともかく身代金を支払うよう被害者に勧めることもよくある」というFBI捜査官の発言さえあるくらいだ。同社によると、ランサムウェアは現在、規模の拡大から標的の絞り込み段階への移行中で、配信メカニズムの機能を高度化し、被害者から金銭を得るためのより有効な方法を探しているところだそうだ。ランサムウェアは他のマルウェアと違い、感染すると復旧するためのクリーニングや除去ツールを実行できないため、防御側はランサムウェアが動作する前にそれを特定しなければならない。ただし、オフラインでのバックアップは予防措置として妥当かつ有効で、ランサムウェアの大半の機能を無力化できるという。そのため、ランサムモデルはデータをわずか1ステップで暗号化するように変化しつつあるようだ。攻撃者は、社内から送信されたように見える電子メールなど、標的を絞った攻撃を利用して、脆弱なシステムに悪意のある暗号化ツールを埋め込む。その後、ファイルまたはデータストリームを暗号化したら、貴重な財務情報であれ、不都合な内容の電子メールであれ、ユーザーが金銭を払ってでも秘密にしておきたいデータを公表すると脅迫する。Anti-Botnet Advisory Centre(ボットネット対策相談センター)によると、ドイツで最近発生した攻撃では、「Chimera」というランサムウェアが、ユーザーが600ユーロを超える身代金を支払わなければそのファイルを公開すると脅迫しているそうだ。Chimeraが実際にユーザーのファイルをエクスポートし、脅迫した内容を実行できるかどうかは不明だが、同社は「もしできなかったとしても、次に現れるランサムウェアは実行できる」とコメントしている。同社は、ランサムウェアが次に向かう先として、スマートTVや会議用機器、あるいはセキュリティで保護されていないその他のデバイスなど、よりセキュリティが弱いシステムを挙げている。また、攻撃が規模の拡大を狙ったモードから標的を絞ったモードに移行した場合は、ネットワーク全域およびクラウド全域において複数の地点で攻撃を検出できる、共通の情報戦略が必要だと指摘されている。攻撃者の人物像を理解しておくと、貴重かつ脆弱なデータを特定し、セキュリティ対策の優先順位を付ける際に役立つそうだ。
2016年02月19日マカフィーは1月15日、マクロマルウェアによる攻撃の回数が過去6年間で最高水準に達したとセキュリティブログで明かした。最新のMcAfee Labs脅威レポートによれば、マクロによるインシデントは昨年1年間で4倍に増加しており、マクロを頻繁に使用する大規模組織のユーザーを標的にしているという。マクロマルウェアは、Microsoft Office文書などのマクロ機能を悪用して不正なプログラムを実行するマルウェアで、ユーザーが文書を開いた時などに自動でマクロを実行する。多くのケースで、ファイルがメールに添付されて送られてくる。効果的にマルウェアを配布する方法として1990年台に多く利用されたが、サーバ側やメールソフト側のセキュリティ対策機能が強化されたことで、使われる機会が大幅に減った。マクロマルウェア付きのメールを受信すると、メールソフトは「セキュリティの警告:この文書にはマクロが含まれています」などと利用者に注意喚起する。終息に向かったマクロマルウェアであったが、最近になって攻撃に使われる機会が増えている。例えば、ソーシャルエンジニアリングの手法としての活用だ。攻撃者は、メールを入念に作り込み、一見本物に見えるようなメールを送り付けてメールを開封させる。本物に見せるための工夫として、件名には支払請求、配達通知、履歴書、売上送付状、寄付のお願いといった語句が含まれることが多い。本文には、添付ファイルを開かせるように、一見して正式な署名やロゴなど、件名に合わせた内容となっている、受信が添付ファイルを開くと、Microsoft Officeのセキュリティ機能の確認画面が現れる。ここで受信者が「有効にする」を選んだ場合に、悪意のあるコードが実行され、システム内にマルウェアペイロードが組み込まれる。また、ソーシャルエンジニアリングだけでなく、マクロマルウェアが以前より高度化しており、セキュリティソフトによる検出が困難になっているという。マルウェアの作者は、ジャンクコードの追加や暗号化された複雑な文字列の記述など、検出を防ぐためのさまざまな技法を組み込んでいるほか、悪意のあるURLのブロックを防ぐために複雑なパターンにしている。さらに言えば、実行難易度が低いのも増加の理由に挙げられる。マクロマルウェアは最低限の技術があれば利用できるのだ。マカフィーは、マクロマルウェアの防御策としてOSとアプリケーションを最新の状態に保ち、Microsoft Office製品のマクロ セキュリティ設定を「高」にすることを推奨している。また、メール・アプリケーションが添付ファイルを自動で開かないように設定するのも有効としている。
2016年01月18日マカフィーは1月14日、2015年第3四半期の脅威レポートを発表した。レポートでは、2015年Q3はモバイル端末を狙った攻撃が拡大し、クラウド上に保存されたデータ流出の危険性が増していると指摘している。また、ソーシャルエンジニアリングの手法を使って、企業の内部システムへの侵入を試みるマクロ・マルウェアも増えている。マクロ・マルウェアは近年減少傾向にあったが、第3四半期はマクロ・マルウェアによる攻撃回数は過去6年間で最高水準となった。新たな攻撃手法としては、従来の脅威検知技術を回避するファイルレス攻撃が発生している。ファイルレス・マルウェアの攻撃は、ルートキットによる攻撃に取って代わりつつある。これについては、カスペルスキーも同様の指摘を行っている。それ以外にもレポートでは、脅威データの統計を公開。データは、マカフィーの脅威データベース「GTI(Global Threat Intelligence)」で収集したものとなる。これによると、第3四半期は毎分平均327件(毎秒5件以上)の新種の脅威を検出したそうだ。ユーザーをだまして、メールやブラウザ上の検索などを経由して危険なWebページに接続させようとする攻撃が740万件以上、顧客ネットワークをターゲットにしたマルウェア入りのファイル配布が350万件以上、不審なプログラム(PUP)が740万件確認されている。ほかにも、モバイル端末を狙ったマルウェアが、第2四半期から第3四半期にかけて16%増加し、前年同期比で81%の増加となった。新種のモバイル・マルウェアの数は、5四半期連続で増加している。また、Mac OSを狙ったマルウェアが増加傾向にあり、第3四半期は第2四半期の4倍に増えた。増加したマルウェアの大半は、同一種類の脅威だったという。2015年に流行したランサムウェアは、第2四半期から第3四半期にかけて18%増加しており、1年間通して見ると155%の増加になる。一方でルートキット・マルウェアは65%減少し、2008年以来最も低い水準となった。減少した理由は、Windowsの64ビット版が増えたことが考えられる。64ビット版は、ドライバーの署名を強制してPatch Guardを導入するなど、攻撃者のカーネル悪用が非常に困難な設計になっている。
2016年01月15日マカフィーは12月21日、ボットネットを利用した「インサイダー取引」について、同社のセキュリティブログで解説を行った。マカフィーは14日にも、ボットネットの進化について解説を行っているが、今回は活動モデルの具体例について取り上げている。これによると、ボットネットは「個人情報を盗む活動」から「企業情報を盗む活動」に進化しているという。例えば、Patco Construction社は、2009年にボットネット マルウェアによって58万8000ドル(約7221万円)が盗み出される被害にあった。また、Tennessee Electric社は、2012年に銀行口座が乗っ取られたことで、約32万8000ドル(4028万円)の被害を受けている。著名企業ではSalesforce.comが2014年、ユーザーの詳細なログイン情報を自動的に盗み取られ、二要素認証を迂回するように設定するマルウェアの標的となった。こうしたボットネット被害の増大に対して警察当局も動きを見せている。2009年には米国の警察当局が390社への不正侵入に関わった複数の犯人を逮捕した。当時の被害金額の合計は7000万ドル(約86億円)以上に及ぶと推定されている。また、オーストラリアで多数の金融機関から膨大な金額が不正に引き出された事件は、オーストラリア連邦警察が「マルウェアの行為者はオーストラリア国内の歴史の浅い金融プラットフォームを標的にしている」という捜査結果を発表している。このマルウェアは、金融取引や認証の情報を盗難・改ざんする、またはそれらに危険を及ぼす機能が実装されていた。企業や金融機関を狙ったボットネットサービスは、購入者が金銭的価値のある機密情報を盗みとる。これらのマルウェアは、認証情報を盗み出すことにはあまり重点を置いていないが、その代わりにマルウェアを利用すると、特定の情報ストアや情報画面にアクセスできる。これにより、時間が重要な意味を持つ情報を誰にも知られることなく、監視・コピーが可能となる。ボットマスターは、2つの銀行と1つの取引業者のコンピューターをコントロールし、サービス購入者に対して各企業の機密情報の閲覧サービスを提供している。マカフィーはこうした活動を「ボットネット版動画配信」のようなものと表現している。こういったボットネットの犯罪行為は、銀行や金融取引所のコンピュータに侵入するだけでなく、利益を得るために機密情報を悪用することにもつながる。ブログでは、銀行ボットネットの種類、プラグイン、運用者やサービス購買者が利用できる機能を解説している。例えば、Zeusのマルウェアのビデオキャプチャ・プラグインは、リモートデスクトップのセッションの開始を検出すると、セッションの録画を開始する。感染を防ぐには、エンドポイントのマルウェア検出データベースを常に最新状態にし、OSのパッチは迅速に適用する必要がある。また、サードパーティ製のすべてのソフトウェア、特にAdobe Flashは常に最新状態にする。さらに、マルウェアの能力に関する知識をつけることも重要だという。マルウェアに感染した場合、感染したエンドポイントの特定、そのユーザーの役割と権限、被害者を背後から操っている人物の有無、および利用された内部データについて把握するためのさらなる調査が必要だと呼び掛けている。
2015年12月22日マカフィーは12月14日、同社のセキュリティブログで、ボットネットが「顧客至上主義へと変化している」と現況を説明した。これまでボットネットの利用目的は、システムのリモートコントロール、サービスの中断/DoS攻撃、個人情報(ID/個人のクレジット情報/銀行情報)の窃取といったシステムへの侵入やデータの取得に重点が置かれていた。しかし現在、ボットネットは、サービス購入者が製品やサービスを要求する顧客中心主義的な業界へと進化を遂げたという。ボットマスターは、サービスの加入者からの機密情報のリクエストを受け、保護されている機密情報の閲覧などを加入者に提供している。実際に提供しているサービスとしては、「企業システムを標的・アクセス可能にするプロビジョニング」「匿名の通信、ルーティング、パブリッシング」「加入者のネットワークや登録コンピュータのアクセス管理」「支払いサービス」「ダークウェブの製品やサービス向けのマーケット」などが挙げられている。ボットマスターの提供するサービスには複数の種類があり、同社は例をいくつか紹介している。個人情報泥棒タイプほとんどの場合、スパムやフィッシング行為経由で消費者を標的にする。認証情報などからIDや個人のクレジットカード、銀行口座、金融取引情報を盗み出す。企業情報泥棒タイプ企業の従業員や役員を標的とし、ソーシャルエンジニアリング的な手法を使ったフィッシングを行う。人事部門をターゲットに従業員情報や認証情報を盗み出し、金銭的な不正行為や窃盗を手助けする。マーケット情報泥棒タイプインサイダー取引に利用可能な保護された極秘のマーケット情報の窃盗を促す。この手法は、ソーシャルメディア経由のリクエストや招待などのビジネスネットワーキングサービスを経由して拡散する。一般的に上場企業の役員、弁護士、監査人、財務サービス機関の従業員、および関係するメディアサービスを標的としている。これらの犯罪のタイプを定義するには、使用するツール名だけでなく行為内容のエビデンス(証拠)が必要となる。そうした証拠は基本的に、盗み出した情報が保存されていてボットネットのサービス購入者がアクセスできる管理サーバや、不正行為を行った被害者の経理用(取引用)のユーザーアカウント、悪用の履歴が確認できる被害者のコンピュータ内の痕跡などで集める。例えば、個人情報泥棒タイプは、マルウェアをブラウザの中に埋め込み、被害者が銀行との金銭取引や金融取引に使用している認証情報を収集する。Dyreなど最新タイプのマルウェアはリモートデスクトップの「遠隔操作」などの追加機能を利用しており、被害者が銀行サイトへのログイン時に使用している感染したコンピュータを運用者やサービス購入者が乗っ取ることができる。最新の情報取得タイプのものは、スクリーンショットや他の技術を使用して二要素認証を突破するツールを埋め込むこともある。また、企業情報泥棒タイプは、企業ネットワークへのバックドア・アクセスを提供する。マルウェアは自動的に、セキュリティの弱いコンピュータ、ユーザーの認証情報とアクセス許可に関するシステム情報、および別のメモ情報などによりアクセス可能な企業ネットワーク情報を収集する。次に、ボットマスターは情報をカタログ化し、セキュリティの弱い企業コンピュータやネットワークについて追加調査を実行する。その後、追加の遠隔監視ツールをインストールして企業や組織に対して複数のアクセスを作成、企業ネットワーク内のあるコンピュータにアクセスできたという事実を希望する、サービス購入者に販売する。その後、サービス購入者はボットマスターに新たな行為を指示する、またはサービス購入者自身がアクセス手段を利用して目的の行為を行う。
2015年12月15日マカフィーは12月9日、2015年に発生したサイバー脅威の傾向と、今後の脅威予想を発表した。同社は、日本国内の経営層や情報システム部門などのビジネスパーソンを対象にした「セキュリティ事件に関する意識調査」を元に、2014年より「10大セキュリティ事件ランキング」を公開している。これは、過去1年間に発生した主なセキュリティ事件を30件選定し、それらの事件の認知度を測定することによって、社会に与えた影響を分析するといもの。これによると、2015年は「日本年金機構への標的型攻撃で125万件の年金個人情報が流出」が1位で、2位が「振り込め詐欺/迷惑電話による被害」、3位は「大手金融機関やクレジットカード会社などをかたるフィッシング」となった。1位になった日本年金機構の情報流出事件では、人の心理を欺いて重要な情報を暴露・公開させる「ソーシャルエンジニアリング」という手法が使われていた。いかにも業務に関係しそうな内容のメールにマルウェアを添付して開かせることによって、機密情報が流出した。この問題についてマカフィーは「これ(日本年金機構による流出)を責めることはできないでしょう」とまとめている。同社はテストで、10通のメールに隠された7通のフィッシングメールを当てる「フィッシング・クイズ」を提供したが、回答者の80%が、少なくとも1通以上のメールがフィッシングメールであることに気付かないという結果が出ていたためだ。マカフィーの執行役員 SE本部 本部長 田井祥雅氏は「これまで日本では、サイバー攻撃者に侵入されないようにする『防御』ばかりが議論されてきたが、この事件をきっかけに『侵入されることは当たり前』という前提に立ち、侵入された後の被害を最小限に抑えるための取り組みが重要であることが認識された」とコメントしている。こうしたセキュリティ状況を踏まえた上で同社は、多層防御の新たなコンセプトとして「Threat Defense Lifecycle(脅威対策のライフサイクル)」を提案している。侵入を防ぐ「防御 (Protect) 」に加え、入り込んできた敵を「検知 (Detect) 」し、迅速に「復旧 (Correct) 」するというプロセスを統合し、データを共有しながら、得られたインテリジェンスをフィードバックすることで、情報の流出に強いセキュリティ環境を構築できるという。一方で「McAfee Labs脅威予測レポート」では、自動車が将来の脅威となり得ると指摘。McAfee Labsの上級副社長 ヴィンセント・ウィーファー氏は「2020年には、ネットワークに接続されたコネクテッドカーが2億2,000万台に増加すると予測されている。攻撃者もそこを狙ってくるはずだ」とコメントし、さまざまなコンセプト実証コードや脆弱性が見つかるという見通しを示した。また、盗まれたデータの闇市場への流出についても危険視している。同氏は「われわれがオンラインショッピングサイトで顧客のデータを関連付け、マッチングしているのと同じように、攻撃者側も盗まれたデータを蓄積し、ビッグデータを関連付け、情報の価値を高めていくだろう」とコメントした。その以外の領域でも攻撃が拡大し、進化したサイバー脅威が登場する可能性が高いという。家庭内で使わるデバイスは、今後もネットワークにつながるものが増えていくため、必然的に攻撃者のターゲットが増加する。家庭内で使われる個人のデバイスのセキュリティについても一層の注意を払う必要があると指摘している。また、攻撃対象となり得るデバイスは増える一方で、攻撃ツールの難易度が下がる。セキュリティの技術的な知識を持たない人でも手軽に攻撃を実行できる環境が整いつつある。同氏はこうした見通しを踏まえ、「防御側は統合されたセキュリティを通じて脅威情報を共有し、よりスマートになっていかなければならない」とし、同時に「それでも100%防御することは難しいため、侵入を受けたときにどうするかという手段を用意していく必要がある」と注意を呼び掛けた。
2015年12月10日マカフィーは11月9日、Gate.Wormファイル感染ウイルスの最新バージョンに関する情報をセキュリティブログで公開した。Gate.Wormに感染した場合、正規コードに制御を戻せなくなる仕様で、特定のアプリケーションが起動しなくなり、マルウェアコードのみが実行される。このバージョンは2013年の「Obfuscated-FBU!hb」による寄生型ウイルスの変種と類似しているが、作者は別の人物。新しいコードは以前のコードに似ているが、機能がかなり減らされているという。マルウェアの目的は、SecurityGate.ruグループがテストサンプルとして作成したものと推測している。セキュリティブログによると、マルウェアがコンピューターに侵入して感染させるまでの挙動は以下の通り。まず、IsDebuggerPresent Windows APIを呼び出して、プロセスがデバッグ中かどうかを確認する。マルウェアの作者はこの機能を使用して、デバッグによって"悪質なバイナリ"の分析を防止する。チェックの結果がtrueの場合、マルウェアは実行を終了する。次にマルウェアはコンソールウィンドウを開き、「SAFEMODE: This WORM is designed only to test…with respect SafetyGate.ru.」 というメッセージを表示する。GetCurrentDirectoryAを使用して現在のディレクトリを取得し、そこに含まれるすべてのファイルを列挙する。そのために、マルウェアはFindFirstFileA and FindNextFileAを使用してファイル名配列を作成する。現在のフォルダ内の全ファイルを配列に追加したら、マルウェアはマルウェアファイルのファイルサイズを計算し、マルウェアサンプル全体をクリーンファイルの冒頭に挿入してコンピューターに感染する。感染後は、MZ構造がマルウェア本体に置き換えられ、元のファイルは単なるオーバーレイデータとして存在するようになるため、感染したクリーンファイルを実行できなくなる。さらに、感染ファイルに以下のような形式のシグネチャを追加する。感染ルーチンは現在のフォルダ内のすべてのサンプルに対して繰り返し実行され、プロセスが終わると、マルウェアはSleep APIを呼び出して10秒間実行を停止する。その後、コンソールウィンドウを閉じてマルウェアプロセスを終了する。最後は、感染したすべてのサンプルに以下のようなアイコンが表示される。オーバーレイに複数のオリジナルサンプルが含まれた感染サンプルも存在する。感染ファイルはすでに感染していたファイルが含まれることがあるため、このような状況が発生する。新しいクリーンファイルがこのサンプルに感染すると、新たに感染したファイルには過去に感染していたファイル(複数の場合もある)とマルウェアコード、新しいシグネチャが含まれる。ポータブルな実行可能ファイルだけではなく、あらゆる種類のファイルがこのマルウェアに感染する。このようにして、ホストコンピュータの現在のフォルダ内の大半のファイルがウイルスに感染してしまう。通常、ユーザーはファイルをダウンロードフォルダ、ドキュメントフォルダ、デスクトップフォルダにダウンロードするが、フォルダによって影響度が違う。マルウェアにはネットワーク機能がなく、外付けドライブを感染させることはできない。被害者が直接ダウンロードして実行するか、感染したサンプルを外付けドライブに手動でコピーし、別なシステムで実行する以外、このマルウェアをまん延させることはできないという。
2015年11月11日マカフィーは10月28日、ブラックマーケットで取り引されている盗難データの価格を調査、その結果をセキュリティブログで公開した。調査は、研究チームのMcAfee Labsが実施。盗難データが持ち込まれて販売されるWebサイトやチャットルーム、その他のオンラインプラットフォーム、コミュニティ、マーケットプレイスを監視した結果にもとづいている。盗難データの種類は、クレジットカードやデビットカードといったペイメントカードのデータ、銀行口座のログイン認証情報、地下銀行の振り込みサービス、オンライン支払いサービスのログイン認証情報、プレミアムコンテンツサービスのログイン認証情報、企業ネットワークのログイン認証情報、ホテルおよびロイヤルティサービスのアカウントのログイン認証情報、オンラインオークションのアカウントのログイン認証情報など多岐にわたる。例えばペイメントカードの場合は、盗まれて販売される金銭データの中で「恐らくもっとも多い」という。一般的に販売されているものは、PAN(Primary Account Number)というソフトウェア的に生成された番号と有効期限、およびセキュリティコード(CVV2)を組み合わせたものとなる。ブラックマーケットの販売者は、有効なカード番号の組み合わせを「ランダム」に調べる。「有効クレジットカード番号生成ツール」は、オンラインで購入または無料のものを見つけることができる。コアデータがあり、より多くの犯罪行為を完遂できるものは追加情報の内容により価格が上昇する。さらに、価格上昇の要素となる追加情報には、銀行口座のID番号や被害者の誕生日のほか、「Fullzinfo」と分類される被害者の請求先の住所、PIN番号、ソーシャルセキュリティ番号、誕生日、母親の旧姓、カード所有者のオンラインアカウントにアクセス・管理・変更できるユーザー名とパスワードの情報などがある。オンライン支払いサービスのアカウントの場合には、口座残高が400~1000ドルのアカウントの場合、ログイン認証情報の価格が20~50ドルだった。また、口座残高が5000~8000ドルのアカウントのログイン認証情報の場合には、価格が200~300ドルだった。銀行口座のログイン認証情報は、2200ドルの口座残高のあるログイン認証情報が190ドルで販売されていたことを確認。銀行のログイン認証情報で口座残高が6000ドルのものは500ドル、口座残高が2万ドルのものは1200ドルで販売されていた。オンラインサービスのアカウントの場合は、ビデオストリーミング(0.55~1ドル)、プレミアムケーブルチャンネルストリーミングサービス(7.50ドル)、プレミアムコミックブックサービス(0.55ドル)、プロスポーツストリーミング(15ドル)などとなっていた。ほかに、ホテルのロイヤルティプログラムのログイン認証情報のケースも公開されており、主要なホテルブランドでポイントが10万以上溜まっているロイヤルティアカウントが20ドルだった。また、オンラインオークションのコミュニティアカウントで高評価のものは1400ドルで販売されていた。
2015年10月29日マカフィーは8月31日、ランサムウェアによる攻撃手法がフランチャイズ化していると、セキュリティブログで明かした。フランチャイズ化とは、本部(ランサムウェアの作成者)と契約を結んだ使用者(攻撃者)が商品(ランサムウェア)やノウハウを受け取り、攻撃を成功したときの報酬の一部を上納金として本部に納める仕組みだ。一般的な飲食店やコンビニエンスストアなどで言われるフランチャイズと同じと考えて良い。サイバー犯罪者の中には、金銭目的などで開発した攻撃ツールを第三者に提供することもある。いわゆる「サービスとしてのランサムウェア(ransomware-as-a-service)」 モデルによって、最近のランサムウェア攻撃の急増につながっている。ブログでは、代表的なランサムウェアである「CTB-Locker」と「Tox」のフランチャイズ化のモデルケースを紹介している。CTB-Lockerランサムウェアの作成者は、アフィリエイトプログラムを使用しており、アフィリエイトに登録した攻撃者はツールを入手できる。攻撃者は、ツールを使って企業にランサムウェア攻撃を仕掛け、成功時の収益の70%を取得し、残りは作成者が受け取る。Toxのケースは、作成者が金銭目的でランサムウェアを配布している。使用者の技術的なスキルをほとんど必要とせず、誰でも簡単に利用できるのが特徴だ。Toxの利用者は、身代金の額を自分で設定し、総額の20%を攻撃者に支払う。CTB-LockerとToxにおいて、攻撃者と使用者の金銭のやり取りには、ビットコインなどの仮想通貨が使われている場合が多い。ビットコインは、金銭の受け取り手の匿名性が守られているためだ。攻撃者は、より高額の身代金を得られることを期待し、消費者のシステムから企業のシステムへと標的を移行している。マカフィーでは、多くの組織がデータを取り戻すために身代金を支払う傾向にあり、モデルの有効性が裏付けられたことで、さらなる攻撃の増加につながっていると分析している。
2015年09月01日マカフィーは8月17日、同社公式ブログで一般ユーザーが利用できる無料のランサムウェア「Tox」に関する記事を公開した。ランサムウェア「Tox」は、サイト登録だけで無料入手でき、TORとBitcoinを活用しているため、ある程度の匿名性を確保している。さらに、Toxに標準搭載されているマルウェア対策の回避機能はかなり高レベルとのことで、このマルウェアのターゲットが防御するためには、「HIPS」や「ホワイトリスト」「サンドボックス」といった追加対策が重要になるという。製品Webサイトでは、登録後に「ランサム(身代金)の額」と「cause(理由)」を入力。「CAPTCHA(認識した文字列)を送信する」の3ステップで.scrファイルを装った約2MBの実行ファイルが作成される。このマルウェアは、実行されると犠牲者のデータを暗号化し、データを利用したければ身代金を払うように犠牲者に要求し、送金先のBitcoinアドレスを通知する。マカフィーは、暗号化と回避技法がより高度なマルウェアと亜種が開発される可能性があると警鐘を鳴らしている。
2015年08月19日マカフィーとMMD研究所は、スマートフォンユーザー2,875人に対して行った「スマートフォンのトラブルに関する調査」の結果を公開した。それによると、スマートフォンのワンクリック詐欺の被害者のうち、被害額が10万円超のユーザーが1割以上いたという。スマートフォンユーザー2,875人に対し、ワンクリック詐欺を見かけたことがあるか聞くと、全体の22.5%が「見かけたことがある」と回答した。ワンクリック詐欺を見かけたことがあると回答したユーザーに対し、実際に被害にあった経験について聞くと、16.7%が「被害にあった経験がある」と回答。また、性別では「男性」が14.3%、「女性」が20.4%となり女性のほうが、男性よりも被害にあっていることがわかった。年齢別では、30代の割合が23.9%と最も高く、2番目は10代で18.2%だった。さらに、ワンクリック詐欺の被害にあったことがあると回答したユーザーに、被害額を聞くと「10,000円以内」が60.2%で最も多かったが、11.1%が「100,001円以上」と回答し、1割以上のユーザーが10万円以上の被害にあっていることがわかった。(記事提供: AndroWire編集部)
2015年06月22日マカフィーは6月8日、セキュリティ用語を解説する連載コラム「今だから学ぶ! セキュリティの頻出用語」の第3回を公開。今回は「ボットネット」について解説した。ボットとは元々、別のコンピュータに接続して命令を実行する単純なスクリプトやコマンドの集合、あるいはプログラムという意味。ボットそのものには、有害で悪質なものという意味はないが、最近はマルウェアの一種として説明されることが多い。攻撃者は、ボットを利用してコンピュータに侵入し、乗っ取りを試みる。ボットが進入するのは、企業や個人、政府機関だけでなく、軍事関係のコンピュータなどさまざまだ。攻撃者は、乗っ取りに成功したコンピュータ群に対して、指令をボット攻撃サーバから発信して攻撃する。これらのコンピュータ群をボットネットという。乗っ取られ、密かに組み込まれたプログラムによって遠隔操作が可能な状態になっているPCのことを「ゾンビPC」と呼ぶことがある。ボットネットは1台から、数十万台のコンピュータで構成される大規模なものまで存在する。ボットは巧妙に入り込むことから、所有者にとって気づかないうちに自分のPCが感染していることがよくある。そのため、自分で意図しなくても、攻撃に荷担してしまっている場合も多いという。○変化するボットネットこれまでにボットネットは、さまざまな変化を遂げているという。以前のボットとボットネットは、IRC(Internet Relay Chat)をプロトコルをよく利用していた。IRCとは、チャットをするためにプロトコル。以前はコンピュータエンジニアの中で一般的に使用されていた。このIRCの機能を利用してホストのスクリーンショットを取得したり、ボットのダウンロードやアップグレードを実行したりする。○P2PボットIRCを利用したボットネットの弱点はIRCサーバだという。サーバが閉鎖されると、攻撃者はボットネットを制御できなくなる。そこで、ファイル交換などでよく利用されるP2Pプロトコルを使用した新しいボットネットが登場した。P2Pのメリットは、処理を分散できること。そして障害に強いこと。そのため、IRC制御のボットネットよりも閉鎖が難しくなっている。P2Pボットネットの中で巧妙なボットネットと言われるのが「Storm Worm/Nuwar」。このボットネットは、分散したP2Pアーキテクチャを利用し、しばらくの間猛威を振るっていた。○HTTPボットそのほかにも、IRCではなくWebサイト(HTTP)を使用するボットネットの数が増え始めた。サイバー犯罪者やマルウェアの作成者にとっては、より一般的に利用されているプロトコルを使い始めたということになる。HTTPへの移行は「エクスプロイトキット」の出現がきっかけで、キットは遠隔のコンピュータにソフトウェアをインストールして、遠隔のWebサイトからコンピュータを制御する。サイバー犯罪者はさまざまなリンクを含むスパムやインスタントメッセージを送信する。リンクをクリックすると、エクスプロイトキットを含むWebサイトに移動する。サイトでは、エクスプロイトキットがユーザーの所在地、使用OS/ブラウザやアプリーションのバージョンを確認し、使用するエクスプロイトを判断する。これらの作業はユーザーに気付かれずに実行さるため、攻撃に成功すると、感染先のコンピューターを遠隔から制御するために複数のマルウェアをインストールしてしまう。○少しでも不審に思ったら「開かない」「クリックしない」「相手に確かめる」マカフィーでは、ボットネットのインフラが分散化し、耐久性を増していることを確認している。さらに、検出回避技術や障害対策技術を取り入れたボットネットも存在しているという。サイバー犯罪者は、利用者のコンピューターをボット化し「ゾンビ」とすることで、遠隔からコントロールしようと機会を伺ってくる。乗っ取りに合わないためにも、スパムメールや発信元の不明のメッセージは開かないこと、怪しいURLをクリックしないこと、不審に思ったらクリックする前に確認が可能ならば、発信元の人に確認するなど、日頃の注意が必要であると指摘している。
2015年06月10日秋田県 秋田市で5月16日~17日の2日間、インテルとマカフィーがパソコンやタブレット、セキュリティ対策などを紹介する体験イベントを開催した。個人向けの2015年最新製品を日本各地で体験してもらおうという移動展示会の一環で、秋田では地元放送局のABS秋田放送が主催する「ABSまつり2015」の会場内にブースを出展。2in1パソコンの新モデルや、話題のStick PCなどの体験に人気が集まっていた。ABSまつりは、ABS秋田放送が主催し、地元企業などが地場もの素材を使った飲食や物販ブース、ステージイベントなどを展開する地域密着型のお祭り。収穫祭のような雰囲気もあるなかで、外資系企業のインテルが、しかも最新デジタル分野の体験会を行っている様は、なかなかの異彩を放ちながら目立っていた。展示ブースの目玉となったのが2in1パソコンで、春に発売開始したばかりの東芝「dynabook R82」に実際に触れ、薄型で動作が軽快なWindowsパソコンが分離してタブレットにも変形する場面を見て、「これは凄い」と新鮮に驚く来場者が多かった。ほかにも、薄型軽量タブレットのDell「Venue 8 7000」で、RealSense 3Dカメラを使った特殊な写真編集を楽しむこともできた。RealSense技術に関連しては、3Dカメラでジェスチャ等を読み取り、インタラクティブに音楽を演奏できる「KAGURA」(しくみデザイン)の体験環境も出展していたが、これは親子連れ、特に子供たちが興味を持って遊んでいた。そしてスティック型パソコン「Intel Compute Stick」の人気はやはり高く、この秋田の地でも、「テレビの映る大きなパソコンかな」と覗き込んできた人が、「テレビにパソコン(Compute Stick)を挿して画面を表示しているんです。この小さいスティックがパソコン」と説明を受けて、「これはどこで買えるの!?」と興味深々になる場面が見られた。ただ、残念ながらCompute Stickは発売延期中で「近日中に案内いたします。すみません……」(関係者談)。……早々の発売日決定、期待しています。パソコンに対するイメージが、キーボードのついた四角い箱や分厚いノートに、Windows XPが入っているようなちょっと古いモノのままの人は、まだまだかなり多いと見られる。インテルが今回のように地域イベントに出展する狙いは、そういった層にも、カタチが変わったり、インタフェースが多様化したり、付き合い方そのものも変わってきている最新のパソコンの"今"を訴求したい想いがあるからだ。出展を取り仕切っていたインテル 執行役員 マーケティング本部 本部長の山本専氏も、「これまでも実際にいろいろな地域に出展してみたが、都会では聞けなかったような声が聞けて驚く。(パソコンの最新の姿を)伝えられていたはずが、実は思っていた以上に、広く十分に伝えきれていなかったことに気付けた。直接出向かないと伝わらないことがあった」と話していた。また、「都会では得られなかったユーザーのフィードバックが得られる。ユーザーは全国にいるのだから、貴重なフィードバックだ」とも話していた。今後も地域イベントの試みは積極的に企画していきたいとの意向だそうだ。さっそく次回の予定もあり、今度は来月6月20(土)~21日(日)の2日間、新潟県新潟市で開催される「万代ファミリーフェスタ2015」の会場に、今回と同様のインテル&マカフィーの体験ブースが出現する。
2015年05月18日マカフィーは4月21日、情報漏えい対策ソリューション「McAfee DLP」がマイナンバー制度に対応したと発表した。関連情報を運用する組織のニーズに応えた、安全なデータ運用が可能になる。マイナンバー情報を検索するルールテンプレートは、4月21日からマカフィーのWebサイトを通じて提供される。このルールテンプレートにより、マイナンバーやそれに関連した個人情報を取り扱う際に12桁の番号が検知可能になった。これにより、データの外部への流出や外部流出を防ぐことができる。また、Webや電子メールに加え、USB、スマートフォンなどの外部記憶媒体やオンラインストレージへの不正な重要データのコピーも、監視・ブロックされる。マカフィーの暗号化スイート製「McAfee Complete Data Protection」と連携することで、検出されたマイナンバー情報を暗号化する。また、マイナンバー情報を検出することで、ネットワーク型DLP製品である「McAfee DLP Monitor」、「McAfee DLP Discover」、「McAfee DLP Prevent」でもネットワーク環境下でのマイナンバー情報を監視・検知できる。外部流出の恐れがある場合、データの交流をブロックすることも可能だ。マカフィーでは他に、暗号化製品や情報イベント管理(SIEM)製品を使用した情報漏えい対策ソリューションを提供しており、これらを組み合わせることで、情報漏えいを検知・可視化し、詳細原因特定のための事後対応を迅速に行えるとしている。
2015年04月23日マカフィーは3月25日、医療業界におけるモノのインターネット(Internet of Things:IoT)の普及には、懸念事項があるとセキュリティブログで指摘している。これは同社と米国のシンクタンクであるAtlantic Councilが共同で、ネットワーク接続する医療機器のセキュリティリスクを調査し、レポートにまとめた。レポートによれば、医療機器や接続するネットワークに脆弱性をサイバー犯罪者に悪用されると、人命に関わる脅威となる。例えば、インスリンポンプが乗っ取らた場合は、患者に必要以上のインスリンを注入したり、電気ショックを与えるなどとサイバー犯罪者が命令できてしまう。いわば「標的型殺人」ができてしまう。医療機器を狙うマルウェアがインターネット上で広がった場合、被害はさらに深刻化する恐れがある。世界中の医療機器が攻撃対象になることも十分に考えられる。ネットワークを介する医療機器の多くは、セキュリティリスクを回避するための要件が盛り込まれていないのが現状だという。今後は医療機器メーカー、医療機関、政府などが共同で対策を図る必要があると指摘している。
2015年03月26日マカフィーは3月20日、セキュリティブログを更新し、詐欺・迷惑電話の被害が拡大していることを明かした。警察庁の統計では、2014年国内の振り込め詐欺などの特殊詐欺の被害総額は過去最悪となる559.4億円に達し、同年のすべての財産犯の現金被害額(約1,130億円)の49.5%を占める結果となった。詐欺の手口は、直接電話をして指定の口座に現金を振り込ませるタイプ、犯罪者が直接自宅などに受け取りに来るタイプ、被害者に現金を宅配便などで送らせるタイプなど複数ある。最近では、宅配便を利用する手口が拡大しており前年比で約62%増。投資の勧誘や商品のセールスなどを目的とした迷惑電話も増えているという。2014年11月に実施した独自調査では、回答者の約22%が「スマートフォンで迷惑電話を受け取ったことがある」と回答している。さらに、電話を受け取った人の21%が「被害を受けたことがある」と回答している。なお、マカフィーの詐欺電話・迷惑電話対策技術がNTTドコモのAndroid搭載のスマートフォン向けサービス「あんしんナンバーチェック」に採用されており、3月23日よりサービスを開始している。また、KDDIのAndroid搭載スマートフォン向けにも、「マカフィー セーフ コール(McAfee Safe Call)」を提供している。
2015年03月23日マカフィーは3月16日、セキュリティ研究機関であるMcAfee Labs(マカフィー ラボ)が2014年第4四半期の脅威レポートを発表した。主にモバイル向けの脅威に関する注目点を解説している。1つは、アプリの提供業者はがSSLの脆弱性(不適切なデジタル証明書チェーンの検証)への対処が遅れていると指摘。マカフィー ラボが25の人気アプリを検証した結果、18のアプリで脆弱性が確認された。一部のアプリは、バージョンアップを繰り返しながらもセキュリティの問題が放置されていた。脆弱性のあるアプリに対して中間者(Man-in-the-Middle)攻撃を試すと、SSLセッション中に共有情報の傍受が可能であった。傍受したデータにはSNSのログイン認証情報などが含まれていたという。モバイルアプリ開発者がSSLの脆弱性を修正しないことで、アプリをインストールしたユーザーが中間者攻撃のターゲットになっている恐れがあると指摘している。もう1つは、「Anglerエクスプロイトキット」が増加している点だ。Anglerは、セキュリティ製品から発見されにくくする機能を実装しており、駆除が困難となっている。多くのサイバー犯罪者は、2014年の下半期よりAnglerを導入している。販売されているパッケージには、ファイルレスの感染、仮想マシンやセキュリティ製品の検知回避、バンキング型トロイの木馬、ルートキット、ランサムウェア、CryptoLocker、バックドア型トロイの木馬などさまざまなペイロードを配布する機能が含まれている。マカフィーは「デジタル製品の安全性は不可欠なもの」と述べた上で、「アプリ開発者は一定水準のセキュリティ レベルを提供すべきだと」とアプリのセキュリティ向上の取り組みをするように強調した。
2015年03月18日マカフィーは3月10日、Amazonギフトカードを装ったマルウェアが増えていると公式ブログで注意を呼びかけている。マルウェアは「Amazonリワード広告アプリケーション」と称したAndroid用アプリ。Android端末用の公式アプリストアであるGoogle Play上で配布されていた。マルウェアの目的はユーザーの個人情報を盗み取ること。その手口は、誤ってアプリをインストールすると、ホーム画面に「Amazon Rewards」が現れる。それを起動するとアンケート用のWebサイトを表示され、そこに入力した情報が作者に送信されてしまう。回答してもAmazonギフトカードはもらえない。マルウェアはSMSを経由してさらに多くのスマートフォンへと広まっていった。一度マルウェアに感染した端末は、アドレス帳に登録されている知人や家族に勝手にメッセージを送ってしまう。受信したメッセージには短縮URLが貼り付けられており、受信者が悪意あるWebページに誘導する。受信者がWebページを開くと、ギフトカードが無料でもらえるように仕向けられ、アプリをインストールして新たに感染する。マカフィーでは、マルウェアに感染した端末からSMSで拡散する手法が、結果として広範囲の感染につながると指摘している。知人から送られてきたSMSメッセージであっても、少しでも不審な内容であれば、URLを安易に開かないようにと呼びかけている。
2015年03月11日マカフィーは2月19日、中小規模企業向けの低コストかつ包括的なセキュリティスイート製品「McAfee Endpoint Protection for SMB(マカフィー エンドポイント プロテクション フォー エスエムビー)」を23日より提供すると発表した。同製品は、マカフィーが提唱するSecurity Connected戦略のもと、独自のクラウド型リアルタイム脅威データベース「McAfee Global Threat Intelligence(GTI)」のリアルタイムに更新される世界規模の脅威情報を活用。これにより、中小規模企業でも大企業と同水準のセキュリティレベルを実現させる。また、将来、必要に応じて同社のほかのセキュリティモジュールを追加できるため、企業のニーズに合わせてセキュリティシステムの拡張も可能となる。また、製品に含まれるセキュリティ管理ソリューション「McAfee ePolicy Orchestrator」は、クラウドベースの管理機能もしくは従来のオンプレミス型の管理機能のどちらも使用することができ、顧客の環境に合わせた管理方法を選択できる。クラウド機能を利用する場合エンドユーザーは、 Web ブラウザベースの管理画面からセキュリティポリシーの設定などを管理できるようになる。管理サーバーはクラウド上に配置されるので、 自社内に管理サーバーを用意する必要がなく、ハードウェアや運用にかかるコストを大幅に削減できる。エディションは、対応機能の異なるEssentialとAdvancedの2つが用意され、どちらも新規購入ライセンスだけでなく、他社のエンドポイントセキュリティを導入している企業向けに、価格を抑えた乗り換え用ライセンスも提供する。101から250ノードで1年契約の場合の1ノードあたりの年間価格(税別)は、Essential(新規)が3380円~、Essential(乗換え)が2190円~、Advanced(新規)が6760円~、Advanced(乗換え)が4390円~となる。
2015年02月20日●IoT事業に並んだインテルセキュリティの事業規模マカフィーは2月6日、都内で2015年の事業戦略説明会を開催した。昨年の事業を総括するとともに、セキュリティ市場のトレンドを語り、今後の展望を説明した。同社代表取締役社長のジャン・クロード・ブロイド氏は、「2014年は(同社が属する)インテルにとって記録的な年であった」と言及し、昨年の事業の総括をスタートした。コンシューマー事業においては、100社以上のISPパートナーとの協業、出荷される70%のPCにプリインストールされている。さらに、モバイルデバイスでは、ドコモ、ソフトバンク、KDDIとのパートナーシップによって、マーケットリーダーとしての地位をゆるぎないものにした。ちなみにインテルは、PC、サーバー、タブレット、電話向け製品で過去最高の出荷数量を達成。さらにIoT事業については前年比19%増で、金額として20億ドルを突破するなど、その好調を決算で発表している。そんな中、インテルセキュリティグループとしてのマカフィーの年間売り上げは23億ドルとなった。つまり、IoT事業とセキュリティ事業が拮抗する規模のビジネスになりつつある。そんな中で、マカフィーが目指さなければならないことは自ずと見えてくる。ブロイド氏は、セキュリティ市場のトレンドが従来のリスク保護からリスク管理重視のフェーズへと変化していることを指摘。その状況下においては、ITのインフラ全体を統合し、各種の情報を共有することで脅威に対するレスポンスレベルを最大限に向上させる必要があるという。これがSecurity Connected戦略の考え方となる。●Security Connected戦略の具体的なイメージは?例えばMcAfee Enterprize Security Mangerは、統合セキュリティプラットフォームを基盤に、セキュリティ情報とイベント管理を担う。これによって収集、分析したセキュリティ情報をひとつのプラットフォームの中で集中管理していけるわけだ。同社は、2017年への展望として、全世界で接続されたデバイス10億台以上を保護することをめざすという。インテルが2020年のIoTデバイスの予測を500億台とする中で、この数字はいかにも少なすぎる。ただ、マカフィーとしては、ゲートウェイの内側にあるデバイスについてはゲートウェイなどが統合的に保護するため、現時点では直接の保護対象ではないからと、少なくとも現時点ではカウント外であると説明する。今後、IoTのトレンドはもちろん、ウェアラブルデバイスなどが続々登場してくることが予想される中で、マカフィーの内側にいればすべてが保護されるという意味だ。それでも同社は、クラウドからチップまであらゆるデバイスにセキュリティを導入することの重要さを訴える。個々のデバイスを保護するだけでは十分なセキュリティ効果は得られない。セキュリティは「Connected」維持を徹底し、巧妙化する一方のサイバー攻撃を相互連携されたソリューションで回避していくという展望を訴えた。
2015年02月09日○2014年は最高のソリューションを提供することで10%成長を達成マカフィーは2月6日、都内で2015年事業戦略説明会を開催。冒頭でジャン クロード・ブロイド社長は、「新聞を見たところ一面で取り上げられていた」と、セキュリティが世間のホットトピックになっていると切り出した。インテルがマカフィーを買収して3年が経過したことにも触れつつ、インテルの決算と、その中でマカフィーが担当するIntel Securityグループの事業総括を述べた。2014年は、Intel Securityグループとして年間売り上げが23億ドルと、二桁成長を遂げたいう。その背景として、業界で最高クラスのセキュリティソリューションを提供するだけでなく、複数の領域で製品が連携して対応する「Security Connected」戦略が浸透し、競合他社との差別化要因になったと分析した。日本市場では、コーポレート事業向けとして主要企業に対するSOC(Security Operations Centers)構築支援や、公共事業と大企業に対するコンサルティング案件が増大したという。また、マカフィーのビジネスエコシステムにとっては、パートナーとなるシステムインテグレーターが重要な役割を担っているが、マカフィーソリューションに対する専門知識を高めたことで実績を上げた。コンシューマー事業も堅調に推移している。その根拠として、数多くのISPパートナーやプリインストールPCにおける高いインストール率、三大キャリア(NTTドコモ・KDDI・SoftBank)すべてとパートナーシップを結んでいる実績を挙げた。マカフィー製品そのものも、高い評価を得ているという。○セキュリティのトレンドはリスク管理へと変化続いて、業界のトレンドについて解説があった。ITセキュリティは、リスクからの保護から、リスク管理を重視するように変化。そのためにはリスクの分析と事前対策が欠かせない。また、ユーザーが安全にモバイル、クラウド、SNSを利用できるセキュリティソリューションの需要が高まっている。これは個人向けだけでなく、企業向けにも求められるため、市場をけん引していくと予測した。調査会社の資料によると、2013年から2018年のセキュリティ業界は4%程度の成長が見込まれているが、ブロイド社長は私見として「もう少し大きな成長(5%程度)が期待できる」とした。これには別の調査会社による数字があり、日本の大企業の3割が従来比で15%以上、セキュリティに対する投資を増やすという(率としても金額としても、かなり大きなものになる)。一方、現在のセキュリティの課題として、次の3点を挙げた。(1)複数ベンダーでサイロ化されたポイントプロダクトを利用しているため連携が取れていないこと、(2)同様にプロダクトから上がった膨大なデータを活用していないために、可視性が悪く脅威の特定が迅速に行えていないこと、(3)巧妙な標的型攻撃などセキュリティプロセスを突破される状況があることだ。これらの対策には、プロダクト間で連携を取る「Security Connected」が重要だとする。マカフィーのSIEM(Security Information and Event Management)はどのようなセキュリティソリューションとも統合可能であり、情報を入れることによって、分析比較とそれに対応するアクションがリアルタイムに行えることをアピールした。最後に未来へ向けて、マカフィーが掲げる2017年の目標を紹介。シンプルで効率的なセキュリティプラットフォームを提供することによって、Forbes Global 2000(*)の上位2,000社のうち80%の企業を保護し、さらに世界中で多くのデバイスを保護したいと締めくくった。(*)フォーブス誌による世界の公開会社(public company)の上位2,000社
2015年02月07日マカフィーは1月30日、次世代ファイアウォールおよびVPN/ファイアウォールの新製品「McAfee Next Generation Firewall 320X」の国内提供を発表した。同製品は、統合基盤をベースに、独自のアプリケーション制御、不正侵入防止システム、組込み型の仮想プライベートネットワーク、パケットインスペクションなどの保護機能を備える。また、高度な攻撃手法を検出・ブロックするための検知回避対策テクノロジーを搭載。セキュリティチェックを実施する前にあらゆるプロトコル層でネットワークトラフィックを可視化できるという。筐体は、耐衝撃性能と耐振動性能、防湿・防塵構造で耐久性を重視しており、司令拠点や装甲車両、採鉱・採石場、化学工場、電力施設といった過酷な温度条件下の利用に適している。なお、今回の追加で、マカフィーの次世代ファイアウォールおよびVPN/ファイアウォールの製品シリーズの全モデルが、日本国内で必要とされる認証や規制に適合した。
2015年02月02日マカフィーは12月10日、2014年第3四半期の脅威レポートおよび2015年の脅威予測を発表した。第3四半期のトピックは「マルウェアの増加」。毎分307個以上(毎秒5個以上)の新たな脅威を検出しており、モバイルマルウェアのサンプル数は16%増加。マルウェア総数にいたっては、前年同期比で76%増と急激に増加している。また、マルウェアを合法的なコードと偽る攻撃手法が多く確認された。HeartbleedやBERserkといったSSLの脆弱性、デジタル署名の継続的な不正使用などが主な攻撃だ。2015年の脅威のポイントは9点。1つめは、攻撃者が国家的なサイバースパイ活動家のような大規模な活動をするようになる。個人、知的財産、作戦情報に関する付加価値の高い情報を収集するようになる。2つめは、IoTへの攻撃の頻度、収益性、重要性の拡大だ。IoTデバイスの急速かつ大規模な導入や普及するが、一部セキュリティとプライバシーが守られていないケースも出てくる恐れがある。そうなると、攻撃者にとってはIoT端末が絶好の対象となる。3つめは、プライバシーに関する議論の活発化だ。個人情報の利用と共有範囲は、国家規模の取り扱いとしても曖昧なままであったが法律によって規制が始まる。EU、ラテンアメリカ諸国、オーストラリア、日本、韓国、カナダといった国々では、プライバシーに関する法律や規則が制定される可能性がある。4つめは、クラウド上でのランサムウェエアの被害が増える。ランサムウェアは、拡散方法、暗号化方法、攻撃対象がより進化し、多くのモバイル端末が攻撃対象となる恐れがある。考えられる手法は、セキュリティソフトを回避するように設定されたランサムウェアの亜種によるもの。クラウドベースのストレージソリューションを利用しているエンドポイントを標的にする。ランサムウェアは、一度エンドポイントに感染すると、ログオンユーザーが保存した認証情報を利用して、バックアップされたクラウド ストレージのデータにもさらに感染する。また、身代金の支払い方法として仮想通貨を用いるモバイルランサムウェアが増加し続ける。5つめは、スマートフォンやタブレットなどのモバイル端末をが急増する。モバイル端末を対象とするマルウェア生成キットやマルウェアのソースコードの利用の増加により、モバイル端末を標的とするサイバー犯罪への敷居が低くなっている。アプリストアは、モバイルマルウェアの主要な供給元となり続ける。こうしたストアは、モバイルプラットフォーム上で急成長している「マルバタイジング(オンライン広告を通じたマルウェア拡散や悪質サイトへのリダイレクトといった悪意ある攻撃)」によって顧客が誘導される。6つめは、POS攻撃の増加とデジタル決済に伴うサイバー攻撃の進化だ。POS攻撃は攻撃者にとって収益性の高い手口。消費者によるモバイル端末のデジタル決済システムの利用が増加する一方で、サイバー犯罪者が悪用する機会も増えている。攻撃から守るために、北米の小売店では、ICチップと暗証番号に対応するカードとカードリーダーの配備を進めている。ただ、システム更新が必要となるPOS端末の数が非常に多いため、POSシステムのデータ侵害は引き続き増加する。今後NFCのデジタル決済技術は、新しい攻撃対象になる恐れがあり、利用者はNFCの制御をしっかりと理解しておく必要がある。7つめは、Shellshockの脆弱性によるUnixやLinuxを狙ったマルウェア攻撃が増加する。対象は、ルーター、TV、産業用コントローラー、フライトシステム、インフラなどで、端末数の多さから今後数年間はマルウェアが猛威をふるう。8つめは、ソフトウェアの欠陥を悪用する攻撃が増加する。攻撃者は、スタックピボット、return-oriented programmingおよびjump-oriented programmingといったエクスプロイト技術や64ビットソフトウェアへの理解をさらに深め、多種多様な攻撃を仕掛けてくる。9つめは、サンドボックスへの新たな回避策が登場する。アプリケーションに実装されたサンドボックス技術に関して、脆弱性が特定されてきたことを受け、これらの脆弱性を悪用してアプリケーションのサンドボックス技術を回避する攻撃が増加する。アプリケーションのサンドボックス以外にも、McAfee Labsでは、2015年にハイパーバイザーの脆弱性を悪用することに成功したマルウェアが、一部セキュリティベンダーのスタンドアロンのサンドボックスシステムを突破すると予測している。
2014年12月11日マカフィーは、詐欺や迷惑行為の可能性がある着信をブロックするauユーザー向けのAndroidアプリ「マカフィー セーフ コール for au」を4日より提供する。なお、利用するには、auスマートパスの会員登録が必要となる。「マカフィー セーフ コール for au」は、詐欺や迷惑行為の可能性がある着信をブロックするAndroidアプリ。トビラシステムズが提供する日本国内の悪質電話番号リストや、最新のブラックリストから、着信番号を「危険な着信」、「迷惑な着信」、「安全な着信」など4段階の安全レベルで判断し、着信画面にて警告する。また、全てをブロックすることはしたくなかったら「低」、子ども用スマートフォン向けにセキュリティレベルを高めたかったら「高」など、「低・中・高」の中からユーザーの必要に応じてセキュリティレベルを選択し設定できる。そのほか、任意で着信拒否および着信許可する番号の追加も可能となっている。対応OSは、一部の機種を除くAndroid 2.3以降で、今後はNTTドコモ向けにも対応させる予定。(記事提供: AndroWire編集部)
2014年12月03日マカフィーは10月24日、主要ソリューションとテクノロジーをシームレスに統合し、強化された脅威対策を通じて企業や政府機関を保護する次世代ファイアウォール製品の最新版「McAfee Next Generation Firewall 5.8」を発表した。McAfee Next Generation Firewallは、効率性と延伸性を備えた拡張性の高い統合設計基盤をベースに、きめ細やかなアプリケーション制御、不正侵入防止システム、組込み型の仮想プライベートネットワーク(VPN)、ディープパケットインスペクションなどの強固な保護機能を備える。また、最も高度な攻撃手法を検出/ブロックするために、セキュリティチェック前にあらゆるプロトコル層でネットワークトラフィックを解読し、可視化する強力な検知回避対策テクノロジーを追加している。新版では、マカフィーが提供するSecurity Connected製品群とのさらなる統合により、McAfee Next Generation Firewallは、ワークフローと運用効率の向上に加え、最新の脅威と検知回避攻撃に対して多層型の保護を提供するという。セキュリティの統合管理ツール「McAfee ePolicy Orchestrator」のエンドポイント情報を活用することで、インシデント調査時に、エンドポイントのセキュリティ対策状況に関するインサイトと、簡素化された管理ワークフローにより運用効率上のメリットを提供。また、セキュリティイベント管理ソリューション「McAfee Enterprise Security Manager」との統合により、セキュリティ対策の強化、イベント対応に要する時間の短縮、コンプライアンス適合状況の継続的な監視と警告が可能になる。さらに、マルウェア対策ソリューション「McAfee Advanced Threat Defense」との統合により、急速に変化するマルウェアやゼロデイ攻撃に対してリアルタイムで保護。グローバル規模の脅威情報データベース「McAfee Global Threat Intelligence」のレピュテーションインテリジェンスの活用により、全世界で活動する高度な脅威やマルウェアに対し、優れた保護を提供できるようになる。
2014年10月27日マカフィーは9月30日に個人向けセキュリティ製品の「マカフィー リブセーフ 2015」を発表した。リブセーフは、2013年10月に投入されたマルチデバイスの保護が目的の統合型セキュリティ製品で、従来のWindows PCやMacだけではなく、AndroidやiOSも統合的に管理する。今回の新製品投入で強化された点は、「簡単インストール」と「iOSセキュリティ強化」「Android端末におけるWi-Fiセキュリティ対策」の3点。簡単インストールでは、製品利用登録後にマカフィーから送られてきたメールを開封し、張られているリンクを踏むことで、その端末にあったソフトウェアのインストール画面に誘導するというもの。WindowsであればWindowsソフトウェア、AndroidであればAndroidアプリ、iOS端末であればiOSアプリが、同じリンクを踏むだけでインストールされる。マルチデバイスでセキュリティ環境を提供する上で「いかに気軽にインストールできるかを念頭に開発した」(マカフィー・小川氏)とのことで、より簡単にインストールできるスキームを提供することで、インストール数の拡充を図る狙いだ。また、iOSセキュリティ強化の項目では、紛失や盗難の対策を強化。最後に端末が利用された位置を特定する機能や、端末をアンロックしようとして失敗した人の顔を自動的に撮影する「Capture Cam」機能を搭載した。最後に端末が利用された位置を特定する機能はAppleがOSの機能として提供している「Find iPhone」があるが、「様々なデバイスが存在する中で、特定のプラットフォームに限らず、同じように検索できるようにするメリットがある」(小川氏)としていた。また、Android端末のWi-Fiセキュリティ対策では、パスワードが設定されていないWi-Fiに接続しようとした場合に警告を出す機能を提供。パスワードが設定されていないWi-Fiは、暗号化処理が行なわれておらず、盗聴(パケット監視)などをされる恐れがある。こうしたWi-Fiスポットに繋ぐことを未然に防ぐことで、セキュリティレベルを上げる試みだ。ほかにも、従来の製品より提供しているパスワード管理機能や脆弱性対策機能、ウイルス対策、フィッシング対策機能などは、継続して提供される。○IoT時代を見据えるマカフィー都内で行なわれた新製品の記者会見には、マカフィー コンシューマ事業統括 取締役 専務執行役員 田中 辰夫氏と、米McAfee チーフ コンシューマ セキュリティ エヴァンジェリストであるギャリー・デイビス氏も登壇した。田中氏は初めに、マカフィーのセールス状況を語り「セキュリティに対する需要が順調に伸びており、我々の製品も日本ではヒューレット・パッカードやNECといったPCベンダーに(プリインストールという形で)採用してもらっている。事業的にも、今年度は2桁成長を記録しており、好調にビジネスが推移している中で、2015年版を非常に重要視している」と、新バージョンに対する意気込みを口にした。今年は、これまでのマカフィーブランドから、インテル傘下に入ったことで「インテルセキュリティ」ブランドとしての展開が始まり、好調なセールスだけではなく、ブランドの転換期としても重要な局面に差し掛かっている。「デザインパッケージの中にインテルセキュリティを入れた。我々の"チャレンジ"を、コンシューマー市場でも展開していきたい」(田中氏)続いて、米国本社のセキュリティ エヴァンジェリストであるデイビス氏が登壇し、現在のセキュリティ概況を語った。ここのところ、モバイルデバイスの飛躍的な市場成長率、利用者の増加にはめざましいものがあるが、それはすなわち、ハッカーにとって格好の餌食でもある。特に、オープンソースのAndroidは標的にされやすく「Androidを狙ったマルウェアが急増している」(デイビス氏)という。例えば、Flappy Birdという人気ゲームアプリが登場した後、後追いの偽アプリがGoogle Playストアなど、あらゆるところで散見されるようになった。これらのアプリのうち、実に80%の実態が「マルウェア」で、ユーザーが見えないバックグラウンドでSMSを送信したり、酷いものではルート権限(端末のシステムアプリなどを改変できる権限)を取得するアプリもあったという。モバイル端末は、よりパーソナルな個人情報を端末に保存しているため、一つの流出が致命的な問題に至る可能性がある。それに加えて、モバイル端末をしのぐと言われるデバイスの存在がある。それがIoT、モノのインターネット時代のセンサー機器類だ。これらは、一人1台のモバイルデバイスとは異なり、センサーをあらゆる場所に配置することで、生活のありとあらゆる情報を数値化して改善に役立てていこうという取り組みだ。2020年には260億台のセンサーが世界中にあると言われており、これまでの業務上の聞き計測だけではなく、各家庭に存在するカメラや洗濯機、冷蔵庫にまでネットと接続する時代が来るとみられる。もちろん、こうした環境は、人の生活をより豊かにする可能性を大きく秘めているが、その一方で気になるのは、やはり「セキュリティ」だ。「HP Fortifyの予測では、IoTで活用されている上位10個のデバイスの脆弱性を調べたところ、平均して25件の脆弱性が見つかった。デバイス間の通信が暗号化されていないといった初歩的なものもある。例えば、とある企業が提供する赤ちゃんを見守るネットワークカメラでは、簡単にハッキングできる状態にあり、子供の顔を第三者がのぞき込むことができていた」(デイビス氏)ほかにも、Amazonがこの夏に販売を開始した「Fire Phone」は、カメラを起動すると位置情報やマイクから収集した音声などを、統合してAmazonのクラウド上に送信する。よりパーソナルなプライバシー情報を収集してクラウドに"勝手に"送るため、よりセンシティブな問題をはらんでいる。「これらの情報から、Amazonでは個人に最適化した製品を案内する広告を表示するでしょう。もちろん、喜ぶ人もいるとは思いますが、反対する人もとても多い」(デイビス氏)広告表示だけではなく、Amazonのクラウドサーバーが万が一破られた場合などのリスクを考えると、全面的に歓迎できるわけではないことも確かだろう。こうしたIoT時代に対して、マカフィーはどのような考えを持っているのだろうか。「ユーザーが安心してサービスを利用できるよう、我々としてはインテルと共同で対応していく。チップからセキュリティを担保することで、より良い体験を、セキュリティが最低限のリソースを使うだけで楽しめるようにしていく」(デイビス氏)
2014年10月02日●コンシューマ事業は2桁レベルで成長マカフィーは、2015年版の個人向けのセキュリティ製品を発表した。その折に、さまざまな脅威分析や調査結果なども発表された。その内容の一部を紹介したい。まず、登壇したのは、コンシューマ事業統括取締役専務執行役員の田中辰夫氏である(図3)。挨拶とともに、今回の発表会の概要を紹介した。また、コンシューマ事業が2桁レベルで成長を続けているとのことである。また、新しいブランド戦略として、コンシューマ事業の大きな柱となるのが、インテルセキュリティである。この1年は、非常に重要な1年になるだろうと抱負を語っていた。次いで登壇したのは、米国McAfee Inc.チーフコンシューマセキュリティエバンジェリストのギャリー・デイビス氏である。まず指摘したのは、モバイルデバイスの急増である。それに伴い、それらを標的とした攻撃も急増している。なかでもAndroidを標的としたもが多い。図5は、その一例であるが、Flappy Birdという人気のアプリである。人気が高まると登場するのが、模倣品である。調査によれば、この79%にマルウェアが仕込まれていた。その活動であるが、ユーザーの許可なくSMSの送受信、さらには、ルート権限を奪取し、デバイスをコントロールするといったものである。ラボの分析によれば、不正な動作として、以下があるとのことだ。デバイスIDから通信事業者を取得位置情報を取得カレンダーにアクセスメールなどの連絡先にアクセスこれらは、アプリの脆弱性を悪用することが多い。また、日本を狙った攻撃として、トロイの木馬であるゼウスを紹介した。これは、金融機関を対象とし、ユーザーのID・パスワードを盗み出し、送金してしまうというものだ。日本での感染数がもっとも多い。また他にも、人気アプリであるLINEのクレデンシャルの脆弱性をつき、知人を装い、タップをさせてマルウェアを感染させた例もあった。次は、IoT(Internet of Things)についてである。一言でいえば、ネットに繋がるデバイスのすべてである。ガートナーの予測によれば、2020年までに260億台がネットに接続するようになる(現時点のモバイルデバイスは73億台)。比較にならないほどの脅威となるだろうと指摘する。これらのデバイスもまた、脆弱性の危険性を伴うからである。すでに子供の監視のためのネットワークカメラなども、被害に遭っている。個人情報の漏えいも大きな問題となっている。2014年第1四半期だけでも、1億7,600万件もの個人情報が漏えいしている。デイビス氏は、2014年は情報漏えいがもっとも多かった年になるだろうと断言する。そして、信頼の問題が発生している。図6は、オンラインの個人情報の保護に信頼できるかの調査を行ったものである。銀行がトップになったが、45%でしかない。モバイルアプリやウェブサイトなどは、もはや信頼たるものではない。こういった企業などが信頼されるどうかは、IoTの普及に大きな影響を与えるだろうと指摘する。次に興味深い調査結果が報告された。2025年のテクノロジーとセキュリティに関するアンケート調査である。まずは、テクノロジーであるが、図7の結果となった。いずれも、日本では低い結果となった。ウェアラブル端末は、AppleのiWatchなどの普及も予想され、また意識も変わってくる可能性もある。その一方で、セキュリティに対しては、図8のようになった。指紋認証による支払いは日本が低い結果となったが、それ以外は同じような結果となった。日本でも、そのような方向に進むと考えているユーザーが多い。モバイル、IoT、そして個人情報やプライバシー、セキュリティに求められるニーズは多岐にわたる。それに応えるのが、インテルセキュリティであると、デイビス氏は語る。実際にすでに実装されている技術を紹介しよう。まず、アイデンティティーを守るのが、Personal Lockerである。声や顔の認証を使い、クラウドの安全な場所にアクセスする。生体認証で安全なアイデンティティーを担保する。IoTに関しては、北米最大のホームセキュリティ会社ADTと協業関係を結んだ。これにより、物理的なデジタルセキュリティを提供可能になる。また、IntelからはIntel Device Protection Technologyが発表された。このセキュリティ機能は、Intelチップに内蔵されるもので、最低限のリソースでセキュリティが実現できる。今後も、幅広い領域に対応可能な統合セキュリティを提供していくとのことである。●2015年版のセキュリティ製品○2015年版のセキュリティ製品最後に登壇したのは、マカフィーCMSB事業本部コンシューママーケティング本部PMマネジャーの小川禎紹氏である。今回の製品ラインナップなどが紹介された(詳しくは、こちらの発表記事を参照していただきたい)。やはり気になるのは、新機能・強化点であろう。今後、主力製品となるマカフィーリブセーフでは、図11のようになる。注目したいのは、次の3点であろう。メールから簡単にインストールiOS向けセキュリティの強化(紛失・盗難対策)Android向けWi-Fiセキュリティ対策(パスワードのないWi-Fiネットワークへの接続を警告)また、Windows向けの製品では、マルウェア検出エンジンの強化も行われた。どのくらい高速になったかというと、図12のようになる。「大幅に改善」は10%以上、「改善」は10%未満の高速化とのことである。以上、発表会から、いくつかのトピックを取り上げてみた。製品の発売は10月17日である。
2014年10月01日マカフィーは30日、生体認証機能を搭載した「マカフィー リブセーフ2015」など、2015年版の個人向けセキュリティ5製品を発表した。発売日は10月17日。ラインナップは「マカフィー リブセーフ2015」や「マカフィー オール アクセス2015」などの下記5製品。価格は製品ごとに異なるが、1ユーザー3カ月版で税込1,008円から。「マカフィー リブセーフ」は、音声認証や顔認証などの生体認証技術を採用した、セキュリティソフトウェア。新たに、オンラインストアを経由せずとも、登録メールから直接製品をインストールできる機能、iOSデバイスの紛失・盗難対策の強化、パスワードのないWi-Fiネットワークへの接続を警告する機能などを追加した。クラウド上でIDやパスワードを管理できるパスワード管理機能も、従来通り搭載する。対応OSは、Windows Vista(SP1以降) / 7(SP1以降) / 8 / 8.1、OS X 10.7以降、Android 2.3以降、iOS 5以降(オンラインストレージ/パスワード管理)。なお、同製品に含まれるiOS向けセキュリティアプリ「McAfee Mobile Security for iOS」はiOS 6以降に対応する。その他の4製品では、主にマルウェア検出エンジンがアップグレードされている。なお、「マカフィー オール アクセス2015」は、同一ユーザーならインストール台数を問わないマルチデバイス対応のセキュリティ製品。「マカフィー トータルプロテクション 2015」は、リアルタイムのウイルス・マルウェア対策や保護者機能などを備えた、家族向けのセキュリティ製品。「マカフィー インターネットセキュリティ 2015」は、インターネット接続におけるウイルスやマルウェア対策などを重視したセキュリティ製品。「マカフィー アンチウイルス プラス 2015」はWeb閲覧やウイルス対策を中心とした、機能を絞ったセキュリティ製品となる。
2014年09月30日マカフィーは14日、Adobeが提供するAndroid向け無料アプリ「Adobe Flash Player」のチュートリアルを装う詐欺アプリに注意を喚起した。同社は2013年末以降、Adobe Flash Playerのインストールを装いユーザーにPayPalでお金を支払わせる詐欺アプリ「Android/Fladstep.B」をGoogle Playストア上で検出してきた。同アプリは公開後に削除されたが、2014年7月以降、同種の詐欺アプリが再び公開されはじめたという。詐欺アプリの例として、アプリ説明ページ上画面スナップでは、Flash Playerのチュートリアルをうたいながら、実際にはAdobe社が提供するパッケージのダウンロードリンクを有料で提供する、というものがある。アプリを起動すると、「Flash Player Install €5.00」(5ユーロをPayPalで支払うとFlash Playerをインストールできる)の表示とPayPalのボタンが表示される。ユーザーが料金を支払うと、Adobe SystemsのFlash Playerダウンロードリンクが表示されるが、これは実際には無料でダウンロードできるものだ。また、PayPal支払いでは利用者の氏名とメールアドレスがアプリ販売者に送信されるため、これらの個人情報が悪用される可能性もあり、同社は注意を呼びかけている。
2014年08月15日