機械学習を悪用したサイバー攻撃の実態とは　マルウェア解析から導かれる、2019年に備えるべき脅威

2018年に発生したサイバー攻撃と、2019年に備えるべき脅威

池上雅人氏：みなさま、おはようございます。本日は朝早くからお越しいただき、誠にありがとうございます。キヤノンマーケティングジャパンの池上と申します。マルウェアラボという名のとおり、普段はマルウェアの解析を仕事にしています。

本日は、2018年のサイバー攻撃を振り返り、今年備えるべきサイバー脅威についてお話しします。みなさまがセキュリティを考える上で、何か1つでも参考になりましたら幸いです。

本日は、次の項目についてお話しします。初めに、弊社のマルウェアラボの活動について簡単にご紹介した後、2018年のマルウェア検出統計をご紹介します。次に、2018年に発生したサイバー攻撃を振り返り、2019年に備えるべき脅威についてお話しします。最後に、そういった脅威への対策についてお話しします。

本題に入る前に、キヤノンマーケティングジャパンのマルウェアラボについて簡単にご紹介します。今年1月より、キヤノンITソリューションズのマルウェアラボを改め、キヤノンマーケティングジャパンのマルウェアラボとなりました。

ラボの役割は、大きく分けて3つあります。1つ目が研究活動です。公的機関や研究機関と連携しながら、サイバー攻撃やマルウェアの研究調査を行っています。2つ目が解析です。マルウェアの解析やアプリケーションの脆弱性調査を行っています。3つ目が情報発信活動です。研究調査や解析で得られた情報をもとにレポートや論文を公開したり、セミナーや講演活動を行ったりしています。

先日、2018年の年間マルウェアレポートを公開しました。こちらは本日お話しする内容についても触れていますので、よろしければぜひご覧ください。

日本／世界でもっとも多く検出されたマルウェアとは？

それでは、本題に入ります。まずは、2018年に流行したマルウェアを統計から振り返ってみます。統計には、ESET社のデータを使用しています。2018年に日本国内で検出されたマルウェアのうち、もっとも検出数が多かったものが、この「VBA／TrojanDownloader.Agent」と言われるマルウェアです。マルウェア検出数全体の1割以上を占めています。

こちらはどういったものかと言いますと、Microsoft Officeで利用されるVBAで作られた、ダウンローダー型のマルウェアです。ファイル形式は、ExcelファイルやWordファイルといったものが多く使われています。古くからよく見られる手法ですが、今年はその手法にいくつか変化が見られましたので、後ほど詳しくご紹介します。

第2位と第3位には、ともにWeb広告や詐欺サイトなどで使われるスクリプトがランクインしています。このようなWeb上の脅威といったものも、2018年は数多く観測されています。

もっとも多く検出された「VBA／TrojanDownloader.Agent」の検出数を、国別に見ていきます。もっとも多く検出された国は日本で、全世界の検出数のうち2割弱を占めています。この「VBA／TrojanDownloader.Agent」の拡散は、国ごとで個別に行われる傾向が多いことが確認されています。

続いて、全世界でもっとも多く検出されたマルウェアについて見ていきます。世界でもっとも多く検出されたマルウェアは、「JS／CoinMiner」です。これはJavaScript言語で書かれたコインマイナー、つまり仮想通貨をマイニングするプログラムのことです。2018年の上半期に、とくに多く検出されました。こちらのコインマイナーについても、後ほどご説明します。

こちらの「JS／CoinMiner」は、世界中で広く検出されています。日本における検出数は、他のマルウェアと同程度の分布になっています。

ここまでが、統計のお話でした。

仮想通貨の高騰が招いた3つの脅威

ここからは、2018年のサイバー攻撃について振り返ります。本日は、2018年に発生したサイバー攻撃の中から、2つのトピックを中心にご紹介します。1つ目は、仮想通貨に関連する脅威。2つ目は、マルウェア感染を狙ったばらまき型メールの脅威です。

1つ目の、仮想通貨関連の脅威です。2018年には、仮想通貨を狙った脅威が数多く登場しました。原因といたしましては、2017年末から2018年にかけて仮想通貨の価格が高騰したことが挙げられます。本日は脅威の中から、「クリプトジャッキング」「仮想通貨の盗難」「セクストーション詐欺」の3つのトピックについてお話しします。

仮想通貨に関連するもっともメジャーな脅威は、クリプトジャッキングです。クリプトジャッキングとは、他人のPCを乗っ取って不正に仮想通貨をマイニングすることです。このときに使われるプログラムが、コインマイナーです。他人のWebサイトを改ざんしてコインマイナーを設置する例が、数多く確認されました。

一例をご紹介します。初めに、攻撃者がWebサイトを改ざんして、コインマイナーを設置します。その改ざんされているWebサイトをユーザーが閲覧すると、そのサイトに滞在している間、ユーザーのPC上でマイニング……仮想通貨の採掘が行われます。マイニングの計算量に応じた報酬は、攻撃者のウォレットに支払われます。このようにして、攻撃者は利益を得ています。

先ほどの例では、マイニングの主体はWebサイトを閲覧しているユーザーでしたが、Webサーバーそのものでマイニングが行われる事例もあります。Webサーバーは一般のPCに比べると高性能なプロセッサを搭載していますので、1台あたりで採掘される仮想通貨は、こちらのほうが多くなります。

「Monero」のマイニングで、サイバー犯罪者は莫大な利益を得ている

世の中には1,600種類以上の仮想通貨があると言われていますが、このようなコインマイナーの採掘対象として人気だったのが、「Monero」と呼ばれる仮想通貨です。「Monero」が選ばれていた理由は、2つあります。1つ目は匿名性の高さ、2つ目はマイニング効率です。

1つ目は匿名性が高いというところで、ビットコインなどの他の主要な通貨では、取引の履歴を見ることができます。ところが、「Monero」は第三者が取引の履歴を見ることができません。そのため、攻撃者を追跡したり特定したりといったことは、非常に困難と言えます。

2つ目は、マイニング効率のよい通貨であることです。ビットコインなどは、専用の機材を使わなければマイニングが難しいと言われています。ところが「Monero」は、ごく普通の家庭用のPCでも採掘が可能です。

ある研究によりますと、サイバー犯罪者がマイニングによって得た「Monero」は、少なくとも63億円相当あるという結果が出ています。

「コインマイナー」と「Monero」の価格は2018年の1月ごろにピークを迎えて、徐々に減少しています。「Monero」の価格が高いうちに、多く採掘しておこうという狙いがあったのではないかと推測しています。「Monero」の価格は現在も減少していることから、「コインマイナー」による利用は収束していくのではないかと見ています。

先日、大手のマイニングサービス「Coinhive」が、サービスの終了を発表したことが話題になりました。

被害額・件数ともに右肩上がりの仮想通貨盗難

続いて、仮想通貨の盗難事例についてご紹介します。個人ユーザーに対する脅威としては、仮想通貨ウォレットの認証情報を盗むマルウェアや、別のウォレットに不正に送金するマルウェアなどがあります。このようなマルウェアはPC向けだけではなく、例えばAndroidの公式ストアの「Google Playストア」などにも公開されていることがあります。

より大規模な盗難事例としては、仮想通貨取引所へのハッキングが挙げられます。2018年の事例について、詳しく振り返ってみます。仮想通貨そのものは、非常に信頼性の高い技術でありますが、それを取り扱うハードウェアや人などにウィークポイントが存在します。

こちらは、2018年の主な仮想通貨流出事例の一覧です。1月には、被害額ベースで過去最大の流出事件（Coincheck）が発生しました。被害額は580億円相当に上っています。こちらは、ウォレットの管理方法に不備があったものが原因と言われています。その後も、国内外で数多くの被害が発生しています。

こちらは警察庁がまとめた、仮想通貨交換業者への不正アクセスなどによる不正送信の被害額と件数のグラフです。被害額・件数ともに、右肩上がりで上昇していることがおわかりいただけるかと思います。2018年上半期の被害額の大部分を、先ほどご紹介したCoincheck社のものが占めていますが、それを除外しても過去最大となっています。今後も注意が必要です。

「弱みを握られている」と思わせるセクストーション詐欺

攻撃者が不正に仮想通貨を得るもう1つの手法として、セクストーション詐欺があります。これは「マルウェアを利用して閲覧者のプライベートな動画を撮影した」と偽り、それを削除する対価として金銭……ここでは仮想通貨を要求する詐欺のことです。海外では古くから被害事例が確認されていましたが、国内では2018年の9月頃から、特に多く観測されるようになりました。

今回観測されたセクストーション詐欺メールには、ある特徴があります。それは、本文中にユーザーのパスワードが書かれている点です。多くは、Webサービスなどから流出した本物のパスワードが書かれています。

そのため、ユーザーは「実際に弱みを握られているんじゃないか？」と信じてしまう恐れがあります。今後は氏名などの他の個人情報を組み合わせて、より信憑性の高い詐欺メールが送られてくる可能性もあります。

被害者にビットコインを支払わせるために、メールには攻撃者のビットコインアドレスが書かれています。メールの本文が少し不自然な日本語になっているのは、機械翻訳を使っているためだと推測されます。日本語だけではなく、世界各国のさまざまな言語で同様のメールが確認されています。

実際にどれくらいの被害があるのかといいますと、これはあるセクストーション詐欺メールに書かれていた、ウォレットアドレスの取引履歴を調査した図です。攻撃者は仮想通貨の流れをわかりにくくするために、多数のアドレスを使っています。これはほんの一部ですが、少なくとも当時の価格で400万円相当の仮想通貨を得ていたことがわかります。

こちらはIPAがまとめた「仮想通貨で金銭を要求するセクストーションメール」に関する相談件数のグラフです。2018年の第2四半期まではほとんど相談が寄せられていませんでしたが、第3四半期以降に相談が急増しています。こちらも、今後注意が必要です。

仮想通貨に関連する脅威のまとめです。

「コインマイナー」を使用したクリプトジャッキングは、2018年の上半期に国内外で数多く検出されました。下期以降、検出は減少傾向にあります。

また2018年には、仮想通貨の盗難が多発しました。攻撃者が不正に手に入れた仮想通貨は、別の攻撃の資金源になることが予想されますので、個人・取引業者ともに仮想通貨の厳重な管理が求められています。

また、仮想通貨を要求するセクストーション詐欺メールが多数観測されました。今後は、さらに巧妙なメールが送られてくる可能性もあります。ここまでが、仮想通貨の脅威についてのご紹介でした。

ばらまき型メール攻撃に見られる「2つの変化」

続いて、マルウェアの感染を狙ったばらまき型メールの脅威についてご説明します。

ばらまき型メールを使った攻撃は、マルウェアを使った攻撃の中でも最もオーソドックスな手法です。メールには「ダウンローダー」と呼ばれる、小さなサイズのファイルを添付します。そのダウンローダーが、バンキングマルウェアやランサムウェアといったメインのマルウェアを後からダウンロードしてくるという流れは、従来から変わりません。

2018年に観測された攻撃における特徴は、2つあります。1つ目は、ダウンローダーの形式が変化していること。2つ目は、ダウンロードの手法が変化していることです。順に見ていきます。

1つ目のポイントは、ダウンローダーの形式の変化です。このグラフは、日本国内で検出されたダウンローダーの形式の比率を示しています。2017年に多く観測されていたVBScriptやJavaScriptのダウンローダーは影を潜め、2018年にはVBAのダウンローダーが検出の過半数を占めています。

また、DOCと呼ばれる形式が登場しています。これは、VBAマクロを使用しないかたちのOfficeのマルウェアで、代表的には「iqyファイル」と呼ばれるものです。こちらは後ほどご説明します。

これが、悪意のあるVBAマクロが埋め込まれたExcel文書と、それを添付したメールの一例です。メールの件名や本文は、「請求書」や「発注書」を騙るものが多く確認されています。

こちらの図は、「VBA／TrojanDownloader.Agent」の国内件数の日別の推移のグラフです。ご覧のとおり、日によって検出数に大きく波があることがおわかりいただけると思います。これは攻撃キャンペーンが発生したときに、一度に多くメールが送信されるためです。2018年には、平均して月に2回程度の大規模な送信キャンペーンを確認しています。

画像内にデータを埋め込むステガノグラフィー

2018年に新たに使われるようになったファイル形式として、iqyファイルを悪用した事例をご紹介します。iqyファイルは、あまり皆さまになじみのない拡張子だと思いますが、MicrosoftのExcelで利用されるファイルです。

メールに添付されたiqyファイルを開くと、2回警告が出たのち、PowerShellのスクリプトがダウンロードされます。こちらは、2回とも許可しなければ実行されないという特徴がありますので、実は知ってさえいれば簡単に防ぐことができます。最終的には、バンキングマルウェアのUrsnifが実行されます。

こちらのPowerShellのダウンローダーには、感染端末のグローバルIPが日本国内の場合のみ、その後のマルウェアもダウンロードするという機能が備わっていました。このことから、特に日本を狙い撃ちした攻撃に使用されていたと見られています。

2つ目の特徴としては、ダウンロードの手法の変化です。2018年10月には、ステガノグラフィーを用いた手法を観測しました。ステガノグラフィーとは、画像の中にデータを埋め込む技術のことです。今回の例では、メールに添付されたVBAダウンローダーがダウンロードした画像の中に、プログラムコードが埋め込まれていました。画像を使うことで、アンチウイルス製品による検出の回避や、ユーザーに感染を気づかせないという狙いがあったのではないかと推測しております。

このステガノグラフィーは、従来は標的型攻撃などの高度な攻撃に使われていましたが、高精度なライブラリなどが登場して実装のハードルが下がったことで、こういった不特定多数を狙う攻撃にも使われるようになってきています。

2018年に観測された、マルウェア感染を狙ったばらまき型メールの特徴をまとめます。2018年には、VBA形式のダウンローダーが最も多く検出されました。また、iqyファイルなどの新しい形式のファイルが登場しました。こういったものに、特に注意が必要です。

ダウンロードの手法には、標的型攻撃に使われるような高度な手法が使われ始めています。

APT（高度で持続的な脅威）の発生事例

ここからは、2019年に起こりうる脅威について予測します。本日は、2019年に備えるべき脅威の2つをご紹介します。1つ目は、APTの侵入先が変化することによる脅威。2つ目は、機械学習を悪用する脅威です。

はじめに、APTについてご説明します。ご存じの方も多いと思いますが、APTとは「高度で持続的な脅威」のことです。標的に合わせてカスタマイズしたオンリーワンのマルウェアや、まだ世間に知られていないようなゼロデイ脆弱性が悪用されます。

侵入の痕跡を残さないことも大きな特徴で、被害の発覚に数年かかることもあります。複数の攻撃フェーズから念入りに攻撃を実行することも特徴で、攻撃が数年に及ぶこともあります。

攻撃の主な目的としては、機密情報の窃取や重要なシステムの破壊などが多くあります。

こちらに、近年発生したAPTの事例をまとめています。国内においては、2011年から2012年にかけて発生した重工企業・省庁に対する攻撃や、2015年の日本年金機構に対する攻撃が有名です。また、古くから活動している「APT10」と呼ばれるグループが、2018年にも日本を含む国内外のさまざまな企業に対して、サイバースパイ活動を行っております。こちらについては、2018年12月に日本の外務省から異例とも言えるコメントが発表されています。

一方、海外に目を向けると、ウクライナの送電会社が2度にわたりサイバー攻撃を受け、結果として首都のキエフで大規模な停電が起きたという事例も発生しています。

こちらは、ウクライナの送電会社でPCが攻撃者により遠隔操作されている時の、実際の映像です。この時、管制室のオペレーターは一切PCを操作していません。画面上のカーソルに注目してご覧ください。こちらで今動いているのは、すべて攻撃者による操作です。

こちらの事件は、サイバー攻撃の結果によって停電が起きるという、サイバー攻撃がサイバー空間だけではなく現実社会にも大きな影響を与えた事件として、非常に印象的です。

情報セキュリティ10大脅威の一つに選出された「サプライチェーンの悪用」

このように、これまでは標的の組織を直接狙うことが多かったAPTですが、大規模な組織で強固なセキュリティ対策が施されるようになった今、標的の組織と接点のあるセキュリティの弱い組織が最初の突破口として狙われる可能性があります。

このような組織同士のつながりのことを、製造業における流通の流れになぞらえて「サプライチェーン」と呼びます。このサプライチェーンに対する攻撃を防ぐため、取引先や委託先がどのようにセキュリティ対策を行っているかを把握する必要があります。

ところが、日本のサプライチェーン対策は、十分とは言えないのが現状です。IPAの調査によると、日本企業が委託先のセキュリティ対策状況を把握している割合は、わずか33.5%に留まっていて、アメリカやヨーロッパに大きく遅れをとっています。委託元がセキュリティポリシーを策定して、委託先にもそのポリシーに沿ったセキュリティ対策を要求することなどが必要です。

また、委託先が実施すべきセキュリティ対策を明記している企業は、わずか29.5%という調査結果もあります。分野別に見ると、情報通信業や金融業では比較的対策ができている一方、小売業や製造業では対策が疎かになっています。

このサプライチェーンを悪用した攻撃は、IPAが毎年発表している「情報セキュリティ10大脅威」の「組織の部の脅威」として、今年初めて選出されています。今後も警戒が必要です。

機械学習を用いた2つの攻撃手法

次に、2019年に備えるべきもう1つの脅威として、機械学習の悪用についてご紹介します。

攻撃側にとっても守る側にとっても、機械学習は非常に重要な技術です。マーケティングでは、「AI」という言葉がよく使われています。「AIを使った次世代セキュリティ製品」といった言葉は、みなさまも聞き馴染みがあるのではないかと思いますが、これまではどちらかというと、守る側の製品に機械学習が多く使われていました。ESETでは、20年以上前から機械学習を利用しています。

これまで機械学習を利用するためには、高価なハードウェアや高度な知識が必要でした。しかし、高性能なプロセッサやライブラリを手軽に使えるようになったため、あまりコストをかけずに最新の機械学習技術を使えるようになってきています。そのため、これからは攻撃活動においても多く使われる可能性があると予測しています。

機械学習に関連する攻撃には、大きく分けて2通りあります。1つ目は、機械学習を用いたシステムに対する攻撃。2つ目は、機械学習をそのまま攻撃に使う手法です。機械学習を用いたシステムに対する攻撃として有名なのは、「敵対的サンプル」と呼ばれるものです。

これはどういったものかといいますと、画像認識の分野ではこのパンダの写真のように目に見えないほどのわずかなノイズを画像に含ませただけで分類結果が大きく変わることが知られています。

こちらの例ですと、右側のパンダの写真は、機械学習のエンジンからはテナガザルのように見えています。マルウェアにも同様に、ほんの数バイトの細工をされただけで、マルウェアかどうかの判定結果が変わってしまうという恐れがあります。

「Emotet」による解析検出回避の事例

一方、機械学習をそのまま攻撃に使う手法として有名なものが、スパムメールの文章です。ニューラルネットワークを利用した機械翻訳システムの登場で、翻訳の精度が飛躍的に向上しています。

日本語の文章にはまだ不自然な部分もありますが、ヨーロッパ同士の言語の翻訳では、人の手で翻訳したものとほとんど変わらないほど、精度の高い文章を作ることができるようになっています。このシステムは、世界中の標的を狙う攻撃者にとって非常に有用です。

次に、機械学習を使った解析検出回避について詳しくご紹介していきます。

解析回避に機械学習を用いていると思われる事例を、1つご紹介します。Emotetと呼ばれるバンキングマルウェアがあります。海外では、非常にメジャーなバンキングマルウェアです。日本でも、2018年の11月頃からいくつか検出されております。このEmotetがPCに感染した場合、次のような挙動を行います。

はじめに、Emotetは感染した端末の情報を収集して、攻撃者のC＆Cサーバーに送信します。C＆Cサーバーは、その情報をもとに感染PCに対してコマンドを送信して、情報窃取などの活動を行います。ある時点では、解析用の環境からC&Cサーバーにアクセスしても、通常の環境と同じようにコマンドが返ってきていました。

ところが、数日後に同じような環境からC＆Cサーバーにアクセスしたところ、サーバーはコマンドを送信することなくマルウェアを終了させました。感染PCが、被害者ではなく解析環境を察知して、サーバー側の処理を変えたことが考えられます。

人の手で毎回このような処理を追加するには非常に大きなコストがかかることから、EmotetのC＆Cサーバーでは、機械学習のエンジンを使っているのではないかと推測しています。

ターゲットを厳密に識別するマルウェアが現れる……？

もう1つ、別の例をご紹介します。こちらは、2018年の国際会議でコンセプトが発表されたものです。実際のマルウェアではございません。Webカメラなどから取得したユーザーの画像や音声の情報を用いて、標的かどうかを鑑定します。

こちらは、標的を認識しない限り動作しないため、検出が非常に難しいという特徴があります。このような特定の環境でしか動作しないマルウェアは、これまでも多く存在していましたが、今後はより厳密にターゲットを識別するようなマルウェアが登場するかもしれません。

2019年に備えるべき脅威を2つご紹介しました。1つ目は、APTの侵入先が変化することによる脅威です。APTの突破口として、標的の組織とつながりのある比較的セキュリティの弱い組織が狙われる可能性があります。委託先や調達先の企業において、セキュリティ対策が十分になされているか把握する必要があります。

2つ目は、機械学習を悪用する攻撃の本格化です。機械学習は、既にいくつかの攻撃で使われています。今後、ターゲットをより厳密に識別するようなマルウェアが登場する可能性があります。

以上のように、セキュリティ上の脅威は、今後も変化・増大することが予測されています。

最新のサイバー攻撃に立ち向かう4つの防止策

最後に、本日ご紹介してきた脅威に対する備えをご紹介します。

サイバー攻撃の対策として最も重要なことは、脆弱性への対応です。脆弱性はあらゆる攻撃の糸口となります。セキュリティパッチは必ず適用するようにしてください。一昨年、WannaCryと呼ばれるランサムウェアが非常に話題になりましたが、そのWannaCryも脆弱性を悪用していました。

オフライン端末のセキュリティソフトは、自動でパターンファイルがアップデートされないため、古くなっている可能性があります。オフラインだからといっても、USBメモリなどを介して感染する恐れもありますので、定期的にアップデートするようにしてください。また、脆弱性診断製品やサービスを利用することで、システムに潜む脆弱性を見つけ出すことができます。

2つ目は、セキュリティ製品の適切な利用です。セキュリティ製品は、ただ入れるだけでは最大限の力を発揮できません。検出エンジンやパターンファイルといったものは、最新の状態に保つようにしてください。また、1つの対策に頼り切ることなく、エンドポイントとネットワークの双方で、複数の層で守ることが重要です。

3つ目は、セキュリティ教育とインシデント対応体制の構築です。よく、セキュリティ上の最大のリスクは「人」と言われます。どのような脅威が存在するかを、組織の全員が知っておく必要があります。特に、先ほどご紹介した（マルウェア感染を狙った）ばらまき型メールのような情報は、Web上に多く公開されておりますので、定期的に目を通すことをおすすめいたします。

また、インシデント発生時の対応を明確にしておくことが大切です。インシデントの報告先・報告手順などもあらかじめ決めておくことで、速やかな対応が可能になります。

4つ目は、情報の収集と共有です。国内外の脅威情報をいち早く入手して対策を打つことで、同じ攻撃者による攻撃を未然に防げる可能性があります。また、特にほかの組織との情報共有が重要です。同じ業種の企業は、同一の狙いを持った攻撃者から狙われる可能性が高いため、ISACなどの同じ分野における情報共有組織に参加することは特に効果的と言えます。

以上が、サイバー攻撃の防止もしくは被害を軽減するための対策です。

最後になりましたが、弊社ではESETのセキュリティ製品を取り扱っております。おかげさまで、日経コンピュータ顧客満足度調査で、6年連続で第1位を受賞いたしました。みなさまの日頃のご愛顧に、心より御礼申し上げます。

本日の講演は以上となります。ご清聴ありがとうございました。