2020年7月15日

トロイの木馬、バックドア、ドロッパーが、マルウェア調査検索対象として上位を占める ~疑わしいファイル、IPアドレス、URL、ハッシュ値などを無料で調べることができるKaspersky Threat Intelligence Portalの利用分析結果から~

同サイトの匿名化された利用状況を分析したところ、悪意があると判断されたファイルのうち72%がトロイの木馬、バックドア、ドロッパーのいずれかに分類されました。また、当サイトで頻繁に調査されるマルウェアの種類と、広く普及しているマルウェアの種類は必ずしも一致しないことも明らかになりました。

[本リリースは、2020年7月2日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kaspersky Threat Intelligence Portalは、Kasperskyがこれまで20年以上にわたり収集したサイバー攻撃に関するデータや知見など脅威インテリジェンスを利用して、疑わしいファイル、IPアドレス、URL、ハッシュ値などについて調査できるポータルサイトです。このたび、当サイトの匿名化された利用状況を分析※1したところ、悪意があると判断されたファイルのうち72%がトロイの木馬、バックドア、ドロッパーのいずれかに分類されていることが分かりました。また、当サイトで頻繁に調査されるマルウェアの種類と、広く普及しているマルウェアの種類は必ずしも一致しないことも明らかになりました。

悪意のある活動を検知することは、サイバー攻撃の調査の第一歩に過ぎません。企業では、攻撃の標的を特定しマルウェアの出所を突き止め、その普及度合いを把握して対応と復旧策を講じる必要があります。当サイトの利用により、企業のセキュリティリサーチャーやインシデント対応担当者などが、攻撃の背景をより迅速に明らかにすることが可能になります。

これまでに当サイトにアップロードされた疑わしいファイルやハッシュ値の大半が、トロイの木馬(分析リクエストの25 %)、コンピューターのリモート制御を可能にするバックドア(同24 %)、ほかの悪意のあるオブジェクトをインストールするドロッパー(同23 %)であることが明らかになりました。また、サイバーセキュリティ関連のデータを処理するクラウドベースのインフラストラクチャKaspersky Security Network(KSN)※2の統計でも、最も普及しているマルウェアはトロイの木馬であるという結果が示されています。一方、バックドアとドロッパーはそれほど一般的ではなく、当社のエンドポイント保護製品でブロックした全てのマルウェアのうち、それぞれの占める割合はバックドアが7%、ドロッパーが3%に過ぎません。

threatintelligenceportal-1.png

図1:Kaspersky Threat Intelligence Portalで分析されたマルウェアの割合

数値にこのような違いがみられる理由としては、セキュリティリサーチャーやアナリストなど当サイトの利用者は、サイバー攻撃の最終的な目標に関心を持つ傾向がある一方で、エンドポイント保護製品は攻撃の早い段階での防御を目的としていることが挙げられます。エンドポイント保護製品は、エンドユーザーが悪意のあるメールを開いたり、悪意のあるリンクをクリックしたりすることを防ぎ、ユーザーのコンピューターにバックドアが到達することを防御しますが、セキュリティリサーチャーはドロッパーに含まれたすべてのコンポーネントを明らかにする必要があります。

また、これらの種類のマルウェアが多く分析された理由としては、特定の脅威に関心が寄せられていること、およびセキュリティリサーチャーやアナリストがそれらの脅威をより詳しく分析する必要があったことが挙げられます。例えば、2020年の年初に、ドロッパーを含むさまざまなモジュールを持つマルウェアEmotet(エモテット)が報道で取り上げられた際には、これに関するオブジェクトが多く調べられました。LinuxとAndroidのOSに対するバックドアに関連した分析リクエストも多く実行されており、リサーチャーらがこれらのマルウェアファミリーに関心を示していることがうかがえますが、Microsoft Windowsを標的とした脅威に比べるとその注目度は高いとはいえません。

Kaspersky Threat Intelligence Portalで疑わしいオブジェクトを調べることは無料です。調査したいファイルをアップロードする回数に制限はありません。ハッシュ値、IPアドレス、ドメイン、URLは1日に合計100回まで調べることができます。当サイトの有償契約企業のユーザーは、さらに詳しい脅威情報を得ることができる、脅威情報ルックアップ、Kaspersky Cloud Sandboxレポート、APT脅威インテリジェンスレポート、フィナンシャル脅威インテリジェンスレポートなどの機能利用に加え、外部から悪用可能なリソースと不用意に公開された内部情報をレポートするKaspersky Digital Footprint Intelligenceの機能などが新たに利用できるようになりました。

threatintelligenceportal-2.png

図2:Kaspersky Threat Intelligence Portalトップ画面

threatintelligenceportal-3.png

図3:各オブジェクトの分析結果サマリー例

threatintelligenceportal-4.png

図4:オブジェクトの分析結果詳細例

Head of Threats Monitoring and Heuristic Detection部の責任者代理を務めるデニス・パリノフ(Denis Parinov)は次のように述べています。「当サイトで実行されたさまざまな分析リクエストのうち、ウイルス、つまりほかのプログラムに挿入されるコードの断片についての確認は1 %に未満ですが、エンドポイント保護製品では最も検知されている脅威の一つです。今回の結果から、当ポータルでは目新しさに欠けるウイルスよりも、マルウェアに含まれるコンポーネントなどをより詳細を調べることに利用されていると考えられます」

■ Kaspersky Threat Intelligence Portalサイトはこちらです。

■ 参考情報:2019年12月5日抄訳発表済みプレスリリース
「Kaspersky、脅威インテリジェンス情報へのオープンアクセスを開始」

※1 2019年11月~2020年5月に、Kaspersky Threat Intelligence Portalの分析リクエストを集計。データは匿名化されています。
※2 Kaspersky Security Network(以下KSN)は、世界各地の数百万人の任意のカスペルスキー製品ユーザーから取得したサイバーセキュリティ関連のデータを高度に処理する、クラウドベースの複合インフラストラクチャです。KSNは取得したデータをクラウド上で自動分析することで、全てのユーザーとパートナーに対して、新しい未知のサイバー脅威に対する最短の応答時間と最高レベルのプロテクションを実現します。全ての情報は、ユーザーの同意を得て取得されています。