フォーティネットウイルス対処状況レポート（2008年2月度）

●　2月の脅威の状況

フォーティネットのFortiGateセキュリティアプライアンスが2008年2月に発見した脅威トップ10。「Top100Shifts」は前月号と比較した順位の増減を示しており、「new」とあるのはトップ10に初登場したマルウェアです。

RankMalwarePercentageTop100Shift
1W32/Netsky!similar12.0%　　－
2HTML/Iframe_CID!exploit8.0%　　－
3W32/Small.FQS!tr.dldr4.5%　　－
4Adware/Agent　　　　　　　　3.8%　　+4
5W32/Grew.A!worm3.0%+8
6W32/Pushdo!tr3.3%new
7W32/MyDoom.N@mm2.6%new
8W32/Bagle.DY@mm2.3%+1
9W32/MyTob.fam@mm2.2%+10
10W32/MyTob.FR@mm2.1%-5

今月まず目に付くのは順位の入れ替わりですが、その一方、2つのマルウェアファミリーがトップ10に初登場しました。

■　大量メールワームのMyTobおよびMyDoomが今月のマルウェアの大きな割合を占めており、MyTobファミリーの活動は、Netskyに次いで盛んでした。

■　1月の最後の3日間に攻勢をかけたPushdo!trが6位に入っています。このマルウェアは2月中旬の2日間にも活動が急増しました。

■　Adware/Agentが、金銭的動機とともに増加し、8位から4位に躍り出ました。


●　マルウェアファミリーの動向

これまでMyTob、MyDoom、Pushdoの変種がくり広げる活動について、たびたび取り上げてきました。これらのファミリーの一部は強力な変種として今までも当社のレポートに登場してきましたが、ファミリーとしての活動は、より広い視点で見たほうが良いでしょう。トップ10に登場する、このほかの著名な現役ファミリーとしては、悪名高いNetsky、Bagle、Stormがあります。

下記の図1に示したPushdoの最初の急上昇は、大量メールワームの大規模な散布活動の一環として、悪意ある実行ファイルPushdoがzip形式で送付されたことによるものです。そこには単純なソーシャルエンジニアリングが使われています。つまり、Eメールの本文には、様々な有名人の名を挙げ、彼らのポルノビデオが収録されているという触れ込みで、添付のzipファイル（通常は「video.zip」という名前がつけられている）を開けるよう促します。これは先月のレポート（※1）で紹介した、Eカードを送りつけるPushdoをアレンジしたものです。Pushdoの2度目の活動は2月17日～18日に起こりましたが、1度目の活動に比べると、さほど目立つものではありませんでした。Pushdoが2日間の集中攻撃で広まったのに対し、MyTobとMyDoomは期間中、安定した動きをしており、週末に活動レベルが落ちる程度でした（これは大量メールワームとしては驚くほどのことではありません）。このパターンは、BagleおよびNetskyに関しても同様でした。下記の図1は、すべての変種をそれぞれが属するマルウェアファミリーにグループ分けしたものです。こうすると、各ファミリーの活動の全体像がはっきりとわかります。

※1：リンク

図1：Bagle、MyDoom、MyTob、Netsky、Pushdoのファミリーの活動
リンク

今月のMyTobファミリーの活動は、MyTob.FR（今月のトップ10に登場）に埋め込まれた識別子「H-E-L-L-B-O-T-P-O-L-Y-M-O-R-P-H」、自称Hellbotギャングにつながりがあります。HellbotはMyTobが投下するトロイの木馬ですが、このトロイの木馬はソースコードが出回っているおかげで、RBotに一族のルーツを持つことがわかっています。MyTob.FRはこのトロイの木馬を投下し、「taskgmr.exe」のプロセスから起動する「hellmsn.exe」というプログラムを実行していたのです。また、MyTob.FRの変種のコピーが、「funny_pic.exe」といった気を引くファイル名を使って（これは、いかにもMyTobらしいやり方です）実行数を増やすために、世の中のPCにばらまかれました。さらに、MyTob.FRは実行中のアンチウイルスのプロセスを中断させようとします（フォーティネットのFortiClientユーザーは、その影響を受けていません）。下記の図2は今回のレポート対象となった期間の脅威勢力の構成図で、このレポートの作成にあたっては、主なマルウェアファミリーの量を比較しています。

図2：2008年2月の各マルウェアファミリーの割合
リンク

今月のMyTobの活動は、Pushdo、Bagle、Storm、Grew、さらにはこのウイルスの起源であるMyDoomを上回りました。フォーティネットのSecurityResearchエンジニアであるデレクマンキーによると、MyTobは19％のシェアを誇るNetskyに続き、今月の全捕捉の12％を占める堂々の2位となっています。この成功には、MyDoom/RBotが実績を築いた感染方法を、MyTobが入手という舞台裏があったことは、疑う余地がありません。これをさらに工夫して、Hellbotギャングが操る作品を生み出すことで、MyTobはMyDoomのお株を奪うことに成功しました。それは上記の図1および図2で証明されています。下記は、変種をファミリーごとにグループ分けしたランキングです。

RankMalwareFamilyPercentage
1Netsky18.6%
2MyTob12.2%
3HTML/Iframe_CID!exploit8.0%
4Pushdo　　　　　　　　5.0%
5Storm4.9%
6MyDoom4.7%
7Bagle3.9%
8Agent3.8%
9Grew3.4%
10W32/Istbar.PK!tr.dldr2.1%

上記の表から分かるように、個々のマルウェアではなくファミリーが重要なのです。例えば、冒頭のトップ10で5位の座にあったGrewは、この表では9位になっています。そしてMyTobとPushdoは、3位につけていたStormを追い抜き、ランキングの上位に躍り出ています。

免責条項：
当資料でフォーティネットは正確な情報を提供するよう努めていますが、同社はこれらの情報の正確性や完全性について、法的責任を負うものではありません。より具体的な情報は、ご要望に応じてフォーティネットがご提供いたします。フォーティネットの製品情報は、正式に署名された書面にて明示、特定している場合を除き、何らの保証や法的拘束力のある記述を構成または包含するものではないことをご注意ください。

※フォーティネットの名称はFortinet,Inc.の登録商標です。Fortinet、FortiGate、FortiOS、FortiAnalyzer、FortiASIC、FortiAnalyzer、FortiCare、FortiManager、FortiWiFi、FortiGuard、FortiClient、およびFortiReporterはFortinetCorporationの米国およびその他の国における登録商標です。その他製品名などはそれぞれ各社の登録商標です。