フォーティネット ウイルス対処状況レポート (2010年9月度)

下記のランキングは、2010年8月21日～9月20日までのフォーティネットのFortiGateネットワーク セキュリティ アプライアンス とインテリジェンス システムが検知した情報をもとに作成されています。

目次：

脅威と侵入防御
脅威トップ10
新たな脆弱性の追加

マルウェアの現況
変種トップ10
地域と数量

スパムの流通
スパムの出現率と上位地域
実環境でのトップ3

Webからの脅威
脅威トラフィックおよび拡大

活動の要約

脅威と侵入防御

脅威トップ10

下記のランキングは、今月検知された攻撃のトップ10を、有効な攻撃の活動量で順位付けしたものです。有効な攻撃は、フォーティネットのFortiGuard Centerに掲載されるThreat Outbreak (最新脅威) の脅威一覧に基づいて定義されています (RSSフィードはこちらをご覧ください)。「%」は、その攻撃活動が、今月報告された日ごとの攻撃の累積総数に占める割合を示しています。また「深刻度」は、その脆弱性への攻撃に関する全般的な危険度を示しており、「注意」から「緊急」までのランクがあります。「緊急」に相当する攻撃は、太字で示されています。トップ100シフトは、前号レポートのトップ100と比較した順位の変動を示し、「new」はトップ100に初登場したマルウェアです。図1aは、今回レポートのトップ5にランクされる攻撃の、日ごとの攻撃状況を示しています。図1bは、今回レポートされたすべての攻撃活動との対比で、最も攻撃が検知された上位5地域を示しています。


順位脅威%深刻度トップ100
シフト
1MS.DCERPC.NETAPI32.Buffer.Overflow27.3緊急+1
2SMTP.Auth.Buffer.Overflow16.4緊急2
3MS.IE.Userdata.Behavior.Code.Execution16.1緊急-
4FreeType.CFF.Jailbreak.Apple.Device10.4警告new
5MS.Windows.Help.Center.Protocol.Malformed.Escape.Sequence10.3緊急-4
6FTP.USER.Command.Overflow7.7警告-1
7AWStats.Rawlog.Plugin.Logfile.Parameter.Input.Validation7.7警告-1
8Apache.Expect.Header.XSS7.3重要-1
9Sasfis.Botnet6.2警告-
10MS.Windows.LSASS.Buffer.Overflow4.4警告1

新たな脆弱性の追加

今月、FortiGuard IPSが新たに追加した脆弱性の合計は62件です。追加されたこれらの脆弱性のうち、41.9％に相当する26件については、活発な攻撃を受けたことが報告されています。

下記の図1cは、新たに追加された脆弱性について、実環境での深刻度ごとに脆弱性の数、攻撃活動量を示しています。詳しくは、下記のWebサイトに掲載された今月の詳細レポートをご覧ください。

不正侵入防御 - サービス更新履歴

マルウェアの現況

変種トップ10

下記のランキングは、変種ごとに分類したマルウェア活動トップ10を示しています。パーセンテージは、そのマルウェア変種の活動が、今月報告されたすべてのマルウェア脅威に占める割合を示しています。トップ100シフトは、前号レポートのトップ100と比較した順位の変動を示し、「new」はトップ100に初登場したマルウェアです。図2は、トップ5以内のマルウェア変種の検知量を示しています。

順位マルウェア変種%トップ100
シフト
1W32/Krypt.B!tr.dldr22.2new
2W32/Krypt.D!tr.dldr17.2new
3W32/Katusha.MK!tr9.0new
4HTML/Iframe.DN!tr.dldr5.6-2
5W32/Sasfis.FVF!tr4.2new
6W32/Agent.29C7!tr.dldr3.6new
7JS/Redirector.NAU!tr1.7new
8HTML/Iframe_CID!exploit1.5new
9W32/Agent.YB!tr1.2new
10W32/Sasfis.MA!tr1.0new

地域と数量
以下は、個別マルウェアの報告数量でランク付けした、今月の上位5地域です。個別マルウェア数量は、特定地域で検知された個別ウイルス名 (変種) 数の、マルウェア総数 (報告された全マルウェアの累積数量) に対する割合を示しています。過去6カ月間のマルウェア総数量および個別マルウェア数のトレンドが、図3a～3cに示されています。

地域別の日ごとの活動状況については、当社のウイルス世界地図をご覧ください。

スパムの流通

スパムの出現率と上位地域

以下に、今号レポート期間での全世界のスパム出現率が、日次単位で示されています。スパム出現率は、スパムと認識されたEメール累計数の、Eメール総トラフィック量に対する割合です。スパム流通の上位5地域は、地域内で受信されたスパム数の、全世界のスパム総数に対する割合からランク付けされています。統計を営業日ごとにグラフ化し、以下の図4aおよび図4bに示しています。

実環境でのトップ3

以下に、今号レポート期間に検知されたEメール脅威のトップ3を示します。ランク付けされるメールは、類似のメールおよび未承諾広告を除外し、異なるキャンペーンの特徴に応じて分類されています。これにより、スパムメールにどのような詐欺的または悪意的な意図があるかがわかります。以下の図5aから図5cの代表的なスパムメールには、最近のスパムキャンペーンで多用されているメッセージ手法が示されています。

Webからの脅威

脅威トラフィックおよび拡大

以下の表は、今号レポート期間にブロックされた脅威活動の割合を、Webのカテゴリーごとに分類したものです。活動量のパーセンテージは、4つのカテゴリー全体における各活動の割合を示しています。図6aは別の切り口で、マルウェア、スパイウェア、フィッシングに限り各脅威トラフィックを比較したものです。図6aにあるパーセンテージは、これら3つの脅威カテゴリー全体における各活動の割合を示しています。図6bは、Web脅威カテゴリーごとの活動の増減を、前月比で示しています。

Web脅威カテゴリー%
Pornography70.0
Malware28.4
Spyware2.9
Phishing0.7

活動の要約

8月末から9月にかけて、いくつかの新しい脅威が勢力を伸ばしてきました。ここで新たに取り上げた脆弱性の40%以上が悪用/攻撃を受けており (図1c)、先月から著しく増加しています。このレポートで4位に上昇したFreeType.CFF.Jailbreak.Apple.Device を除いて、トップ10攻撃リストの変動はわずかでした。脆弱性 (CVE-2010-2972) はPDFファイルを介したApple社iPhoneのジェイルブレイクに用いられています。そこでの問題は、PDFなどの普及しているドキュメント フォーマットでサポートされているCompact Font Formatにあります。もちろん、この攻撃の興味深い側面は、この攻撃がデバイスをジェイルブレイクするために頻繁かつ意図的に利用されているという点にありますが、あらゆる脆弱性と同様に、攻撃者が悪意のある目的で携帯電話をジェイルブレイクするケースもありえます。

9月15日、Apple Quicktimeの2つの脆弱性にパッチが提供されました。その1つはFortiGuard Labsが発見した脆弱性です (FGA-2010-46)。もう1つの脆弱性 (CVE-2010-1818) は、Quicktimeを用いてDEPおよびASLRプロテクション技術を迂回する重大な問題で、8月30日に公表されました。この脆弱性を悪用しようとするFlashサンプルが世に出回っています。8月31日にはMetasploitモジュールも開発され、その脆弱性は2週間以上にわたってゼロデイ状態で悪用されました。パッチはQuicktime 7.6.8から入手できます。この記事の執筆時点で、マイクロソフトは2つのゼロデイ脆弱性についてセキュリティ勧告を発行しています。開発については、該当するFortiGuard Advisory (FGA-2010-47、FGA-2010-48) に従ってください。Adobeの2つのゼロデイ脆弱性も、FortiGuard Advisory (FGA-2010-43、FGA-2010-45) で報告されています。

ボットネットはマルウェア分野において引き続き活発であり、多数検出されたものの1つがSasfisです。今回のレポートにおけるマルウェア リストの検出トップ3には圧縮された悪意のあるサンプルが含まれており、そのほとんどはSasfisに関連しています。9月14日、Sasfisの活動が急増しました (図2参照)が、その主因はAsproxスパムボットです。Asprox (参考資料としてFortiGuardのホワイトペーパーをご覧ください) は、ある期間活動していましたが、この1年以上はいたって静かでした。Sasfisを追跡しているフォーティネットのシステムの1つを通じて、このボットネットが種まき活動として9月14日にAsproxスパム モジュールをダウンロードしたことがわかりました。Eメールには、ファックスのコピーを装った、圧縮された実行可能な添付ファイルが含まれていました。この添付ファイルはSasfisの一部であり、Asproxをダウンロードして新たに感染したマシンにさらに多くのスパムを送信しようとするものです。図5cはサンプルのEメールです。Asproxは、HTTPを介し、"COMMON.BIN"のファイル名で暗号化されたスパム テンプレートをダウンロードします。

3回目の検出からフォーティネットが分析したある変種 (W32/Katusha.MK!tr) は、TCPポート21、25、110 (FTP、SMTP、POP3) のトラフィックをスキャンするスニファ モジュールをダウンロードしました。これらのポートで送受信されるトラフィックはすべて、そのモジュールで処理され、暗号化されてHTTP POSTを介してヨーロッパに設置されている制御サーバに送信されるようになっていました。盗まれたFTP資格情報は非常に有用であり、Webサーバのハイジャックにも頻繁に使用されています。たとえば、悪意のあるページにユーザをリダイレクトするIFRAMEを注入してコンテンツを上書きします。この活発な変種がTotalSecurity Ransomwareスイートをダウンロードすることも観測されており、この危険な脅威に引き続き警戒する必要があります。

Sasfis/Asproxスパム キャンペーンに加えて、このレポートではもう2通のEメールについても紹介します。図5aは、なりすましのNewEgg販売確認書で、安全性が損なわれたサーバのHTMLページに飛ぶリンクが含まれています。この記事の執筆時点で、そのHTMLページはオフラインになっていました。図5bは、以前に論じたことのあるテクニックですが、現在ではさらに頻繁に発生しているようです。このEメールには、おそらく床材事業の送り状ファイルが添付されています。その添付ファイルは実際にはHTMLファイルであり、わかりにくくなっているJavaScriptが含まれています。こうしたEメールを気づいたら、即座に警告を発してください。

ソリューション:

フォーティネットのFortiGuardサブスクリプションサービスを導入済みのお客様は、今回のレポートで概説した脅威から既に保護されています。脅威の活動については、フォーティネットのFortiGuard Labが、同社のインテリジェンスシステムと世界中で販売されているFortiGate™複合脅威セキュリティアプライアンスから収集したデータに基づいて集計しています。FortiGuardサブスクリプションサービスは、アンチウイルス、侵入防御、Webコンテンツフィルタリング、アンチスパム機能などを含めた包括的な セキュリティソリューションを提供します。このサービスによって、アプリケーション層とネットワーク層の両方における脅威から保護することができます。FortiGuardサービスはFortiGuardグローバルセキュリティリサーチチームによって常にアップデートされており、これを通じてフォーティネットは、マルチレイヤセキュリティインテリジェンスと新たに台頭する脅威に対する真のゼロデイ保護を提供することが可能となっています。これらのアップデートは、FortiGate、FortiMail、FortiClientの全製品に配信されます。

フォーティネットについて (www.fortinet.com)
フォーティネットは (NASDAQ: FTNT) ネットワーク セキュリティ アプライアンスのワールドワイド プロバイダであり、統合脅威管理 (UTM) のマーケット リーダーでもあります。フォーティネットの製品とサブスクリプション サービスは、ダイナミックなセキュリティ脅威に対抗する広範で高性能な統合プロテクション機能を提供しつつ、ITセキュリティ インフラの簡易化も実現します。フォーティネットの顧客には、米フォーチュン誌が選出する2009 Fortune Global 100の大部分を含む世界中の大規模企業、サービスプロバイダ、行政機関が名を連ねています。フォーティネットのフラグシップであるFortiGate製品はASICによる高速なパフォーマンスを誇り、アプリケーションやネットワークの脅威から保護する多層セキュリティ機能が統合されています。フォーティネットの幅広い製品ラインはUTMにとどまらず、エンドポイントからデータベースやアプリケーションなどの境界やコアに至る大規模エンタープライズのセキュリティを保護します。フォーティネットは本社をカリフォルニア州サニーベールに構え、世界中にオフィスを展開しています。

###
Copyright 2010 Fortinet, Inc. All rights reserved.とのマークはいずれも、Fortinet, Inc.、その子会社および関連団体の米国における登録商標および未登録の商標であることを示します。フォーティネットの商標には、Fortinet、FortiGate、FortiGuard、FortiManager、FortiMail、FortiClient、FortiCare、FortiAnalyzer、FortiReporter、FortiOS、FortiASIC、FortiWiFi、FortiSwitch、FortiVoIP、FortiBIOS、FortiLog、FortiResponse、FortiCarrier、FortiScan、FortiAP、FortiDB、FortiWebなどがありますが、これだけにとどまりません。その他の商標は、各所有者に帰属します。フォーティネットは、サードパーティに帰する本書での声明や認可について中立的な立場で実証してはおらず、またフォーティネットはそのような声明を保証することもありません。本ニュースリリースには、不確実性や仮説を伴う前向きな内容が含まれている場合があります。不確実性が現実になったり、あるいは仮定が正しくないことが判明したりした場合、そうした前向きな声明や仮説で表明または暗示された内容とは実質的に結果が異なる場合があります。史実に関する声明を除くすべての声明は、前向きな声明であると判断されるべきものです。フォーティネットは、どの前向きな声明についても改正する義務を負わず、またこれらの前向きな声明を改正する方針もありません。