フォーティネットウイルス対処状況レポート（2008年4月度）

●　4月の脅威の状況

（1） 脅威トップ10

下記のランキングは、フォーティネットのFortiGateセキュリティアプライアンスが2008年3月20日から4月21日までの間に発見したマルウェアの統計です。
RankMalware PercentageTop 100 Shift
1W32/Netsky!similar 8.6% +1
2W32/Mutant.CV!tr.dldr 7.2% 新
3HTML/Iframe_CID!exploit 6.0% -
4W32/Pushdo.EV!tr.dldr　　 5.6% -3
5W32/Virut.A 5.6% +4
6W32/OnLineGamesEncPK.fam!tr.pws 4.1% +15
7W32/OnLineGames.SIN!tr.pws 2.6% +31
8W32/MyTob.BH.fam@mm 2.2% -3
9W32/Small.FQS!tr.dldr 2.0% +7
10W32/MyTob.FR@mm 1.5% -4

パーセンテージは、今回報告されたすべての脅威に占めるマルウェア変種の活動の割合を示しています。「Top 100 shift」は前回のトップ100ランキングと比較した順位の増減を示しており、「新」とあるのはトップ10に初登場したマルウェアです。

よく知られているマルウェアの活動は一貫していますが、今回のレポートでは、以下の新しい活動が見られました。

■　2つのオンライン ゲームにいるトロイの木馬が、アジアでの活発な活動の結果として、6位と7位に急上昇しました。

■　Cutwailの変種であるMutant.CVが、エイプリルフール関連キャンペーンを立ち上げ、2位の位置を確固たるものにしています。

■　Pushdo、Virut、およびMyTobは一貫した活動を継続し、引き続き流行している脅威になっています。

（2） マルウェアファミリートップ5

今回のレポートでは、マルウェア変種の活動をファミリーとしてグループ化し、下記のように主要ファミリーごとに分類しています。パーセンテージは、今回のレポートで報告されているすべての脅威のうち、ファミリーごとに累積した活動の割合を示しています。「Top 10 shift」は前回のトップ10ランキングと比較した順位の増減を、また「新」はそのマルウェアファミリーがトップ10初登場であることを、それぞれ表しています。

RankMalware FamilyPercentageTop 100 Shift
1Netsky 13.8% -
2MyTob 8.5% +1
3Cutwail 7.2% 新
4Virut　　　　　　　　 6.0% -
5Pushdo 5.9% -3

脅威の見通しに関するNetsky/MyTobファミリーの活動は、前回のレポートと比較してやや勢いをなくしています。ただし、MyTobは引き続き流行している脅威になっており、今回のレポートでは1ランク上げて2位に付けています。Cutwailの大量メーリング ファミリー ―(別名Pandex/Mutant) は3位に付け、活発な活動を示しています。Cutwailは、依然としてすべてのマルウェアファミリーの活動の5位に位置付けられる活発なキャンペーンを続けている、Pushdoボットネットのダウンロードされたコンポーネントであることが知られています。


●　活動の要約

前回（※1）のレポートで紹介したPushdoの大量メール配信キャンペーンと同様に、Mutant.CVも、4月にスクリーン セーバーの添付ファイルを通して拡散していることが確認されました。このマルウェアは、Pushdoと同じ誘惑的な性質 (有名人やポルノもの) を示しています。この添付ファイルは、拡張子 ".scr" が付いた実行可能ファイルを含む小さいzipアーカイブです。その容量は、非圧縮で約11 KBと、目に見えて小さくなっています。下の図1は、2008年4月に流行しているMutant.CVに感染した電子メールを示しています。

※1：リンク

図1：ポルノもののスクリーン セーバーを装ったMutant.CV
リンク

今回のレポートでの活動を見ると、Mutant.CVとPushdoの間には、大量メールエンジンと同一の特徴が存在し、明確な増減を示していることがわかります。この変種の活動のほとんどは4月の始めに見つかりました。これに対して、今回のトップ10に存在した2つのオンラインゲームを狙うトロイの木馬は、日常的にある程度一貫した活動をしていました。この点は、下の図2に示した期間の最初から最後まで見られます。

図2: 今回のレポートでのMutant.CV、OnLineGames.SIN、およびOnLineGamesEncPK.famの活動
リンク


●　アジアで勢いを増すオンラインゲームを狙うトロイの木馬

今回のレポートでは、オンラインゲームが急速に流行した結果として、トロイの木馬の活動が急上昇しています。これらのトロイの木馬は、人気のあるオンラインゲームのパスワードやアカウント情報を取り込むように設計されています。アカウントは、日常的に現金販売されています。オンラインゲームが巨大な成長市場になることは間違いなく、2007年には、35 〜 45億ユーロに達すると試算されていました[1]。アジアも例外でないことは明白であり、最近のレポート[2]は、アジアが現在、全世界におけるオンラインゲームの収益の50%を占めていると述べています。この大規模な市場は、そのユーザ数の多さから、サイバー犯罪のための一般的な場所になりつつあります。一般的なルールとして、よく目立つサイトは、幅広いユーザ層が見込まれるためにマルウェア配布から「スパム広告」までに使用されています。同じ概念がオンラインゲームにも適用され、実際、この領域での活動の増加が目撃されています。オンラインゲーム市場の収益予測は順調であるため、このようなトロイの木馬が近いうちに消えてなくなる可能性はほぼないと言えます。この業界では、派手な広告が一般的です。このような広告やテーマは、マルウェア感染からフィッシングまでの、将来のソーシャルエンジニアリングの策略のための優れたフックになることがわかります。スパムは現在、ソーシャルネットワーキングサイトに出現しています。オンラインゲームの世界では、仮想コミュニティに出現するようになるのでしょうか。

これは、地球的な規模の、繰り返し発生するテーマのように見えます。どういう地域に住んでいようと、何の疑いも持たない被害者を悪意のあるコードを実行するよう誘惑する話になれば、同様の策略が実行に移されます。Pushdo/Cutwailと同様に、OnLineGamesEncPK.famのペイロードを運ぶ、アジアで流行している大量の電子メールが同じテーマを使用しています。その特定の攻撃に固有の性質は、それが繁体字中国語を使用してアジアのユーザを狙った、ローカライズされた攻撃であるという点です。下の図3aは、このペイロードを運ぶ、2008年4月に流行した新しい電子メールを示しています。

図3a：繁体字中国語でローカライズされたソーシャルエンジニアリングの戦術を使用したOnLineGamesEncPK.fam
リンク

この電子メールの件名は、受信者に、ある少女 (送信者の妻ではないかと推定されます) を見てみるよう提案しています[3] 。テキスト本文はかなり変わっていて、中国語で女性について説明しています。これは、主に、エンドユーザが添付ファイル (画像を含んでいると推定されます) を開くように好奇心をそそるために使用されます。もちろん、添付ファイルを実行した場合は、ユーザのアンチウイルス保護が十分でない限りOnLineGamesEncPK.famに感染します。4月に使用されたキャンペーンの件名と本文は、過去2か月間に見られたものとは少し異なるようです。以前、このトロイの木馬では、有名人や刺激的な写真を利用したソーシャルエンジニアリングの手法が使用されていました。件名は「2008年Ya Touの強烈な写真」であり、本文には「2008年Ya Touの超強烈な写真。信じられません。Hei Se HuiのYa Touの強烈な写真。急げ」と書かれています[3] 。Hei Se Huiは、台湾の「チャネルV」で放映されている人気のあるエンターテイメント ショーであり、Ya Touは台湾の女優です。下の図3bは、このようすを示しています。

図3b: 同様のローカライズされたソーシャルエンジニアリングの策略を使用したOnLineGamesEncPK.famを含む以前のキャンペーン
リンク

今回のレポートのトップ10に示すように、これは間違いなく、多数の活動を生み出した攻撃でした。台湾に集中した攻撃では、おとりに台湾の女性有名人の画像が使用されただけでなく、繁体字中国語を使用したローカライズの戦術も採用されていたことが、フォーティネットのセキュリティリサーチエンジニアのデレク マンキーによって観察されています。下の図4aに示すように、OnLineGamesEncPK.famで観察された活動の大部分が台湾で発生し、2位の日本はかなり離れています。

図4a: OnLineGamesEncPK.famの今回のレポートにおける活動の地域
リンク

流行しているその他のゲームを狙うトロイの木馬に、今回のトップ100ランキングで前回のレポートから順位を31位上げた、OnLineGames.SINがあります。この変種のほとんどの活動が中国で発生しており、日本と香港がそれぞれ、かなり離れた2位と3位になっています。下の図4bは、この動向を示しています。

図4b: OnLineGames.SINの今回のレポートにおける活動の地域
リンク

OnLineGamesEncPK.famで表示される添付ファイルは、自己解凍形式の実行可能ファイルを含むzipアーカイブで届きます。この実行可能ファイルが起動されると、ファイルが一時フォルダに格納されます。格納される最初のファイルは別の自己解凍形式のPE実行可能ファイルであり、それが次に、正体不明のランタイムパッカーで圧縮された別のPEファイルを格納して実行します。この2番目のファイルは次に、バッチファイルを格納して実行するためのコマンドシェルを起動します。興味深いことに、このバッチファイルは、システムの日付を2008年4月28日に変更することが観察されました。これらの処理がすべて完了すると、元のzipアーカイブ内の親の実行可能ファイルが、ペイロードの一部であるJPGイメージファイルを格納します。これが次にユーザに表示されて、下の図5に示すイメージが生成されます。

図5: オンラインゲームを狙うトロイの木馬の感染に興味はおありですか。
リンク

ここで明らかな点は、ユーザに対して、入手を約束したもの、つまり画像を表示することです。もちろんこれは、疑いを減らすための罠にすぎません。バックグラウンドでは悪意のあるコードが実行され、OnLineGamesEncPK.famの感染が発生しています。これに対して、OnLineGames.SINは通常、ランタイム圧縮プログラムであるUPackで圧縮された実行可能ファイルとして配布されます。少しも新しい概念ではありませんが、今日のほとんどのマルウェアでは、アンチウイルス検知を避けるためにランタイムパッカーが引き続き頻繁に使用されています。この変種は、実行可能ファイルをメインのWindowsディレクトリに格納して、起動時に実行されるように登録します。この変種はまた、DLL (ダイナミック リンク ライブラリ) も格納して、エクスプローラ プロセス メモリに挿入します。まとめると、両方の変種が前回のレポートに比べて大幅に高い活動を示し、オンラインゲームを狙ったトロイの木馬の活動が急速に増加していることが目立っています。集中した活動が表れた地域が台湾と中国であったのに対して、日本は、ここで説明した2つの変種で共通の割合を示していました。

参考資料：
[1] インフォコムのレポート「FTTX EXPERIENCES AND STRATEGIES」から得られた統計
[2] リンク
[3] フォーティネットのカイル ヤンによって提供された翻訳

免責条項：
当資料でフォーティネットは正確な情報を提供するよう努めていますが、同社はこれらの情報の正確性や完全性について、法的責任を負うものではありません。より具体的な情報は、ご要望に応じてフォーティネットがご提供いたします。フォーティネットの製品情報は、正式に署名された書面にて明示、特定している場合を除き、何らの保証や法的拘束力のある記述を構成または包含するものではないことをご注意ください。

※フォーティネットの名称はFortinet,Inc.の登録商標です。Fortinet、FortiGate、FortiOS、FortiAnalyzer、FortiASIC、FortiAnalyzer、FortiCare、FortiManager、FortiWiFi、FortiGuard、FortiClient、およびFortiReporterはFortinetCorporationの米国およびその他の国における登録商標です。その他製品名などはそれぞれ各社の登録商標です。