第2四半期に記録された攻撃デバイスの数が40％増加

情報セキュリティに関しては、2017年の第2四半期は史上最悪の1つでした。 誇張せずに、5月のWannaCry攻撃と6月のGoldenEye / Petya攻撃は他の追随を許しませんでした。 世界のほぼすべての国と非常に多くの企業がそれらに苦しんでおり、その多くはまだシステムを復元しています。 さまざまな推定によると、これらの攻撃による被害の合計は10億から40億ドルの範囲でした。



これらの攻撃は、サイバー戦争およびそれらと戦うためのさまざまな国の努力と密接に関連しています。 両方の攻撃は、NSAによって発見された脆弱性を利用しました。NSAは、4月に公開されたShadow Brokersと呼ばれるハッカーのグループによって盗まれました。 多くの専門家によると、ゴールデンアイ/ペティア攻撃は、朝鮮民主主義人民共和国を憲法記念日の前日にウクライナの企業や機関の活動を混乱させることを目的としたものである一方で、北朝鮮をWannaCry攻撃の原因とするいくつかの証拠があり、この攻撃はロシアでした。



しかし、グローバルなサイバー戦争がすでに進行中であると公式に言うことはできませんが、何らかの形で、WannaCryやPetyaのような攻撃は私たち一人一人に影響を及ぼします。 これらの2つの注目すべき攻撃に関するノイズの中で、他の攻撃は注意を払うことなく静かに通過します。 しかし、これらは単なる深刻な攻撃ではなく、おそらくさらに危険な事件です。 フランスやアメリカなどの国々での選挙に影響を与えようとする大胆な試みは、政治的見解が攻撃者の目標と一致する候補者に有利なサイバースパイ戦術を使用して行われます（米国のトランプやフランスのルペンの場合）サイバースペースで発生し、世界の出来事に大きな影響を与える可能性のある隠れた戦争の例。



一方、一般市民は毎日多数のサイバー犯罪に直面しており、その結果、攻撃者は犠牲者を犠牲にして莫大な利益を上げています。

数字の四分の一

私たちのレポートでは、セキュリティソリューションの他の開発者が公開したレポートと同様に、悪意のあるプログラムに関する同様の統計情報を常に提供しています：レポート期間に出現した新しい脅威の数、脅威の種類など。 これらの数字は興味深いものであり、ニュースの明るい見出しになる可能性がありますが、今年はPandaLabsでさらに進んで、新しい意味を持ち、真の価値があるデータを表示することにしました。



以下に示す統計を計算するために、シグニチャによって検出されたすべての脅威を考慮しないことにしました（その数は数億に達する可能性があります）。 これはよく知られているマルウェアであり、基本的なウイルス対策ソフトウェアを使用している各ユーザーは、このマルウェアからほぼ保護されています。 一方、以前は未知だった脅威を検出できるヒューリスティック検出を含めないことも決定しました。



これは、プロのハッカーがウイルス対策の最小限のテストを実施して、「作成」が気付かれないかどうかを確認するためです。これらのウイルス対策には署名およびヒューリスティック検出が含まれます。 言い換えれば、ユーザーが常に保護され、感染の本当のリスクがなかったかのように、これらの数値を落とすことができます。



シグネチャとヒューリスティックによって検出されない新しい脅威に関するデータのみを考慮します：悪意のある攻撃、ファイルレス攻撃、および合法的なシステムツールを使用して実行されるその他の攻撃。 6月のペティア。



しかし、検出できないものをどのように測定しますか？



実際には、以前に署名やヒューリスティックに見られたことがない場合でも、実際にそのような攻撃を検出して阻止することができます。 これを行うために、「コンテキストインテリジェンス」と呼ばれる独自のテクノロジーセットを使用して、悪意のある動作を検出し、既知および未知の脅威に対する改善されたサイバー防御メカニズムを作成します。



このレベルのContextual Intelligenceは、実際の攻撃をシミュレートするテストで優れた検出レベルを達成するのに役立ちました。 2017年前半のAV-Comparativesテストで、Panda SecurityはReal-World Protection Testで最高の結果を示し、Panda Free Antivirusで最高の「Advance +」賞を受賞しました。これは、当社の情報セキュリティソリューション製品の中で最もシンプルなソリューションです。



次に、取得した攻撃データを分析しました。 Panda Securityソリューションによって保護されたすべてのマシンのうち、3.44％が未知の脅威に攻撃されました 。 これは、前四半期よりもほぼ40％高くなっています。 クライアントのタイプを見ると、ホームユーザーと中小企業ではそのようなマシンが約3.81％でしたが、中大企業では約2.28％でした。



ホームユーザーは保護がはるかに少ないため、攻撃に対してより脆弱になります。 自宅で正常に実装された攻撃の多くは、影響を与える前に企業ネットワークで簡単に防止されました。

企業クライアントの中には、従来のソリューションを使用する人と、ウイルス対策の限界をはるかに超え、追加機能、保護レベルの大幅な拡大、脅威の分類、リアルタイムのEDRソリューション（ Adaptive Defense ）を選択する人がいますサーバーおよびワークステーションで実行されているすべてのプロセスの監視、および専門家による分析などを提供します。その結果、Adaptive Defense EDRソリューションのすべての保護レベルを克服できる攻撃の数ははるかに少なくなります。 唯一の伝統的なセキュリティ技術に量をsponding。



従来のソリューションで保護されたデバイスの2.67％が未知の脅威に遭遇しましたが、 Adaptive Defenseで保護されたデバイスの1.21％のみが長期にわたって高いレベルの攻撃防御を示しています。



これらの攻撃は地理的にどのように分散されていますか？ 各国で攻撃された車の割合を計算しました。 割合が高いほど、それぞれの国で未知の脅威を使用して攻撃される可能性が高くなります。



























この四半期は、2つの主要な攻撃によって明確にマークされました。 5月に最初のWannaCry攻撃が発生し、地球の隅々にあるすべての企業ネットワークに急襲されました。

WannaCryは、史上最大の攻撃の1つです。 過去に被害者の数や配布速度が高い攻撃（たとえば、BlasterやSQL Slammer）がありましたが、それらの攻撃による被害は急速な広がりの影にとどまりました。 WannaCryの場合、ワーム機能を備えた暗号化装置について話しています。つまり、感染したすべてのネットワークが暗号化を回避できなかったことを意味します。 被害を受けたコンピューターの数は23万台を超えており、被害額は10億から40億米ドルです。 平均的な被害額は、各コンピューターで4 300ドルから17000ドルを超えていました。 したがって、これは史上最も破壊的な攻撃であると自信を持って言えます。



何が起こったかの詳細な分析と必要な推奨事項については 、PandaLabsテクニカルディレクターのルイスコロンズが実施したWannaCry攻撃に関するウェビナーをご覧ください。



今四半期の2番目の主要な攻撃は、WannaCry地震後の一種の残留衝撃であるGoldenEye / Petyaです。 しかし、彼の犠牲者のほとんどは特定の地域（特にウクライナ）に集中していたという事実にもかかわらず、世界60か国以上の企業が被害を受けました。



ウクライナで非常に人気のあるMeDocと呼ばれる会計ソフトウェアを使用して、慎重に計画された攻撃が実行されました。 攻撃者がこのプログラムの更新サーバーをクラックしたため、MeDocプログラムがインストールされたコンピューターは、更新プログラムのインストール時に自動的に感染する可能性がありました。



この攻撃は複雑で非常に危険でした。 ここでは、暗号化されたファイルだけでなく、接続ユーザーが管理者権限を持っている場合のメインブートエリアもあります。 最初はWannaCryと同じランサムウェアのように見えましたが、この脅威を徹底的に分析した結果、攻撃者は暗号化されたデータの回復を許可するつもりはないことがわかりました。



GoldenEye / Petyaの場合、ウクライナの企業や機関のコンピューターの動作を妨害するように設計された標的型攻撃に直面していることは明らかです。 しかし、大量破壊兵器の場合のように、付随的な損害は避けられません。 GoldenEye / Petyaが企業ネットワークに侵入した後、広範な効果的な技術を使用して配信されます。 ウクライナにオフィスを持つ外国企業も感染しています。



攻撃の数日後、ウクライナ政府はロシアが攻撃を行ったとして公然と非難した。



ここで見ることができるプレゼンテーションでは、PandaLabsはこの攻撃とその作者のキーポイントを分析しました。



暗号作成者



WannaCryとGoldenEye / Petyaは世間の注目をすべてそらしましたが、他にも多くの暗号作成者がいました。 NayanaのWebホスティングは韓国で攻撃され、そこでは153のLinuxサーバーでランサムウェアがデータを暗号化しました。



攻撃者は、162万ドルの身代金を要求しました。 会社は犯罪者と交渉中で、この数字を100万ドルに減らし、3回の支払いで支払いました。



サイバー戦争



2017年の2つの主要な攻撃により、特定の国の政府が背後にいる可能性があるという疑念が生じました（WannaCryの場合はDPRK、GoldenEye / Petyaの場合はロシア）。 しかし、これらは、サイバースペースで行われる多かれ少なかれ不思議な戦争の海の2つの例にすぎません。



このサイバー戦争ゲームの主なプレーヤーは通常の容疑者です：米国、ロシア、北朝鮮...しかし、中国が過去数ヶ月でこのリストから何らかの形で脱落したことは驚くべきことです。 彼はこれらすべてのスキャンダルに関与していませんでした。 これについての唯一の説明は、2015年に米国と中国の間で署名されたサイバーセキュリティ契約ですが、まだ特定されていない攻撃を続ける可能性があります。



米国は、米国の企業や機関に対する攻撃を明らかに懸念しています。 国土安全保障省（DHS）のサイバー部門の事務局長であるサミュエルリルズは、米国上院Intelligence報委員会の前で、21を超える州の大統領選挙に関連するロシア政府の標的システムによってサポートされるハッカー攻撃を証言しました。



米国議会Intelligence報委員会は、2016年の大統領選挙に対するロシアの海外攻撃の影響を議論するために聴聞会を開催しました。 オバマ政権の元国土安全保障長官であるジェー・ジョンソンは、ロシアのプーチン大統領が米国大統領選挙の結果に影響を与える攻撃を命じたことを想起した。 また、これらの攻撃を使用して、ハッカーは選挙結果を改ざんすることはできないと主張しました。



6月、米国政府は2009年以降に行われた一連のサイバー攻撃について北朝鮮政府を非難し、将来新しい攻撃が行われる可能性があることを警告する警告を発行しました。 国土安全保障省とFBIからの警告は、「隠れたコブラ」ハッカーのグループに関連しており、とりわけ、メディア、航空宇宙、金融産業、および米国および世界の他の国々の重要なインフラストラクチャを攻撃しました。









「Hidden Cobra」という名前はあまり知られていませんが、このグループは「Lazarus Group」としても知られ、2014年のソニーのハッキングなどの攻撃に関連付けられています。

Hidden Cobra / Lazarus Groupの活動に関するすべてのデータと証拠を分析することで、WannaCry自体に直接アクセスし、途中でバングラデシュの中央銀行に対する攻撃など、金融機関の攻撃を止めることができます。



6月にワシントンで開催されたGartner Security＆Risk Managementサミットで、元CIAディレクターのJohn Brennanは、ロシア政府とYahooアカウントを盗んだサイバー犯罪者との同盟関係は氷山の一角にすぎないと述べました。将来の政府のサイバー攻撃はこの公式を使用し、より頻繁になります。



同じスピーチの中で、彼はロシアの特別サービスは実際には法律によって規制されていないが、米国ではその反対が真実であると述べた。 誰かがこれらの文を奇妙だと思うかもしれません （WikiLeaksのおかげで）誰もが長年にわたってCIAが自宅、企業、公共のWi-Fiネットワークのルーターをクラックして、秘密の監視を行ってきたことを知っています。



前回のレポートでは、サイバー攻撃のリスクが「非常に高い」ため、フランスが海外に住む市民に電子投票方法を使用することを拒否した方法について話しました。 少なくとも1回のサイバー攻撃があり、選挙のわずか数日前に個人情報が公開され、エマニュエルマクロンはハッキングされたというプレスリリースをすぐに配布しました。



最近の研究では、ロシア政府によってサポートされていると思われるファンシーベアグループにハックをリンクしています。



Financial Timesによると、英国議会のメンバーは、ブルートフォース方式を使用してメールアカウントをハッキングしようとしました。 外国勢力が後援するハッカーもこの攻撃の疑いがあります。

このトリックと国際紛争の旋風は、テクノロジー企業に影響を与えています。 ロシアのFSBは、可能性のあるバックドアをチェックするために、CISCO、SAP、IBMにセキュリティソリューションのソースコードを要求しました。 数日後、米国政府は、ロシア政府およびFSBに近接しているため、すべての連邦部門がカスペルスキーのソリューションを使用することを禁止しました。



サイバー犯罪



IC3（ インターネット犯罪苦情センター、米国FBIを参照）が公開した2016年のインターネット犯罪レポートによると、サイバー犯罪による損失は24％増加し、13億ドルを超えました。



この数値は、IC3で報告された損傷のみを考慮に入れていることに留意する必要があります。 これは、2016年に米国でのみ、合計の損害額が約90億米ドルになる可能性があることを意味します。









最も人気のあるエクスプロイトは、ゼロデイ攻撃を起動するために使用されます。ゼロデイ攻撃は、ソフトウェアの製造元には定義されておらず、ソフトウェアが更新されてもハッカーがコンピューターをクラックできるようにします。 4月に、Microsoft Wordのさまざまなバージョンに影響を与える脆弱性が発見され、少なくとも1月からハッカーによって使用されていることがわかりました。 同じ4月に、MicrosoftはOfficeユーザーを保護するための更新プログラムを公開しました。



ニューヨークのブロンクスレバノン病院センターでのセキュリティ違反の結果、少なくとも7,000人の患者の医療記録が侵害されました。



攻撃者が直接関与しなかった他のセキュリティインシデントがありました。 これらの場合、技術的なエラーの結果として、または単に過失によって、実際に、真剣に保護されるべきデータは、それらにアクセスしたいすべての人が利用できるようになりました。 これは自動車協会（AA）で発生し、4月に13 GBのデータが数日間「オープン」になり、その中にクレジットカード情報に関連する100,000を超える電子メールアドレスが見つかりました。



同様のケースが米国でさらに高いレベルで発生しました。 米国共和党が採用したマーケティングキャンペーンにより、1億9800万人の有権者（米国では2億人を超える有権者）のデータが公開されています。 このデータは数日間利用可能でしたが、名前、生年月日、住所など、各有権者に関する詳細情報が含まれていました。



中国では、Appleの顧客データの違法取引により22人が逮捕されました。 一部の被拘禁者はAppleと下請け会社で働いており、その後販売されたデータにアクセスできたため、すべての兆候はインサイダーを指し示しています。



InterContinental Hotels Group（IHG）は、顧客に影響を与えるデータ盗難の犠牲になったと述べました。 2月に、同社は約10のホテルが攻撃の影響を受けたと報告しましたが、現在では1000を超える施設でPOS端末の感染について既に知られています。 声明の中で、同社は2016年9月29日から12月29日までに支払われたカードに関する問題を確認した。 同社はまた、12月29日以降は支払い情報への不正アクセスに関する情報を持っていないと説明したが、2017年3月までマルウェアの完全な除去の確認はなかった。 この企業グループが所有するさまざまな影響を受けたホテルチェーンには、Holiday Inn、Holiday Inn Express、InterContinental、Kimpton Hotels、Crowne Plazaがありました。

OneLoginサービスは、ユーザーにクラウド内のすべてのプラットフォームへのシングルサインオンを提供し、より便利で安全な操作を提供しますが、皮肉にもハッキングされました。 同社はブログで攻撃を受け、ハッカーは米国のデータセンターに侵入し、データベースへのアクセスを取得し、ユーザー情報、アプリケーション、パスワードをハッカーに公開したと述べました。



モバイル機器



6月1日より、Googleは、製品で最も深刻なセキュリティ上の脆弱性（以前は検出されていなかった）を見つけた人に、より高い報酬を提供し始めました。 最初の報酬は50,000ドルから200,000ドルに増加し、2番目の報酬は30,000ドルから150,000ドルに増加しました。



Broadcom Wi-Fi HardMAC SoCチップのファームウェアの脆弱性（CVE-2017-6975）は、Wi-Fiネットワークへの再接続時に現れるため、AppleにiOSアップデート（10.3.1）のリリースを強制しました。



ただし、この脆弱性はiPhoneおよびiPadだけでなく、このセキュリティ問題を解決するために4月に新しいセキュリティアップデートを受け取った他のモバイルデバイス（たとえば、SamsungまたはGoogle Nexus）にも影響します。



モノのインターネット



相互接続された世界に住むことは非常に快適になりました。 ただし、受け取る利便性はコインの片側にすぎません。



反対側は、たとえばWannaCry攻撃などのさまざまな危険に関連しています。WannaCry攻撃は、インターネットおよびネットワークテクノロジーの高度な開発のおかげで、はるかに深刻な影響を及ぼしました。



非常に高レベルのネットワーク接続を持ち、ネットワークに接続された100万台のデバイスで構成されるスマートシティは、日常生活にテクノロジーが導入されている明確な例です。 世界中の都市はますます「スマート」になり、2020年までに500億を超えるデバイスがインターネットに接続されると予測されています。 これにより、セキュリティリスクが大幅に増加し、都市インフラ、信号機、または都市給水システムの作業に悪影響を与える可能性があります。 6月、オーストラリアのWannaCryは、下請業者が感染したコンピューターをネットワークに接続した後、信号機と監視速度にある55台のカメラに感染しました。 この事件の後、警察は8,000件の罰金をキャンセルせざるを得ませんでした。



4月7日午後11時30分、ダラス（米国、テキサス州）で156の緊急サイレンが同時に鳴りました。 当局は、緊急通知システム全体がオフラインモード（オフライン）に移行してからわずか40分後にそれらをオフにできました。 捜査官は、この事件の原因となったこの攻撃の背後に誰がいたのかをまだ知りません。



最近、新しい脆弱性が生まれ、そこからマツダ車が被害を受けました。 ただし、過去に観察した他のケースとは異なり、車のシステムをクラックするには、特定のモードでのエンジン運転中に「フラッシュドライブ」を挿入する必要があります。

おわりに

ハッカーのグループ「Shadow Brokers」は、盗まれた資料をNSAで公開し続けることを計画しており、サイバー軍の競争が激化するだけです。 この点で、ホームユーザーおよび企業ユーザーは追加のセキュリティ対策を講じる必要があります。



ホームユーザーと中小企業は、感染のリスクが最も高くなります。 未知の脅威からより危険にさらされている国には、エルサルバドル、ブラジル、バングラデシュ、ホンジュラス、ロシア、ベネズエラがあります。



WannaCryとPetyaは、世界中の政府がサイバー攻撃を開始する必要があるときに「ボタンを押す」ことを恥ずかしがらないかもしれないことを示しました。 インターネットとそれに接続されたデバイスを使用するすべての人が、最終的に世界的なサイバー戦争の犠牲者になる可能性があります。 そのため、世界のすべての州に、サイバー攻撃を仕掛ける州の能力を制限するために、ある種の国際条約（ジュネーブ条約の特定の類似物）を締結する方法を探すことを求めます。



暗号化攻撃はまだ増え続けており、これに対する唯一の説明は、被害者がまだ身代金を支払っているということです。 そうでなければ、この種の攻撃は無駄になります。 この狂気に終止符を打つことができるかどうかは、私たち全員にかかっています：一方では、被害者にならないように脅威から自分を確実に保護する必要があり、他方では、身代金を支払わなくて済むように常にデータのバックアップを保持しなければなりません。



いわゆるゼロデイ攻撃を仕掛けるための最も人気のあるエクスプロイトは、ソフトウェアメーカーにまだ知られていない脆弱性です。 インサイダー攻撃は、POSユーザーに対する攻撃と同様に、ホームユーザーおよび企業ユーザーにも大きなリスクをもたらします。









モバイルデバイスからあらゆる種類のモノのインターネットデバイスまで、インターネット接続の数が絶えず増加しているため、攻撃の数は過去に一度もなかったレベルまで大幅に増加します。



この傾向は、 数百億のデバイスが間もなくインターネットに接続され、この数は増加するだけです。

推奨事項

従来のセキュリティソリューションは、ほとんどの悪意のあるプログラムに対する保護に依然として有効ですが、無害なツールやその他の高度な技術を使用した攻撃には対処できません。

直面する脅威のレベルに適したセキュリティソリューションを使用する必要があります。 Adaptive DefenseなどのEDRソリューション（エンドポイントの検出と応答、エンドデバイスへの攻撃の検出とそれらへの応答）は、新しい脅威や複雑な攻撃から保護するために必要なすべてのツールを提供できる唯一のソリューションです。



攻撃から保護する際に最も重要なことは、必要なすべての情報が利用できることです。何が起こったか、いつ、どのように、データが盗まれたかどうかなどです。 使用するセキュリティソリューションは、このデータをすべてリアルタイムで提供する必要があります。その結果、インシデントの徹底的な分析を実行できます。 これは、個人データ保護法の遵守にとって特に重要です。

攻撃の場合のアクションプランも必要です。 遅かれ早かれ、私たち一人一人が攻撃の被害者になる可能性があるため、明確な行動で被害を大幅に最小限に抑えることができます。



世界中の多くの政府機関、民間企業、市民社会組織はすでに当社の戦略に依存しており、 Adaptive DefenseはPanda Securityの歴史の中で最も売れているセキュリティソリューションとなっています。 経済のさまざまな部門（金融、IT、武器、エネルギーなど）の大企業は、Adaptive Defenseを使用してシステムを保護しています。