WH

ITE PA

PER

:

powered by Symantec

White Paper

ウェブサイトセキュリティ脅威 レポート 2013PART 1

White Paper : ウェブサイトセキュリティ脅威レポート 2013 PART 1

2

ウェブサイトセキュリティ脅威レポート 2013 へ ようこそ

毎年シマンテックはインターネットセキュリティ脅威レポートを公表しています。この資料はその一部を抜粋したもので、ウェブサイトとオンライン取引に対する脅威に焦点を当てたものです。過去一年を振り返り、現在のオンラインの現状を解説しています。

ビジネスの評判と成功がそのウェブサイトの安全度で指標になるオンラインの世界では、信用をどのように形成して維持するかを知っておくことは非常に重要です。その点、過去 10 年以上、SSL/TLS はインターネットの信用を担う重要な役割を果たしてきましたし、変化し続けるサイバーセキュリティの脅威に対して最高レベルの防御を提供します。

この資料が脅威の理解に役立ち、対策を考える一助になれば幸いです。

ようこそ

White Paper : ウェブサイトセキュリティ脅威レポート 2013 PART 1

3

シ マ ン テック は、 約 6,900 万 の 攻 撃 セ ン サ ー で 構 成さ れ、 毎 秒 数 千 回 の イ ベ ントレ コ ード 更 新 を 実 行 す る Symantec™ GlobalIntelligence Network を 通じて、 世界中のインターネット上の脅威に関する高度な統合性を備えたデータソースを構築しています。このネットワークでは、Symantec DeepSight™Threat Management System、Symantec™Managed Security Services、ノートン個人向け製品などのシマンテックの製品およびサービスやその他サードパーティのデータソースを通じて、157 を超える国や地域で脅威活動を監視しています。

シマンテックは世界最高レベルの統合性を誇る脆弱性データベースを運営しており、現在このデータベースには、16,687 以上のベンダーが提供する 43,391 を超える製品に影響を及ぼす、51,644 以上の脆弱性が 20 年以上にわたり記録され続けています。

さらに、 ス パ ム、 フィッシング、 マ ル ウェア の デ ー タ は、500 万以上のおとりアカウントを配置したシステムである SymantecProbe Network、シマンテック ドット クラウド、その他の多数のシマンテックセキュリティ技術を含むさまざまなソースを通じて収集され、特に、シマンテック ドット クラウド固有のヒューリスティック技術である Skeptic™ は、お客様のネットワークに到達する前に、新しい高度な標的型の脅威を検出することができます。そして、14 のデータセンターでは 1 日あたり 30 億通以上の電子メールメッセージと 14 億件以上の Web 要求を処理します。シマンテックは、企業、セキュリティベンダー、5,000 万人以上の個人ユーザーで構成される大規模な詐欺防止コミュニティを通じて、フィッシング情報も収集しています。

シマンテックのセキュリティアナリストは弊社のデータソースを活用し、攻撃活動や悪質なコードの活動、フィッシング、スパムにおける新たな傾向を特定、分析、および解説しております。今回、その結果をまとめたものが毎年発行される「シマンテックインターネットセキュリティ脅威レポート」で、企業、小規模企業、個人ユーザーの皆様に対し、それぞれのシステムの現在と将来における安全保護に役立つ情報を提供しております。

はじめに

White Paper : ウェブサイトセキュリティ脅威レポート 2013 PART 1

4

2012 年の重要な傾向 :

狙われやすい標的は「小規模企業」

昨年のデータを分析すると、規模に関係なくあらゆる企業が攻撃対象になっています。これは偶然ではありません。2012 年に確認された標的型攻撃のうち半数は、社員 2,500 人未満の企業を標的にしていました。実際、企業規模別に見て 2012 年に標的型攻撃が最も増えたのは社員 250 人未満の企業で、全体の 31% を占めます。この事実は極めて深刻な問題です。なぜなら、シマンテックが実施した調査によると、小規模企業の多くは自分たちが攻撃対象になるとは考えていないからです。しかし犯罪者にとっては、小規模企業から盗む金銭も、大規模企業から盗む金銭も、何ら変わりはありません。実際に小規模企業は攻撃者が欲しがるようなものは持っていないと考えがちですが、調べてみると顧客情報を保持し、知的財産を生み出し、銀行に口座を持っているのが現状です。小規模企業を攻撃して得られるものは大規模企業に比べて少ないかもしれませんが、小規模企業の多くがサイバー攻撃に無頓着であるため、実際に得られる成果はその規模を上回る可能性があります。犯罪のチャンスが犯罪のきっかけになることはよくあります。サイバー犯罪に関しては、そのチャンスが小規模企業にあると考えられているのです。

さらに深刻なことに、小規模企業のセキュリティ対策の甘さによってすべての企業が脅威にさらされています。防御の厚い大規模企業への直接攻撃をあきらめた攻撃者は、本来の標的である企業と取引関係のある小規模企業の防御の薄さを突いて、それを踏み台として間接的に大規模企業に攻撃を仕掛けることがよくあります。また、小規模企業や小規模組織は、より巧妙な攻撃に気付かぬうちに加担してしまうことがあります。2012 年には、攻撃ツールキットが広まったことにより Web 攻撃が 3 割以上増え、その多くが小規模企業の脆弱な Web サイトを踏み台としていました。このような大規模攻撃は、すべての企業の感染リスクを高めます。それだけではありません。シマンテックが昨年 Elderwood に関するホワイトペーパーにおいて報告したように、小規模企業や小規模組織の Web サイトは標的型攻撃にも利用され始めています。サイバースパイは、フィッシング攻撃の成功率を上げるために、これらの Web サイトを乗っ取って、標的がアクセスするのを待ちかまえて感染の機会をうかがっているのです。これらは、ある組織のセキュリティの脆弱性を突いて別の組織の強固なセキュリティを打ち破るという新しいタイプの攻撃手法であり、「水飲み場」型攻撃と呼ばれます。

マルウェア作成者による「ビッグブラザー」的活動

誰かにオンラインでプライバシーを侵害されているように感じたら、気のせいではないかもしれません。2012 年に作成されたモバイルマルウェアの半数は、ユーザーの情報を盗んだりユーザーの行動を追跡したりするタイプのものでした。コンピュータ、携帯電話、ソーシャルネットワークなど、攻撃対象に関係なく、サイバー犯罪者はユーザーに対しスパイをして利益を得ようとしています。犯罪者の最終目的は金銭です。その手口は、ユーザーの銀行情報、個人情報、友人や同僚の電話番号や電子メールアドレスを調べるといったものから、ユーザーの身分証明書を盗んで本人になりすますといったものまで、さまざまです。

しかも、ユーザーの情報を盗むマルウェア作成者の本当の恐ろしさは標的型攻撃にあります。標的型攻撃を成功させるには、攻撃者がユーザーについて知る必要があります。攻撃者は、ユーザーの電子メールアドレス、仕事、関心事、さらにはユーザーが出席するイベントやセミナーからよく見る Web サイトまでも調べ上げます。これらの情報をフル活用して、巧妙な標的型攻撃を仕掛けるのです。ユーザーがデバイスを操作すれば、攻撃者のツールが可能な限りのデータを引き出します。標的型攻撃がユーザーに気付かれなかった場合は何年分もの電子メール、ファイル、連絡先情報が収集されることもあります。通常、このようなツールには、ユーザーのキー入力を記録したり、コンピュータ画面を表示したり、コンピュータのマイクやカメラの電源を入れたりする機能もあります。標的型攻撃はまさに、オーウェルが描いたビッグブラザーそのものといえるでしょう。

2012 年に特に標的型攻撃の標的になったのは、知的財産を生み出すナレッジワーカー（知識労働者）で、2012 年の全体の 27% を占めます。それに続くのが営業担当者で、全体の 24% を占めます。組織の CEO に対する攻撃は前年比で 8% 減少しました。

要約

White Paper : ウェブサイトセキュリティ脅威レポート 2013 PART 1

5

尽きることのないゼロデイ脆弱性攻撃

ゼロデイ脆弱性は増加傾向にあり、2012 年には 14 件報告されました。過去 3 年間で見ると、ゼロデイ脆弱性を悪用した攻撃の多くは Stuxnet の作成者と Elderwood 攻撃グループによるものです。2010 年に見つかったゼロデイ脆弱性 14 件のうち 4 件の攻撃に Stuxnet がかかわっています。また、2012 年に見つかった 14 件のうち 4 件に Elderwood 攻撃グループがかかわっています。Elderwood 攻撃グループは、2010 年と 2011 年にもゼロデイ脆弱性を悪用していますが、2013 年にも現在までに少なくとも 1 件のゼロデイ脆弱性を悪用しています。

悪用されるゼロデイ脆弱性は、あくまでも攻撃に必要なものだけであり、攻撃者が把握しているすべてではありません。Stuxnetと Elderwood の脆弱性悪用の方法には興味深い違いがあります。Stuxnet の攻撃は型破りで、1 回の攻撃に複数のゼロデイエクスプロイトを使用します。現在確認されている限りでは、1 つの標的に対して 1 回の攻撃しかしていません。その攻撃を成功させるために複数のゼロデイエクスプロイトを組み込み、何度も攻撃せずにすむようにしています。

これに対して Elderwood 攻撃グループは、1 回の攻撃に 1 つのゼロデイエクスプロイトを使用し、そのエクスプロイトが一般に公開されるまで使用し続けます。現在のエクスプロイトが公開されると、新しいエクスプロイトに移ります。そのため、Elderwood攻撃グループはまるでゼロデイ脆弱性を無限に供給でき、必要なときはいつでも新しいエクスプロイトに乗り換えられるように見えます。私たちとしては、そうでないことを祈るばかりです。

一筋縄ではいかない犯人特定

標的型攻撃の中には、あえて自らを隠そうとしないものもあります。8 月に、Shamoon と呼ばれるマルウェアが発見されました。このマルウェアの目的は、中東にあるエネルギー会社のコンピュータのハードドライブを消去することです。この攻撃については、「Cutting Sword of Justice（正義の剣）」と名乗るグループが犯行声明を出しました。2012 年を通して金融機関に対する DDoS 攻撃が続きました。こちらは、「Izz ad-Din al-Qassam CyberFighters」と名乗るグループが犯行声明を出しています。

このような攻撃は、典型的なハクティビズム（政治的ハッキング活動）のように思えます。しかし、誰かが犯行声明を出したからといって、攻撃の真犯人と動機を特定することは容易ではありません。Cutting Sword of Justice と Qassam Cyber Fighters は実は国家が主導するグループではないかと疑う声は、一部の情報機関を含め数多く出ています。単なるハクティビズムと思われた攻撃をさらに複雑にしたのは、一部の DDoS 攻撃は注意をそらすためのものだという、金融機関に対する FBI の警告です。これらの攻撃は、サイバー犯罪者が不正取引を行う前後に仕掛けられており、不正行為が発覚して阻止されるのを回避するために利用されていると考えられます。

要約

Symantec Website Security Solutionsウェブサイトセキュリティ脅威レポート2013

2012 年のセキュリティタイムライン

White Paper : ウェブサイトセキュリティ脅威レポート 2013 PART 1

7

2012 年のセキュリティタイムライン

011 月

データ侵害:アパレル企業の Zappos 社で、データ侵害により約 2,400 万件の個人情報が盗まれる。

マルコード:Firefox と Chrome 用の不正ブラウザプラグインを悪用した詐欺が発生。

022 月

ボットネット:Kelihos ボットネットが解体後 4 カ月を経て復活。

モバイル:Google 社が、Google Play マーケットへの不正アプリ検出システム Google Bouncer の導入を発表。

033 月

ボットネット:研究者が新種の Kelihos ボットネットを解体するも、同月の後半には新形態で復活。

ハッキング:ハッカー集団 LulzSec のメンバーと思われる容疑者 6 人が逮捕される。

ボットネット:セキュリティ研究者が Zeus ボットネットで利用されている主要サーバーを停止。

データ侵害:VISA や MasterCard など、いくつかの著名なクレジットカード会社の決済処理システムが不正アクセスされ、150万人分のカード情報が流出。

1

モバイル:Opfake 攻撃グループによる、iPhone ユーザーを標的とした、マルウェアを使用しない詐欺が報告される。

044 月

Mac:60 万台以上の Mac コンピュータが、パッチ未適用の Java エクスプイトを介してトロイの木馬OSX.Flashback に感染。

Mac:Java エクスプロイトを悪用してコンピュータを危険にさらす、Macを標的とした別のトロイの木馬OSX.Sabpab が発見される。

055 月

ソーシャルネットワーキング:ソーシャルネットワーク Tumblrと Pinterest を悪用した詐欺が発生。

マルウェア:サイバースパイ行為を目的とした W32.Flamer が発見される。

認証局:大手認証局の Comodo 社が、サイバー犯罪者が運営する偽組織を認証し、正当なコード署名証明書を発行。このことは 8 月まで発見されなかった。

White Paper : ウェブサイトセキュリティ脅威レポート 2013 PART 1

8

2012 年のセキュリティタイムライン

066 月

データ侵害:LinkedIn でデータ侵害が発生し、数百万のアカウントが流出。

マルウェア:ネットワークプリンタに大量の印刷ジョブを送信して文字化けを印刷させるトロイの木馬 Trojan.Milicensoが発見される。

077 月

ボットネット:セキュリティ研究者が Grum ボットネットを無効化。

マルウェア:Apple社の App Storeで、アプリケーションに埋め込まれた Windows マルウェアが発見される。

Mac:感染した Mac にバックドアを仕掛ける新しい脅威OSX.Crisis が発見される。

ボットネット:トロイの木馬 DNSChanger に感染したコンピュータの安全を確保するために FBI が管理していた DNS サーバーが遮断される。

マルウェア:2 年にわたって日本政府から情報を盗んでいたトロイの木馬が発見される。

マルウェア:プリンタに大量の印刷ジョブを送信して無意味な文字を印刷する、プリンタを標的とした新たな脅威 W32.Printlove が発見される。

088 月

ハッキング:Reuters 社のニュースサービスが連続ハッキングを受け、Web サイトと Twitter アカウントに偽のニュースが投稿される。

マルウェア:VMware® 社の仮想マシンイメージを標的とする Crisis マルウェアが発見される。

マルウェア:W32.Gauss が発見される。W32.Flamer と同様、被害は中東に集中。

認証局:5 月に起こった Comodo 社の問題が発見され、詳細が公開される。

White Paper : ウェブサイトセキュリティ脅威レポート 2013 PART 1

9

2012 年のセキュリティタイムライン

099 月

マルウェア:Blackhole 攻撃ツールキットの新バージョン Blackhole 2.0 が発見される。

ボットネット:セキュリティ研究者が新しいボットネット Nitol を無効化。

モバイル:Samsung 社版 Android™ に、スマートフォンのデータをリモートワイプできる脆弱性が見つかる。

DDoS:FBI が金融機関に対し、他の攻撃への注意をそらすための DDoS 攻撃の可能性を警告。2

1010 月

マルウェア:Skype IM を介したランサムウェアが発見される。

データ侵害:Barnes & Noble 社のクレジットカード情報読み取り機から顧客データが盗まれる。

攻撃者が標的の銀行から後で現金を盗むための情報を収集する目的で、おとりの DDoS 攻撃を仕掛けていたことが発見される。

1111 月

ハッキング:強盗が、特定メーカーのホテル向けドアロックの既知のエクスプロイトを悪用してホテルの部屋に侵入。

1212 月

マルウェア:POS システムを標的とするトロイの木馬 Infostealer.Dexter が発見される。

ハッキング:攻撃者が Tumblr の脆弱性を突いて、ソーシャルネットワークにスパムを広める。

Symantec Website Security Solutionsウェブサイトセキュリティ脅威レポート2013

数字で見る 2012 年

White Paper : ウェブサイトセキュリティ脅威レポート 2013 PART 1

11

数字で見る 2012 年

42% 増加標的型攻撃の件数 2012 年

2012 年に1 回の攻撃で流出した個人情報の 平均件数

604,826

6,2532010

5,2912012

4,9892011

新しい脆弱性の件数

163

315415

モバイルの脆弱性の件数

2010 2011 2012

White Paper : ウェブサイトセキュリティ脅威レポート 2013 PART 1

12

数字で見る 2012 年

世界全体の1 日あたりのスパムメール数 (単位: 10 億)

ウイルスメールの割合 : 1 対

62 42 302010 20122011

75% 69%89%

スパムの割合

出会い系 / アダルト系スパムの割合

マルウェアの URL を含む電子メールの割合

3% 15% 55% 24% 39% 23%

414

2010

2012

2011

442

299

291

2010

2012

2011 239

282

フィッシングメールの割合 : 1 対

2010 2011 2012 2010 2011 2012

White Paper : ウェブサイトセキュリティ脅威レポート 2013 PART 1

13

数字で見る 2012 年

ボットゾンビ数 (単位 : 100 万)

58%

4.5

3.42011 3.1

2012

2010

14 2010 8 2011 14 2012

新しいゼロデイ脆弱性の件数

1 日あたりの Web 攻撃ブロック数

新しい一意の悪質な Webドメイン数

190,370190,370247,350

2011

2012 2012 74,000

2011 55,000

2010 43,000

モバイルマルウェアファミリーの増加率 2011–2012 年

Symantec Website Security Solutionsウェブサイトセキュリティ脅威レポート2013

標的型攻撃、ハクティビズム、

データ侵害

White Paper : ウェブサイトセキュリティ脅威レポート 2013 PART 1

15

標的型攻撃、ハクティビズム、データ侵害

1 - 250

251 - 500

501 - 1,0001,001 - 1,500

1,501 - 2,500

50% 2,501+50% 2,501+ 50% 1 - 2,50050% 1 - 2,500

従業員数2,501+

50%50%

18%2011 年

13%増加

31%31%

9%

3%2%

5%

2012

標的型攻撃の標的となった組織の規模別割合資料作成: シマンテック

従業員数が 2,501 人以上の組織が最も標的とされ、全標的型攻撃の 50% を占めています。この割合は 2011 年とほぼ同じです。

全攻撃中の割合は 50% のまま変わらないものの、従業員数が 2,501 人以上の組織を狙った標的型攻撃の総数は 2011 年に比べて倍加しています。

小規模企業（従業員数 1 人から 250 人）を狙った標的型攻撃は全攻撃の 31% を占め、2011 年の 18% から 13% 増加しています。

小規模企業を狙った攻撃の総数は 2011 年に比べて 3 倍に増加し、全攻撃中の割合も 18% から 31% とほぼ倍になっています。

White Paper : ウェブサイトセキュリティ脅威レポート 2013 PART 1

16

報告されたデータ侵害の多く（88%）は外部からの攻撃によるものです。しかし、報告されていない データ侵害の件数は報告されたデータ侵害の件数を上回ると考えて間違いないでしょう。ノート PC の紛失、USB メモリの置き忘れ、部内者による情報盗難、事故による情報喪失など、内部的な要因も依然として高いままです。これは、英国情報コミッショナー事務局（ICO）が起訴し罰金を科したのが外部からの攻撃を受けた企業よりも部内者のミスで情報を漏えいした企業の方が多かった事実からもよくわかります。中小規模企業は、外部のハッカーと同じくらい内部の人間にも注意を払うことが大切です。

発生件数 漏えいした情報の総件数

0

5

10

15

20

25

30

35

12月11月10月9月8月7月6月5月4月3月2月1月

0

5

10

15

20

25

30

35

DECNOVOCTSEPAUGJULJUNMAYAPRMARFEBJAN

漏えいした情報の総件数（単位

: 100 万）

発生件数

3,100万件が 1 月に漏えい

データ侵害件数の月別推移

2012 年は、個人情報の盗難件数が最も多かったのは 1 月で、これは一度に 2,400 万件の個人情報が盗まれた大規模攻撃によるものです。その他の月は約 100 万件から 1,200 万件の間で推移しています。

上半期に発生したデータ侵害の平均件数は 11 件です。下半期は 15 件で 44% 増加しています。

White Paper : ウェブサイトセキュリティ脅威レポート 2013 PART 1

17

分析

サイバー攻撃、サイバーサボタージュ、産業スパイ

標的型攻撃は今や定着した脅威であり、このタイプの攻撃に対する防御は最高情報セキュリティ責任者（CISO）や IT マネージャの主要な懸念事項の 1 つになっています。標的型攻撃は一般的に、産業スパイ目的で脆弱なシステムまたはネットワークに不正アクセスして機密情報を盗むために使われます。遭遇することはまれですが、防ぐのが最も難しい攻撃です。

十分な証拠が残らないため、攻撃の真犯人を特定のグループや政府に絞り込むことは困難です。攻撃者の動機や手段から、特定の国家の資金援助を受けている可能性を推測できることもありますが、明確な証拠を見つけることは容易ではありません。国家が支援していると考えられる攻撃はまれですが、ほとんどの場合、他のサイバー犯罪よりも悪質です。手口が極めて巧妙で、損害も大きくなります。各国の政府がサイバー戦争における防衛力と攻撃力の強化にいっそうの資源を投入していることは疑う余地もありません。2012 年に企業がこのような攻撃を受ける可能性はまずなく、産業スパイを目的としたより一般的な標的型攻撃が最も危険であると見なされています。中小規模企業も徐々に、これらの標的型

攻撃の標的になりつつあります。中小規模企業は、脅威を阻止するためのリソースが乏しく、ここでの攻撃の成功は取引先である大規模組織への攻撃につながる可能性があるためです。

2010 年 の Stuxnet、2011 年 の Duqu、2012 年 の Flamer や Disttrack といったマルウェアは、手口が高度化し、危険度が増しています。たとえば、サウジアラビアの石油会社を標的とした Shamoon 攻撃に使われたマルウェアは、ハードドライブのデータを消去する能力を持っていました。

産業スパイによるサイバー犯罪の手口が、国家や国家の代理機関によってサイバー攻撃や政治スパイに利用される可能性もあります。巧妙な攻撃はリバースエンジニアリングされて模倣され、より無差別な攻撃に悪用されるかもしれません。サイバーサボタージュのために作成されたマルウェアが当初の標的を超えて広がり、他のコンピュータに感染して巻き添え被害をもたらす危険性もあります。

0 10 20 30 40 50

40%ハッキング

23% ミスによる公開

部内者による盗難

23%8%

不明6%詐欺1%

コンピュータまたはドライブの盗難 / 紛失

データ侵害による1 人あたりの平均コスト3 資料作成 : シマンテック

2012 年のデータ侵害の要因 資料作成 : シマンテック

国 1 人あたりの平均コスト

米国 $194

デンマーク $191

フランス $159

オーストラリア $145

日本 $132

ウクライナ $124

イタリア $102

インドネシア $42

データ侵害の要因は前年に引き続いてハッキングが最も多く、全体の 40 %を占めます。

1人あたりの平均コストは米国が 194 ドルで最も高く、デンマークが 191ドルの僅差で 2 位につけています。

標的型攻撃、ハクティビズム、データ侵害

White Paper : ウェブサイトセキュリティ脅威レポート 2013 PART 1

18

APT (Advanced Persistent Threat）と標的型攻撃

標的型攻撃は、企業秘密や顧客データなどの機密情報を盗む目的で、特定企業の特定の個人を狙ってソーシャルエンジニアリングやマルウェアと組み合わせて行われます。独自のマルウェアが使われることがほとんどですが、より検知が難しく感染力の高いゼロデイ脆弱性を突く攻撃が使われることもあります。

標的型攻撃に利用される配信媒介はさまざまで、マルウェアを電子メールで送りつける手口や、標的がよくアクセスする Web サイトを感染させてドライブバイダウンロードを行わせる「水飲み場」型攻撃などが使われます。

APT は、標的に合わせて侵入方法を変えるため、従来の攻撃に比べて巧妙で検知の難しい攻撃です。標的型攻撃は一般的になりつつありますが、APT は仕掛けるために多くのリソースが必要であり、実行できるのは価値の高い標的を狙う資金豊富なグループに限られます。

シマンテックの調査では、2012 年の標的型攻撃の件数は前年比で 42% 増加しています。標的となる業種は製造業が最も多く全体の 24% を占めますが、幅広い業種が狙われ、大規模企業だけでなく中小規模企業にも攻撃が広がっています。従業員数 250 人未満の企業を狙う標的型攻撃は、2011 年には 18% でしたが、2012 年末には 31% にまで増加しています。

ソーシャルエンジニアリングと間接攻撃

攻撃者はサプライチェーン内の小規模企業を標的にすることがあります。これらの企業は、重要な知的財産にアクセスできる立場にありながらセキュリティが比較的甘く、大規模企業への踏み台として利用できるためです。さらに、小規模企業が持つ情報自体が標的にされることもあります。小規模企業は大規模企業よりも数が多く、価値のある情報を保有していますが、反面、防御力が弱いためです。たとえば、攻撃者が大規模企業の踏み台として利用するために小規模サプライヤに侵入したとします。彼らはその小規模サプライヤの従業員から個人情報、電子メール、ファイルなどを盗み出して、巧妙ななりすましメールを作成し、標的企業の従業員に送ります。

2012201120102009

Ghostnet• 2009 年 3 月 • 大規模サイバー スパイ活動

Hydraq• 2010 年 1 月 • オーロラ攻撃

RSA 攻撃 • 2011 年 8 月

Stuxnet• 2010 年 6 月

Nitro 攻撃 • 2011 年 7 月 - 10 月 • 化学企業を標的

Flamer と Gauss • 2012 年 5 月 - 8 月 • 極めて高度な脅威• 中東を標的

Sykipot / Taidoor 攻撃• 軍需産業と 政府機関を標的

Elderwood プロジェクト• 2012 年 9 月 • 主に軍需産業を標的。 2009 年の Hydraq と 同じグループの犯行

標的型攻撃の年表5

資料作成 : シマンテック

標的型攻撃、ハクティビズム、データ侵害

White Paper : ウェブサイトセキュリティ脅威レポート 2013 PART 1

19

攻撃者が標的の人物像を調査し、よくアクセスする Web サイトを調べる。

1.狙いを定める

それらの Web サイトに脆弱性がないかどうかを調べる。

2. 仕掛ける2.仕掛ける

攻撃できそうな Web サイトが見つかったら、その脆弱性を突くエクスプロイトコードを仕込んだ別サイトに標的をリダイレクトさせるための JavaScriptまたは HTML コードを埋め込む。

3.潜入する

コードが埋め込まれた Web サイトは、ライオンが水飲み場で獲物を待ちかまえるように、攻撃者が標的のゼロデイエクスプロイト感染を待ちかまえる場所になる。

4.獲物を待つ

水飲み場型攻撃での Web インジェクション6 資料作成: シマンテック

2012 年には、研究開発部員や営業担当者に対する攻撃が前年に比べて増加しました。このことから、攻撃者が企業に不正アクセスするために、経営幹部クラスの下の上級管理者クラスにまで標的を広げていると考えられます。中でも研究開発と営業の攻撃増加率は顕著です。もちろん、事務職など、その他の職務に対する攻撃も決して無視できません。

標的型攻撃の手段には、ソーシャルエンジニアリングも引き続き使用されています。たとえば、EU 職員を装ったメッセージ、米国の政府職員を標的として治安当局から発信されたようにみせかけたメッセージ、米空軍などの政府機関から新しい調達計画を告知するとみせかけたメッセージなどがありました。これらは、攻撃者が広範囲にわたって調査を行い、標的が何に関心を持っているかをより深く理解して、マルウェアを含む添付ファイルを標的が開く確率を上げようとしていることを示唆しています。

水飲み場型攻撃

標的型攻撃の最も画期的な手段は、水飲み場型攻撃です。その手口は、標的がよくアクセスする正当な Web サイトの脆弱性を突いて、標的のコンピュータにマルウェアをインストールさせるというものです。たとえば 2012 年に、人権保護団体の Web サイトで、トラッキングスクリプトにコンピュータを危険にさらす可能性がある 1 行のコードが埋め込まれているのが発見されました。7 このコードは、Internet Explorer® の新しいゼロデイ脆弱性を突いて訪問者に感染するものでした。シマンテックの調査では、24 時間のうちに 500 の大規模企業と政府機関の従業員や職員がこのサイトにアクセスしており、感染の危険にさらされていました。この攻撃の犯人である Elderwood 攻撃グループは、ゼロデイ脆弱性攻撃に高度なツールを利用していることから、大規模犯罪組織または国家の支援を受けた資金力のあるグループだと考えられます。

標的型攻撃、ハクティビズム、データ侵害

White Paper : ウェブサイトセキュリティ脅威レポート 2013 PART 1

20

推奨事項

自分が標的になることを想定する

巧妙な攻撃に対しては、小規模であまり知られていない企業だから心配ないと思ってはいけません。標的型攻撃は大規模企業だけでなく小規模企業をも脅かしています。自社の Web サイトが、他の人を攻撃するための踏み台として悪用されるかもしれません。自分が標的になることを想定して、深刻な脅威に対する防御を厚くすれば、他の脅威に対する防御も自然と高まります。

防御の層を厚くする

多層防御戦略とは、複数の重層的かつ相互補完的な防御システムに重点を置き、個々の技術や防御策の単一点障害を防ぐ戦略です。これを実現するには、定期的に更新されるファイアウォールや、ゲートウェイウイルス対策、侵入検知システムおよび侵入防止システム、および Web セキュリティゲートウェイソリューションをネットワーク全体に導入する必要があります。エンドポイントの防御は、シグネチャベースのウイルス対策だけでは不十分です。

従業員を教育する

ソーシャルエンジニアリングに対抗するには、研修によってその危険性に対する従業員の意識を高めることが有効です。また、ミスによる情報漏えいや他の部内者によるリスクを防ぐためにも、適切な研修の実施や作業手順の確立が欠かせません。従業員にデータの価値とその保護方法をきちんと教えましょう。

情報漏えいを防ぐ

情報漏えいを防止するためのソフトウェアをネットワークに導入して、情報の漏えいや盗難を防ぎます。情報をオンラインで転送するときやリムーバブルストレージで持ち運ぶときには暗号化してデータを保護します。

White Paper : ウェブサイトセキュリティ脅威レポート 2013 PART 1

21

1. http://krebsonsecurity.com/2012/03/mastercard-visa-warn-of-processor-breach/

2. http://www.ic3.gov/media/2012/FraudAlertFinancialInstitutionEmployeeCredentialsTargeted.pdf

3. http://www.symantec.com/content/en/us/about/media/pdfs/b-ponemon-2011-cost-of-data-breach-global.en-us.pdf

4. http://www.symantec.com/connect/blogs/shamoon-attacks

5. Internet Security Threat Report, April 2012, “Targeted Attacks,” 16

6. http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the-elderwood-project.pdf

7. http://www.symantec.com/connect/blogs/cve-2012-1875-exploited-wild-part-1-trojannaid

8. http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the-elderwood-project.pdf

脚注

White Paper : ウェブサイトセキュリティ脅威レポート 2013 PART 1

22

Extended Validation SSL 証明書

全世界で 10,000 以上のウェブサイトが導入し、日本国内でも導入が進むシマンテックの EV SSL 証明書。主要な PC ブラウザで EV SSL 証明書で保護されたウェブサイトにアクセスすると、アドレスバーが緑色に変化。また、日本語の社名もアドレスバーに表示が可能。サイト訪問者へ瞬時にサイトの安全性が伝わります。マルウェア対策やサイトの脆弱性診断、自社サイトの安全性を検索エンジン上でネットユーザにアピールできる機能など、他社 SSL 製品の追随を許さぬ機能性を備え、ウェブサイトの安全性と信頼性を一層高めます。

EV SSL 証明書の主な機能

• 緑色のアドレスバーに日本語社名を表示

• より厳格な発行基準の採用

• 最長 256 bit 暗号化通信対応

• フィッシング詐欺対策に最適

• 脆弱性アセスメント

• マルウェア検知機能

※ 上記の表示は Internet Explorer 10 の場合です。Internet Explorer ではウェブサイトを運営する組織と、証明書を発行したブランドが交互に表示されます。

SSL 暗号化通信を表す鍵のアイコン

アドレスバーが緑色に変化 ウェブサイトを運営する組織を表示

powered by Symantec

Norton Secured Seal

シマンテックがウェブサイト運営者の実在性を認証した事を伝え、それがサイトへの信頼感につながるマークです。

長い歴史と多数の実績に支えられたノートン ™ セキュアドシールは、世界で毎日 6.5 億回表示されている、圧倒的なブランドマーク。

その効果をぜひご確認ください。

Symantec AdVantage

Symantec AdVantage は、あなたのサイトを 24 時間監視し、表示されている広告にマルウェアが埋め込まれたらすぐに検知します。アドネットワークへのマルウェア混在に対応することができるため、Google のブラックリストに載ることによるウェブサイトへ訪問者の急激な減少を防ぐことができます。

ウェブサイトセキュリティの紹介

p. 22Symantec Website Security Solutions

ウェブサイトセキュリティ脅威レポート2013Symantec Website Security Solutions

ウェブサイトセキュリティ脅威レポート2013

シマンテックについてシマンテックは、世界中の情報を守る、セキュリティ、バックアップおよびアベイラビリティ製品の世界的リーダーです。シマンテックの革新的な製品群とサービスは、個々のモバイルデバイスから企業データセンター、そしてクラウド基盤のシステムまで、あらゆる環境下で人と情報を保護します。ネットワーク上のやり取りやデータおよび ID の保護を実現するシマンテックの世界的な専門技術は、進化するネット社会において、顧客に自信と安心を提供します。詳細はwww.symantec.com/ja/jp/ または http://www.symantec.com/ja/jp/social/ を参照してください。

詳細情報

• シマンテック ドット クラウドグローバルスレット : http://www.symanteccloud.com/ja/jp/globalthreats/

• シマンテックセキュリティレスポンス : http://www.symantec.com/ja/jp/security_response/

• インターネットセキュリティ脅威レポートリソースページ : http://www.symantec.com/ja/jp/threatreport/

• ノートンスレットエクスプローラー : http://www.symantec.com/ja/jp/security_response/threatexplorer/

• ノートンサイバー犯罪指数 : http://jp.norton.com/cybercrime/

p. 23Symantec Website Security Solutions

ウェブサイトセキュリティ脅威レポート2013

フォローする

シェアする

各国のお問い合わせ先電話番号については、当社の Web サイトをご確認ください。

Symantec Corporation本社350 Ellis Street

Mountain View, CA 94043 USA+1 (650) 527 80001 (800) 721 3934

www.symantec.com

合同会社シマンテック・ウェブサイトセキュリティhttps://www.jp.websecurity.symantec.com/〒104-0028　 東京都港区赤坂1-11-44赤坂インターシティTel : 0120-707-637E-mail : websales_jp@symantec.com

Copyright ©2014 Symantec Corporation. All rights reserved.シマンテック（Symantec）、ノートン（Norton）、およびチェックマークロゴ（the Checkmark Logo）は米国シマンテック・コーポレーション（Symantec Corporation）またはその関連会社の米国またはその他の国における登録商標、または、商標です。その他の名称もそれぞれの所有者による商標である可能性があります。製品の仕様と価格は、都合により予告なしに変更することがあります。 本カタログの記載内容は、2014年4月現在のものです。