フォーティネットウイルス対処状況レポート(2007年11月度)

フォーティネットは、2007年11月度のウイルス対処状況レポートを発表しました。

今月のサマリー:
■ 11月の脅威の状況
■ 2007年のクリスマスシーズンに突入
■ 油断のならない季節

● 11月の脅威の状況

フォーティネットのFortiGateセキュリティアプライアンスが2007年11月に発見した脅威トップ10。(初)は今月トップ10に初登場した脅威です。

Rank Malware               Percentage
1 W32/Netsky!similar        10.87%
2 HTML/Iframe_CID!exploit 8.21%
3 HTML/Clicker.AC!tr        6.60 %
4 W32/ANI07.A!exploit 5.14 %
5 W32/Stration.JQ@mm 3.11% (初)
6 W32/MyTob.CJ@mm         2.42%
7 W32/Bagle.DY@mm          2.25%
8 W32/Grew.A!worm         2.09%
9 Adware/TCent          1.86% (初)
10 Adware/Bdsearch          1.71% (初)


11月はトップ10の下位にいくつかの新顔が登場する一方、古株も再浮上してトップ10に居座りました。

■ 「アドウェアの緊迫」:アドウェアのTCentおよびBdsearchが初めてトップ10入りする一方、ポップアップブロックを回避するトロイの木馬であるClicker.ACが10月に比べて勢力を拡大しました。

■ 6月(※1)から、トップ10から姿を消していたStration.JQが、11月も終わろうとする頃に再燃して大暴れしました。

■ 大量メールワームのNetsky、MyTobおよびBagleは勢いを落とすそぶりもみせず、先月のウイルス対処状況レポート(※2)でも述べた通り、相変わらず強力な脅威でした。

※1:リンク

※2:リンク


● 2007年のクリスマスシーズンに突入

11月は、アドウェアを介した悪意あるオンライン広告の増加が観測されました。媒介となったアドウェアはTCentおよびBdsearchだけではなく、Clicker.ACも目立ちました。迷惑なポップアップ広告は、からユーザーを保護するため、ブラウザやセキュリティベンダーがポップアップブロック技術を導入することを促していました。Clicker.ACは、こうしたポップアップブロックの技術を回避できるよう、特別に設計されたコードを持っています。もちろん、ポップアップブロックを有効にしているにもかかわらず、ポップアップ広告が表示されてしまうユーザーは、ただちに危険信号を発しなければいけません。(フォーティネットのアンチウイルスは、こうしたアドウェアが様々なポップアップブロック技法の弱点を突く前に、これを探知およびブロックします。)

あまり劇的なものではありませんが、Clicker.ACおよびNetskyの活動は、企業のメールボックスが閉じられる週末には低下することが見てとれます。(図1で示された複数のピークの間にある谷間として、それが認められます)

図1:11月はアドウェアが暴走するとともに、Stration.JQが月末に急浮上
リンク

図2:悪意があることをさらけ出したClicker.AC
リンク

トップ10では11月を通してアドウェアの増加が目立っていましたが、クリスマスシーズンの12月も同様の傾向が続くものと思われます。今年6月を最後にトップ10から転落した後、しばらくは当社のレーダーから外れていたStrationですが、クリスマス休暇シーズンを目前にして、新たなソーシャルエンジニアリングのスキームを利用して、再び勢力を取り戻す勢いです。Strationから送付されるメールには3つの構成要素が含まれています。1つ目の構成要素(下記の図3を参照)はEメール本文の中にあり、「口座のアクセスと認証のための操作説明を送付しますので、(添付されている実行ファイルを)コンピュータ上に保存してください」とユーザーに知らせる、単純なソーシャルエンジニアリングの宣伝文です。

図3:Stration.JQが「access.exe」というファイル名で添付され、
ソーシャルエンジニアリングを使ったテキストとPDF文書がそれを補足
リンク

このEメールはユーザーの好奇心を悪用して添付ファイルを開かせますが、アクセスモジュールのはずのこのファイルは、実は変装したStration.JQなのです。このメールを正当なもの(Bank Trust Corpから来た)に見せかけるため、PDF文書も添付されています。その内容はでたらめなもので、財務数字を中心に話が展開します。こうした数字は請求書や料金明細などに関連したものとなっています。下記の図4に、その一例として請求書の形をとったものを示します。

図4:Strationに添付されたPDFファイル。
大量メールを正当なものに見せかけるため、でたらめな財務数字が掲載されている。
リンク

もちろん常識で考えれば、「XYZ Consulting」という差出人の住所を見るだけで、これを怪しいと思うはずです。とはいえ、多くのユーザーは、それが何なのか見てみるだけなら害はないだろうと考えて、「認証モジュール」(この事例ではaccess.exeとして添付)をチェックしたくなるような作りになっています。ところが残念なことに、害は大ありです。なぜならこの「認証モジュール」を開けたが最後、ユーザーのコンピュータはボットに変身するのです。

これを胆に銘じ、多くの人にとってその年最大となる休暇シーズンを迎えるにあたり、ユーザーはあらゆる手段による攻撃や詐欺(とりわけソーシャルエンジニアリングを使ったもの)に対して完全武装することが絶対に必要です。


● 油断のならない季節

11月が終わり、私たちは活動的な1ヵ月となるべき12月のクリスマスシーズンに向けて、手はずを整えています。世界中のお店はクリスマスシーズンに弾みをつけようと、クリスマス用品をすでに棚に並べ始めていますが、オンラインの世界でもその発想は同様です。人々が電子商取引の市場に押し寄せる中で、それを悪用する数は新記録を達成しそうです。フォーティネットSecurity Researchエンジニアのデレク マンキーは、インターネット上の詐欺師達が、疑うことを知らないエンドユーザーの興味をそそるようなEメールを送りつけてくるに違いないと考えています。

OSやブラウザのセキュリティパッチ、アンチウイルス、アンチスパム、Webフィルタリング(UTMシステムの導入をすれば、なお可)といった、いっそうの安全対策を講じることで、脅威にさらされる危険が軽減できます。それでもできるだけ多くの人をだまそうと、悪意あるソースを信頼の置けるものに見せかけるため、様々な工夫がなされています。たとえば、多数の信頼できるサイトが、暗号化リダイレクトを埋め込まれたフラッシュ広告を掲載しているのが11月に発見されました。このフラッシュ広告が表示されると、ユーザーは無理やり他のサイトに連れていかれます。実際にはマルウェア作者たちが標的にしたのは、こうした多数のサイトが利用しているDoubleClickの広告プログラムDARTです。その結果、正当なサイトのコンテンツとしてこのフラッシュ広告が表示されてしまったのです。DoubleClickは、この問題を避けるためのフィルタリングシステムの開発に取り組んでいるところです。これはエンドユーザーとしてだけでなく、企業やその提携先の立場でも、脅威に対する認識を持たなくてはいけないことをますます浮き彫りにしています。


【参考資料】

● フォーティネットがご提案する、安全にオンラインショッピングを楽しむための5箇条
~SEO対策済みの悪意あるサイトが増加中~

オンラインショッピングの季節が始まりました。それを悪用しようと試みる警戒すべき悪意のあるサイトが増えています。これからは、消費者がいつもの休暇用の買い物やクリスマスに関連した言葉を検索すると、SEO対策している悪意あるサイトが検索結果に上位表示され、罪もない買い物客がだまされ、大金をむしり取られる可能性が高まるのです。

これを示す2つの生々しい事例をみてみましょう。

* このスクリーンショットは(添付画像参照のこと)、クリスマスカード/プレゼントをオンラインショッピングするにあたってのMSN Livesearchの検索結果(「China」で絞り込み)です。ここに表示されるこれらの悪意あるサイトは、アフィリエイトの収入を生み出すものから、マルウェアのダウンロードや実行を行うものまで、さまざまです。Google、MSN、そしてYahoo! はこの問題に気付き、すでに多くのリンクを削除しています。


* 2番目のスクリーンショットは(添付画像参照のこと)、検索結果からリンクしているコンテンツです。「クリスマス」というテーマで、贈り物およびオンラインショッピングでよく使われるキーワードがずらりと並んでいて、それが検索結果のランキングを高めるSEO技術の一環となっています。すべてのリンクは、別の悪意あるサイトにつながっています。


● フォーティネットがご提案する、安全にオンラインショッピングを楽しむための5箇条

① 第三者から提示された未承諾のリンクはクリックしない
こうしたリンクは、スパムによく見られます。とはいえ、Eメールだけとは限らず、インスタントメッセージをはじめ、上記のSEO技術でわかるように、ブログやウィキペディアに掲載されたキーワードや悪意あるURLなどに貼られたリンクとして登場することもあります。

② アンチスパム、ウェブフィルタリング、アンチウイルスを導入
またはフォーティネットが提供しているような、統合脅威管理システムを導入しましょう。

③ クリックする前に選別を
ユーザーは向こう見ずであってはなりません。クリックしようとしているリンクをもう一度、じっくりとチェックしてみてください。「このリンクは安全だろうか、それとも自分は薄暗い裏通りに引きずり込まれるのだろうか」という観点で熟考しなければいけません。誤植や奇妙なサブドメインを使い、一見真っ当なサイトであるように見せかけたリンクには常に注意を払ってください。

④ 第三者からの依頼に応じない
第三者からの依頼に応じ、クレジットカード番号やパスワードといった個人情報を教えることは、絶対にやめましょう。

⑤ 個人情報の入力に最大の注意を
個人情報を教える場合には、取引相手のベンダーについてきちんと確認してください。それが信頼できる相手先であり、送信はセキュアな接続(つまりSSLとHTTPS)で行われることが証明されなくてはいけません。

このプレスリリースの付帯情報

(画像をクリックすると拡大画像をご覧いただけます。)

用語解説

フォーティネット会社概要 (www.fortinet.com)
フォーティネットは複合脅威に対応するASICベースのUTMシステムを提供するリーディングベンダーです。フォーティネットのセキュリティシステムは、セキュリティ性を高めるとともにトータルコストを下げることから、多くの企業やサービスプロバイダなどに利用されています。フォーティネットが提供するソリューションは初めから様々なセキュリティプロテクション(ファイアウォールや、アンチウイルス、侵入防御、VPN、アンチスパイウェア、アンチスパムなど)を統合するために作られており、ネットワークおよびコンテンツレベルの脅威から顧客を守るよう設計されています。カスタムASICと統合型インターフェースに優れたフォーティネットのソリューションはリモートオフィスから筐体ベースのソリューションに至るまで、統合管理 報告で優れたセキュリティ機能を提供します。フォーティネットのソリューションはこれまで様々な賞を世界中で受賞しており、ICSAから6種類の認定(ファイアウォール、アンチウイルス、IPSec、SSL、IPS、アンチスパイウェア)を受けた唯一のセキュリティ製品です。フォーティネットはカリフォルニア州サニーベールに本社を置く非上場企業です。

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]