2017年第1四半期のサイバー活動の結果

Panda SecurityのPandalabs Antivirus Labは、10億番目のサイバー犯罪業界のトレンドのいくつかを分析し、2017年第1四半期の四半期レポートで主要データを発表しました。



2017年の第1四半期には、世界がますますインターネットに依存するようになり、現実世界のデバイスと技術プロセスが制御される状況の結果がいくつか指摘されました。 それらの多くは保護されていません。



毎日発生するサイバー攻撃の数は目立って増加していますが、以前よりも複雑になっています。 継続的な開発のため、脅威の一歩先を行く必要があります。 今年の最初の数ヶ月に得られた統計を考慮すると、サイバー攻撃の成功の3つの主な要因が特定されました。



-より洗練された脅威、新しい攻撃ベクトル、およびより多くの攻撃。

-膨大な数のデバイス、システム、接続を備えたより複雑なIT環境。

-従来のアンチウイルスは攻撃と同じ方法で開発されていますが、その速度ではありません。



他のものより際立った傾向を1つだけ選択しなければならなかった場合、選択した被害者に応じて、より標的を絞った「調整」された攻撃に注目する価値があります。 現在、ハッカーは被害者のネットワークとそのリアルタイム保護システムと対話し、彼らの目標を達成するためにそれらに適応します。



今年の初めの数か月、モノのインターネット（IoT）は、スマートテレビが暗号化機能によって攻撃されたとき、小さな驚きを示しました。 Androidを実行しているLGテレビが最初の被害者であり、DTT信号を使用してスマートテレビがリモートから侵害される可能性があることを示しています。

攻撃分析

私たちのレポート、およびセキュリティソリューションの他のメーカーのレポートでは、ほぼ同じ脅威の統計がよく見られます。一定期間の新しい脅威の数、脅威の種類などです。 これらの数値は興味深いものであり、ニュースの明るい見出しになる可能性がありますが、ユーザーが自宅や職場で直面する感染の実際のリスクを評価するために、PandaLabsで何を示すことができるかを尋ねました。 真の価値のあるデータが必要です。



それらを取得するために、すべてのユーザーが直面するべきインシデントに焦点を当てました。 まず、 署名によって検出された脅威を考慮しないことにしました （その数は数億に達する可能性があります）。 これはよく知られているマルウェアであり、基本的なウイルス対策ソフトウェアを使用している各ユーザーは、このマルウェアからほぼ保護されています。 一方、 以前は未知だった脅威を検出できるヒューリスティック検出を含めないことも決定しました 。



これは、プロのハッカーがウイルス対策の最小限のテストを実施して、「作成」が気付かれないかどうかを確認するためです。これらのウイルス対策には署名およびヒューリスティック検出が含まれます。 言い換えれば、ユーザーが常に保護され、感染の本当のリスクがなかったかのように、これらの数値を落とすことができます。 しかし、私たちが発見したことについて話していない場合は...この問題に関してどのようなデータを提供できますか？



Panda Securityでは、常に顧客の保護に取り組んでいます。そのため、数年前に研究所が新しいレベルの保護を作成し、すべての製品に追加することにしました。 他のレベルの保護が役に立たない場合にのみ機能します。



つまり このレベルの防御を阻止するのは、まったく新しい攻撃です。 このシステムを使用して、マルウェアを使用する攻撃だけでなく、ファイルフリー攻撃、および企業環境でますます見られる正当なソフトウェアやユーティリティを悪用する攻撃もカウントします。



この追加レベルにより、実世界の攻撃をシミュレートする手法を使用して実施されたテストで優れた検出レベルを示すことができます。 2017年第1四半期のAV-Comparativesテストでは、2つのReal-Worldテストテストで100％の検出率を示し、Malware Protection Testでは、99.89％の検出と1つの誤検出で最高の結果を示しました。

Pandaソリューションで保護されているすべてのデバイスのうち、2.25％が完全に未知の脅威による攻撃を受けました。



顧客のタイプを見ると、そのようなデバイスのホームユーザーの間では2.19％、企業の間では-2.45％です。 これは直感に反するように思えるかもしれませんが、企業は家庭用PCよりもはるかに高度なセキュリティシステムを備えていますが、企業はより専門的な攻撃に直面していることを理解する必要があります。 企業は、自宅のPCよりもはるかに貴重な情報を持っています。



当社の企業クライアントの中には、従来のソリューションを使用している人もいれば、すでにアンチウイルスの範囲を超え、追加機能、高度な保護レベル、リアルタイム監視、すべてのアクティブな分類を提供するEDRソリューション（ Adaptive Defense ）を選択している人もいます企業ネットワークのサーバーおよびワークステーションでのプロセス、専門家の分析など。



Adaptive Defenseのすべてのレベルの保護で阻止できなかった攻撃の数が、従来のテクノロジーの数よりもはるかに少ないことは驚くことではありません。 論理的に思えますが、本当にそうですか？



そのため、従来のソリューションで保護されたデバイスの2.83％が未知の脅威の攻撃に遭遇しました。 そして、当社の次世代ソリューションで保護されているデバイスの中で、そのようなデバイスはわずか0.83％です。



このような未知の攻撃の地域について話す場合、各国の攻撃されたデバイスの割合を計算しました。 割合が高いほど、それぞれの国で未知の脅威を使用して攻撃される可能性が高くなります。







アジアとラテンアメリカは、感染率が最も高い地域です。

この「ランキング」でロシアは3.58％の指標で11位になりました。

以下に、感染レベルが最も低い上位10か国を示します。







感染率が世界平均を下回っているが上位10位に入らなかったその他の国：カナダ（1.12％）、ラトビア（1.19％）、ドイツ（1.20％）、スペイン（1.27％ ）、英国（1.29％）、オーストラリア（1.30％）、スロバキア（1.31％）。

脅威の進化

サイバー脅威革命の最中に生きていますか？ そうそうです。 悪意のあるプログラムはますます高度化しており、攻撃手法は常に改善されています。 現在、目標は偶然選択されなくなりました。さまざまな感染の方向を使用して、攻撃がますます指示され、調整されています。



そして、攻撃者の動機を忘れないでください。彼らは今、名声を探していません。 それらは金銭的利益のみによって促進されます。







ハッカー攻撃は、ますます専門的に犯される犯罪になる傾向があります。 2016年の最後の月に、Ransom as a Service（RaaS）などのサービスの開発とDDoS攻撃を実行するサービス（Vdosなど）を提供する企業の作成の両方の観点から、ブラックハッカーの専門性を分析しました。



昨年、この「産業」は10億米ドルの収益レベルに達しました。

四半期の様子

暗号作成者



暗号化者の攻撃は依然として増加しています。この傾向は、被害者が身代金を支払う限り続きます。 2016年には、暗号作成を専門とするサイバー犯罪者のグループが10億ドルを稼いだと推定されています。 この問題は世界中で関連しているため、多くの国では、これらのタイプの犯罪とより効果的に戦うために法律が改善されています。 たとえば、カリフォルニアではランサムウェアを導入することは犯罪と見なされます。



ただし、継続的な攻撃や新しい暗号化ファミリの作成を制限するには、新しい法律では不十分です。 これらの家族の1つ（ Spora ）は、今年の初めに、主にロシアで広がり始めました。



企業に対する攻撃の頻度は増え続けています。 非常によく知られている暗号化ファミリ（Locky、Cerberなど）に加えて、現在、被害者に合わせたよりパーソナライズされたタイプの攻撃があります。 そのうちの1つは、第1四半期にPandaLabs研究所で発見されました：独自のインターフェイス（ WYSIWYE ）を備えた暗号化機能により、攻撃者はコンテンツが暗号化されるさまざまなフォルダーと、ネットワーク上の攻撃されたコンピューターを選択し、自動削除機能をアクティブにし、被害者が連絡するメールアドレスを指定できます身代金の支払いなど：







企業ネットワークに侵入する最も一般的で比較的単純な方法の1つは、RDPプロトコル（Windowsのリモートデスクトップ接続）を使用したブルートフォース攻撃です。 攻撃者はこの機能が有効になっているコンピューターをインターネットで検索し、潜在的な被害者を見つけた後、資格情報を取得するまでブルートフォース攻撃を開始します。 システムに入ると、彼らは好きなように完全に自由になります。



2017年の第1四半期に、ロシアのハッカーによる攻撃の十分な事例を見ました。 それらはすべて同様のパターンを持っています：RDPを介してPCにアクセスした後、追加の収入を生み出すためにビットコインをマイニングするためのソフトウェアをインストールし、ファイルを暗号化するか、PCへのアクセスをブロックします。 さらに、マルウェアを常に使用しているわけではありません。たとえば、分析したケースの1つでは、商用アプリケーション「Desktop Lock Express 2」を使用してコンピューターをロックしていました。







また、Popcorn Timeとして知られる特にcな暗号作成者も目撃しました。 その目新しさは、ひどい流通方法にあります。 被害者はサイバー犯罪者と協力して新しいユーザーに感染することを余儀なくされています。 暗号化されたファイルへのアクセスを復元するために1ビットコイン（約800ユーロ）を支払う要件に加えて、被害者が無料で復旧できる可能性を提供します。

彼の連絡先に配布します。



暗号化ランサムウェア攻撃の直接の結果は明らかです。ファイルへのアクセスを失います。 ただし、オーストリアのホテルの顧客が確認したように、これをはるかに超えるケースがあります。 サイバー犯罪者はホテルのすべての電子キーリーダーをリモートでブロックすることができたため、ゲストは客室に入室できませんでした。 これは、シーズンの最初の週に180人の顧客に発生しました。

ホテル経営者は、システムの制御を取り戻すために、1,500ユーロの身代金を支払うことにしました。



サイバー犯罪



サイバー犯罪はますます専門的になっています。つまり、マルウェアやエクスプロイトの作成、それらの配布、情報の盗難、マネーロンダリングなど、さまざまな作業に特化したグループが存在することを意味します。この好例は、PandaLabsラボで発見されたRDPatcher攻撃です。 その目的は、被害者のPCをシャドウインターネットで「レンタル」できるようにすることです。 ハッカーはPCに侵入した後、完全なプロファイルを作成し、ハードウェア、インストールされたソフトウェア、セキュリティソリューション、接続速度、訪問サイトなどのすべての種類のデータを収集しました。これらすべては、闇市場で販売およびボットネットへの接続のためにレイアウトされます。



サイバー犯罪者の創意工夫に終わりはないようです。 PandaLabsによって発見された1つのケースでは、ハッカーが「グッドウェア」を使用して攻撃を実行することで検出を逃れる方法を見ました。 コンピューターシステムに入った後、彼らはスティッキーキー機能を使用してバックドアを離れたため、システムに入るのにマルウェアは必要ありませんでした。



DDos攻撃にも言及する価値があります。 2016年の後半には、このタイプの注目を集める攻撃がいくつかありました。この四半期には、このような攻撃がさらに多く見られましたが、本質的にはそれほど残酷ではありませんでした。 たとえば、年の初めに、ロイズの顧客はDDoS攻撃の結果としてアカウントにアクセスする際に問題が発生しました。 1月、イタリアの警察は、政府機関、プロのスタジオ、起業家、政治家をハッキングするために2人の親relativeによって作成されたアイピラミッドと呼ばれるサイバースパイのグループを解散しました。 彼らはウイルスをPCにインストールすることで被害者の機密情報にアクセスし、国家および地方自治体のセキュリティシステムの財務データとパラメーターの盗難を実行しました。



被害者の中には、イタリアのマテオ・レンツィ首相とマリオ・モンティ欧州中央銀行マリオ・ドラギ総裁、ならびに地域の指導者、経済学者、ビジネスマン、警察長官がいました。



ソーシャルネットワークでのアカウントのハッキングは一般的になっています。 第1四半期で最も顕著なケースの1つは、ニューヨークタイムズの公式Twitterアカウントがハッキングされた1月に発生しました。 コントロールが復元されると、ハッカーが投稿した投稿を削除しました。







ハッキングされたアカウントに投稿されたツイートの1つの例。 ロシアは米国に対して攻撃を開始しようとしていると述べています。







このグループのハッカーは、NetflixやMarvelなどの他社のアカウントをハッキングすることで知られています。







データの盗難もここ数か月で特別な場所を占めています。 ハローキティを所有するサンリオは、名前、姓、生年月日、パスワード回復のセキュリティ問題などの情報を含む、330万人の顧客の個人データから盗まれました。



イスラエルの企業Cellebriteは電話のハッキング（またはむしろ情報の抽出）を促進したため、皮肉なケースを分析しましたが、私たちは900GBの顧客データ、データベース、会社の製品に関する技術情報のハッキングと盗難に苦しみました。



Appleでさえ、今年初めにサイバー攻撃の標的になりました。 サイバー犯罪者のグループ「トルコ犯罪ファミリー」が会社を脅迫し、身代金を要求し、2億5千万人のユーザーのiPhone、iPad、およびMacデバイスからデータをリモートで消去することを約束しました。 このグループは、有効なユーザー資格情報があると述べましたが、Appleはハッキングされたことを否定し、このデータはサードパーティのサイトから、またはパスワードの再利用の結果として取得できることを示唆しました。 もちろん、テクノロジーの巨人は恐blackの試みに屈しませんでした。







モバイル機器



モバイルデバイス用に作成された新しいマルウェアの数は、PC用に作成されたものよりもはるかに少ないですが、傾向はほぼ同じです。



たとえば、ランサムウェアはモバイルデバイスへの移植性が高く、攻撃者に優れた結果を保証する技術です。 「Charger」と呼ばれる新しいAndroidの脅威は、端末をブロックする前に連絡先とSMSメッセージを盗み、必要な身代金（0.2ビットコイン）が支払われないと30分ごとに闇市場で情報の一部を販売すると脅します。



モノのインターネット（IoT）



しばらくの間、多くの建物には電力消費を記録するためのスマートメーターが装備されていました。 電気料金に対するこうしたメーターの影響の可能性（一部の消費者団体は既に詐欺の可能性をすでに報告している）とは別に、それらの普及は他のあまり知られていないセキュリティリスクを伴う可能性があります。



研究者のネタネル・ルービンがドイツのハンブルクで開催された前回のカオス通信会議で説明したように、スマートメーターは一部の地域では危険です。 まず、家庭やオフィスでの電力消費に関するすべてのデータが記録され、電気会社に送信されるため、デバイスを制御するハッカーは情報を表示して悪意のある目的に使用できます。

たとえば、強盗が家やオフィスが空いている時間を知ることは非常に便利です。 また、部屋にどのデバイスが入っているかをリモートで見つけることもできます。 各電子機器は、電力網に独自の「指紋」を残します。



もう1つの一般的なデバイスはスマートテレビです。 彼らの一部は、オペレーティングシステムとしてAndroidを使用しています。Androidには、その利点に加えて欠点があります。これは、家族のテレビが攻撃の犠牲者であることをTwitterに投稿したアメリカ人プログラマーDarren Coughtonによって示されました。 Coughtonによると、それはすべて、家族の誰かが（明らかにサードパーティのサイトから）インターネットで映画を見るためのアプリケーションをインストールした後に起こりました。



彼のLG TVは2014年に制作され、スマートTV用のAndroidの特別バージョンであるGoogle TVで働いていました。 テレビが感染した後、マルウェアは画面ロック解除コードに500ドルを必要としました。 この要件は、米国司法省からの通知の形式でした。







ただし、今後何が起こるかを示すはるかに危険な攻撃があります。 2月、欧州放送連合のサイバーセキュリティセミナーで、セキュリティコンサルタントのRafael Schieleによってエクスプロイトが作成されました。これにより、DTT信号を介して攻撃を送信することで、物理的なアクセスなしでスマートTVを制御できるようになりました。



ロボットとパーソナルアシスタント



第4次産業革命が進行中です。 最近の世界経済フォーラムのレポートは、今日の統計と2020年の予測を提供しました。 そのため、この期間中に先進国では、710万人の雇用が閉鎖され、210万人の雇用が創出されます。 つまり、500万のジョブが失われます。



経済協力開発機構（OECD）による別の最近の報告書では、スペイン、オーストリア、ドイツがロボット革命に最大の影響を与える国として特定されました。 特に、これらの国では労働者の12％がロボットに置き換えられ、他のOECD諸国では平均交換率は9％になります。







これらのデータに基づいて、欧州議会は、ロボット、市民、企業間の関係を規制するための一連の規則を開発しました。



提案された法律は現在、欧州委員会で議論されており、欧州委員会は、社会へのロボットの導入の境界に関する最終決定を下します。 目標は、これにより起こりうる否定的な結果を最小限に抑えることです。



2月、Google Homeの仮想アシスタントは、スーパーボウルの広告（米国ナショナルフットボールリーグの最終試合）の声が魔法の言葉「OK、グーグル」を言ったので、全米で突然作動しました。 音声コマンドを辛抱強く待っている人々の会話を聞くことができるGoogle Homeの機能は、盗聴に理想的なデバイスであることがわかりました。 これらの仮想アシスタントスキルは、オーディオファイルを保存する機能と組み合わせて、犯罪捜査にも使用できます。 たとえば、アメリカのある町の警察は、AmazonにAmazon Echoからのデータへのアクセスをリクエストしました。 彼は犯罪の調査に役立つ情報を保存できます。



サイバー戦争



これまで以上に、サイバー攻撃と政治が絡み合っています。 昨年の米国での選挙の結果、私たちはロシアに対する膨大な数の告発を目撃しています。 彼のポストを離れる前に、バラク・オバマは、ドナルド・トランプを支持してヒラリー・クリントンの選挙キャンペーンに損害を与えたサイバー攻撃を行ったロシア人を非難した。 その結果、35人のロシアの外交官が米国から追放された。



この話全体が世界の他の国々に影響を与えています。 たとえば、フランスでは、サイバー攻撃のリスクが非常に高いため、海外に住む市民の電子投票を拒否しました。 オランダはさらに進んで、選挙後の夜に投票を手動で数え、結果を電話で報告して、起こりうるサイバー攻撃のリスクを回避すると発表しました。 この声明は、セキュリティ専門家が投票所の潜在的なソフトウェアの脆弱性について警告した後に出されました。



2月、オランダはNATOに提案を送り、増大するサイバー攻撃の脅威に対処するための国際的なサイバー防衛同盟を創設しました。 この同盟には、防衛、法執行、攻撃への対応のためのすべての機能が必要です。



3月、ドイツのアンゲラメルケル首相は、ドイツのインフラストラクチャをサイバー攻撃から保護することがセキュリティ上の最優先事項の1つであると述べました。 その後すぐに、ドイツ軍がオンライン防御を強化するために独自のサイバーコマンドセンターを設立したことが判明しました。 新しいセンターには260人の従業員がいますが、理論的にはこの数は2021年までに14,500人に増加します。



しかし、サイバー戦争とサイバースパイの世界のすべての出来事の中で、一つのことを選び出さなければならないなら、それはCIA / Wikileaksの場合でしょう。 3月7日、ウィキリークスは、CIAがスマートフォン、コンピューター、さらにはスマートテレビをクラックするために使用するツールの技術的な詳細と説明を含む「Vault 7」と呼ばれる一連のドキュメントの公開を開始しました。



ウィキリークスは、ウェブサイトのいずれかのセクションにドキュメントを公開し続けています。 膨大な数のツールとテクニックに影響します。 これらの文書は、CIAが自由に使えるサイバースパイツールの膨大な武器を持っていることを疑いの余地なく残しており、したがってほとんど誰でもスパイすることができます。 また、CIAがこれらの資金に対する完全なコントロールを失ったことも事実です。



幸いなことに、この知識を使用して、この種の攻撃に対する防御を強化できます。 悪いニュース：他の攻撃者は、一般市民のプライバシーを侵害するためにCIAによって開発された戦術を研究することにより、公開された情報を悪意のある目的で利用できます。

おわりに

ウィキリークスは引き続きVault 7に関する情報を公開し、次のレポートで新しい「発見」を分析できるようにします。



モノのインターネットの進化に目を光らせてください。 これらのデバイスは、安全性の観点から貧弱です。



暗号化者の攻撃は、その数の点で引き続きリードしています。この傾向は、身代金を支払おうとする犠牲者のかなりの割合が存在する限り続き、法執行機関はビットコインとの金融取引を追跡できません。



引き続き企業への攻撃を監視し、サイバー犯罪者が企業ネットワークに侵入して情報を盗み、セキュリティシステムに気付かれないようにするために合法かつ悪意のないソフトウェアツールをますます使用しています（そして悪用している）。