logo

フォーティネットウイルス対処状況レポート(2007年12月度)

フォーティネットは、2007年12月度のウイルス対処状況レポートを発表しました。

今月のサマリー:
■ 12月の脅威の状況
■ 脅威とスパムの総括:2008年予測
■ メリークリスマス:絶え間なく変化する

● 12月の脅威の状況

フォーティネットのFortiGateセキュリティアプライアンスが2007年12月に発見した脅威トップ10。

Rank Malware Percentage
1 W32/Netsky!similar 11.05%
2 HTML/Iframe_CID!exploit 8.47%
3 W32/MyTob.FR@mm 3.40%
4 W32/Lovgate.X2@mm 2.90%
5 W32/ANI07.A!exploit 2.82%
6 W32/Bagle.DY@mm 2.57%
7 W32/Zafi.D@mm 2.20%
8 W32/Istbar.PK!tr.dldr 1.93%
9 Adware/Bdsearch 1.83%
10 Adware/TCent 1.80%


12月はトップ10に4つの新顔が登場しましたが、そのほとんどはスパムによって届けられました。今年のクリスマスシーズンのハイライトは次の通りです。

■ クリスマス大量メール:Netsky!similarに率いられた3種の大量メールワームMyTob.FRLovgate.X2、Zafi.Dがトップ10入りしました。

■ 9ヶ月間連続して厄介者のANI07.Aが居座る一方、Adware BdsearchおよびTCentが2ヶ月連続してトップ10の座を守っています。

■ 検索ツールバーをインストールさせ、さらなるアドウェアおよびトロイの木馬をダ ウンロードさせてしまうトロイの木馬Istbar.PKが、先月の25位から急上昇してトップ10に入りました。

■ またもやNetskyとIframe_CIDが当社トップ10リストの上位を席捲した一方、Bagle.DYは現状維持を貫いています。


● 脅威とスパムの総括:2008年予測

I. 脅威の展望

2007年は悪意のあるWebページが主要な感染媒介物になりました。言うまでもないことですが、WebページにはEメールなど従来型の感染媒介に比べて「ユーザーによる相互作用が不要である」という、明らかな強みがあります。ユーザーは、脆弱性のあるブラウザを使って悪意あるページを訪問するだけで感染してしまうのです(これは「ドライブバイインストール」の名で知られるシナリオです)。

2007年最も派手な大量のインジェクション攻撃について2007年5月に稼動中のMPackサーバ(複数)から抽出した統計によると、IR(Infection Rate:感染率)は12%(これは悪意あるページを訪問したユーザーの12%が、感染させられてしまったことを意味します)を超えています。MPackにはパッチが当てられていないブラウザの脆弱性に付け入る攻撃が組み込まれていないのにもかかわらず、このありさまです。トラフィックを悪意あるWebサーバに呼び込む方法は、次の3つのうちのどれかです。

1) 大量コンプロマイズ(これは通常、Webホスティング企業のサーバをハッキングすることで実現します)。

2) 検索エンジンによる検索結果の操作(これは通常、キーワードを満載した大量のページへのリンクで実現します。これらのページはグーグルボットと常連ユーザーに対してそれぞれ異なった振る舞いをし、後者に悪意あるコンテンツを送りつけるのです)。

3) 上記の2つの組み合わせ。(例:リンク

悪意あるWebページによりドライブバイインストールされるIRは12%以上、それに対し、Eメールに添付された感染ファイルをユーザーにクリックさせるソーシャルエンジニアリングアーティストが達成したクリック率はたったの数万件に1件。さらにWebトラフィックはセキュリティ製品が盛んにスキャンしているEメールに比べるとほとんどスキャンされない媒介物であることを考えると、2008年およびそれ以降は悪意あるWebページが脅威の勢力図において急速に大きな地位を築いていくものと思われます。それどころか、すでにそうなっていると考える人たちもいます。ENISA(欧州ネットワーク 情報セキュリティ委員会)が出したボットネットに関する方針説明書では、悪意あるWebページがボット関連の感染の60%を占めると書かれています。
リンクを参照)。

当社のアドバイスは次の通りです。

■ 完全に最新とはいえないブラウザでは、決してネットサーフィンをしないようにしましょう。

■ javascriptの有効化はサイト単位で行うようにしましょう(Firefoxを使用している場合はNoScript拡張機能が大変に役立ちます)。正当なサイトに危害が加えられたとしても通常は、悪意ある「ドライブバイインストール」コードが別のサイトに置かれており、正当なサイトはリダイレクトのために使用されます。そのため、信頼できるサイトに対してjavascriptを有効にするのは、かなり安全であるといえます(少なくとも全てのサイトに有効にするよりは安全です)。

■ 標的にされにくそうなOSおよびブラウザを組み合わせて使いましょう。最も脆弱性が高い組み合わせは当然MS WindowsとInternet Explorerですが、まずまず機能的なソリューションの中で最も安全な組み合わせとしてLinuxとOperaがあります。

II. スパムの展望

スパムの展望も同じく進化しています。Web 2.0の理念の特徴は、私たちの扱うデータが従来型のデスクトップからオンラインアプリケーションに移行しているというところにありますが、スパムもまた然りです。
現在では、ユーザーがメール受信箱にスパムを見かけることに慣れてしまったこと、そしてアンチスパムソリューションの普及により、EメールベースのスパムのCTR(Click-Through Rate:クリック率)は劇的に低下しました(時には送付したEメールの数百万通に1件がクリックされるにすぎません)。そのため、Eメール以外の方法によるスパムが頭角を現しはじめています。2007年はスパムの暴走がmyspaceやyoutube、そして人気ブログで発見されました。実際のところ、ユーザーが入力する表示を可能にしている(これこそが、Web 2.0の大きな特徴のひとつです)Webサポートはどれも潜在的な標的であり、そのためスパムが侵入する可能性があります。


■ メリークリスマス:絶え間なく変化する

前回のウイルス対処状況レポート(※1)であらかじめ警告した通り、サイバー犯罪者たちは12月という忙しい季節に盛んな活動を繰り広げました。それは疑うことを知らない消費者のポケットから金をかすめ取るゲームで、その名を「グリンチ(しらけさせる人)」といいます。オンラインショッピングの売上高が最高記録を塗り替える中、消費者は、クリスマス商戦の高揚したムードに浮かれて、コンピュータの前に集まってきました。その一方、サイバー犯罪者たちはオンラインの世界が賑やかになるこのシーズンに付け込み、ソーシャルエンジニアリングで仕上げを行いました。Storm(嵐)のギャングたちは、クリスマス前夜までは静かなものでした。予想されていた通り、ソーシャルエンジニアリングの嵐は明日がクリスマスという日に、「メリークリスマス」のスパムを使ってお祭り気分に付け込む悪さをしました。スパムに盛り込まれたリンクは、www.merrychrismas(以下削除)で始まるWebサイトにつながっていますが、このサイトに飛ぶと露出度たっぷりの衣装に身を包んだ女性が登場し、あるリンクをたどるようにそそのかします。そして、そのリンクの先には最終的にStormの感染が待ち構えているのです。前述のドメインは、下記に詳述するのと同様のメカニズムを使用している有効なFast Fluxネットワークを使っています。それからというもの、フォーティネットGlobal Threat Responseチームは新年のお祝いに付け込んだ、Stormによるスパムの新しい波を監視してきました。このスパムは、Stormが実行可能なサーバ側ポリモーフィックに向けられたリンクを利用しています。またこれは、Fast Fluxネットワークに関わるStormドメインを使っています。実際、これ以降、2つのFast Flux型Stormネットワークが登場していますが、そこにあるグリーティングカードのドメイン名は、それ自身の名になっています。

※1:リンク

12月の中旬には薬品をテーマにしたフィッシング犯も活躍し、不正なWebサイトからクリスマスや新年の挨拶を送り付けました。二重のFast Fluxボットネットのあらゆる所にホストされているソーシャルエンジニアリング、および専門的なものに見せかけたWebサイトの存在は、薬品をオンラインで購入するときにますます多くの消費者が詐欺に引っ掛かる危険性にさらされていることを意味しています。クリスマスをテーマにしたブログやスパムメールが盛んに送られましたが、そこには薬局のボットネット部隊に向かうリンクが張られています。12月を通してフォーティネットのGlobal Security Researchチームは「Canadian Pharmacy(カナダ薬局)」の名を使った薬局詐欺が所有する複数のFast Flux ネットワークを監視してきました。これらのネットワークからは、全世界で7,700以上のゾンビが発見されていますが、これらは何千ものドメインを使ってこの薬局のWebサイト活動をホストしていました。手の込んだスパムと入念に作られた企業の画像がソーシャルエンジニアリングの釣り針を、より強力なものにしています。Canadian Pharmacyの活動に関する、詳細で掘り下げた考察はフォーティネットのウェブサイト内(※2)で入手できます。

※2:リンク

用語解説

フォーティネット会社概要 (www.fortinet.com)
フォーティネットは複合脅威に対応するASICベースのUTMシステムを提供するリーディングベンダーです。フォーティネットのセキュリティシステムは、セキュリティ性を高めるとともにトータルコストを下げることから、多くの企業やサービスプロバイダなどに利用されています。フォーティネットが提供するソリューションは初めから様々なセキュリティプロテクション(ファイアウォールや、アンチウイルス、侵入防御、VPN、アンチスパイウェア、アンチスパムなど)を統合するために作られており、ネットワークおよびコンテンツレベルの脅威から顧客を守るよう設計されています。カスタムASICと統合型インターフェースに優れたフォーティネットのソリューションはリモートオフィスから筐体ベースのソリューションに至るまで、統合管理 報告で優れたセキュリティ機能を提供します。フォーティネットのソリューションはこれまで様々な賞を世界中で受賞しており、ICSAから6種類の認定(ファイアウォール、アンチウイルス、IPSec、SSL、IPS、アンチスパイウェア)を受けた唯一のセキュリティ製品です。フォーティネットはカリフォルニア州サニーベールに本社を置く非上場企業です。

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。