マルウェアワールドカップ

ワールドカップ。4年に1度世界32ヶ国が競い合うサッカーの祭典です。一方、サイバー空間では毎日全世界で闘いが繰り広げられています。

F-Secureは攻撃者を呼び寄せるハニーポットサーバーの国際ネットワークを展開しており、最新のサイバー脅威を追跡しています。こうしたハニーポットを1年以上運用した結果として、私たちの調査チームは次のような見解を出しました。いくつかの国が「サイバーオフェンス」であると見られ、それ故にどの国も強いディフェンダーを必要としています。

そこで、フランスとクロアチアのどちらがワールドカップを制するかを見届ける前に[1]、マルウェアワールドカップの覇者となるのはどの国かを調査することにしました。
そしてその結果は、F-Secureの研究員にとっても意外なものとなりました。

The World Cup of Malware 2018

まずは2017年の終わりの様子を見てみましょう。

2017年中頃からこの時点にかけては、上位国がほとんど変わっていませんでした。
さて、どの国が順位を更新し、どの国の順位が下がるでしょうか？
グローバルハニーポットネットワークがあれば、あれこれと予想を繰り広げる必要もありません。
今週のデータに基づいて、早速2018年マルウェアワールドカップの「勝者」を見てみましょう。

実際のワールドカップには、アメリカは出場できませんでした。しかしマルウェアワールドカップにおいては、アメリカを発信元とする攻撃が1位に輝きました。その後にはオランダ、フランス、イラン、イタリア、そして前回第1シードだったロシアが続いています。

開催国であるロシアがワールドカップ準々決勝で敗北したことは驚くべき展開でした。しかし、マルウェアワールドカップで6位まで一気に落ちたことはそれ以上に意外な結果でした。

国籍と所属国

国籍という視点においては、マルウェアとワールドカップの選手には似ている点があります。

ティエリ・アンリはフランスで記録的な成績を残したプレイヤーでしたが、現在はベルギーのコーチを務めています。サッカー選手が生まれ故郷でプレイしなくても構わないことと同様、サイバー攻撃を実施した本人が攻撃元と見られる国にいるとは限りません。
VPNやTor、更に端末やインフラへの侵入など、攻撃者は様々なプロキシで自らの攻撃を秘匿することができるのです。

ハニーポットの活躍

ハニーポットから得られる情報は限られていますが、攻撃者や自己増殖ボットネットなどがどのように標的を見つけるかといったような、高次な動作の傾向を突き止める優れたデータをもたらしてくれます。

F-Secureのサイバーセキュリティ製品のR&D担当部門部長のLeszek Tasiemskiによると、最も検出されたマルウェアは、史上最大規模のDoS攻撃を実行したことで知られるMiraiの亜種に分類されます。Miraiによる攻撃は2016年に発生しましたが、このデータからはMiraiが依然として活発に活動していることが分かります。つまり、カメラやルーターのようなIoTデバイスはこれからも標的となり得るのです。

私たちのハニーポットが最も攻撃を捕捉した国々は、オーストリア、米国、英国、ウクライナ、ドイツでした。Leszekは、世界各地がワールドカップを通じて団結したように、マルウェアもまた私たちが団結する要因になると指摘しています。

どの国のハニーポットもマルウェアのサンプルを数多く獲得しています。そしてこの状況は、残念ながら次期ワールドカップが開催される2022年になっても変わってはいないでしょう。