今やモバイル端末は工場レベルでトロイの木馬をインストールされてしまう時代に
本日は、Webrootの「ウェブルート脅威レポート2015」の説明会に参加。
Webrootでは、自社の何百万もの顧客からの情報を自動的に収集して分析している。これはクラウドで行われており「何千人ものアナリストに依存するのではなく、高度な機械学習を使って脅威を分類している」と言うのは、Webroot Inc. シニアプロダクトマーケティングマネージャーのSteve Snyder氏。
同社が分析した脅威に関する知見は、エンドユーザーにフィードバックされるだけでなく、HPやシスコなどの大手のセキュリティサービスを行っている企業にも提供されているそうだ。こういったユーザーの情報を収集して活用するというのは、ここ最近のセキュリティ対策の流行でもある。
Webrootでは、インターネットの95%をカバーしており、43億以上のIPアドレスのモニタリングがを行っているそうだ。さらには70億ものファイルの挙動を分析し、1500万以上のモバイルアプリも監視していると。
最初はIPアドレスに関する最近の動向としては、世界中のおよそ9億のIPアドレスが、少なくとも1回は不正アクセスを行っているのだとか。月に平均で85,000個の新しいアドレスがブラックリストに追加されるそうだ。
このようにIPアドレスはダイナミックな特性を持っており、不正だったものがそうでなくなるというのを短期的に繰り返している。ちなみに一度不正と判断されたIPアドレスが不正ではないと判断するには「裁判所の判断に似通った方法を使っています。IPアドレスが何に紐付いているか、不正に結びつくものを「量刑」として判断します。量刑が終わって不正のリストから外れた後も、継続してモニターしていきます」とSnyder氏。1回だけ不正に使われて、そのあとは正当に使われるというのも数多くあるようだ。
不正なIPアドレスの30%以上が米国で、半分以上がアジアで発生している。トップ10に日本はなく現状は32位、不正IPアドレスの0.23%が日本で発生している状況だ。
URLについては現状およそ65%が信頼できるか低リスクのものだと。この結果からは、全般的にインターネットは安全な場所と言えると。けれども、URLの5%は高リスクで疑わしいのだとか。つまりこの5%のURLを踏んでしまうと痛い目に会うことに。
疑わしいURLのホスト国は、IPアドレスの状況とは異なる。米国が一番高く50%あるが、IPアドレスでは高い率だった国がURLでは下がる傾向にある。これは、リスクの高い国にいる犯罪者が、リスクの低い国でWebサイトをホスティングしているということでもある。
どのようなサイトのURLがリスクが高いかというと、ビジネス経済、社会、旅行、アダルト,ポルノ、ショッピングの順となる。いかにも怪しそうな詐欺関連やヘイト、グロテスクなどのカテゴリーはリスクは高くない。これは当然と言えば当然で、人々が信頼しそうなサイトに罠を仕掛けてくるということだ。
フィッシングサイトについては、毎月2.5%のWebrootの顧客がゼロデイ攻撃をかけるフィッシングサイトを訪問していたとのこと。これは年間に換算するとおよそ30%が攻撃に遭遇する割合となる。
モバイルアプリの脅威の動向については、2013年に信頼できるアプリは52%だったものが、2014年には約28%にまで下がってしまっている。50%が低リスクのアプリで、22%が好ましくないか悪意のあるものだ。これはAndroidの世界であり、AppleのiOSはこれよりも全般的に信頼性が高いことが分かっている。
今日の報告の中で怖いなと思ったのが、新興国では不正なアプリが工場の段階でインストールされているケースが増えているということ。これはセキュリティ対策するといったレベルでは防ぐことができない。
モバイルアプリの脅威としては、トロイの木馬が77%。これにはSMS感染が含まれている。脅威が含まれているアプリケーションの種類としては、ツールのカテゴリが多いのだとか。計算機やバッテリー管理、フラッシュライトなどで、こういったアプリはSMSや連絡先情報にアクセスする必要がないのに、そのための許可を求めてくるものがある。このあたりは、きちんとインストール時にチェックする習慣を付けるべきだろう。
今回説明のあった脅威レポートはサイトからダウンロードできるので、興味のある方は是非そちらを参照されたし。