フォーティネットは、2008年1月度のウイルス対処状況レポートを発表しました。
● 1月の脅威の状況
フォーティネットのFortiGateセキュリティアプライアンスが2008年1月に発見した脅威トップ10。(初)は今月トップ10に初登場した脅威です。
Rank Malware Percentage
1 W32/Netsky!similar 10.91%
2 HTML/Iframe_CID!exploit 7.91%
3 W32/Small.FQS!tr.dld 5.87%(初)
4 W32/Pushu.BYC!tr 2.83%(初)
5 W32/MyTob.FR@mm 2.53%
6 W32/Pushdo.DGH!tr 2.53%(初)
7 W32/MalFormedani.C 2.49%(初)
8 Adware/Agent 2.47%(初)
9 W32/Bagle.DY@mm 2.24%
10 W32/MyTob.BH.fam@mm 2.09%(初)
新しい年を迎えた1月、トップ10には新顔が登場し、12月の顔ぶれの多くと交代しました。
■ 汚れてしまった愛:Small.FQS(別名Storm)がバレンタインデーキャンペーンを開始し、たった1日で今月のトップ10の堂々3位にすべりこみました。
■ アドウェアにご用心:先月登場の(※1)BdsearchおよびTCentがチャート外に転落する一方、Agentは8位に入り、月末に向けて盛んな活動を展開しました。
■ 1月は、トロイの木馬であるPushu.BYCおよびPushdo.DGH(どちらもPushdoファミリーに属する)が大量の「eカード」を強引に押し進めました。
■ MyTob++:大量メールワームの「MyTob」が勢いを増す中で、今月は、もうひとつの「MyTob」の変種がトップ10入りしました。
※1:リンク
● 感染性のeカードをプッシュ
1月はトロイの木馬であるPushdoが皆にeカードを配って回りました。これは幾度となく繰り返されてきた戦術です。このeメールで使われているソーシャルエンジニアリングの策略(下記の図1aおよび1bを参照)は実に単純なもので、eカードが送付されたことを告げるとともに、受信者に添付ファイルをチェックするようすすめます。
図1a:添付されたPushu.BYCは「eカード」の添付ファイルを装っている
リンク
図1b:「eカード」として添付されたPushdo.DGHにはPushu.BYCとの類似点がある
リンク
もしもユーザが、添付ファイルを実行してしまうと、Pushdoは感染ルーチンを開始し、システムリソースを食い荒らしてしまいます。その間、Windowsは「お待ちください」というアイコンを一時的に表示します。これにはHTTP経由でコントロールサーバにコンタクトし、データを取得するとともに、稼働中のシステムプロセスを隠す働きのあるルートキットを投下することが含まれます。Pushdoの2つの変種があり、どちらの変種でも、さらなる指令を待つために、TCPポート2581上のコントロールサーバへの接続が確立されます。真っ当なeカードのほとんどは、固有のIDを利用したeカードホスティングサイトへのリンクの形で送られてくるもので、添付ファイルとして送られるものではない、ということに留意すべきでしょう。第三者から送られてきたリンクをたどる前に、ユーザは「リンクする前に考え」て、これから訪問しようとしているサイトのロケーションを注意深く調べることを強くお勧めします。
図2:2007年12月末以降のPushdo、Storm、およびAgentの活動
リンク
上記の図2をよく見ると、Stormはバレンタインデーキャンペーンのあった1月16日の1日だけでトップ10入りを果たしたことがわかります。これは、数量で比較するとスケールが小さいとはいえ、1年前のStormの誕生(※2)の時と同じようなやり方で達成したものです。
※2:リンク
● 1年続いたStorm(嵐)を耐え忍ぶ
1月はStormボットネットに属するゾンビへと誘導する、スパム爆撃が目立ちました。いささか時期尚早ですが、Stormはバレンタインデーに付け込むために精を出し、世界中のパソコンのハート(OS)を目指しました。Stormネットワークが最初に送付したeメールは非常にシンプルなもので、IPアドレスを使ったリンクを掲載していました。このリンクが最終的にStorm感染に導くのです。ひとたびリンクをたどると、ユーザはHTTP経由で「Click here(ここをクリック)」と謳っているページに誘導されます。これはStormが悪名をとどろかせることになった、ソーシャルエンジニアリングの戦術(下記の図3を参照)です。
図3:あなたは、ダウンロードではなく感染を始めています。:あなたを抱きしめるStorm
リンク
このキャンペーンを開始した人は誰であろうとも、Webサイトの悪意ある発射台に誘導するのにドメイン名でなくIPアドレスを使用しているのは興味深いことです。StormはFast Fluxの方法論(Fast Fluxの例(※3)としては「カナダ薬局」に関する当社の分析を参照)を利用した多様性に富むボットネットです。IPは実験用か、単に仕事をこなすために使われたものかもしれず、この攻撃の奇襲性をさらに浮き彫りにしています。いずれにしても、これはいくつかのFast Fluxドメインを使うことでStormのメッシュ型ネットワークを活用しませんでした(同様のことが過去にもありました)。この活動は、たった1日に大量に出回ったことでもわかる通り、おそらく短期間に効果を上げることを意図したものでしょう。
※3:リンク
このキャンペーンの他にも、1月はStormのボットネットの活動が色々と展開されました。その活動内容はかなり多岐におよんだため、ボットネットが他の作戦のために貸し出されているのでは、という説に真実味が出てきました。観測された作戦の一つがフィッシングです(当社が出した勧告(※4) にある通り、Stormとしては初の事例です)。FortiGuard Global Security Research TeamのSecurity Researchエンジニアであるデレク マンキーによると、堅牢なメッシュネットワーク、強力なエンジン、多数のゾンビにより、ボットネットはデジタル界のアンダーグラウンドにおける一等地になったということです。
※4:リンク
当チームは引き続き、これらの脅威、そして新たに起こりつつある脅威が展開する活動を監視していくとともに、ユーザの皆様に最新の保護と見識を提供します。
フォーティネット会社概要 (www.fortinet.com)
フォーティネットは複合脅威に対応するASICベースのUTMシステムを提供するリーディングベンダーです。フォーティネットのセキュリティシステムは、セキュリティ性を高めるとともにトータルコストを下げることから、多くの企業やサービスプロバイダなどに利用されています。フォーティネットが提供するソリューションは初めから様々なセキュリティプロテクション(ファイアウォールや、アンチウイルス、侵入防御、VPN、アンチスパイウェア、アンチスパムなど)を統合するために作られており、ネットワークおよびコンテンツレベルの脅威から顧客を守るよう設計されています。カスタムASICと統合型インターフェースに優れたフォーティネットのソリューションはリモートオフィスから筐体ベースのソリューションに至るまで、統合管理 報告で優れたセキュリティ機能を提供します。フォーティネットのソリューションはこれまで様々な賞を世界中で受賞しており、ICSAから6種類の認定(ファイアウォール、アンチウイルス、IPSec、SSL、IPS、アンチスパイウェア)を受けた唯一のセキュリティ製品です。フォーティネットはカリフォルニア州サニーベールに本社を置く非上場企業です。
御社のプレスリリース・イベント情報を登録するには、ZDNet Japan企業情報センターサービスへのお申し込みをいただく必要がございます。詳しくは以下のページをご覧ください。