お使いのブラウザは最新版ではありません。最新のブラウザでご覧ください。

フォーティネットウイルス対処状況レポート(2008年5月度)

フォーティネットは、2008年5月度のウイルス対処状況レポートを発表しました。

今月のサマリー:
■ 5月の脅威の状況
(1) 脅威トップ10
(2) マルウェアファミリートップ5
■ 活動の要約
■ Vapsupについて

●5月の脅威の状況

(1)脅威トップ10

下記のランキングは、フォーティネットのFortiGateセキュリティアプライアンスが2008年4月21日から5月20日までの間に発見したマルウェアの統計です。

Rank Malware  Percentage   Top 100 Shift
1 W32/Netsky!similar    8.18%    -
2 Adware/Vapsup       8.17% +42
3 HTML/Iframe_CID!exploit 6.25%   -
4 W32/Virut.A        5.05%   +1
5 W32/Pushu.EV@mm 3.49% 新
6 W32/OnLineGamesEncPK.fam!tr.pws 2.35% -
7 HTML/Iframe.DN!tr.dldr 1.99% +7
8 W32/MyTob.BH.fam@mm 1.99% -
9 W32/OnLineGames.ADRE!tr.pws 1.72% 新
10 W32/Zafi.E@mm 1.65% +8

今回のトップ10ランキングでは、次のような特筆すべきポイントがいくつかあります。

・Adware Vapsupが著しく拡散し、今やNetskyと互角のレベル

・オンラインゲームを狙うトロイの木馬が引き続きアジアで活発で、特に台湾と中国で顕著

・IframeインジェクションキャンペーンがIframe.DNを通じて韓国のサーバへ大幅に拡散

・Virut.A が連続3カ月間トップ5にとどまり、長命の様子

(2) マルウェアファミリートップ5

今回のレポートでは、マルウェア変種の活動をファミリーとしてグループ化し、下記のように分類しています。パーセンテージは、今回のレポートで報告されているすべての脅威のうち、ファミリーごとに累積した活動の割合を示しています。「Top 10 shift」は前回レポートのトップ10ランキングと比較した順位の増減を、また「新」はそのマルウェアファミリーがトップ10初登場であることを、それぞれ表しています。

Rank Malware Percentage Top 100 Shift
1 Netsky 14.0%   -
2 MyTob 8.0% -
3 Virut 5.5% +1
4 Pushdo  3.7% +1
5 MyDoom 2.5% +1

今月のファミリーの活動で注目するべき主なポイントは、Cutwail (前回のレポート(※1)を参照) が減少し、Virut、Pushdo、およびMyDoomが順位を上げたことです。2ヶ月連続となるMyTobは2位のポジションを維持し、衰退する気配がありません。

※1:リンク


●活動の要約

前回のレポートで紹介したように、オンラインゲームを狙うトロイの木馬の活動は、OnLineGamesEncPK.famの活動と合致しています。このOnLineGamesEncPK.famは6位に留まり、その活動の大多数が台湾から発生しています。今回のレポートでは新たな変種であるOnLineGames.ADREが浮上しました。前回レポートのOnLineGames.SINと同様に、中国での活動が中心です。さらに印象的なのがファイル感染マルウェアのVirut.Aです。Virut.Aは、活発な活動を続けて今回のレポートで4番目にランクされ、3ヶ月連続でトップ5に名を連ねています。Virut.Aは、ファイル感染能力が強いことに加えて (最近はあまり顕著でない)、遠隔の攻撃者/ボットハーダーからさらなる命令を受けられるよう、IRCコマンド&コントロールチャネルへの接続を確立する能力を備えています。
Iframe.DNは、SQLインジェクション攻撃に似ていたことから、今回のレポートで発見されました。少なくとも2つのサイトが確認されています。その1つは、韓国ソウルを拠点とする注目度の高いエンターテイメントサイトです。その後、このサイトのマルウェアは駆除されたため、悪意のあるIframeを運ぶことはなくなりましたが、下の図1のように、このマルウェアは他のサイトを通じて活動を続けています。

図1: Vapsup、Iframe.DN、およびZafi.Eの今回のレポートにおける活動
リンク

Iframe.DNに含まれる悪意のある活動は、韓国ソウルのインターネットプロバイダが管理する、同じクラスCサブネット上の種々のサーバをターゲットとしていました。そのリンクは、これらのサーバ上の「help.htm」という名前のファイルに張られていましたが、すでに駆除されて今は存在しません。そのサーバ群がホスティングしているコンテンツは合法的であるようですが、マルウェアの活動と関連した前述のファイルをホスティングする危険性が極めて高いものでした。上の図1のように、Iframe.DNは週末の間は活動を潜め、平日にピークに達しています。Iframe.DNと交互に現れたZafi.Eは、大量メーラーとして活動する一方、ウイルス対策ソフトウェアを攻撃する機能を併せ持っています (キリングプロセス)。フォーティネットはこの脅威から保護します。図1において明白な脅威となっているのがVapsupです。その活動は4月29日から5月10日までの間に急増し、今回の調査期間の終わりにつれて減少しています。


●Vapsupについて

このアドウェアは、とてもたちが悪い複数のコンポーネントを含んでいます。大抵は、含まれているすべての要素が、悪質なアンチウイルススキャナの形になっています。Vapsupは、NullsoftのScriptable Install Systemで圧縮されて届きます。実行されたとたん、4つのDLL (ダイナミックリンクライブラリ) ファイルなど、いくつかのコンポーネントがホストシステムに侵入します。これらのDLLファイルのうち、1つは検索ツールバープラグインで、それ以外はBHO (ブラウザヘルパーオブジェクト) です。WebブラウザのプラグインであるBHOは、ナビゲーションを制御する機能があり、ブラウザをハイジャックすることができます。下の図2は、BHOによってナビゲーションがハイジャックされ、最初に説明したツールバープラグイン (赤枠部分) が表示されているブラウザです。

図2: Vapsupのブラウザヘルパーオブジェクトコンポーネントが起動して、
赤枠のツールバーコンポーネントが表示されたブラウザ
リンク

どのページに行こうとしても、上の図2のようにBHOとしてソーシャルエンジニアリングの仕掛けが表示されます。もちろん、このメッセージは感染したコンピュータのセキュリティ設定に関係なく常に表示されます。ユーザの意向を再確認するダイアログボックス([OK] / [キャンセル]) が現われて [Continue to this website (このWebサイトへ進む)] をクリックすると、さらなる策略が実行されます。ユーザを罠にかけようと、ダイアログの質問はランダムに入れ替わり、[OK] をクリックしてもユーザの意向が必ずしも反映されません。たとえば、最初の質問は「Continue browsing unprotected? (保護されないままブラウジングを続けますか?)」であり、次にクリックすると「Do you want real time protection? (リアルタイム保護を実行しますか?)」という質問が表示されます。それに対して [OK] をクリックしてしまうと、これらの質問に対して2つの作用が働いて、さらなる策略への明確な試みが実行されます。別の2つのDLLファイルがWindowsの"ShellServiceObjectDelayLoad"レジストリキーに追加され、起動時にメインWindowsシェルによって自動的に実行されます。さらに、Vapsupが起動したとたん、これらのDLLファイルによってエクスプローラシェルが再度生成され、プロセスメモリに直ちに常駐します。

図3: 「ここをクリックして先進のリアルタイム保護を入手し、
ブラウジングをお続けください」
リンク

図2で推奨された「保護」や表示されるダイアログボックスに従った場合、図3の製品が表示されます。ここからさらに悪化させるのが、前述のメモリ常駐のDLLです。ユーザがブラウザを使わなくても、偽物のスキャンが進行中であることを示す製品"AntiVirus 2008 Pro"のポップアップが表示されます。面白いことに、この悪質なスキャナで使用されるドメインは、図3の製品と同一のサーバ (ロシアに設置されているサーバ) に帰着します。まるでこれでは満足がいかないとでも言うように、Vapsupはついにはユーザのデスクトップをハイジャックして、下の図4のようなアクティブな壁紙を表示します。

図4: さらなるダウンロード/インストールを通じて、
Vapsupがついにデスクトップをハイジャック
リンク

Windowsアクティブデスクトップにより、リンク「Download Privacy Protection Software Now (今すぐプライバシー保護ソフトウェアをダウンロード)」がデスクトップに表示されます。リンクをクリックすると、前述のポップアップで表示されたものと同じ製品"AntiVirus 2008 Pro" にたどり着きます。メッセージの一部は確かに正しく、このユーザのプライバシー (正気を保てるかどうかは言うまでもなく) はVapsupの感染のせいで本当に危険に瀕しています。また、ダウンロードされて否応なく、ユーザのデスクトップに置かれたコンポーネントの"Error Cleaner, Privacy Protector, Spyware & Malware Protection (エラークリーナー、プライバシープロテクター、スパイウェア&マルウェア保護)"アイコンにも注意が必要です。これは始まりに過ぎず、下の図5のように、まもなくインターネットエクスプローラを通じて大量のポップアップが表示されることになります。

図5: 悪質なスキャナおよびアフィリエイトであふれたデスクトップ
リンク

またこれらの悪質なスキャナサイトを通じて、トロイの木馬などさらなるマルウェアがばら撒かれる可能性があります。注意が必要な点として、これら1つ1つの製品全部に対して1つのアフィリエイトIDが割り当てられていて、照会者 (アドウェア) を追跡して支払いを請求できるようになっています。図3の最初のケースで割り当てられているアフィリエイトIDは"Browser Blocker"です。これは明らかに図2のBHOの活動に対する名前です。アフィリエイトプログラムと請求は、Vapsupのようなアドウェアの原動力となる要素です。ここ2ヶ月間にわたるVapsupの活動によって示された脅威の拡散から判断すれば、支払われた額はきわめて大きいものとなるだろうと、FortiGuardグローバルセキュリティリサーチチームのセキュリティリサーチエンジニアのデレク マンキーと述べています。

悪質なスキャナのドメインはすべて、さまざまなアフィリエイトテンプレートを用いて別個の場所でホスティングされていました。つまり、複数のエンティティがアフィリエイトの支払いに関与していたことがわかります。これらのドメインの大部分は、Nginxが稼動するサーバに帰着していました。Nginxは、ボットネットで頻繁に使用されている、ロシアで開発された一般的なWebサーバです。ドメインは大抵、米国を拠点とする同一のレジストラ経由で登録され、"PrivacyProtect.org"が用いられていました。これは、ドメイン作成プロセスにおいて匿名の登録者情報を記入するサービスです。


●ソリューション

フォーティネットのFortiGuardサブスクリプションサービスのユーザは、今回のレポートで説明されている脅威から既に保護されています。脅威の活動については、フォーティネットのFortiGuardグローバルセキュリティリサーチチームが、同社のインテリジェンスシステムと世界中で販売されているFortiGate<TM>複合脅威セキュリティアプライアンスから収集したデータに基づいて集計しています。FortiGuardサブスクリプションサービスは、アンチウイルス、侵入防御、Webコンテンツフィルタリング、アンチスパム機能などを含めた包括的なセキュリティソリューションを提供します。このサービスによって、アプリケーション層とネットワーク層の両方における脅威から保護することができます。FortiGuardサービスは、フォーティネットがマルチレイヤーのセキュリティインテリジェンスと新しい脅威に対する真のゼロデイ保護を供給することができるようにFortiGuard グローバルセキュリティリサーチチームによって、継続的に更新されています。これらのアップデートは、全てのFortiGate、FortiMail、FortiClient製品に提供されています。


免責条項:
当資料でフォーティネットは正確な情報を提供するよう努めていますが、同社はこれらの情報の正確性や完全性について、法的責任を負うものではありません。より具体的な情報は、ご要望に応じてフォーティネットがご提供いたします。フォーティネットの製品情報は、正式に署名された書面にて明示、特定している場合を除き、何らの保証や法的拘束力のある記述を構成または包含するものではないことをご注意ください。


※フォーティネットの名称はFortinet,Inc.の登録商標です。Fortinet、FortiGate、FortiOS、FortiAnalyzer、FortiASIC、FortiAnalyzer、FortiCare、FortiManager、FortiWiFi、FortiGuard、FortiClient、およびFortiReporterはFortinetCorporationの米国およびその他の国における登録商標です。その他製品名などはそれぞれ各社の登録商標です。

用語解説

フォーティネット会社概要 リンク
フォーティネットは複合脅威に対応するASICベースのUTMシステムを提供するリーディングベンダーです。フォーティネットのセキュリティシステムは、セキュリティ性を高めるとともにトータルコストを下げることから、多くの企業やサービスプロバイダなどに利用されています。フォーティネットが提供するソリューションは初めから様々なセキュリティプロテクション(ファイアウォールや、アンチウイルス、侵入防御、VPN、アンチスパイウェア、アンチスパムなど)を統合するために作られており、ネットワークおよびコンテンツレベルの脅威から顧客を守るよう設計されています。カスタムASICと統合型インターフェースに優れたフォーティネットのソリューションはリモートオフィスから筐体ベースのソリューションに至るまで、統合管理 報告で優れたセキュリティ機能を提供します。
フォーティネットのソリューションはこれまで様々な賞を世界中で受賞しており、ICSAから7種類の認定(ファイアウォール、アンチウイルス、IPSec、SSL、IPS、アンチスパイウェア、アンチスパム)を受けた唯一のセキュリティ製品です。フォーティネットはカリフォルニア州サニーベールに本社を置く非上場企業です。

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。