マルウェアの感染経路はSMTPからHTTPに--F-Secureが第1四半期レポート

　日本エフ・セキュアは4月4日、米F-Secureの2008年第1四半期データセキュリティ総括を発表した。新種のマルウェアは増えていないものの、同社のセキュリティ研究所にはマルウェアのサンプルが毎日平均2万5000件届いている。この傾向が続くと、ウイルスとトロイの木馬の総数は2008年末までに100万の大台を突破するという。

　現在は以前より多くのウイルスが作成されているが、実際に報告されるケースは減っている。これは、マルウェア作成者がウイルスの感染経路を変更したためだという。1〜2年前までは、爆発的に流行したBagle、Mydoom、Warezovなどを含む大半のマルウェアはメールに添付されていた。しかし、現在ではメールに添付した実行ファイル（.exe）はフィルタで除去されるため、このような攻撃方法は沈静化している。

　メールに添付する方法に代わり、ユーザーをウェブサイトに誘導してマルウェアをダウンロードさせる方法が主流になっている。いずれのケースでもスパムメールが利用されるが、最近では実行ファイルを添付せずに、偽のウェブサイトへ誘導するリンクが本文に張られている。マルウェアの感染経路は、このようにSMTPからHTTPに変わっている。

　ユーザーの環境によっては、ウェブサイトを訪問しただけで自動ダウンロードによりマルウェアに感染することがある。また、マルウェアを含むウェブページ上でダウンロードリンクをクリックしてプログラムを実行した場合も、ウイルスに感染する。犯罪者がユーザーを偽のサイトに誘導する最も一般的な方法は、キャンペーンを装ってリンクをクリックするように仕向けるもの。

　また、人気のある有名なウェブサイトをハックする方法もある。これはホームページの改ざんとは異なり、フロントページは書き換えずマルウェアに感染するJavascriptのコード1行が埋め込まれているだけとなっている。この手法では、フロントページを見ただけではマルウェアの存在に気づかない。この手口は、1日に100万件のアクセスを記録する有名な雑誌サイトで発見され、ユーザーはウェブページに不正なコードが潜んでいるとは知らずに、いつも通りにアクセスして、マルウェアに感染していた。

　このように、マルウェアの感染経路がSMTPからHTTPに移行し、HTTPが悪用されるケースが増えている。企業はメールゲートウェイでブロックしたマルウェアの数でリスクを判断しており、この数は減少している。しかし、リスクが実際に減少しているわけでない。個人ユーザーと企業は、ウェブトラフィックを確実にスキャンして、FTPトラフィックにもフィルタを適用すべきとしている。マルウェアの感染経路がSMTPからHTTPに移行しているため、FTPリンクを悪用した犯罪も今後は増えると予想している。

　レポートではこのほか、高度なルートキットが登場したことや身代金を要求するトロイの木馬が登場したこと、携帯電話を狙うマルウェアが増加したことなどを取り上げている。