インテル セキュリティ、2016年第3四半期の脅威レポート
2016年12月23日このレポートでは、企業のセキュリティ オペレーション センター (SOC)の現状に関する考察や、2016年に猛威を振るったランサムウェアの進化の詳細、そして、正規のソフトウェアをトロイの木馬に感染させ、それを悪用して長期間潜伏し検知を逃れるマルウェアがいかにして作成されているか、などについて報告しています。また、この最新レポートでは、2016年第3四半期のランサムウェア、モバイル マルウェア、マクロ マルウェア、Mac OSマルウェア、その他の脅威の増加率など、最新の動向も報告しています。
2016年のSOCの現状
2016年半ば、インテル セキュリティは、企業によるSOCの利用方法やSOCのこれまでの変遷、そして、将来的なSOCの形について理解を深めるための調査を実施しました。さまざまな地域、業界、企業規模の会社から400人近くのセキュリティ専門家に聞き取り調査を行い、2016年のSOCの現状について貴重な情報を得ることができました。
・膨大なアラートの量:地域や規模を問わず、組織は平均で全体の25%のセキュリティ アラートを十分に調査できていません。
・優先度判断の問題:大多数の回答者が、大量のセキュリティ アラートに忙殺されていることを認めており、93%近くの回答者が、潜在的脅威の優先度を適切に判断できていません。
・インシデントの増加傾向:67%の回答者が、攻撃数が増加したか、監視能力の向上により、セキュリティ インシデント数が増加したと回答しました。
・増加の原因:インシデント数が増加したと答えた回答者の57%が攻撃の数そのものが増えたことを原因と考えている一方で、73%は攻撃検知能力が向上したことが原因だと考えています。
・脅威の兆候:過半数の組織(64%)は通常、アンチマルウェア、ファイヤーウォール、侵入防止システム(IPS)など、従来型のセキュリティ制御ポイントから脅威検知の通知を受け取っています。
・事前対策と事後対応:過半数の回答者は、事前対策型の最適なセキュリティ運用という目標に向かって進化していると主張する一方で、回答者の26%は、セキュリティ運用、脅威の追跡、インシデント対応にその場しのぎの対応を行う事後対応型の取り組みのままです。
・敵対者:2015年に行った調査では、回答者の3分の2(68%)以上が、外部からの標的型攻撃や関係者による内部からの脅威を経験しています。
・セキュリティ調査を実施する理由:回答者は、セキュリティ調査を実施する理由として、マルウェア全般によるインシデント(30%)、 マルウェアによる標的型攻撃(17%)、ネットワークに対する標的型攻撃(15%)、関係者の不注意による情報漏えい/脅威の可能性(12%)、悪意ある関係者の脅威(10%)、国家組織からの直接的な攻撃(7%)、国家組織からの間接的またはハクティビストによる攻撃(7%) と回答しました。
アンケートの回答者は、SOCの発展や投資で最優先されるべきことは、再発防止に向けた連携、復旧、根絶、学習など、特定された攻撃への対応能力を向上させることであると回答しています。2016年はランサムウェアの年?
今年の第3四半期末までに新たに検出されたランサムウェアのサンプル数は合計3,860,603個で、ランサムウェアのサンプル数の合計は2016年初めから80%増加しました。数が急増しただけでなく、2016年のランサムウェアには、ディスクの一部または全部の暗号化、正規アプリケーションが使用するウェブサイトの暗号化、サンドボックス回避技術、ランサムウェア実行用エクスプロイト キットの精度向上、サービスとしてのランサムウェア(ransomware-as-a-service)の開発の増加など、著しい技術的進歩が確認されました。
2016年第3四半期の脅威動向
2016年第3四半期、McAfee LabsのMcAfee Global Threat Intelligence (GTI)ネットワークは、ランサムウェア、モバイル マルウェア、そしてマクロ マルウェアの著しい急増を記録しました。
・ランサムウェア:2016年第3四半期、ランサムウェアのサンプル数の合計は18%増加しました。年初からは80%の増加です。
・Mac OSマルウェア:第3四半期にはMac OSを狙う新規マルウェアが637%急増しましたが、その主な要因は、Bundloreという単独のアドウェア ファミリーです。しかしながら、他のプラットフォームと比べてMac OSマルウェアの合計数が非常に少ないことに変わりはありません。
・新たなマルウェア:第3四半期に見つかった新しいマルウェアは21%減少しました。
・モバイル マルウェア:第3四半期、200万種以上のモバイル マルウェアの脅威が新たに確認されました。第3四半期中、アフリカとアジアでの感染率はそれぞれ1.5%低下しましたが、オーストラリアは2%増加しました。
・マクロ マルウェア:第2四半期に初めて確認したMicrosoft Office(主にWord)の新規マクロ マルウェア数の増加が、第3四半期にも確認されました。
・スパム ボットネット:Necursボットネットの数が第2四半期の7倍近くまで増加し、第3四半期で最多のスパム ボットネットになりました。また、Kelihosによるスパム攻撃の急激な減少を確認しました。これは2016年の四半期統計で初の減少です。
・ボットネットの世界的蔓延:第3四半期も、ワームやダウンローダーを配布するWapomiが首位の座を維持しましたが、その数は第2四半期の45%から減少しました。また、第2四半期にトラフィック量がわずか2%程度だった、ボットネットから配信されるCryptXXXランサムウェアが2位にランクインしました。
詳しいリサーチ内容はネタ元へ