FortiGuard Labs - 2016年第4四半期グローバル医療分野脅威テレメトリ

このグローバル医療分野脅威テレメトリレポートでは、2016年第4四半期の世界の医療分野における脅威の動向を検証します。本書に記載する内容は、50カ国の454の医療分野の企業に設置されているセンサーからFortiGuard Labsの研究グループが取得した脅威テレメトリに基づくものです。

FortiGuard Labsと世界中の200人以上の研究者とアナリストは、200万以上のセンサーから収集された脅威テレメトリデータを監視・分析しており、その脅威研究・調査時間は年間400,000時間を超えます。これらの研究・調査で得られる脅威インテリジェンスによって、現在の脅威を常に正確に可視化し、新たな脅威を検出し、検出および防御のテクノロジを改善して、ほぼリアルタイムで実行可能な脅威情報を世界中の30万以上のお客様に提供することができます。平均で、毎分180,000件の不正Webサイト、220,000件のボットネットの試行、733,000件のネットワーク侵入の試行をブロックしています。また、現在までに339のゼロデイ脅威の発見という業界記録も達成しています。

この脅威テレメトリデータは、国際捜査機関によるサイバー犯罪者の追跡や逮捕にも利用され、脅威の特長や攻撃の調査・研究の開発、さらには、さまざまな業界や地域ごとのサイバー脅威レポートの作成にも活用されています。

以下にご紹介するレポートでは、2016年第4四半期にFortiGuard Labsが検出した、世界の医療分野を標的としていたトップ5のマルウェア、ランサムウェア、モバイルマルウェア、IPSイベント、ボットネット、エクスプロイトキットをご紹介します。

トップ5のマルウェア


グローバル医療分野 - 2016年第4四半期に検出されたトップ5のマルウェア

検出数がトップ5のマルウェアの多くは、いずれもランサムウェア攻撃の初期攻撃ベクトルとされているもので、最多だったのは、攻撃の第2段階でランサムウェアをダウンロードする際に使用される、VPスクリプトベースのドロッパー(VBS/Agent.LKY!tr)でした。2位は「リスクウェア/Asparnet」で、これは、ユーザーの同意なく秘密裏にインストールされ、機密情報を不正収集するソフトウェアの一種です。

3位以下にも、ランサムウェアドロッパー(VBS/Agent.97E!tr、JS/Nemucod.BQM!tr、JS/Nemucod.76CD!tr.dldr)と呼ばれるマルウェアがランクインしています。JS/Nemucod(およびその亜種)は、スパムメールを使って別のマルウェア(主にランサムウェア)にPCにダウンロードすることで知られている、JavaScriptマルウェアファミリです。たとえば、暗号化したJavaScriptを添付したスパムをNemucod経由で送信するという手口がよく使われます。このJavaScriptを解読してみると、感染したWebサイトからユーザーの一時ディレクトリにファイルをダウンロードしようとしていることがわかります。ダウンロードされるファイルは、後でユーザーのファイルを暗号化するために使用する実行可能ファイルです。JS/Nemucodの詳細は、以下を参照してください。

http://www.fortinet.co.jp/security_blog/160316-nemucod-adds-ransomware-routine.html

トップ5のランサムウェア


グローバル医療分野 - 2016年第4四半期に検出されたトップ5のランサムウェア

脅威テレメトリシステムによって最も多く発見されたランサムウェアは、CryptoWallで、検出されたランサムウェア感染の90%以上を占めました。CryptoWallは、他のほとんどのランサムウェアと同様に、ファイルを暗号化し、そのファイルを復号化するための身代金を要求します。このマルウェアは、ファイルを暗号化したことを知らせ、期限を過ぎると身代金が値上がりすると脅すメッセージを表示します。このマルウェアの作成者は、匿名性をできるだけ高くするためにTorネットワークを使用しており、最近のマルウェアのトレンドである、ビットコインでの身代金の支払いを要求します。CryptoWallの詳細は、フォーティネットとCyber Threat Allianceの共同調査・研究を参照してください。

https://blog.fortinet.com/2015/10/28/threat-intelligence-sharing-at-work-cyber-threat-alliance-tracks-cryptowall-version-3

CryptoWall v3レポート - http://cyberthreatalliance.org/cryptowall-report-v3.pdf

CryptoWall v4レポート - http://cyberthreatalliance.org/cryptowall-report.pdf

2位はCerberで、感染検出数全体の約5%を占めました。Cerberは、CryptoWallとほぼ同じ特性を持つランサムウェアです。Cerberの詳細情報は、FortiGuardのブログの調査・研究のセクションを参照してください。

https://blog.fortinet.com/search?q=cerber

これ以外で検出数が多かったのは、TorrentLocker、TeslaCrypt、およびLockyで、医療以外の分野でも多く検出されました。これらのランサムウェアの詳細は、以下のブログ記事を参照してください。

https://blog.fortinet.com/2016/07/25/insights-on-torrentlocker

https://blog.fortinet.com/search?q=teslacrypt

https://blog.fortinet.com/search?q=locky

トップ5のモバイルマルウェア


グローバル医療分野 - 2016年第4四半期に検出されたトップ5のモバイルマルウェア

Androidのマルウェアが、モバイルマルウェアのトップ5を独占しました。これは、Androidデバイスではユーザーがサードパーティのアプリを簡単にインストールでき、それらのアプリにAndroidベースのマルウェアが含まれている場合も少なくないことが原因と考えられます。

FortiGuard Labsは、モバイルマルウェア脅威の広範なデータベースを運用しており、この分野に関する研究者の考察を以下に公開しています。

https://blog.fortinet.com/search?q=android

https://blog.fortinet.com/search?q=ios

トップ5のIPSイベント


グローバル医療分野 - 2016年第4四半期のトップ5のIPSイベント

VxWorks.WDB.Agent.Debug.Service.Code.Executionが最も多く検出されたIPSイベントで、200万近いヒット数を記録しました。VxWorksは、CT/PET/X線計測器、点滴ポンプ、活動量モニターなどの医療機器を始めとする組み込み機器(あるいは、最近注目されているIoT)向けのオペレーティングシステムです。この脆弱性の発見が2010年であるにもかかわらず、(パッチがすでに公開されている)2016年になってもこの脆弱性を標的にした攻撃が発見されているということは、次のような理由で、この脆弱性が解決されていないデバイスが攻撃の標的になる可能性があることを示しています。

  • パッチ公開サイクルが長い、または
  • パッチがほとんど公開されない、または
  • パッチがまったく公開されない

上記のトップ5のIPSイベントでは、正しく構成されていないUnixベースのWebサーバーを標的にする攻撃も見つかっており、構成ミスによって、/etc/passwd、WebアプリケーションでのSQLインジェクションの試行、脆弱なNetcore/Netisルータ[https://blog.fortinet.com/2016/10/12/home-routers-new-favorite-of-cybercriminals-in-2016]、および複数のBash脆弱性(別名ShellShock)からオペレーティングシステムのユーザー名が漏えいする可能性があることを示しています。

トップ5のボットネットイベント


グローバル医療分野 - 2016年第4四半期に検出されたトップ5のボットネット

検出数が最多のボットネットは、Andromeda[https://blog.fortinet.com/search?q=Andromeda]で、これは、モジュールやアップデートをC2サーバーからダウンロードするローダーで構成される、モジュール型のボットです。このローダーは、VMとデバッグの両方の迂回する機能を備えているため、ボットネットとして広く利用されるようになったものと考えられます。そして、H-Worm、Necurs、Conficker、Pushdoがこれに続きました。

H-Wormは、機密情報を不正取得してC2サーバーに送信することができるVBスクリプトベースのボットネットで、Necursは、マルウェアを拡散することで知られている、Lockyランサムウェアと関連性のあるボットネットです。過去最大規模のボットネットの1つであるConfickerは、2008年以降、毎年発見されています。脆弱なWindowsシステムを悪用し、他の脆弱なシステムをスキャンして感染させることで、ワームとして拡散します。感染したシステムが使用されて、最終的にボットネットが形成されます。Confickerが2016年になっても発見されているということは、今でもこのマルウェアに感染している脆弱なWindowsシステムがインターネット上に存在していることを示しています。Pushdoも、数年前から発見されているボットネットで、大規模スパム攻撃に関与しているとされています。

トップ5のエクスプロイトキット


グローバル医療分野 - 2016年第4四半期に検出されたトップ5のエクスプロイトキット

RIGは、46%を占める、検出数が最多のエクスプロイトキットで、2016年に発見されたほとんどのエクスプロイトキットと同様、エクスプロイトの成功後にランサムウェアを拡散します。RIGエクスプロイトキットのサンプルの分析は、以下を参照してください。https://blog.fortinet.com/2015/09/30/a-quick-look-at-a-recent-rig-exploit-kit-sample

2位以降は、CK(23%)、Angler(16%)、Neutrino(12%)と続き、それ以外のエクスプロイトキットが3%でした。これらのエクスプロイトキットのほとんども、ランサムウェアの拡散に使用されています。これらのエクスプロイトキットに関する解説を、以下でお読みいただけます。

https://blog.fortinet.com/search?q=angler

http://blog.fortinet.com/search?q=neutrino

まとめ

脅威テレメトリの以上の結果から、医療分野は、より規模の大きいIT業界に匹敵するほどの数の脅威に直面していることがわかります。マルウェアに関しては、機密度の高い医療データを暗号化すれば身代金を手に入れられる可能性が高いことから、感染の大半がランサムウェアに関係しています。また、CryptoWallが2016年第4四半期に医療業界で最も流行したランサムウェアであること、さらには、Androidベースのマルウェアがモバイルマルウェアのトップ5を独占したこともわかりました。また、興味深いことに、発見から6年も経過しているVxWorks脆弱性に対する攻撃が、検出数が最多のIPSイベントであることもわかりました。このことから、VxWorksが組み込まれているシステムが動作する、パッチが未適用の医療機器を見つけて攻撃する脅威が存在する可能性があることがわかります。Andromedaが、検出数が最多のボットネットで、2011年以降、発見数の上位に常に登場しています。これらの検出数がトップ5のエクスプロイトキットは、ランサムウェアを拡散する目的で使用されています。

上記のいずれの脅威も、多層型セキュリティアプローチを適切に計画し、実行することで緩和できます。フォーティネットでは、フォーティネット セキュリティ ファブリック[https://www.fortinet.com/corporate/about-us/why-fortinet.html]による包括的な多層型セキュリティアプローチの採用により、ネットワーク、エンドポイント、アプリケーション、データセンター、クラウド、およびアクセスのセキュリティソリューションが連携し、統合された1つのセキュリティ ファブリックとして動作します。攻撃のあらゆる局面に対抗する、エンドツーエンドの統合セキュリティソリューションによって、段階的プロセスを用いた攻撃を緩和します。

こちらから、毎週お届けするFortiGuard Labsのメールを購読いただき、最新の脅威情報をご確認ください。