logo

フォーティネットウイルス対処状況レポート(2007年8月度)

フォーティネットは、2007年8月度のウイルス対処状況レポートを発表しました。

今月のサマリー:
■ 8月の脅威の状況  
■ 注目を浴びた韓国 ‐ Dloader.K!trとCashOn
■ Webトラフィック:ラッシュアワー
■ 混乱2.0、またはユーザの教育を台無しにする方法

● 8月の脅威の状況

フォーティネットのFortiGateが発見した脅威トップ10
1. W32/Dloader.K!tr 10.17 %
2. W32/Netsky.P@mm 9.53 %
3. HTML/Iframe_CID!exploit 7.84 %
4. Adware/CashOn 6.68 %
5. W32/Dialer.PZ!tr 4.29 %
6. W32/ANI07.A!exploit 4.00 %
7. HTML/Obscured!exploit 3.70 %
8. W32/Grew.A!worm 3.42 %
9. W32/Bagle.DY@mm 3.28 %
10. W32/Virut.fam 2.88 %


8月は、3つの脅威が初めてトップ10に登場しました。

■ Dloader.K!tr (別名:Small)がNetsky.Pを追い抜き、リストの首位に躍り出ました。そのうち89%以上は韓国で見つかっています。


■ CashOnで大もうけ:韓国のWebサイトを舞台に、ツールバーのプラグインを通してインストールされたこのアドウェアは、非常に大きなビジネスを生み出しているようです。


■ Obscured!Exploit がいよいよ勢いをつけはじめ、初めてトップ10入りしました。8月におけるこのウイルスの活動は、2007年7月と比べて20%増、同6月と比べると75%増となっています。


その他に、いくつかのウイルスがしぶとさを発揮し、8月中ずっとはびこりました。

■ Dialer.PZ は、5月のウイルスレポートでお話ししたのと同じく、メキシコと米国を標的に、引き続き活動を続けました。数こそ大幅に減ったものの(約80%減)、いまだに一貫した活動の波を示しています。


■ 先月のレポートで詳述した通り、ANI07.A はランク外への転落を拒み、トップ10の座にしがみついています。




注目を浴びた韓国 ‐ Dloader.K!trとCashOn


今月のトップ10入りを果たした2つのウイルスは、活動量が多いにもかかわらず、活動が局所的であることが最大の特徴です。Dloader.K!tr とCashOn ともに、主に韓国で活動していす。下記の図1aおよび1bでは、地域別にみた分布を比較しています。


図1a:2007年8月に報告されたDloader.K!tr の分量を地域別に分類(韓国、およびその他の国)
リンク


図1b:2007年8月に報告されたCashOnの分量を地域別に分類(韓国、およびその他の国)
リンク


Dloader.K!tr の活動は大きな急上昇を示していますが、これはボットネットによる大規模インストールの特徴です。上記のグラフをみると、韓国で検知数の大きな変動が起こっていることがわかります。興味深いことに、このウイルスの活動のマイナーな部分(韓国を除くその他の国々)では、その変動は韓国ほど、激しくありません。これは配布運動の根源が韓国内にあることを示唆しています。先月以来、Dloader.K!trの活動は著しく増加しており、その増加率は82%以上で検知数は125万近くに達しています。この増加率の高さ、そして月末に最も数が多くなっていることを考慮すると、このマルウェアが9月もニュースを賑わせることは間違いないでしょう。また、今月韓国で急激な成長を遂げたもうひとつのマルウェアは、ツールバーのプラグインをベースにしたアドウェア、CashOnです。この活動も80%の増加をみせており、検知数は75万以上に達しています。フォーティネットSecurity Researchエンジニアのデレク マンキーによると、この2つのマルウェアの活動地域と活動率の伸びには一貫性があり、それが脅威になると思われるということです。これは偶然の一致なのでしょうか?それとも、そこには隠された理由があるのでしょうか?


CashOnに関しての興味深い傾向は、8月前半の間は、韓国だけで展開され、配布が急増せず、一定の活動に留まっていたことです。そして突如、CashOnが流行し、韓国での活動量が2日間で4倍になると同時にグローバルな活動を開始しました。もっと攻撃的なペースで配布する必要があったかもしれませんし、現に、このアドウェアを直ちに広めるため、更なる方法を試すという取り組みもなされました。果たしてDloader.K!tr はそうした媒体のひとつになれるでしょうか?8月末に向けたDloader.K!tr とCashOnの急増を比較すると、月曜日と木曜日における散布の増加に、類似性がはっきりと認められます。どちらのケースでも、木曜日が近づくと新たなピークが来ます。浮かんでくる疑問は数多く、これらの新興マルウェアについては今後もいろいろなことが起こりそうです。引き続き、9月のマルウェアレポートにご注目ください。




Webトラフィック:ラッシュアワー


オンライン広告はユビキタスになりました。検索エンジンからポルノギャラリーまで、コンテンツや機能を無料で提供するサイトには広告が付いてくるというのが、彼らのビジネスモデルの中核の一部となっています。しかし今日ではスパム広告は、ブログのコメント欄、コミュニティサイト、フォーラムといった、予期せぬ場所でもたくさん見つかっています。 結局、広告の津波から逃れられるサイトは非常に少なくなっているのです。


言うまでもないことですが、この現象の裏にある理由はお金です。しかし、その規模がきちんと理解されているとはいえません。実際には、現在、グーグルのAdWords広告で最も高い価値がつけられた言葉(通常は、「ローン」や「保険見積もり」といった類の言葉)には、最高入札者が、70ドル近いクリック単価を付けます。このような、検索エンジンの巨大企業が提供する最も高価値の広告の実例は、現在の状況を何よりもよく物語っています。Webサイトのオーナーにとっては、広告プログラムを使って巨万の富が築けます。そしてWebサイトが生み出すトラフィックが多ければ多いほど、その利益は大きくなるのです。


そのような状況の中では当然のことながら、あるサイトのトラフィックを増加させるために、不法とはいえないまでも、倫理上かなり問題が多い方法が使われることがあります。フォーティネットのGlobal Research Teamは今月、そのようなボーダーライン上にあるサイトに遭遇しました。そのサイトは「MSNメッセンジャースキャナ」を装っています。ユーザはメッセンジャー ログインおよびパスワードを入力するよう促されますが、そのサイトによれば、こうした情報はメッセンジャーのコンタクト先がそのユーザをブロックまたはコンタクトリストから削除しているかどうか調査するのに利用されるということです。この種のツールのご多分にもれず、これはもちろん罠です。しかしながら、告知されている副作用(販促活動のため、サービスと引き換えにユーザのハンドルネームがWebサイトURLに改名されてしまう)は確かに起こります。


図2:典型的な罠。上方および右側にある広告に注目。
リンク


興味深いことに、このサイトはユーザのログインおよびパスワード情報を保存しないとうたっています。それは本当かもしれないし、嘘かもしれません。ここでの要点は、彼らが自らのWebサイトへのトラフィックを増加させるために、典型的な「ワーム的」戦略を用いているということです。彼らは、サイトのURLをユーザのハンドルネームを置き換えるように騙し、騙されたユーザがサイトに誘導されることを狙っています。そうしたコンタクト先は同様に改名されて、さらに多くのユーザを引き寄せることになります。ユーザはすなわちトラフィックであり、トラフィックはすなわちお金です。まったく単純な話です。


図3:あなたの情報は安全ですか?
リンク


こうしたケースによくあることですが、だまされたユーザが裁判を起こすのに備えて、諸条件の欄は次にあるように、ある種の一般的かつ包括的なバックアップの役割を果たしています。「(このサイトは)ページに掲載された情報の間違った、不適切な、あるいは不法な利用や、情報の精度、整合性、更新、あるいは正確性の欠如に責任を負うものではなく、こうした情報によって引き起こされる結果に関しても責任を負いません」


こうしたID窃盗のたくらみがフィッシングの策略と特徴を同じくするとしても、根本的な1つの点において違いがあるということは特筆に価します。ID窃盗は、被害者をだまして彼らがどこか別のサイト(通常は、正当な銀行のサイト)にいるように思わせるのではなく、本当は手に入らないサービスをあたかも手に入れることができるように思わせるものです。この違いから、次の2つのポイントが導き出されます。


1. サービスをおとりにしたサイトは、実際の侵害行為を行わない上に、その特異な諸条件のおかげで、フィッシングサイトより頑丈で、サイト閉鎖の可能性も低くなっています。平均的なフィッシングサイトのオンライン上の寿命が約3日であるのに対し、上記で説明したサービスをおとりにしたサイトは3ヶ月前に登録されており、すでに20ヶ国語に翻訳されています。


2. フィッシング詐欺に引っかからないようにする、単純かつ効果的な幾つかのルール(唯一の大原則は言うまでもなく)を考え出すのは困難である一方、サービスという囮によるID窃盗の被害者にならないための大原則を言葉にするのは簡単です。「どんな理由で要求されたとしても、オンラインサービスへのログインの信用証明は絶対に他人に渡さないこと」


図4:グラフィックや画像を含むこのWebページは20ヶ国語になっています。これは日本語版。
リンク




混乱2.0、またはユーザの教育を台無しにする方法


残念なことに最近は、この大原則が果たしてどれだけ強固なものか、疑問視されるようになってきました。その原因は、サービスをおとりにしたサイトではなく、まるでその辺にいる無知な詐欺師のような行動を取る、一応は重要かつ堅気といわれるサイトの存在です。facebook.comを例にとってみましょう。数百万人の顧客基盤と全米トップ大学出身の創業者を持つFacebookは、まぎれもなくソーシャルネットワーキングサイト界の大物であり、それゆえにユーザはもとより他の誰からも信頼されています。さて、誰かがFacebookに新しくアカウント登録をすると、何が起こるでしょうか?


図5:全てのアカウントは当社に帰属します
リンク


Webサイトは、Facebookに登録するためにメールアドレスおよびパスワード情報を入力するよう、ユーザを促します。この策略は、サービスをおとりにしたサイトで使われている手口と似ているだけでなく、悪用のおそれがあるため他人に渡してはならないとされている情報を渡すよう誘惑しており、ユーザの教育は台無しになります。


「Facebookは、あなたの許可なしには誰にもメールを送りません」という表明に関しては、簡単なテストで確認した範囲では、なるほどその通りのようです。しかしそれを長期的に立証するためには、大規模なテストが必要です。同様に「当社はあなたメールやパスワードを保管しません」という主張を証明すること(正誤の判断)は、基本的に不可能です。そのため、疑いの余地が残ります。そしてたとえこの情報を保管することの背景にある意図が、本質的に悪いものではなかったにせよ、こうしたデータベースは必ず悪用されます。毎日のようにIRCで取引されている盗難クレジットカード番号の大部分は、ハッキングされたオンラインストアのデータベースから供給されていることを、思い出すべきでしょう。


上記で説明したサービスを囮にしたサイトと同様、彼らの差し当たっての目的は、新しいメンバーを募ってサイトのトラフィックを増加させ、結果としてサイトの価値を高めることです。実際のところ、あなたのメールコンタクトの中に、すでにFacebookに登録された「お友達」がいることがわかると、図5にあるフォームで予告された通り、もうひとつのウィンドウがポップアップします。


図6:新規募集のプロセス
リンク


チェックボックスにはデフォルトでチェックが入っており、このソーシャルネットワーキングサイトに自分のコンタクト先全員を招待するには、「招待する」というボタンをたった1回クリックするだけで事足ります。一言でいえば「Facebook(およびその他)が採用したトラフィック急増の戦略は、サービスをおとりにした詐欺サイトと、ほんの1クリックの差しかない」ということです。もちろん、「後者と違い、前者は本当にサービスを提供する」という大きな違いもありますが。Facebookは完璧に広告を正当化しているものの、私たちの考えでは、無料サービスの提供をだしにして、ユーザの教育を台無しにしたり彼らを操ったりすることを正当化するのは間違いです。


※フォーティネットの名称はFortinet, Inc.の登録商標です。Fortinet、FortiGate、FortiOS、FortiAnalyzer、FortiASIC、FortiAnalyzer、FortiCare、FortiManager、FortiWiFi、FortiGuard、FortiClient、およびFortiReporterはFortinet Corporationの米国およびその他の国における登録商標です。その他製品名などはそれぞれ各社の登録商標です。

用語解説

フォーティネット会社概要 (www.fortinet.com)
フォーティネットは複合脅威に対応するASICベースのUTMシステムを提供するリーディングベンダーです。フォーティネットのセキュリティシステムは、セキュリティ性を高めるとともにトータルコストを下げることから、多くの企業やサービスプロバイダなどに利用されています。フォーティネットが提供するソリューションは初めから様々なセキュリティプロテクション(ファイアウォールや、アンチウイルス、侵入防御、VPN、アンチスパイウェア、アンチスパムなど)を統合するために作られており、ネットワークおよびコンテンツレベルの脅威から顧客を守るよう設計されています。カスタムASICと統合型インターフェースに優れたフォーティネットのソリューションはリモートオフィスから筐体ベースのソリューションに至るまで、統合管理 報告で優れたセキュリティ機能を提供します。フォーティネットのソリューションはこれまで様々な賞を世界中で受賞しており、ICSAから8種類の認定(ファイアウォール、アンチウイルス、IPSec、SSL、IPS、クライアントアンチウイルス検知、クリーニング、アンチスパイウェア)を受けた唯一のセキュリティ製品です。フォーティネットはカリフォルニア州サニーベールに本社を置く非上場企業です。

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。