2016年1月28日

<Kaspersky Security Bulletin> 数字で振り返る2015年のサイバー脅威:モバイルバンキング型マルウェア、初めて金融系マルウェアのトップ10に

2015年には、Androidデバイスを狙うモバイルバンキング型マルウェアが、金融系マルウェアのトップ10に初めてランクインしました。ランサムウェアの急速な拡大も憂慮すべきトレンドで、実際に世界200の国と地域でカスペルスキー製品がランサムウェアを検知しています。

[本リリースは、2015年12月15日にKaspersky Labが発表したプレスリリースの抄訳です]

Kaspersky Lab は、グローバル調査分析チーム(Global Research and Analysis Team:GReAT)※1 によるサイバー脅威の状況を総括したレポート「Kaspersky Security Bulletin:2015年脅威の統計概要※2 を発表しました。これによると、新たなトレンドとして、Androidデバイスを狙うモバイルバンキング型マルウェアが、金融系マルウェアのトップ10に初めてランクインしました。また、憂慮すべきトレンドとしてランサムウェアの急速な拡大を取り上げており、実際に世界200の国と地域でカスペルスキー製品がランサムウェアを検知しています。

金融分野へのモバイルの脅威が成熟

Androidを狙うモバイルバンキング型トロイの木馬の2つのファミリー(FaketokenとMarcher)が、金融系マルウェアファミリーのトップ10にランキングされました。

Faketokenファミリーの代表的なマルウェアは、コンピューターに感染するトロイの木馬と連携して動作します。ユーザーが、感染したコンピューターからオンラインバンキングにアクセスすると、取引の安全性を確保する名目でAndroidアプリをスマートフォンにインストールすることを要求されますが、その正体はワンタイムパスワード(mTAN)を傍受するトロイの木馬です。

Marcherファミリーに属するマルウェアは、感染したAndroidデバイスで、欧州系銀行のモバイルバンキングアプリとGoogle Playの起動をトラッキングし、Androidデバイスから決済情報を搾取します。Google Playを起動すると、Marcherはクレジットカード情報の入力を求める偽のウィンドウを表示し、そこに入力された情報を犯罪者に送信します。モバイルバンキングアプリを起動した場合も、同様の手口でユーザー情報を窃取します。

ただし、「従来型」のサイバー金融犯罪が減少したわけではありません。2015年、カスペルスキー製品はコンピューター上でオンラインバンキングから金銭を窃取するマルウェアの起動を、約200万(1,966,324)回ブロックしました。これは2014年の1,910,520回から2.8%の増加です。

王座を明け渡したZeuS

ZeuSは無数の亜種が開発され、最も広く利用されていたマルウェアファミリーですが、2015年は代わりにDyre/Dyzap/Dyrezaが主流となりました。2015年のバンキング型トロイの木馬の攻撃は、40%以上がDyrezaによるものでした。DyrezaはWebインジェクション方式によりデータを窃取し、オンラインバンキングシステムにアクセスしていました。

ランサムウェアという悪夢

2015年、ランサムウェアの感染はAndroidデバイスで急速に拡大しました。2014年にKaspersky Labが初めてAndroid向けランサムウェアを発見してからわずか1年で、6件に1件(17%)の割合でAndroidデバイスが狙われるまでになりました。2015年には、2つの大きなトレンドがありました。1つ目は、暗号化ランサムウェアの標的となったユーザー数が約18万人に上り、2014年に比べて48.3%増となったことです。2つ目は、暗号化プログラムがマルチモジュール化され、暗号化機能に加えて、標的コンピューターからデータを窃取する機能を搭載しているものが多く見られるようになったことです。

そのほかのトレンド

  • サイバー犯罪者は刑事告発のリスクを最小限に抑えるため、マルウェアによる攻撃から、アドウェアの積極的な配信に方向転換しています。2015年の統計では、Webベースの脅威の上位20件中12件を占め、アドウェアとそのコンポーネントがインストールされたユーザーコンピューターは、全体の26.1%にのぼりました。
  • エクスプロイトやシェルコード、ペイロードをマスキングして、感染の検知や悪意あるコードの解析を困難にする、新たな技術が利用されていることを確認しました。具体的には、ディフィー・ヘルマン暗号化プロトコルの使用Flashオブジェクト内へのエクスプロイトパックの隠蔽です。
  • サイバー犯罪者は指令サーバーを隠すために、匿名化テクノロジーTorを積極的に利用しています。また、取引にはBitcoinが利用されています。

カスペルスキー製品での観測

  • 約200万台のコンピューターで、オンラインバンキングを標的にするマルウェアの起動をブロックしました。(2014年比2.8%増)
  • ユーザーのコンピューターで検知した、悪意あるオブジェクトと不審なオブジェクトは400万種類でした。(2014年は184万種類)
  • ユーザーのコンピューター、ハードディスク、リムーバブルメディアの3分の2(67.7%)で、少なくとも1つの悪意あるオブジェクトを発見しました。(2014年は58.7%)。
  • オンライン攻撃で使用されたスクリプト、エクスプロイト、実行可能ファイルなど悪意あるオブジェクトを12億種類検知しました。(2014年比1.4%減)

オンライン攻撃の地理的分布

無害化されたオンライン攻撃の80%が、米国(24.2%)、ドイツ(13%)、オランダ(10.7%)をはじめとする10か国に置かれた悪意あるオンラインリソースによって実行されたものでした。上位3か国は2014年と同じで、サイバー犯罪者はホスティング市場が発達している国でのサービスを好んで利用するという傾向を示しています。

■関連資料

詳細な英語レポートはSecurelist.comをご覧ください。日本語レポートはこちらをご覧ください。2014年の統計はこちらでご覧いただけます。

※1 GReATについて
GReATはKaspersky Labで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。

※2「Kaspersky Security Bulletin」について
Kaspersky Security Bulletinの統計はすべて、Kaspersky Security Network(KSN)で取得されたものです。KSNは、カスペルスキーのアンチマルウェア製品の各種コンポーネントから情報を収集する分散型アンチウイルスネットワークで、すべての情報はユーザーの同意を得て収集されています。KSNには全世界で数百万のユーザーが参加しており、悪意のある活動に関する情報を世界規模で共有しています。