Tag Archives: Internet Security Threat Report

2014 ???????????????????????: ???????????

istrbanner.png

今年も、シマンテックの最新の調査結果をお伝えする『インターネットセキュリティ脅威レポート』(ISTR)(英語)をお届けする時期になりました。過去 1 年間のシマンテックの調査と解析に基づいて、脅威を取り巻く世界の現状を考察しています。今年のレポートで取り上げている大きな傾向としては、データ侵害と標的型攻撃の大幅な増加、モバイルマルウェアとランサムウェアの進化、モノのインターネットがもたらす潜在的な脅威といったことが挙げられます。以下、これらのテーマについてそれぞれ詳しく見ていきます。

大規模なデータ侵害の年
2011 年は「データ侵害の年」と呼ばれましたが、2013 年のデータ侵害は前年までの規模をはるかに超えるものでした。2013 年、データ侵害の件数は 2012 年から 62% 増え、さらには漏えいした個人情報の数は 5 億 5,200 万件と、実に 368% も増加しています。また、データ侵害の被害が大きかった上位 8 件すべてにおいて、漏えいした個人情報の数が 1,000 万を超えた初めての年でもあり、まさに「大規模な」データ侵害の年だったと言えます。その前年、2012 年は同様の規模のデータ漏えいは、わずか 1 件にすぎませんでした。

中規模企業に狙いを定める攻撃者
これまでのレポートをお読みであれば、攻撃者の狙う主な標的が中小規模の企業(SMB)であることをご存じでしょう。今年もその傾向は変わっていません。2013 年には、SMB 全体が標的型攻撃の半数を超えて 61%(2012 年は 50%)に達し、なかでも中規模(従業員数 2,500 人以上)企業への攻撃が最も大きく増加しました。

規模を問わず全企業に対する攻撃も、2012 年から 91% とほぼ倍増しています。サイバー犯罪者が、攻撃の成功率を高めようとして水飲み場型攻撃やスピア型フィッシングを仕掛けている点は前年と同様ですが、攻撃活動に電子メールを利用する比率が下がってきたため、スピア型フィッシング攻撃は 23% 減少しました。一方、水飲み場型攻撃によってドライブバイダウンロードを通じた攻撃が増え、標的が頻繁に訪れる Web サイトでユーザーを待ち構えて狙うようになっています。ゼロデイ脆弱性が 61% 増加したことも、攻撃を助長しました。攻撃者は、ゼロデイ脆弱性を悪用することで、適切にパッチが適用されていないサイトに攻撃を仕掛け、余分な手間をほとんど、あるいはまったく掛けずに被害者の環境に感染できるためです。

最も多く狙われた業種は、引き続き政府機関でした(全攻撃の 16%)。今回のレポートでは、攻撃の量だけでなく、誰が好んで標的にされるのか、標的に選ばれる確率はどのくらいなのかも調べています。悪いことに、その確率の点で誰が有利ということはなく、標的型攻撃には全員が備えなければなりません。ただし、その確率を確かめた結果、意外な事実も判明しています。中規模の採掘会社で個人秘書を務めている方には残念なニュースですが、あなたは「最も狙われている」業種です。

消費者のプライバシーを侵害するモバイルマルウェアとマッドウェア
深く考えずに新しいアプリをモバイルデバイスにダウンロードする人は少なくありませんが、悪質なアプリの多くは、きわめて不快な機能や望ましくない機能を備えています。2013 年に作成された新しいマルウェアのうち、33% はユーザーを追跡し、20% は侵入先のデバイスからデータを収集していました。また 2013 年は、Android デバイスに対するリモートアクセスツールキット(RAT)が出現し始めた最初の年でもあります。デバイス上で実行されている RAT は、監視をしたり電話を掛けたりするほか、SMS メッセージを送受信する、デバイスの GPS 座標を取得する、カメラとマイクを有効にして利用する、デバイスに保存されているファイルにアクセスするといったことが可能です。もちろん、被害者はそれを知ることもなければ、同意もしていません。

爆発的に増え、ますます悪質になるランサムウェア
シマンテックが以前に予測したとおり、2013 年にはランサムウェア(コンピュータやファイルをロックする悪質なソフトウェア)が急増しました。過去 1 年間で 500% という爆発的な増加を示したことに加え、身代金の受け取りに成功するたびに 100 ~ 500 ドルの利益があるという、攻撃者にとっては非常に儲かる商売になっています。また、高度な暗号化によってデータを人質に取り、所定の期日までに身代金を支払わなければデータを完全に消去すると脅すなど、攻撃の悪質さも増してきています。

個人情報窃盗の未来を握る「モノのインターネット」
過去 1 年間にハッキングの被害に遭ったのは、冷蔵庫とベビーモニターのどちらでしょうか。お客様にこう質問すると多くの人々は「両方」と答えますが、正解はベビーモニターです。ニュースなどでどう報じられていようと、インターネットに接続された冷蔵庫が実際に攻撃を受けたことは、まだありません。ただし、あくまでも「まだない」だけです。セキュリティ研究者は 2013 年に、自動車、防犯カメラ、テレビ、医療機器に対する攻撃がいずれも可能であることを実証しています。次は冷蔵庫の番かもしれません。モノのインターネット(IoT)は今ちょうど成長過程にあり、関連する脅威が追随するのは間違いありません。今年のレポートで、これまでに判明した点に触れていますが、インターネットに接続されているデバイスのうち攻撃を受けるリスクが最も高いのはホームルーターであるという見解は一致しています。

次に起こるのは何でしょうか。IoT デバイスには個人情報や銀行口座などの情報が保存されているので、実際に冷蔵庫がハッキングされる事案が発生するのも時間の問題でしょう。今のところ、IoT デバイスのメーカーとユーザーのどちらにとってもセキュリティは二の次です。深刻なセキュリティ事案が発生するまでは真剣に考慮されないかもしれませんが、潜在的なセキュリティリスクに備えて今すぐ検討を開始しておけば、いざというときのために万全の準備をすることができます。まずは、今年の ISTR をお読みいただくことから始めてください。

詳しくは、『インターネットセキュリティ脅威レポート』第 19 号(英語)をご覧ください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

The 2013 Internet Security Threat Report: Year of the Mega Data Breach

istrbanner.png

Once again, it’s time to reveal the latest findings from our Internet Security Threat Report (ISTR), which looks at the current state of the threat landscape, based on our research and analysis from the past year. Key trends from this year’s report include the large increase in data breaches and targeted attacks, the evolution of mobile malware and ransomware, and the potential threat posed by the Internet of Things. We’ll explore each of these topics in greater detail below.

The year of the mega data breach
While 2011 was hailed by many as the “Year of the Data Breach,” breaches in 2013 far surpassed previous years in size and scale. For 2013, we found the number of data breaches grew 62 percent from 2012, translating to more than 552 million identities exposed last year – an increase of 368 percent. This was also the first year that the top eight data breaches each resulted in the loss of tens of millions of identities – making it truly the year of the “mega” data breach. By comparison, only one data breach in 2012 reached that distinction.

Attackers set their sights on medium-sized businesses
If you’ve been following our reports, you know that small and medium-sized businesses (SMBs) are a key target for attackers, and this year proved no exception to the trend. In 2013, SMBs collectively made up more than half of all targeted attacks at 61 percent – up from 50 percent in 2012 – with medium-sized (2,500+ employees) businesses seeing the largest increase.

Attacks against businesses of all sizes grew, with an overall increase of 91 percent from 2012. Similar to last year, cybercriminals deployed watering hole attacks and spear-phishing to increase the efficiency of their campaigns. However, spear-phishing campaigns were down 23 percent, with cybercriminals relying less on emails to carry out their attack campaigns. Watering hole attacks allowed the bad guys to run more campaigns through drive-by-downloads, targeting victims at the websites they frequently visit. Efforts were also aided by a 61 percent increase in zero-day vulnerabilities, which allowed attackers to set up on poorly patched sites and infect their victims with little or no additional effort required. 

Government remained the most targeted industry (16 percent of all attacks). This year we looked at not only the volume of attacks but also at who are the preferred targets and what are the odds of being singled out. The bad news is that no one faces favorable odds and we all need to be concerned about targeted attacks. However, looking at the odds produced some surprises. If you’re a personal assistant working at a mid-sized mining company, I have bad news for you – you topped the “most wanted” list for attackers. 

Mobile malware and madware invades consumers’ privacy
While many people download new apps to their mobile devices without a second thought, many malicious apps contain highly annoying or unwanted capabilities. Of the new malware threats written in 2013, 33 percent tracked users and 20 percent collected data from infected devices. 2013 also saw the first remote access toolkits (or RATs) begin to appear for Android devices. When running on a device, these RATs can monitor and make phone calls, read and send SMS messages, get the device’s GPS coordinates, activate and use the camera and microphone and access files stored on the device – all without the knowledge or consent of the victim.

Ransomware growth explodes and turns even more vicious 
As we had previously predicted, ransomware, the malicious software that locks computers and files, grew rapidly in 2013. Ransomware saw an explosive 500 percent growth over last year and remained a highly profitable enterprise for the bad guys, netting $100 to $500 USD for each successful ransom payment. We also saw attackers become more vicious by holding data hostage through high-end encryption and threatening to delete the information forever if the fee was not paid within the given time limit.

The future of identity theft: The Internet of Things
Which of these things have been hacked in the past year: a refrigerator or a baby monitor? When I ask customers this question, they often reply, “Both.” The correct answer is the baby monitor. Despite what you may have heard on the news, Internet connected refrigerators have yet to be attacked. But never say never. Security researchers in 2013 demonstrated that attacks against cars, security cameras, televisions and medical equipment are all possible. The refrigerator’s time will come. The Internet of Things (IoT) is on its way and related threats are sure to follow. In this year’s report, we talk about what we’ve seen so far, and the consensus is that the Internet connected device at most risk of attack today is the home router.

What comes next? With personal details and financial information being stored on IoT devices, it’s only a matter of time before we find a true case of a refrigerator being hacked. Right now, security is an afterthought for most manufacturers and users of these devices, and it will likely take a major security incident before it is seriously considered. However, by starting the conversation now about the potential security risks, we will be that much more prepared when that day comes. This year’s ISTR starts the conversation. 

For more details, check out the complete Internet Security Threat Report, Vol. 19.

????????????????

      No Comments on ????????????????

読者のみなさんにお聞きします。ブラウザで表示される警告メッセージ、本当に読んでいますか。フィッシングサイトの警告や SSL 証明書不一致のダイアログを読み飛ばしてクリックしていませんか。ほとんどのユーザーはこうした警告に無頓着で、すぐにクリックして閉じてしまう傾向があるようです。警告の内容を覚えていたり、毎回その重要性を熟考したりする人がいるとは思えません。

Google 社とカリフォルニア大学バークレー校は、Google Chrome と Mozilla Firefox で表示された 2,540 万回の警告を分析するという興味深い研究を実施しました。その調査によると、平均して 15.1% のユーザーがマルウェア感染サイトの警告を無視してクリックしています。そのなかでは、何でもすぐクリックしてしまうユーザーの率が、Windows 版 Mozilla Firefox では 7.1% にとどまっているのに対して、Windows 版 Google Chrome では 23.5% と、実に 3 倍以上に達していることが注目に値します。

フィッシングサイトの警告の場合、無視してクリックする率は平均で 20.4% ですが、Linux ユーザーに限っては 32.9% と、他のプラットフォームより高くなっています。おそらくこれは、Linux ユーザーのほうが技術に詳しいため、操作に自信があるからでしょう。この研究で分析の対象になったのは、無視して続行するオプションがある警告だけで、そのような警告が表示される場合にはたいてい誤認の可能性があります。したがって、警告が表示されたからといって必ずしも悪質なことが行われるとは限りません。

SSL 警告の場合、結果の数値はもっと高く、無視してクリックする率は Google Chrome で 73.4%、Firefox で 36.7% となっています。Chrome ユーザーのほうが 2 倍も警告を無視する傾向がありますが、その理由については不明です。もちろん、SSL 警告も常に悪意の存在を意味するとは限らず、ユーザーが自宅では自己署名証明書を使っていることもあれば、サーバーの設定に問題があるだけのこともあります。したがって、クリックしたからといって警告を無視しているわけではなく、十分な知識に基づく判断で素通りしたのかもしれません。

それでも、多くのユーザーがこうした警告メッセージに飽き飽きし、無視し始めているのだという懸念を研究者は抱いています。これは、かつて初期のウイルス対策ソリューションでお馴染みだった現象です。「svchost.exe がインターネットにアクセスすることを許可するかどうか」という確認ダイアログにユーザーはうんざりさせられたものでした。警告は重要な機能ですが、うまく使う必要があるということです。

このような警告を無視することが習慣化してしまうと、悪質な Web サイトに引っかかりやすくなり、たとえば空港やレストランの無料ホットスポットで典型的な中間者(MITM)攻撃に狙われたりします。あらゆるサイトに対して自己署名証明書として機能する悪質なアクセスポイントを設定している攻撃者もいるということを、多くのユーザーは知りません。この証明書を受け入れてしまうと攻撃者にトラフィックを傍受され、オンラインサービス用のパスワードを読み取られる可能性もあります。Google が導入したような認証のピンニングを使うと、主な Web サイトでユーザーが警告を無視できなくなるので、MITM 攻撃対策に有効です。調査結果でも、Chrome の SSL 警告のおよそ 20% はユーザーが無視できないものでした。この比率は、MITM 攻撃に由来するものでしょう。

マルウェア警告を無視するのは、賢明でもありません。シマンテックの『インターネットセキュリティ脅威レポート』(ISTR)によると、感染した Web サイトの 61% は、正規の Web サイトが乗っ取られたものでした。つまり、過去にアクセスしたことがある既知のサイトだからといって安全とは限りません。前回のアクセス以降に感染し、今では悪用を通じてマルウェアに利用されているかもしれないからです。

ブラウザの警告は必ず読み、真剣に受け止めることをお勧めします。読んで内容を理解したうえで、その Web サイトにセキュリティ上のリスクがないことがわかっているのであれば、クリックすればいいのです。ろくに確かめもせず、やみくもに警告を無視してクリックしてしまうことだけは避けてください。

Dont ignore 1.png

図. Firefox のマルウェア感染サイト警告

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Don’t Ignore the Warnings

      No Comments on Don’t Ignore the Warnings

Be honest. Do you really read the warning messages that your browser displays to you? Or do you blindly click the phishing site warnings or the SSL mismatch dialog away? Apparently most users don’t seem to care too much about those warnings and c…

Spam Campaigns Take to Tumblr

      No Comments on Spam Campaigns Take to Tumblr

As the urban legend goes, the bank robber Willie Sutton was asked why he robbed banks. “Because that’s where the money is,” he is attributed as saying. While Sutton has long since distanced himself from the statement, the concept resonates with many people, to the extent that it’s been used to describe principles in accounting and even medicine.  

This principle also holds true in the world of Internet security. In the latest version of the Internet Security Threat Report we discussed the major trends in the spam world, where the percent of spam email continues to decline while more and more social networks are being targeted. Given the growth of social networking in recent years as a means to communicate, this comes as no surprise—it’s where the users are.

We’ve previously talked about how scammers are not only going after users on the most well-known social networks, as they have for years, but have begun targeting users on other networks, such as Instagram and Pinterest. Another popular social network has found itself in the crosshairs of spammers recently. The growth in popularity of Tumblr, particularly with younger Internet users, has also drawn the attention of spammers.

We’ve come across a spam campaign that is utilizing a feature on Tumblr similar to the type of commenting you might see on blogs or other social networks. Tumblr calls this feature “Ask,” where your followers can ask you questions, which can appear on your Tumblr blog. The feature is disabled by default, but you can enable it in your account settings and even allow anonymous comments. Spammers are attempting to take advantage of this feature to peddle their wares.

“WOW, I just lost a bunch of weight using the OFFICIAL TUMBLR DIET!! Are u using it as well? Check it out at [REMOVED][d0t]com”

Fig1.jpg

Figure 1. Spam message utilizing Tumblr’s Ask feature

Clearly, there’s no such thing as an official Tumblr diet. Instead, the URL provided in the spam message leads to a website that mimics a popular health magazine, espousing the benefits of a new diet pill.

Fig2.jpg

Figure 2. Fake health magazine site promoting diet pill

The page is full of information about a “miracle pill,” along with testimonials and offers linking to sites where the user can get some. If the user clicks through, they are brought to an order page. However, the site appears to have a limited supply. Stock is set to run out, coincidentally, the same day the user is visiting the page.

Fig3.jpg

Figure 3. Diet pill order page

The user is asked for a number of personal details, such as name, address, phone number, and email. The site will eventually ask for your credit card details as well.

Fig4.jpg

Figure 4. Diet pill payment page

We don’t know for sure if the site will actually send you genuine diet pills that contain the supposed miracle ingredient, fake pills claiming to have it, or if the site will just make off with your credit card details. Regardless, we do not recommend attempting to purchase goods through offers like this.

This spamming technique is not limited to diet pills either. Other scams, such as the one below, attempt to play at a user’s desire to make money. In this case they don’t even bother to ask a question—skirting the primary purpose of Tumblr’s Ask feature altogether.

“I made $300 yesterday by Internet marketing and I’m looking at at least $450 today. So yeah. You need to do this. I found out about it from this news article on CBS. I’m just excited to share this with you because it actually freakin works! Tumblr won’t let me post a link but if you want to read up and start making some money then head over to [REMOVED] [d0t] cоm – Spread this to fellow tumblree’s and tumblrette’s and lets get out of this recession together!”

The link in this case leads to a fake news page espousing a great way to make money from home, then to a page that asks for the same personal details as the scam above. In this case, besides gather personal details, it’s possible that the scammers here could be looking for cybermules—another precarious scam that is best avoided.

Fig5.jpg

Figure 5. Page promoting “make money from home” scheme

What’s disconcerting about this scam is that Ask questions do not appear on Tumblr blogs by default, as traditional comments can. Instead, a user has to make the effort to answer the Ask, at which point both the question and the answer will appear on their Tumblr blog. Granted many users are answering these Asks sarcastically, while others do so with annoyance, seeing it as the spam it is. While we don’t suggest doing this, what’s perhaps most worrying is that some users actually go as far as to thank the Anonymous poster for the information, seemingly falling for the ruse. Regardless of how the user responds, the messages remain online, and anyone perusing these Tumblr blogs could feasibly visit the sites mentioned on their own accord.

It’s difficult to determine the number of Asks these spammers are sending out, but we have encountered hundreds of instances when looking into the issue. Since Anonymous Asks do not require a Tumblr account to submit, and determining if a Tumblr blog has the feature enabled is easily scriptable, spammers could easily send large volumes.

To its credit, Tumblr has implemented an Ignore feature, where you can block the account, IP, and/or computer sending them. Overall, this spam should be treated in just the same way as any other Ask or comment-related spam: do not answer such submissions, do not visit the URLs provided, and do not give any personal details to less-than reputable websites.