logo

フォーティネットウイルス対処状況レポート(2007年10月度)

フォーティネットは、2007年10月度のウイルス対処状況レポートを発表しました。

今月のサマリー:
■ 10月の脅威の状況
■ 大量メールワームと攻撃は様々な策略を駆使したものの、苦心の成果は上がらず
■ 攻撃の有効期限はどれぐらい?
■ フィッシング ワームの経済について:スパム2.0

● 10月の脅威の状況


フォーティネットのFortiGateセキュリティアプライアンスが2007年10月に発見した脅威トップ10。(初)は今月トップ10に初登場した脅威です。


Rank Malware             Percentage
1 HTML/Iframe_CID!exploit 7.83%
2 W32/Netsky!similar        6.07% (初)
3 Adware/CashOn        6.01%
4 W32/Netsky.P@mm 5.54%
5 HTML/Clicker.AC!tr        4.58% (初)
6 W32/ANI07.A!exploit 4.30%
7 HTML/Obscured!exploit 3.88%
8 W32/Bagle.DY@mm 3.78%
9 W32/Grew.A!worm        2.99%
10 W32/MyTob.CJ@mm 2.74% (初)


10月はトップ10に新登場の脅威が3つあり、あまり変動のなかった9月に比べて活発な活動を展開しました。


■ 僅差で3位に入ったCashOnの勢いは、いまだ止まるところを知りません。その活動地の99.7%はまたもや韓国でした。


■ MyTob.CJ(別名、MyDoom)は、54件の怪しげな競争相手を押しのけて、先月の65位から一躍、10位に進出しました。これは9月に比べて活動量が8倍も増加したことによります。


■ Clicker.ACはトップ10の5位に入りましたが、これは10月末にかけて活動が急上昇し、先月に比べて活動量が2倍になったためです。


■ Netsky.Pはいまだにレーダーに引っ掛かっています。Netsky.PとNetsky!similar(Netsky.Pの探知も含む)を合わせると今月最高の活動量となり、探知された活動の11.61%を占める勢いです。


■ 攻撃を行う媒介物はいまだに活動中です。Iframe_CID、ANI07.A、そしてObscuredによる攻撃は活発で、3ヶ月連続でトップ10の一角を占めています。




● 大量メールワームと攻撃は様々な策略を駆使したものの、苦心の成果は上がらず


今月は先月に比べて大量メールワームの活動が盛んで、トップ10に入ったNetsky.PおよびNetsky!similarによるNetskyの活動が目立ちました。Netsky!similarの検知全体はNetsky.Pを含んでおり、実際のところ今月Netsky!similarとして報告されたものの多くはNetsky.Pでした。この2つによるNetskyの累計活動量は、前月に比べると17.03%も増加しています。また、8位の座を守っているBagle.DYの活動量も今月13.46%の増加となって高まりを示しました。こうしたメールワームの増加が不十分だと言わんばかりに、9月に比べて8倍の活動量を示したMyTob.CJの変種は大きな注目を集め、下記の図1でわかる通り、10月半ばの活動は停滞したものの、絶好調のうちに10月を終えました。


図1:2007年10月の大量メールワームの活動
リンク


MyTob.CJの変種はトップ10の座を獲得するとともに、Bagle.DYをしのぐ勢いをみせた期間もあり、今月の大量メールワームで第3位というメジャーな地位を手にしました。現在急上昇中のMyTob.CJは、どうやら11月に入ってからもNetsky.PおよびBagle.DYと並び、有力な位置に留まりそうです。図1でわかる通り、今月中旬を過ぎてからNetsky.PとNetsky!similarの間に逆転現象が起きています。先ほども説明した通り、これは単にNetsky!similarがNetsky.Pの変種を含んでいることが理由なので、そのつもりで見なければいけません。この2つを合わせて見ると、図1が描く山の頂上を支配していることがわかります(W32/Netsky.P (Accumulated)の折れ線を参照)。今月6月に、2007年を通して毎月衰退していく大量メールワームの傾向について論じました。ところが現実は厳しいもので、これらの大量メールワームは全体的に見ると減少傾向にあるものの、いまだトップ10の大きな部分を占めており、月間の活動も盛んで流行は止みません。その上、MyTob.CJが示したように、配布の急上昇が起こる時には必ず、高いリスクを伴った穴がぽっかりと空いているのです。




● 攻撃の有効期限はどれぐらい?


今月の大量メールワームの影響についてはここまでにして、過去3ヶ月間のトップ10に居座っている攻撃について考えてみましょう。先ほど論じた大量メールワームと同様、波紋を投げかけた攻撃は3種あります。Iframe_CIDが長年、インザワイルド(実際のユーザ環境)で優勢を誇り、ANI07.Aもここ数ヶ月目立っている一方、比較的新顔なのはObscuredです。この3つが当社のレーダーに常に引っ掛かるようになったのは、ここ3ヶ月のことです。


Iframe_CIDなどの攻撃への露出は、時間が経つに従って増大します。言い換えると、アンチウイルス企業はいわば「商売道具」を分析する時間が沢山取れ、その攻撃に対して十分な防御が行えます。ベンダーは通常、攻撃対象となっている製品のセキュリティパッチを短時間のうちに発行しますが、そのパッチをインターネット経由でエンドユーザに行き渡らせるにはしばらくの時間が必要です。新しいPCの多くは個人が購入しますが、彼らは「プラグアンドプレイ」式にインターネットに接続します。こうしたPCは適切なウイルス定義を直ちに適用しないと、すぐさま危険にさらされます。


さて、これらの脅威の有効期限はどれほどのものなのでしょう?それを決定する要因は、沢山ありますが、その要因を変化させることで有効期限を延ばしたり縮めたりすることができます。普及しているIframe_CIDを例に取ってみましょう。なお、この統計ではIframe攻撃を利用した単一のウイルスを対象にしており、Iframe攻撃全体を指しているわけではないことにご注意ください。フォーティネットのGlobal Security Research Teamの統計では、このマルウェアが初めに記録されたのは2005年の8月となっています。そして活動レベルが史上最高潮に達したのは、ほんの1ヵ月後の2005年9月です。今年9月末の活動量は、2年前の最高記録のわずか22.89%であり、10月はさらに低くなって衰退の道をたどっています。実際のところ、この統計によると2005年9月以来、活動はほとんど毎月着実に減少しています(その一部として、2007年の動きを下記の図2に示しました)。こうした時間枠内に観察された数字を考えると、あと半年でこのマルウェアの活動は取るに足らないものになるでしょう。図2でわかる通り、興味深いことに新興の攻撃が勢力を増すと、かつて猛威をふるった攻撃の勢いは衰えます。これは攻撃が老朽化することを示すばかりでなく、マルウェア作者たちが廃れた攻撃を捨て去って新鮮なものを利用していることを浮き彫りにしています。従って、この例における有効期限は約2年だったといえます。活動量ではこの脅威がトップ10の首位であったものの、下記の図2に示す新しい攻撃が人気を集め、成長すると同時にいっそう頻繁に使用されているため、老朽化した攻撃に追いつくのも時間の問題と思われます。ただし、この攻撃がもはや脅威ではないと言うのは間違いで、明らかにわかる通り脅威は健在で、あらゆる手をつくして防御しなければいけません。


図2:2007年初めから先月末までの、月別にみた攻撃活動
リンク


図2が示す通り、有効期限でみるとObscuredが3つの中で最も新鮮で、その活動も急上昇を描いています。これは先月のレポートでも同様でした。ObscuredやANI07.Aは、Iframe_CIDが最高潮だった時と同様の高さには達することがないかもしれませんが、Obscuredが成長するにつれANI07.Aを追い越すことはほぼ間違いないでしょう。
金で釣るサイバー犯罪者たちにそそのかされて、多くの人々が新しい攻撃を暴いて利益を得ようと詳しい調査を進めていますが、彼らは大変な金を支払うことになります。攻撃の媒介物を突き止めたいという、もっと大きな動機により、私たちは新しい攻撃の勃興を目の当たりにしています。また、大量メール部門による脅威活動も引き続き展開されるだろうと、フォーティネットSecurity Researchエンジニアのデレク マンキーは語ります。ユーザーは、この警告に注意を払い、Eメールを読んだりリンクや添付ファイルを開けたりする時には、しばし考えた上で信用できると判断したホワイトリストのみを相手にする必要があります。また、オペレーティングシステム、ブラウザ、アプリケーションの最新のセキュリティ更新を確実に適用することで、前述のような攻撃にさらされるリスクを減らすことができます。最後に、こうした脅威のリスクを軽減するためには、必要不可欠な防御策としてアンチウイルススキャンを抜かりなく行うことが必要です。




● フィッシング ワームの経済について:スパム2.0


ソーシャルネットワーキングサイトのワーム(別名、フィッシング ワーム)の明らかな目的は、できるだけ多くのソーシャルネットワーキングサイト(例えばMySpace)のアカウントを収穫することですが、こうしたワームに遭遇した時、「でも、なぜそれが恐ろしいの?」と怪訝に思う一部のユーザもいることでしょう。実際のところ、myspaceアカウントの隠れた部分(例:受信箱)に置かれた情報は、産業スパイ、恐喝犯、子供を食い物にする者などに悪用されることもありますが、たいていの場合、その裏にある目標はソーシャルネットワーキングサイトにスパムを満遍なくばらまき、金儲けをすることです。これは、かなりお騒がせな「スパム2.0」の戦略といえます。この戦略は少し前にフォーティネットのGlobal Security Research Teamが「スパムがMySpaceに進出」として報告したもので、当社のギョーム ラベットはウィーンで開かれたVirusBulletinコンファレンス2007での発表で、その裏にある経済を解き明かしました。下記は、「スパム2.0」ビジネスモデルの経済をシミュレーションした論文の抜粋です。


ビジネス志向のサイバー犯罪者たちにとって、何千ものmyspaceアカウントの顧客情報を集める目的は何なのでしょうか?


スパムEメールは私たちのメール受信箱にとって非常にありふれたものとなってきたため、クリックされる確率は取るに足らないレベルにまで落ち込み、時には10万本のEメールを送付しても、そのうちの1本がクリックされるだけという状態になっています。そこでスパム作者たちは新しいスパム支援策を探すことになります。


1億600万件以上のアカウント(2006年9月現在)を持つMySpaceには、各アカウントに「コメント」のセクションが設けられています。コメントとは、「友だち」(つまり、あなたが友だちになってくれと頼んだか、あなたと友だちになることを許可された人々)が残したメッセージです。それぞれのコメントは、受信者のメインページに直接表示され、そのプロフィールを開いた訪問者すべてが閲覧可能です(コメント承認を求めた場合を除く)。


そのため、MySpaceのコメント欄はスパム作者にとって魅力のある新たな媒体となっています。しかしMySpaceアカウントをスパム攻撃するのは、メールボックスをスパムメールで一杯にするよりはるかに難しいことです。


■ 相手にメッセージを送るには、その人の友だちになっている必要があり、友だちのネットワークを作るために手作業が介在することになる。


■ 悪用があった場合には、そのコメントをトラックバックできるため、しまいには出入り禁止となる。


そのため、MySpaceに万遍なくスパムをばらまく最も手っ取り早い方法は、既存のアカウントを盗み(あるいはアクティブなユーザセッションを乗っ取り)、他人の名を騙って投稿を行うことです。
下記の図3は、このアカウントの「友だち」が投稿した広告で、まともなコメントに見せかけて「ここをクリック」するよう、読む者をそそのかします。もちろん、それはアダルトサイトにリダイレクトされます(3番目のコメント)。


図3:3番目のコメントはスパム
リンク


下記の図4にある「スパムっぽい」コメントをよく見ると、ソーシャルエンジニアリングの技法をふんだんに使っていることがわかります。


1. このメッセージがMySpaceの実際のレイアウトをいかに模倣しているかにご注目ください。人の心をそそる写真が表示され、その真下には「現在オンライン中」のインジケータが点灯しています(つまりスクリーンの向こう側にだれかがいることを意味します)。このインジケータは、MySpaceのそれの模造品です(MySpaceでは通常、送付者の写真の下、コメントの左側にインジケータが置かれています)。


2. 巧みなおだてのコメントに気分が良くなりませんか?ソーシャルエンジニアリングのアーチストたちは、欲望と虚栄心という人間の弱みに付け込めば簡単に人をだませることを、よく知っています。これは、その完璧な見本です。


図4:ソーシャルエンジニアリングの上級コース
リンク


さて、だれかがこのリンクをクリックするたびに、スパム作者はアダルトサイトから報酬を得ます。1クリックあたりのレートはアフィリエイトプログラムによって千差万別ですが、たいていのプログラムでは1クリックあたり0.01ドルが最低レートであること、そして一部のGoogle AdWordsでは広告主が1クリックあたり最高80ドルを払っていること[1] を考えると、平均的なポルノサイトのレートは1クリックあたり0.05ドル程度であると考えるのが適当でしょう(一部のアダルト関連アフィリエイトプログラムでは、もっと高いレートで広告を出していますが)。その一方、ビジネス的に考えると、コンバージョン率(訪問者が実際に何かを購入する比率)が1%で、1回の購買が生み出す利益が30ドルである場合、そのサイトが1クリックあたり0.10ドルを投じることは理にかなっています。


例として、ほんの6,000件のアカウント(ソーシャルワームに感謝!)を密かに「所有」するスパム作者を考えてみましょう。ソーシャルネットワーキングサイトでは、1ユーザあたり平均75人の友だちを持っているというのが定説になっています(これは、スパム作者が所有するアカウントが75のアカウントに対し、図4で示したスパムのようなコメントを投稿できることを意味します)[2]。 ただし、友だちのリストには重複もあるところから、スパム作者はこの6,000アカウントを使って6万件の個人アカウントに連絡を取ることができると仮定しましょう。MySpaceは1日あたり15億回近いページビューを上げており[3] 、およそ5,000万人の現役ユーザがいる[4] とみられるところから、1アカウントあたりの1日平均ページビュー数は30になります。


つまり、


■ 投稿された6万件の広告は、1日に180万回閲覧されます。


■ クリック率が5%だと仮定すると(つまり、そのページを閲覧した100人のうち5人がスパムコメントをクリックするということですが、とりわけ精巧なソーシャルエンジニアリングの話術とMySpaceのプロフィールを考えると、これはたぶん現実よりはるかに低い数字です)、1日のクリック数は9万になります。


■ 1日に9万回のクリックがあるということは、1クリックあたり0.05ドルというかなり低い報酬で計算したとしても、1日の利益が4,500ドルあることになります。


■ これを月額にすると13万5,000ドルの利益になります。
もちろん、この計算には議論の余地があります。友だちリストには重複があるため、所定の数の盗まれたアカウントから何件の個人アカウントにスパムを送ることができるかは、不確かです。また、各ページの閲覧者がどれくらいの速さで新しく増えるか(つまり、1日の平均値である30ページビューのうち、前回の訪問でその広告を見ていなかったページビューの数がどれくらいあるのか)に依存するクリック率の長期的な持続性も、不確かなものです。その上、ページビュー数はフロントページ以外のセクション(例:写真セクション)を見ているケースも含んでいます...それでもなお、この計算は、特に盗んだアカウントの数が多い場合に(結局のところ、6,000件というのは比較的低い数字なのです)こうしたビジネスモデルがどれくらいの規模と収益性を達成できるかを、よく示してくれます。


出典:
[1] リンク
[2] Harrisインタラクティブ調査「Friendship in the Age of Social Networking Websites(ソーシャルネットワーキングウェブサイト時代の友人関係)」
[3] リンク
[4]リンク

用語解説

フォーティネット会社概要 (www.fortinet.com)
フォーティネットは複合脅威に対応するASICベースのUTMシステムを提供するリーディングベンダーです。フォーティネットのセキュリティシステムは、セキュリティ性を高めるとともにトータルコストを下げることから、多くの企業やサービスプロバイダなどに利用されています。フォーティネットが提供するソリューションは初めから様々なセキュリティプロテクション(ファイアウォールや、アンチウイルス、侵入防御、VPN、アンチスパイウェア、アンチスパムなど)を統合するために作られており、ネットワークおよびコンテンツレベルの脅威から顧客を守るよう設計されています。カスタムASICと統合型インターフェースに優れたフォーティネットのソリューションはリモートオフィスから筐体ベースのソリューションに至るまで、統合管理 報告で優れたセキュリティ機能を提供します。フォーティネットのソリューションはこれまで様々な賞を世界中で受賞しており、ICSAから6種類の認定(ファイアウォール、アンチウイルス、IPSec、SSL、IPS、アンチスパイウェア)を受けた唯一のセキュリティ製品です。フォーティネットはカリフォルニア州サニーベールに本社を置く非上場企業です。

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。