| IT責任者 2017年1月5日


2017年1月5日

2016年モバイル脅威報告書:脅威トレンドは標的型攻撃、脆弱性攻撃、高度に巧妙化したマルウェア

By Lookout

Man hands holding mobile phone, focus on hand. Notebook, coins, glasses, tablet pc on the desk. 2016年のモバイル脅威を要約すると主要な脅威は5つに大別できます。
  • iOS を狙う深刻な標的型攻撃
  • 端末をルート化するマルウェア
  • 「リスキー」アプリの存在
  • 成りすましによってユーザーを騙す脅威
  • 繰り返し発生するモバイル脆弱性
これら5つに共通して言えることは、脅威が高度化していること、既存の脅威の亜種を発展させていること、そして使いなれたテクニックを配布手段として使用する点です。これら共通点を踏まえ、2016年に発生した深刻なモバイル脅威を振り返ってみましょう。
iOSを狙う深刻な標的型攻撃
標的型攻撃は巧妙化の度合いが非常に高く、誰もが注意すべき攻撃ですが、8月に発生した「ペガサス」とうスパイウェアはその中でも群を抜いていました。ペガサスはiOS に存在する3つのゼロデイ脆弱性「Trident」を攻撃するスパイウェアで、標的にした端末をルート化し、データを搾取することが可能です。(脆弱性はすでに修正済み)ペガサスに感染することでメッセージや通話、メール、ログが扱うデータが盗み取られる可能性があります。さらに、iOS 標準搭載機能以外でもGmail、Facebook、Skype、WhatsApp、Viber、FaceTime、Calendar、Line、Mail.Ru、WeChat、SS、Tangoといったアプリからさまざまなデータが盗み見られる可能性があります。
2016年はこの脅威だけでもモバイル攻撃史上、記憶に残る年となりました。モバイル端末は私たちの生活と切っても切り離せないツールであり、常時接続(Wi-Fiや3G/4G)、音声通話、カメラ、メール、メッセージ送信、GPS、パスワード、アドレス帳など、多くの重要な個人情報が1つの端末に集約しています。ペガサスは3つの脆弱性を悪用して重要な個人情報が集まるモバイル端末を攻撃しており、このスパイウェアは過去に検知された脅威の中で最も巧妙化されたものと結論付けて良いでしょう。
この脆弱性はLookoutとCitizen Labとの共同研究を通じてAppleに報告されました。その後、Appleは脆弱性を修正することでこのスパイウェアを実行不能にすることに成功しました。
端末をルート化するマルウェア
端末をルート化するマルウェアは2016年も引き続き出現しました。攻撃者がマルウェアを悪用して端末のルート化権限を取得すると、攻撃者は端末に対する大きな権限を持つことになり、さまざまな情報搾取が可能となります。これは、個人であれ企業であれ、重要なデータを持つユーザーにとっては深刻な問題です。
2016年は端末をルート化するマルウェアの新種が発見されただけでなく、既存の脅威からも新しい亜種が発生しています。
7月に発見されたLevelDropperはLookoutがGoogle Playで検出した新しいマルウェアファミリーです。ユーザーに気づかれないように端末をルート化し、他のアプリケーションを次々と端末にインストールします。LookoutはGoogleに本マルウェアの報告を行い、Googleはこのマルウェアを削除しました。
Okta-2-1-225x300同じ頃、私たちはShedunと呼ばれる特に危険なマルウェアの最新情報をアップデートしました。Shedunはトロイの木馬化したアドウェアで、FacebookやTwitter、WhatsApp、Oktaのエンタープライズ用シングルサインオンアプリなど正規版のアプリを装ってユーザーを騙し、Android端末をルート化します。 当時、新しい亜種がHummingbadもしくはHummerという名称で数多く出回っていました。こうした亜種が急激に検出されるようになった背景として、私たちはマルウェアの作成者が新しい機能を実装したか、新しい手法でこのマルウェアを配布し始めたと考えています。Shedun はGhostPushという別名で過去に出現していますが、12月に再び「Gooligan」という名称で出現しました。
「リスキー」アプリの存在
リスキーアプリは企業にとってはマルウェアと同様に深刻な問題となっています。数多く存在するアプリの中には、それ自体悪意があるものではありませんが、企業にとって望ましくない動作をする場合があります。例えばLookoutがGoogle Playストアで発見したアプリの中に「CAC Scan」というアプリがありました。(現在は削除済み)「CAC」は米国国防総省職員に発行された標準IDカード、「Common Access Card(共通アクセスカード)」の略称です。このアプリは「CACの表面のスキャンによりカード所有者の姓、名、ミドルネームの頭文字、階級、社会保障番号全桁およびDoDのID情報を読み取る」と説明していましたが、国防総省が開発/提供したアプリではありません。
cacscan-store
Lookoutがこのアプリを分析したところ、悪質な振る舞いは一切ないという結果が出ました。また、このアプリは複雑に見えて実際は単純で、わずかなコードが記述されているだけでした。
アプリそのものは悪意ある振る舞いを見せなかったものの、国防総省はこのアプリの使用に難色を示し、以下のように回答しています。
「このアプリを使用すべき正当な理由がなく、運用保全面やプライバシー面での影響が懸念されます。またCACにセキュリティ対策がなく、カード盗難が発生した場合、個人の特定可能な情報(PII)をアプリの使用によって危険にさらす可能性があると考えられます。」
この事例はモバイルセキュリティが単なるマルウェア検知にとどまるものではないことを表しています。アプリ自身は「悪質」ではないものの、そのアプリが安易に利用されることにより企業に深刻なリスクをもたらす場合があるからです。企業は、今後マルウェアに加え、「リスキーアプリ=マルウェアではないもののコンプライアンスなどの観点から利用が懸念されるアプリ」についても管理していく必要があります。
「成りすまし」によってユーザーを騙す脅威
犯罪者が無害な第三者になりすまし、マルウェアを拡散させる方法は昔から存在していますが、2016年は無害なアプリを装った悪質アプリが数多く発見されました。
Lookoutは5件のマルウェアファミリーについて、正規のアプリ名やパッケージ名を冠して業務アプリに成りすます事例を5月に報告しました。成りすましに利用されたアプリの中にはCiscoのBusiness Class Emailアプリのほか、ADP、Dropbox、FedEx Mobile、Zendesk、VMWareのHorizon Client、BlackboardのMobile Learn アプリなどがありました。
さらに攻撃者は、年末年始の商戦を利用してUggなど実在のブランド名を付けたiOSの詐欺アプリを配布しました。このように特定のブランドからリリースされたかのように見せかけた偽アプリはLookoutでも多数検出され、クレジットカード番号などの情報が盗まれています。この件についてABCの番組「Good Morning America」がLookoutのセキュリティ研究者Andrew Blaichにインタビューしています。 Screen-Shot-2016-11-18-at-4.08.38-PM-1024x556 また、5月にはAcecardというマルウェアファミリーも発見されています。Acecardはバンキングアプリ用のトロイの木馬で「Black Jack Free」という名称でゲームアプリに見せかけています。Acecardが端末にインストールされるとユーザーが気づかないうちに2つ目のアプリがダウンロードされ、正規のバンキングアプリやFacebook、Skypeなど他の人気アプリ画面上に偽の画面を重ねて表示し、ユーザーを騙してオンラインバンキングの認証情報やクレジットカード情報を入力させます。 Screen-Shot-2016-05-16-at-10.51.39-AM
大人気となったゲーム、ポケモンGoが7月にリリースされ、同時に悪意あるアクティビティを行う偽バージョンも数多く発見されました。トロイの木馬が注入されたバージョンやアドウェアを含むバージョンのほか、端末管理者権限の取得を試みるバージョンも現れました。
9月には在外大使館を検索できる大使館検索アプリを偽ったマルウェアが公開され、海外旅行者が攻撃の標的となりました。このアプリはPlayストアからすでに削除されていますが、Overseersの亜種のひとつで、アドレス帳や位置情報、端末にインストールされたアプリ一覧、端末メモリ、IMEI、そのた端末のスペック情報など機密情報を収集し抜き取る能力を備えています。image05-768x627
繰り返し発生するモバイル脆弱性
2016年、iOS およびAndroidの両方が脆弱性問題の影響を大きく受けました。
8月に報告されたTCPはAndroidユーザー全体の80%、およそ14億台が影響を受けるものでした(Statistaによるデータを基にインストールベースで算定)。
攻撃者は脆弱性を悪用して非暗号化通信に侵入し、暗号化通信をダウングレードすることにより標的の通信内容傍受を可能にします。攻撃者は従来の「Man-in-the-Middle」攻撃に頼ることなく通信傍受が可能となるのです。今回新たに発生した脆弱性によって影響を受けるのはAndroid端末に加えて、企業内のLinux環境やLinuxベースのサーバー接続もその対象となるため、企業への影響は大きいものでした。
8月にはQuadrooterの事件も大きく報道されました。QuadrooterはQualcommのチップセットを内蔵したAndroidスマートフォンに存在する4つの重大な脆弱性で、この影響を受ける端末台数は膨大な数となりました。Quadrooterの名前が示す通り、攻撃者はその脆弱性を悪用して端末をルート化します。
11月には、DirtyCow とDrammerという2つのAndroid脆弱性を報告しました。これらの脆弱性を悪用すると攻撃者は端末をルート化できるほか、端末への不正アクセスが可能となります。
脆弱性はOSだけに存在するものではありません。ソフトウェアやモバイルアプリケーションにも脆弱性は存在します。2016年のBlack Hatカンファレンスでは、LookoutはBlack Hatのイベントアプリを調査し、懸念すべき欠陥を発見しました。このアプリはユーザー登録機能のほかプロフィール作成や他の参加者との通信機能を備える予定でしたが、他人の名前でユーザー登録もでき、成りすましの危険性もありました。Black Hatはカンファレンス開催前にアプリのソーシャル機能を無効化しています。
モバイル脅威が頻発した1年
もはやモバイル脅威は「もしかしたら」発生するものではなくなりました。日々新しいモバイル脅威や亜種が出現し、明らかに増加しているのです。Lookout Mobile Endpoint Securityがあれば管理者が端末のセキュリティ状態を管理し、企業内のモバイルリスクの全体像を完全に可視化することが可能です。また、主要なEMMやMDMソリューションとのシームレスな連携も可能です。詳細につきましてはLookoutまでお問い合わせください

投稿者

Lookout

コメントする

送信


0 コメント