ウェブルートは2017年6月15日、2016年に発生したサイバー脅威の状況を分析した「ウェブルート 脅威レポート 2017」を公開し、都内で記者説明会を行った。説明会では、同社の製品・技術本部 シニアセールスエンジニア 中村 多希氏が登壇。今回のレポートは、「270億以上のURL」、「6億以上のドメイン」、「40億以上のIPアドレス」、「130億以上のファイルの振る舞い」、「5000万以上のモバイルアプリケーション」、「4000万以上の接続センサー」で構成される同社の脅威インテリジェンスプラットフォームで脅威情報を収集・分析した結果であると説明した。

ウェブルート 製品・技術本部 シニアセールスエンジニア 中村 多希氏(撮影:下玉利 尚明、以下同じ)
ウェブルート 製品・技術本部 シニアセールスエンジニア 中村 多希氏(撮影:下玉利 尚明、以下同じ)
[画像のクリックで拡大表示]

 続けて中村氏は、2016年の傾向として「確認した実行可能形式のファイル全体に占めるマルウエアの割合は2.5%、PUAは2.2%と2015年と比較してわずかに減少した。ただし、1度しか検出されないポリモーフィック型の割合が増加している。調査ではマルウエアとPUAの約94%がポリモーフィック型だった」と解説した(PUAはPotentially Unwanted Applicationの略。「潜在的に不要なアプリケーション」と訳される)。ポリモーフィック型とは、プログラムコードを暗号化して、全く同じ処理を実行するが別のプログラムに見えるように“形を変える”プログラムを指す。中村氏は、「プログラムの特徴を収集してマルウエアやPUAを検出するシグネチャベースの手法では、ポリモーフィック型を検出するのは困難だ」と指摘した。

 ランサムウエアの状況については、2016年2月に初めて検出された「Locky」が猛威振るったことを解説。「ランサムウエアを誰もが簡単に作成できるRaaS(Ransomware as a Service)が浸透していることもあって、2017年も引き続きランサムウエアの脅威に警戒が必要」と述べた。

 中村氏によると、2017年5月12日に出現した「WannaCrypt」は当日に検出、2016年11月23日に出現した「cerber v。5.0.1」も当日に検出していたという。クラウドベースでハッシュ値や振る舞いを検証すれば、「いち早く脅威に検出できる」(中村氏)と強調した。

 同社は、脅威インテリジェンスプラットフォームから収集・分析される最新情報を常にクラウド上で参照できるようにして、未知の脅威にも対応できる体制を整えているという。クラウド上の最新情報を参照して「グレー判定」となった実行可能ファイルは、実行後の振る舞いを常に監視して、その行動を記録し続ける「ジャーナリング」を実施。ジャーナリングの過程でクロと判定されれば、そのファイルが実行した変更をすべて元に戻すロールバックを実施する。中村氏は、「ランサムウエアに感染した場合でも、暗号化された前の状況にファイルを復元できる」という。

グレー判定からジャーナリング、ロールバックの機能によりランサムウエアにも対応できる。
グレー判定からジャーナリング、ロールバックの機能によりランサムウエアにも対応できる。
[画像のクリックで拡大表示]

 説明会の最後に中村氏は、フィッシングサイトの状況について解説。従来、フィッシングサイトは金融機関を装ったサイトが多かったが、「2016年はよく知られたIT企業を装ったフィッシングサイトが急増した」(中村氏)と指摘した。IT企業を装ったフィッシングサイトの件数は、金融機関のフィッシングサイトの7倍にも達したという。

 フィッシングサイトでなりすまされたサイトの上位は、Googleが22%、Yahooが18%、Appleが15%だった。中村氏は、「IDやパスワードを窃取できれば、ユーザーの使い回しによって、他サイトで悪用できる可能性が高い」と分析した。

説明では、「フィッシングサイトのなりすましにあった企業」の割合も報告された。
説明では、「フィッシングサイトのなりすましにあった企業」の割合も報告された。
[画像のクリックで拡大表示]