2019年5月28日

株式会社Doctor Web Pacific

マルウェア検知数の減少傾向が続いています。ただし、これはPCを狙うマルウェアの話で、スマートフォンやIoT機器を狙うマルウェアの検知数は急増しています。このデータだけを見ると、サイバー攻撃者は標的をPCから他のプラットフォームへ移行しつつあるように思えますが、攻撃の手法が変化しただけでPCはいまだに標的となっているのです。

減り続けるPCマルウェアの検知数

IPA（独立行政法人情報処理推進機構）が2019年1月に発表した「コンピュータウイルス・不正アクセスの届出状況」によると、2018年の一年間でIPAに寄せられたウイルス届出件数は1,115件で、前年（1,918件）から約41.9％減少しました。同様に、ウイルス検出数は前年から約63.4％減少、不正プログラムの検出数は前年から約76.8％減少しています。これらは年々減少しており、ウイルス届出件数でみると、2009年から14.7％に減っています。

また、Dr.WEBが2019年5月に発表した「2019年4月のウイルスレビュー」による4月の統計においても、4月は脅威のユニーク数が3月と比較して39.44％減少しており、検出されたすべての脅威の合計数では、14.96％の減少となっています。他のレポートを見ても、マルウェアの検知数は減少傾向が続いています。

マルウェアの内訳をみていくと、IPAの年間レポートでは不正プログラムをダウンロードする「Downloader」が最も多く、情報窃取を行う「Fareit」、バックドアを開く「Backdoor」が続いています。また、Dr.WEBの4月のレポートでは、アドウェア「Adware.Softobase.12」および「Adware.Ubar.13」、トロイの木馬「Trojan.Starter.7394」が上位を占めました。

AndroidやIoT機器を狙うマルウェアは急増

PCを標的とするマルウェアが減少している一方で、Android搭載スマートフォンを標的とするマルウェア（不正アプリ）と、IoT機器を標的とするIoTマルウェアの検知数は増加しています。マルウェアも大きく変化しており、たとえばAndroidではこれまで長距離電話の料金を不正請求するものや、プレミアムSMS詐欺が中心でしたが、現在はアドウェアやバンキングマルウェア、ランサムウェア、マイニングマルウェアなど、PCを狙うものと変わらなくなっています。

IoTマルウェアは、主にインターネット家電を狙います。インターネット側からブルーレイレコーダーなどにアクセスし、「Mirai」や「Hajime」といったIoTマルウェア（ボット）を侵入させます。これらはサイバー攻撃者からの指示を受けて、特定のWebサイトにDDoS攻撃を行います。DDoS攻撃を受けたWebサイトはアクセスできなくなることが多く、そこでサイバー攻撃者は攻撃をやめることと引き換えに金銭を要求するわけです。つまり、被害者であるはずの家電製品の持ち主が、サイバー攻撃に加担してしまうのです。

AndroidやIoT機器が狙われる理由には、まずユーザー数や機器の数が多いことが挙げられます。サイバー攻撃者は効率を重視するので、手間やコスト、時間をかけずに金銭を得ることを目指します。ひとつのマルウェアで、より多くのユーザーや機器に影響を与えられることは、大きなメリットになるのです。その意味では、ランサムウェアやマイニングマルウェアはサイバー攻撃者にとって効率のいいツールなのです。

マルウェアは減ってもサイバー攻撃は減らない

このまま、PCを狙うマルウェアはなくなっていくのでしょうか。残念ながら、PCは今後もマルウェアによるサイバー攻撃にさらされていくと考えられます。出荷台数はスマートフォンに逆転されたとはいえ、PCのユーザーは今も世界中にたくさんいます。それに、企業が持つ個人情報や重要な情報は引き続き格好のターゲットであり、そのネットワークに直結しているPCは、サイバー攻撃者にとって変わらず魅力的な存在です。

マルウェアを使用した攻撃手法も、刻々と変化しています。たとえば、ファイルレスマルウェアは、Windowsの正規のプロセス（PowerShell）のふりをしてマルウェアをダウンロードします。マルウェアがディスク上ではなくメモリ上に生成されるため、痕跡の消去が容易になっています。また、「.lnk」（ショートカットファイル）や「.rtf」（リッチテキストファイル）といった、これまでセキュリティ対策ソフトが検知の対象としていなかったファイルを感染のきっかけに使用することで、検知をくぐり抜けていました。

このように、企業を狙うマルウェアは巧妙化、複雑化が進んでいます。また最近では、フィッシングやソーシャルな手法を使用するケースも増えています。BEC（ビジネスメール詐欺）などはその好例といえるでしょう。BECでは、経営層などのメールを盗み見して、送金指示のメールが送られた直後に、送金先を変更する偽のメールを送信するといった手法です。サイバー攻撃者にとっては1件で非常に大きな金額を得られるため、多くの攻撃が確認されています。

フィッシングやソーシャルな手法では、もはやマルウェアが使われなくなっています。しかし実際には、こうした攻撃の前段階でマルウェアを使用するケースも多くあります。あらかじめ企業にマルウェアを侵入させ、盗み見すべきメールアカウントや、フィッシングメールの送付先を選定します。こうしたマルウェアが最終的に到達するのは、エンドポイントであるPCですし、マルウェアが活動を開始するのもPCです。セキュリティ対策ソフトも新たな攻撃手法に素早く対応していますので、引き続きPCにおけるセキュリティ対策ソフトの重要性は高いといえます。

執筆者：吉澤 亨史（ヨシザワ コウジ）
元自動車整備士。整備工場やガソリンスタンド所長などを経て、1996年にフリーランスライターとして独立。以後、雑誌やWebを中心に執筆活動を行う。サイバーセキュリティを中心に、IT全般、自動車など幅広い分野でニュース記事、取材記事、導入事例、ホワイトペーパー、オウンドメディアなどの執筆活動を行っている。直近では、JSSEC（日本スマートフォンセキュリティ協会）の「IoTセキュリティチェックシート第二版」の制作に参画、解説版を執筆。
愛猫「りく」は、サイバーセキュリティ情報サイト「ScanNetSecurity」で名誉編集長を務めています。