フォーティネットウイルス対処状況レポート（2007年6月度）

● 6月の脅威の状況

フォーティネットのFortiGateが発見した脅威トップ10
1 W32/Dialer.PZ!tr 13.43%
2 W32/Bagle.DY@mm 10.05%
3 W32/Netsky.P@mm 7.11%
4 HTML/Iframe_CID!exploit 5.90%
5 W32/ANI07.A!exploit 3.52%
6 W32/Grew.A!worm 3.50%
7 W32/Bagle.GT@mm 2.43%
8 W32/Sober.AA@mm 1.98%
9 W32/Stration.JQ@mm 1.89%
10 W32/Sality.Q 　 1.75%


今月のマルウェア　トップ10には、ほんの少数の新顔を除き、基本的におなじみの面々が勢ぞろいしています。


■　今月も引き続き、Dialer.PZが他の大量メール ワームをしのいで全盛をきわめました。また大量メール　ワームのBagle.DYとNetsky.Pは引き続き、それぞれ2位と3位の座を守っています。


■　トップ10の様相は前月から首尾一貫しており、Grew.A、Bagle.GT、Sober.AA、Stration.JQおよびANI07.Aが似たような順位に居座っています。


■　トップ10の新顔はSality.Qで、フィッシング攻撃のBankFraud.Eがトップ10から去った後の空白を埋めて第10位入りを果たしました。


■　今月、注目に値するのはアニメーション　カーソルの脆弱性を利用するANI07.Aです。なぜなら、この脆弱性にはすでにパッチが適用されている上、トップ10リストの中では唯一、ワームそのものあるいはワームに関連した脅威ではないからです。ANI07.Aがチャートにのし上がるために、悪意ある攻撃者は人気の高いWebサイト（ソーシャルネットワーキングやブログ、写真ホスティングのサイトなど）を利用し、脆弱性のあるマシン上でバッファ　オーバフローを起こすおそれのある、精巧なアニメーション　カーソルをアップロードしてきました。これは任意コードを実行することもできるため、その他の悪意ある活動の足がかりとして使われる可能性があります。




夏に向けて、W32/Dialer.PZ!trの荷造り


またしても、ボットを組み込んだダイヤラーがW32/Bagle.DY@mmおよびNetsky.P@mmをしのいで幅をきかせました。先月は、動的な設計から始まり、組み立てラインによる製造やインテリジェントな統計レポート、そして地域別展開戦略およびペイロードまでを包括するW32/Dialer.PZ!trのライフサイクルについて論じました。W32/Dialer.PZ!trは活発な伝染活動により、その動きは主にメキシコと米国で猛烈な勢いを見せています（図1参照）。こうしたベテランのマルウェア作者たちは、今年の夏、北米で伝染病が流行るという予報からヒントを得たようで、荷造りに大忙しでした。とはいえ、ご安心ください。彼らは夏休みの旅行のために荷造りをしているわけではありません。彼らは悪意ある作品を、サイバー空間の見張り役たちが点検しないことを願いつつ荷物にまとめ、バーチャルな国境を行き来しているのです。


フォーティネットSecurity Researchエンジニアのデレク マンキーによると、マルウェア作者たちは、よく出回っているランタイム パッカーUPXの新たな変種をW32/Dialer.PZ!trと一緒にパッキングすることで、組み立てライン プロセスでの部品変更を行ったということです。この新しいパッカーを使ったマルウェア作者が刻印した最初のサンプルは、2007年6月21日、より正確には午後5時35分（ちょうど夏至に間に合っています）に作成されたとの記録があります。それ以来、前回のパッケージの組み立ておよび配布が完全に終わると古いものが去り、新しいものが登場するという動きを続けてきました。マルウェア作者たちがその製品の改良および保護の方策を講じたことは、明らかです。実世界での活動が2ヶ月以上続き、数量の増加を世の中に示している中で、このマルウェアの配布者たちは夏のあいだ中、活動を続けたいと願っているようです。それを念頭に置くとともに、先月のサマリーで説明したように動的な設計や将来の拡大の可能性といった特徴を考えると、このダイヤラーの終焉を、近い将来、見届ける可能性はなさそうです。


図1： 2007年6月における W32/Dialer.PZ!trの活動
リンク




衰退するEメール ワーム


トロイの木馬型ウイルス、スパイウェア、ワーム（IM、Linux、Mobile、Win32）そしてスクリプトはインターネットユーザにとって引き続き脅威であるものの、「in the wild」のEメール　ワーム（あるいは大量メール　ワーム）の数は今年の初め以来、毎月５パーセントの割合で衰退しています。この減少パターンは、検知数にもみられます（マルウェアのタイプ別に毎月の検知数を示す下記の図2を参照）。この図を見ると分かる通り、いくつかのタイプのマルウェアは同様の減少パターンを示していますが、Eメール　ワームの25パーセントという減少は、他にはみられないものです。


図2：各月に検知されたマルウェアのタイプ
リンク


フォーティネットGlobal Security Research Teamのプロジェクトマネージャー、ブライアン　ルーによれば、Eメール　ワーム衰退の理由には、次のようなものが考えられます。


■　悪意ある攻撃者たちは、その攻撃対象を切り替えた。企業ネットワークへの１回の攻撃は、1,000人のホームユーザへの攻撃に匹敵するため、標的を絞った攻撃が増加している。


■　エンドユーザの意識の高まり。より多くの人々が脅威について認識するようになったため、悪意あるEメールのソーシャルネットワーキング的手法（例えば「添付ファイルはご参考文書です。パスワードは2045です」 といったメール）に引っかかりにくくなった。大部分のEメール ワームは添付された実行ファイルをユーザが開くよう誘導することで成り立っているため、ただひとつ熟考しなければならないことは、「この添付ファイルを開けるべきか否か」です。


■　企業が脅威対策ソリューションを導入するための予算を増やし、自社の投資を保護するようになった。脅威対策ソリューションの導入の増加で、攻撃の余地が減った。




インスタント「メッセージ」、それともインスタント「脅威」？


今月初め、Yahoo! MessengerのWebCam ActiveXコントロールに脆弱性が発見されました。悪意をもった攻撃者はこの脆弱性を利用して、WebCam ActiveXコントロールにバッファ オーバフローを引き起こさせるスクリプトを備えた、巧妙なHTMLページを作成できます。しかしこの攻略による被害は、発見以来ほとんど報告されていません。その理由は、MSN Messengerに比べてYahoo! Messengerのユーザの割合が少ないことによるものと思われます。現在、この脅威は「Yahoo.Messenger.Webcam.Upload.Viewer.ActiveX.Buffer.Overflow」として侵入防止システムで探知されるとともに、「JS/Yahoo.A!exploit」としてアンチウイルスでも探知されています。


インスタントメッセンジャーの脅威に関しては、ある特定のIMワームが3月以来、突出しています。Eメール ワームが数百の変種を持つのと対照的に、「In the wild」に存在するIMワームの変種は10種に満たない中で、Mytob.FJは著しい活動を示しています。大部分のIMワームの探知は月間1,000件以下ですが、図3で分かる通り、Mytob.FJは違っています。


図3：：Mytob.FJの検知の統計
リンク


※フォーティネットの名称はFortinet, Inc.の登録商標です。Fortinet、FortiGate、FortiOS、FortiAnalyzer、FortiASIC、FortiAnalyzer、FortiCare、FortiManager、FortiWiFi、FortiGuard、FortiClient、およびFortiReporterはFortinet Corporationの米国およびその他の国における登録商標です。その他製品名などはそれぞれ各社の登録商標です。